Con l’approvazione del framework di Identità Digitale Europea (eID) da parte del Consiglio Europeo, avvenuta il 26 marzo 2024, si segna l’inizio di un nuovo capitolo nella trasformazione digitale della nostra società. Questo momento cruciale simboleggia non solo l’impegno dell’UE a promuovere l’inclusività e la sicurezza digitale, ma stabilisce anche un punto di riferimento globale nella gestione dell’identità digitale.
Approfondiamo il progresso innovativo dell’Unione Europea verso la rivoluzione dell’identità digitale, attraverso l’adozione di un framework di Identità Digitale Europea (eID). Analizzando elementi chiave come il Digital Wallet EUDI, sono presentate le principali prospettive del quadro normativo per migliorare l’inclusività digitale, la sicurezza e l’integrazione fluida tra gli stati membri.
Esploriamo il Framework di Riferimento Architetturale (ARF) e il suo ruolo nel plasmare un’infrastruttura coesa, gli spunti sullo sviluppo, il coordinamento e le fasi di implementazione che sottolineano lo sforzo collaborativo tra la Commissione UE, gli stati membri e le parti interessate.
Analizziamo anche le sfide e le previsioni associate alla futura adozione del Digital Wallet EUDI, concludendo con alcune riflessioni sul potenziale innovativo e trasformativo del nuovo framework, nell’interesse dei cittadini, progettato per proteggere la privacy e stabilire un precedente globale nella gestione dell’identità digitale.
Cos’è il Digital Wallet EUDI
L’essenza di questa nuova normativa, racchiusa nell’adozione dei Digital Identity Wallet (EUDI Wallet), testimonia la visione dell’UE di un futuro digitale unificato, sicuro e incentrato sull’utente. Consentendo ai cittadini e alle imprese dell’UE di accedere a un’ampia gamma di servizi online con un’identità digitale unica e riconosciuta, il framework legislativo europeo semplifica le complessità e riduce le vulnerabilità associate a soluzioni di identità digitale frammentate.
Il Portafoglio di Identità Digitale Europeo (EUDI Wallet), al centro di questa iniziativa, rappresenta un cambio di paradigma verso un’Europa digitale più integrata e sicura. Tale strumento rivoluzionario consente la memorizzazione, gestione e condivisione sicure dell’identità digitale e degli attributi personali, come patenti di guida e l’accesso ai conti bancari, in tutta l’UE. Incarna i principi di privacy, interoperabilità e controllo da parte dell’utente, consentendo alle persone di gestire le proprie credenziali digitali con una precisione e sicurezza senza precedenti.
Privacy e legittimazione dell’utente con l’EUDI Wallet
Componenti chiave di questo nuovo regolamento europea enfatizzano la legittimazione dell’utente nella gestione dei propri dati e la privacy, garantendo che l’ecosistema di identità digitale all’interno dell’UE rispetti e promuova i diritti individuali.
Dalla fornitura di Prove a Conoscenza Zero (le cosiddette Zero-knowledge Proof), che consentono la verifica degli attributi senza rivelare dati personali sottostanti, all’implementazione dell’Autenticazione Forte del Cliente (SCA) per i servizi di pagamento, il framework è meticolosamente progettato per migliorare la sicurezza digitale e l’autonomia dell’utente.
Adozione open-source dell’EUDI wallet
La scelta di un approccio open-source all’architettura tecnica del wallet favorisce trasparenza e innovazione, mentre l’integrazione di un modello di identità decentralizzato segna un passo verso la riduzione della dipendenza da autorità centralizzate. Ciò non solo migliora privacy e sicurezza, ma supporta anche la visione dell’UE per un Mercato Unico Digitale (il Digital Single Market) senza soluzione di continuità.
Digital Wallet EUDI: il Framework di Riferimento Architetturale (ARF)
Il 3 giugno 2021, la Commissione Europea ha intrapreso un passo innovativo adottando una Raccomandazione per lo sviluppo di un toolbox completo che include un’Architettura e un Framework di Riferimento (ARF), insieme a un insieme di standard comuni, specifiche tecniche e migliori pratiche. Questa iniziativa è volta a supportare il panorama dell’Identità Digitale Europea, concentrandosi in particolare sull’EUDI wallet.
Sviluppo e coordinamento del toolbox
La formulazione del toolbox è un’impresa collaborativa, orchestrata dal Gruppo di Esperti eIDAS e dalla Commissione Europea, in partnership con le parti chiave interessate dei settori pubblico e privato, per garantire una solida base per l’infrastruttura del Digital Wallet EUDI.
Cronologia e progressi
Seguendo la cronologia della Raccomandazione, è stato raggiunto un accordo sul processo il 30 settembre 2021, portando a una concettualizzazione dettagliata dell’ecosistema EUDI Wallet. Tra ottobre e dicembre 2021, il quadro concettuale è stato ulteriormente perfezionato, culminando nella bozza dell’ARF. Questo documento, aperto al feedback pubblico fino al 15 aprile 2022, ha ricevuto contributi da 36 parti interessate.
Evoluzione e applicazione dell’ARF
A posteriori dei feedback ricevuti, il Gruppo di Esperti eIDAS ha continuato a far evolvere i concetti alla base del framework, in parallelo con le negoziazioni legislative. L’ARF ha da allora maturato attraverso versioni successive, con la versione 1.2.0 adottata nel giugno 2023 e la versione 1.3.0 redatta per la consultazione pubblica.
Obiettivo e utilità dell’ARF
L’ARF è progettato per fornire specifiche complete, utili allo sviluppo di un Wallet EUDI interoperabile, ancorato a standard e pratiche comuni. Il documento serve come risorsa cruciale per la Commissione Europea e i consorzi, in particolare nello sviluppare l’implementazione di riferimento del wallet e i progetti pilota.
Implementazione di riferimento e progetti pilota su larga scala
La Commissione si appresta a offrire un’implementazione di riferimento del Digital Wallet EUDI, operativa su smartphone Android e IoS, con il suo codice sorgente disponibile open source. Questa implementazione sarà la pietra angolare per i Large Scale Pilot (LSP, ossia i progetti pilota sviluppati su larga scala) selezionati tramite un bando di proposte, lanciato il 22 febbraio 2022, nell’ambito del Programma Europa Digitale, volto a sperimentare il wallet EUDI attraverso diversi casi d’uso. Questi LSP utilizzeranno l’ARF, in linea con l’implementazione di riferimento.
Feedback e perfezionamenti
Si prevede che gli LSP contribuiscano attivamente al perfezionamento dell’ARF, fornendo spunti basati sulle loro esperienze con vari stakeholder, inclusi i servizi di Relying Party[1], i fornitori di (Q)EAA[2], i fornitori di PID[3] e gli utenti[4]. Questo ciclo di feedback è essenziale per migliorare la rilevanza e l’efficacia dell’ARF nel facilitare transazioni significative nei casi d’uso proposti.
Il contesto di riferimento
Il contesto del quadro di Identità Digitale Europea (eID) affonda le radici negli sforzi continui dell’UE per guidare il panorama digitale in evoluzione e soddisfare la necessità di soluzioni di identità digitale sicure, senza soluzione di continuità e interoperabili. Il cammino verso questo quadro di identità digitale è iniziato con la precedente regolamentazione sull’Identificazione Elettronica, Autenticazione e Servizi Fiduciari (eIDAS) introdotta nel 2014.
Il Regolamento eIDAS del 2014
La regolamentazione eIDAS originale ha stabilito un quadro legale per l’identificazione elettronica e i servizi fiduciari all’interno dell’UE. Il suo obiettivo era facilitare le transazioni elettroniche transfrontaliere fornendo uno standard per il riconoscimento reciproco sicuro dell’identificazione elettronica tra gli stati membri dell’UE. Questa regolamentazione è stata fondamentale nel gettare le basi per transazioni digitali sicure e l’accesso ai servizi pubblici in tutta l’UE, garantendo che le interazioni elettroniche tra gli stati membri fossero affidabili e legalmente riconosciute.
La proposta eIDAS2
Riconoscendo i limiti della regolamentazione del 2014 e il rapido ritmo della trasformazione digitale, la Commissione Europea ha proposto un quadro aggiornato, noto come eIDAS2, nel giugno 2021. Questa proposta mirava a rivedere il panorama dell’identità digitale esistente per riflettere i progressi tecnologici e l’aumento della domanda di servizi digitali. L’obiettivo principale era stabilire un quadro di identità digitale più integrato, sicuro e facile da usare per tutti i cittadini, residenti e imprese dell’UE.
Sviluppo del Digital Wallet EUDI
Al centro della proposta eIDAS2 vi è l’introduzione del Portafoglio di Identità Digitale Europeo. Questo strumento innovativo è progettato per consentire ai cittadini dell’UE di accedere e gestire in modo sicuro la propria identità digitale e i dati personali nell’intero bacino dell’Unione. Il portafoglio consentirebbe agli utenti di conservare attestazioni elettroniche della propria identità, qualifiche accademiche, credenziali che permettono l’accessibilità ai conti bancari e altri attributi personali, facilitando l’accesso sicuro e semplice a un’ampia gamma di servizi in tutta l’UE.
Processo legislativo e negoziazioni
La proposta per il nuovo quadro di identità digitale è stata sottoposta a un’ampia revisione legislativa e negoziazione, coinvolgendo il Parlamento Europeo, il Consiglio dell’Unione Europea e la Commissione Europea. Queste discussioni, note come “triloghi[5]”, miravano a perfezionare la proposta, affrontando questioni legate alla privacy, sicurezza, interoperabilità e controllo da parte degli utenti.
L’accordo provvisorio e l’approvazione finale
Un accordo provvisorio sul nuovo regolamento eIDAS2 è stato raggiunto l’8 novembre 2023, segnando una tappa significativa nel processo legislativo. Il voto del Parlamento Europeo il 29 febbraio 2024 ha ratificato questo accordo, adottando ufficialmente il nuovo quadro di Identità Digitale Europea. Questo voto è stato un passo cruciale nel formalizzare la struttura legale necessaria per implementare il Portafoglio EUDI negli stati membri.
I prossimi passi
Con il quadro legale in atto, la fase successiva coinvolge l’implementazione del regolamento in tutta l’UE. Ciò include lo sviluppo dell’infrastruttura tecnica necessaria, la stabilizzazione di standard e procedure comuni e la messa a disposizione del Digital Wallet EUDI a cittadini e imprese. Entro il 2026, si prevede che tutti gli stati membri avranno portafogli di identità digitale pienamente operativi, garantendo che i cittadini dell’UE possano beneficiare di un sistema di identità digitale sicuro, interoperabile e centrato sull’utente.
Ratifica e promulgazione
Il processo legislativo procederà alla fase formale di ratifica, con l’approvazione del quadro di Identità Digitale Europea da parte del Presidente del Parlamento Europeo e del Presidente del Consiglio. Se i procedimenti procederanno senza intoppi, prevediamo che questa ratifica avvenga nelle prossime settimane.
Dopo la ratifica, il nuovo quadro sarà ufficialmente promulgato tramite la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea. Questo atto di promulgazione non è solo procedurale ma simbolizza la nascita legale del regolamento, segnando il suo ingresso nel corpus legislativo dell’UE applicabile.
Pubblicazione nella Gazzetta Ufficiale dell’Unione Europea
La pubblicazione in Gazzetta Ufficiale dell’UE è un passo critico, in quanto avvia il conto alla rovescia per l’entrata in vigore del regolamento e l’inizio della fase di implementazione. I regolamenti dell’UE diventano efficaci 20 giorni dopo la loro pubblicazione, stabilendo una linea temporale chiara per gli stati membri per allineare le loro leggi e procedure nazionali con il nuovo quadro.
Fase di implementazione del Digital Wallet EUDI
Una volta in vigore, il regolamento dà il via a una serie di azioni a livello dell’UE e nazionale. Gli stati membri saranno legalmente obbligati a iniziare lo sviluppo e la messa a disposizione dei Portafogli di Identità Digitale Europei . La fase di implementazione sarà caratterizzata da attività tecniche, legali e amministrative estese, tra cui:
- Sviluppo tecnico: stabilire l’infrastruttura digitale necessaria per supportare gli i Digital Wallet, garantendo che siano sicuri, facili da usare e interoperabili in tutti gli stati membri.
- Allineamento legislativo: modificare le leggi e i regolamenti nazionali per allinearli con il nuovo quadro dell’UE, assicurando che i sistemi di identità digitale nazionali siano compatibili con i Wallet EUDI.
- Sensibilizzazione e coinvolgimento pubblico: avviare campagne informative per informare ed educare cittadini e imprese sui benefici e le funzionalità dell’EUDI Wallet, incoraggiando una diffusa adozione e utilizzo.
Previsioni per un’implementazione “fluida”
Assumendo un avanzamento senza grossi ostacoli di questo passo, le basi per un ecosistema di identità digitale europeo unificato potrebbero essere stabilite nei prossimi anni. Entro il 2026, ci si aspetta di vedere il Wallet di Identità Digitale EUDI pronto per una diffusione in tutta l’UE, fornendo a cittadini e imprese un mezzo sicuro e senza soluzione di continuità per gestire le proprie identità digitali.
Sfide potenziali
Sebbene le previsioni siano ottimistiche, è essenziale rimanere consapevoli delle potenziali difficoltà che potrebbero influenzare la tempistica e il successo dell’implementazione. Queste potrebbero includere sfide tecniche nello sviluppo dell’infrastruttura del wallet, allineamenti sul piano della conformità legale e normativa necessari a livello nazionale, la nuova composizione del Parlamento Europeo dopo le elezioni di giugno 2024 (alla fine, si tratta anche di politica…), e l’imperativo di garantire la fiducia e la comprensione pubblica del nuovo sistema di identità digitale.
Considerazioni finali
L’approvazione del quadro di Identità Digitale Europea del Consiglio Europeo rappresenta un momento fondamentale nel cammino dell’Unione Europea verso un futuro digitale. L’attività legislativa che abbiamo narrato in questo contributo è epocale e riflette non solo l’impegno dell’UE all’innovazione, alla sicurezza e alla privacy nell’era digitale, ma apre anche la via per un ecosistema di identità digitale armonizzato tra gli stati membri. Mentre ci avviciniamo a quest’era trasformativa, si possono trarre alcune conclusioni chiave:
- Responsabilizzazione di cittadini e imprese: al cuore del quadro di Identità Digitale Europea vi è il potenziamento di legittimazione dei cittadini e delle imprese dell’UE. Fornendo una soluzione di identità digitale sicura, interoperabile e facile da usare, l’UE restituisce il controllo nelle mani dei suoi cittadini, consentendo loro di gestire le proprie identità digitali con facilità e confidenza.
- Rafforzamento del Mercato Unico Digitale: l’implementazione dei Digital Wallet EUDI dovrebbe migliorare significativamente la funzionalità del Mercato Unico Digitale, facilitando transazioni e interazioni transfrontaliere senza soluzione di continuità. Questo, a sua volta, può stimolare la crescita economica, l’innovazione e la competitività all’interno dell’UE.
- Miglioramento della privacy e della sicurezza: l’enfasi del nuovo quadro normativo posto su privacy e sicurezza è fondamentale in un’epoca di minacce digitali crescenti. Adottando tecnologie all’avanguardia come le Prove a Conoscenza Zero e assicurando l’allineamento dei Wallet EUDI con il GDPR, l’UE sta stabilendo uno standard globale per la protezione dell’identità digitale.
- Un modello per l’Identità Digitale globale: il quadro di Identità Digitale Europea si erge a faro per altre regioni e paesi, dimostrando la fattibilità e i benefici di un sistema di identità digitale unificato, sicuro e incentrato sull’utente. Il suo successo potrebbe ispirare iniziative simili in tutto il mondo, portando a un paesaggio digitale globale più interconnesso e sicuro.
La strada da percorrere
Sebbene la tabella di marcia per la piena implementazione entro il 2026 sia chiara, la strada è contaminata da sfide e pericoli che richiedono sforzi concertati da parte di tutti gli stakeholder. Le difficoltà tecniche, legali e sociali devono essere affrontate con precisione e attenzione per assicurare che gli obiettivi del quadro siano raggiunti.
Una buona riuscita dell’adozione e diffusione dei Digital Wallet EUDI, necessita di una collaborazione tra le istituzioni dell’UE, gli stati membri, i fornitori tecnologici, cittadini e imprese. Solo attraverso un’azione collettiva e un impegno condiviso può essere realizzata la visione di un’identità digitale sicura, interoperabile e accessibile a tutti gli europei.
Conclusioni
In conclusione, l’approvazione del quadro di Identità Digitale Europea è un passo significativo in avanti nell’agenda digitale dell’UE. Segna l’inizio di un nuovo capitolo in cui l’identità digitale è sicura, accessibile e “responsabilizzante” per tutti gli europei.
Guardando al futuro, l’attuazione efficace di questo quadro rivoluzionerà non solo il modo in cui cittadini e imprese interagiscono con i servizi digitali, ma potrebbe rafforzare anche la posizione dell’UE come leader globale nell’innovazione e nella sicurezza digitale. Il cammino da percorrere è ambizioso, ma con la solida base posta da questa attività legislativa, le prospettive per un’Europa digitale unificata sono più che mai luminose.
NOTE
[1] Con il termine “Relying Party” ci si riferisce a un’entità che si affida a servizi di identificazione elettronica o a strumenti di autenticazione per verificare l’identità di un utente o la validità di un’operazione digitale. In pratica, è l’organizzazione o il servizio che accetta e utilizza credenziali di identificazione elettronica e firme digitali, per permettere, rispettivamente, l’accesso ai propri servizi o eseguire transazioni digitali in modo sicuro e affidabile.
[2] I fornitori di (Q)EAA, che sta per (Qualified) Electronic Attestation of Attributes, sono entità autorizzate a emettere attestazioni elettroniche qualificate riguardanti attributi specifici di un individuo, un’organizzazione o oggetto intelligente (smart object nel contesto IoT). Questi fornitori sono certificati secondo i requisiti stabiliti dall’attuale regolamento eIDAS (Electronic Identification, Authentication and Trust Services) dell’Unione Europea, assicurando che le attestazioni elettroniche da loro rilasciate siano conformi agli standard di sicurezza e affidabilità stabiliti dall’UE. In sintesi, i fornitori di (Q)EAA offrono servizi che attestano determinate caratteristiche o proprietà (attributi) di soggetti (e, in futuro anche di oggetti), garantendo l’autenticità e l’affidabilità di tali informazioni in un contesto digitale.
[3] I fornitori di PID (Personal Identification Data) sono entità o servizi che gestiscono e forniscono dati di identificazione personale. Nel contesto delle tecnologie dell’informazione e della comunicazione, un fornitore di PID può essere un’organizzazione che raccoglie, archivia e gestisce dati identificativi personali, come nome, indirizzo, data di nascita, numero di identità nazionale, e altri dettagli personali, per autenticare o verificare l’identità di individui. Nell’ambito dell’attuale regolamento eIDAS dell’Unione Europea, così come nella propria evoluzione descritta in questo contributo, i fornitori di PID spesso sono coinvolti nei servizi di identificazione elettronica e in altri servizi fiduciari, come la firma elettronica, in cui l’identificazione affidabile e sicura è fondamentale. Questi fornitori devono conformarsi a rigidi standard di sicurezza e privacy per proteggere i dati personali e garantire la loro integrità e affidabilità.
[4] Con “utenti” ci riferiamo in questo contesto sia ai cittadini sia alle imprese dell’Unione Europea.
[5] Il termine “triloghi” si riferisce al processo decisionale nell’Unione Europea, in particolare alla procedura legislativa ordinaria che coinvolge tre principali istituzioni dell’UE: il Parlamento Europeo, il Consiglio dell’Unione Europea e la Commissione Europea. Durante i triloghi, rappresentanti di queste tre istituzioni si incontrano per negoziare e concordare il testo dei progetti di legge.
In sintesi il processo prevede:
i) Commissione Europea: propone la legislazione, fungendo da organo esecutivo e motore del processo legislativo.
ii) Parlamento Europeo: rappresenta i cittadini dell’UE e partecipa alla redazione e approvazione delle leggi.
iii) Consiglio dell’Unione Europea: rappresenta i governi degli stati membri dell’UE e partecipa all’adozione della legislazione.
Nei triloghi, questi attori cercano di raggiungere un accordo su un testo legislativo che sia accettabile per tutti, spesso richiedendo compromessi da parte delle tre istituzioni. Queste riunioni sono un aspetto fondamentale del processo legislativo dell’UE, che punta a trovare un equilibrio tra le diverse posizioni e interessi presenti all’interno dell’Unione.
