In data 28 giugno 2023 è stato raggiunto l’accordo politico provvisorio[1] tra Parlamento Europeo e Consiglio dell’Unione Europea sugli elementi chiave della proposta di Regolamento per un quadro giuridico sull’identità digitale europea[2] in attuazione del mandato politico del Consiglio europeo[3] e della presidente della Commissione europea[4].
La proposta interviene sul Regolamento eIDAS[5] implementando il c.d. European Digital Identity Wallet (Portafoglio Europeo di Identità Digitale) nell’ambito del più ampio processo europeo di digitalizzazione e dematerializzazione con focus sull’identificazione degli utenti (c.d. relying parties[6]) già avviato in alcuni Stati membri dal settembre 2018 (data di entrata in vigore del Regolamento eIDAS).
In estrema sintesi, la relazione di accompagnamento alla proposta evidenzia come questo strumento si renda necessario per risolvere alcune criticità del modello eIDAS di identificazione/autenticazione degli utenti, e per introdurre nuove funzionalità; ossia tre nuovi servizi fiduciari qualificati, la prestazione di servizi di archiviazione elettronica, i registri elettronici e la gestione di dispositivi per la creazione di firme e sigilli elettronici a distanza.
In pratica, oltre al miglioramento della funzione di riconoscimento dell’utente che vi abbia interesse, il sistema dovrebbe permettere di gestire buona parte della documentazione rilevante nel contesto europeo[7], tanto nel settore privato quanto in quello pubblico (e.g. atto di nascita, diploma di laurea, patente di guida, dichiarazione dei redditi).
Inoltre, da un punto di vista operativo, l’architettura del sistema avrebbe il pregio di snellire alcuni procedimenti burocratici (e.g., l’apertura di un conto in banca, l’iscrizione ad un’università, la presentazione di dichiarazioni fiscali[8], la emissione e conservazione di documenti di carattere sanitario[9]).
Per quanto attiene più precisamente alla esigenza di evolvere il modello eIDAS, la proposta agisce significativamente sui livelli di sicurezza e affidabilità, sulla fruibilità e sulla interoperabilità unionale dei servizi per gli utenti.
A tali fini, in sintesi la proposta di Regolamento dispone che:
- il wallet possa essere emesso da soggetti delegati o riconosciuti dagli Stati membri secondo una rigorosa procedura comune;
- il soggetto emittente il wallet raccolga unicamente le informazioni necessarie per l’erogazione dei servizi, senza possibilità di elaborare i dati personali anche archiviati nel wallet inclusi quelli relativi all’utilizzo del servizio stesso o altri servizi, salvo consenso espresso dall’utente[10]. Verrebbe così assicurata maggiore tutela nella condivisione dei dati relativi all’identità dell’utente che rimarrebbero sotto il suo controllo esclusivo, in ossequio al principio di minimizzazione[11] ;
- l’emissione del wallet avvenga, entro 12 mesi dall’entrata in vigore dei relativi atti di esecuzione dagli Stati membri[12], nell’ambito di un regime nazionale di identificazione elettronica notificato, a seguito di una valutazione obbligatoria della conformità e di una certificazione volontaria nel contesto del quadro europeo di certificazione della cybersicurezza, per garantire un elevato livello di protezione dei dati[13];
- la conformità in termini di cybersecurity dei requisiti e delle tecniche previste per il portafoglio debbano essere certificate da specifici organismi di valutazione, accreditati ai sensi del Cybersecurity Act[14] e designati dagli Stati membri. Sulla base delle informazioni provenienti da questi ultimi, la Commissione redige, pubblica e aggiorna un elenco dei wallet.
Al fine poi di prevenire frodi e assicurare l’autenticazione dei dati di identificazione personale e degli attestati elettronici di attributi del wallet, la proposta prescrive in capo alle parti facenti affidamento sulla certificazione un obbligo di comunicare[15] l’intenzione di volersi avvalere dei wallet attribuendo ad esse la responsabilità dell’esecuzione della procedura di autenticazione dei dati di identificazione[16].
In merito all’utilizzo transfrontaliero del portafoglio, la proposta dispone che le relying parties private che forniscono servizi, ad eccezione delle piccole imprese, accettino anche il wallet, esclusivamente su richiesta volontaria dell’utente, nei casi in cui la normativa dell’Unione, nazionale o gli obblighi contrattuali impongano un’autenticazione forte dell’utente per l’identificazione online[17]. Questa previsione interessa principalmente i servizi nei settori dei trasporti, energia, banche, servizi finanziari, sicurezza sociale, sanità, acqua potabile, servizi postali, infrastruttura digitale, istruzione e telecomunicazioni. Inoltre, viene previsto che nei casi di piattaforme online di dimensioni significative[18] richiedenti l’autenticazione per accedere ai relativi servizi, le stesse debbano accettare anche l’uso del walletper l’autenticazione, esclusivamente su richiesta volontaria dell’utente e nel rispetto dei dati minimi necessari per lo specifico servizio per cui è richiesta l’autenticazione[19].
In definitiva, il wallet dovrebbe consentire il riconoscimento e la raccolta di informazioni e di documenti di cittadini, residenti e imprese dell’Unione, assicurando la fruizione online e offline di servizi digitali pubblici e privati[20] in Europa, e garantendo elevati standard di sicurezza.
Sono dunque diversi i profili di potenziale interesse del sistema informatico d’identità digitale in via di implementazione, tra cui assumono particolare rilievo l’ampiezza di funzionalità e il valore giuridico delle informazioni e dei documenti gestiti.
Al di là delle tempistiche di emissione del wallet che paiono mal conciliarsi con l’idea stessa di sistema digitalizzato, soprattutto online, complessivamente è da accogliere con favore l’accordo politico del 28 giugno 2023 sulla proposta di regolamento.
I portafogli si pongono quale ulteriore e importante tassello nel complesso processo di deburocratizzazione e omogeneizzazione dei sistemi di pubblica amministrazione attraverso la transizione al digitale e specificamente alla digitalizzazione dei principali servizi pubblici nel più ampio e ambizioso programma politico del Decennio Digitale 2030[21].
L’importanza si coglie appieno se si considerano alcuni fattori.
Tra questi vi è anzitutto il fatto che gli Stati membri hanno tutto l’interesse alla digitalizzazione della pubblica amministrazione, nello specifico ad azioni per favorire l’adozione dell’identità digitale, intanto perché essa rappresenta una delle misure degli investimenti del PNRR.
Inoltre, l’accordo politico e la proposta di Regolamento dovrebbero poter rappresentare una cartina di tornasole per sciogliere i nodi sulla centralità che la gestione dei dati personali e della loro sicurezza rivestono nell’attuale contesto internazionale; ove peraltro resta dibattuto il tema della conformità su base volontaria oppure obbligatoria del wallet al GDPR, nonché quello sulla monetizzazione di alcune funzionalità del portafoglio e sui “certificati qualificati di autenticazione dei siti web” (Qualified website authentication certificates, QWAC)[22].
Un primo concreto segnale di interesse all’attuazione della proposta si ricava dallo stanziamento di 46 milioni di euro nel programma “Europa Digitale”[23]. Difatti, la Commissione dovrebbe destinare tali fondi all’interno di quattro progetti pilota su vasta scala per testare il portafoglio dell’Unione in una serie di casi d’uso quotidiani, tra cui la patente di guida, la sanità elettronica, i pagamenti, i titoli di istruzione e le qualifiche professionali. I progetti, avviati il 1º aprile 2023, contribuiranno a migliorare le specifiche tecniche del portafoglio. Nello stesso senso, al fine di garantire che gli Stati membri siano pronti all’emissione del portafoglio entro il termine stabilito dal Regolamento, la Commissione sta lavorando con gli stessi su un Toolbox di aspetti tecnici per costruire il prototipo dell’app del portafoglio. La prima versione del Toolbox, pubblicata nel febbraio 2023, continuerà ad essere aggiornata[24] e diverrà uno strumento obbligatorio una volta concluso il processo legislativo sul quadro europeo dell’identità digitale.
Sia consentito da ultimo rammentare che l’Italia, grazie – tra gli altri – ai sistemi di identificazione/autenticazione SPID[25], di firme digitali CadeS e PAdes[26], di marcature temporali, di e-mail PEC, risulta tra gli Stati membri leader nella implementazione di un modello informatico conforme alla proposta in discorso.
[1] Si veda il comunicato stampa al seguente LINK.
[2] Proposta di Regolamento del Parlamento europeo e del Consiglio che modifica il Regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea, COM (2021) 281 final del 3.6.2021.
[3] Si vedano le conclusioni adottate dal Consiglio europeo al seguente LINK.
[4] Si veda il discorso sullo stato dell’Unione del 16 settembre 2020 al seguente LINK.
[5] Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDAS), GU L 257 del 28.8.2014, pag. 73 consultabile al seguente LINK.
[6] Le relying parties sono, conformemente al Regolamento eIDAS, persone fisiche o giuridiche che fanno affidamento su un’identificazione elettronica o su un servizio fiduciario.
[7] Si veda il Considerando 26 della proposta di Regolamento.
[8] Si veda il paragrafo “Insegnamenti tratti da esperienze analoghe” della proposta di Regolamento.
[9] Si veda il Considerando 9 della proposta di Regolamento.
[10] Si veda l’articolo 6-bis, paragrafo 7, della proposta di Regolamento.
[11] Il principio di minimizzazione dei dati si fonda sull’idea per cui il titolare deve trattare i soli dati di cui ha realmente bisogno per raggiungere le finalità del trattamento. Esso è declinabile nei profili della adeguatezza dei dati, intesa come proporzionalità rispetto alle finalità per cui sono raccolti; pertinenza dei dati rispetto alle stesse; limitazione dei trattamenti solo per il raggiungimento di dette finalità.
[12] Si veda l’articolo 6-bis, paragrafo 2, della proposta di Regolamento.
[13] Si veda l’articolo 6-bis, paragrafo 6, della proposta di Regolamento.
Si veda inoltre il Considerando 9 della proposta di Regolamento.
[14] Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (Regolamento sulla cybersicurezza), GUUE L 151/15 del 7.6.2019.
Specificamente, si veda l’articolo 60, rubricato come “Organismi di valutazione della conformità”.
[15] Si veda l’articolo 6-ter, paragrafo 1, della proposta di Regolamento.
[16] Si veda l’articolo 6-ter, paragrafo 3, della proposta di Regolamento.
[17] Si veda l’articolo 12-ter, paragrafo 2, della proposta di Regolamento.
Si veda inoltra il Considerando 28 della proposta di Regolamento.
[18] L’articolo 12-ter, paragrafo 3, della proposta di Regolamento, intende le “piattaforme online di dimensioni molto grandi” come definite dall’articolo 25, paragrafo 1, del Regolamento (UE) 2022/2065 sui servizi digitali.
[19] Si veda l’articolo 12-ter, paragrafo 3, della proposta di Regolamento.
[20] L’articolo 3, punto 42, della proposta di Regolamento, definisce il Portafoglio Europeo di Identità Digitale come “… un prodotto e servizio che consente all’utente di conservare dati di identità, credenziali e attributi collegati alla sua identità, fornirli su richiesta alle parti facenti affidamento sulla certificazione e utilizzarli per l’autenticazione, online e offline, per un servizio, conformemente all’articolo 6 bis, nonché per creare firme elettroniche qualificate e sigilli elettronici qualificati …”.
A sua volta, l’articolo 6-bis della proposta di Regolamento definisce tale strumento come un mezzo di identificazione elettronica che permette di “… richiedere, selezionare, combinare, conservare, cancellare gli attestati elettronici di attributi e i dati di identificazione personale e presentarli in modo sicuro alle relying parties, anche per l’autenticazione online e, se del caso, offline, per utilizzare servizi pubblici e privati, garantendo al contempo che sia possibile la Disclosure selettiva …” e “ …firmare con firme elettroniche qualificate e apporre sigilli attraverso sigilli elettronici qualificati… “.
[21] Per ulteriori informazioni si veda il seguente LINK.
[22] I QWAC hanno lo scopo di autenticare l’identità della persona o dell’organizzazione dietro un sito web al fine di evitare potenziali truffe. Il Parlamento ha aggiunto misure restrittive nel caso in cui i QWAC violino la privacy, ma la questione rimane controversa.
[23] Per ulteriori informazioni si veda il seguente LINK.
[24] Per ulteriori informazioni si veda il seguente LINK.
[25] Lo SPID (Sistema Pubblico per la gestione dell’Identità Digitale) è un sistema aperto attraverso il quale soggetti pubblici e privati, previo accreditamento da parte dell’AgID (Agenzia per l’Italia Digitale), possono offrire servizi di identificazione elettronica a cittadini e imprese.
Per ulteriori informazioni si veda il seguente LINK.
[26] Per CAdES e PadES si intendono due differenti modalità di apposizione della firma digitale: la prima permette di firmare qualsiasi tipo di documento, con modifica del relativo nome e verificazione della firma tramite l’esclusivo utilizzo di software specifici; la seconda permette di firmare i soli documenti in formato .pdf, con mantenimento del nome originale e verificazione tramite qualsiasi software.