Il percorso legislativo del nuovo Regolamento eIDAS (Proposta di un Regolamento che modifica il Regolamento (UE) No 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea) procede spedito e con l’approvazione del 9 febbraio di una nuova bozza da parte della Commissione ITRE (Commissione per l’Industria, la Ricerca e l’Energia) del Parlamento europeo si dispone di un altro testo consolidato che avvicina alla discussione finale. Quest’ultima conduce al testo definitivo tramite il cosiddetto “trilogo”.
In questo ambito discutono informalmente sul tema rappresentanti della Commissione, del Consiglio e del Parlamento, appunto, in un dibattito a tre.
In questa sede illustriamo i principali punti di interesse del testo consolidato della sopra citata Proposta con attenzione sui punti consolidati nelle varie bozze, le novità rispetto a precedenti testi e alcune criticità per il sistema pubblico e privato italiano.
La natura della proposta continua a essere focalizzata su EDIW (European Union Digital Identity Wallet).
La definizione nel testo ne descrive bene la natura e lo scopo:
“un mezzo di identificazione elettronica, che archivia, gestisce e convalida in modo sicuro i dati di identità e l'attestazione elettronica degli attributi, per fornirli alle terze parti e ad altri utenti EDIW su richiesta, e consente la creazione di firme e sigilli elettronici qualificati”
In questo nuovo quadro per l’identità digitale l’utente, che adotta volontariamente il wallet/portafoglio, si identifica e si autentica ai servizi in rete senza intermediari commerciali, elemento che suscita preoccupazioni in materia di fiducia, sicurezza e protezione dei dati personali.
Le regole consolidate approvate dalla Commissione ITRE (ma in pratica, con ampia probabilità dal Parlamento) propongono di rendere il portafoglio europeo di identità digitale uno strumento atto a leggere e verificare documenti elettronici (come la nostra Carta di Identità Elettronica - CIE) e consentire transazioni peer-to-peer con misure importanti per rafforzare la protezione dei dati personali e la sicurezza informatica. Lo scenario approvato prevede anche le registrazione delle transazioni per garantire che le terze parti siano ritenute responsabili.
Un elemento importante, lo ribadiamo, è che l’utilizzo del wallet/portafoglio è volontario. Le persone che non vogliono adottarlo devono avere un trattamento uguale a coloro che, invece, intendono farlo.
Lo schema proposto richiede che lo Stato membro provveda a notificare almeno un wallet/portafoglio nel contesto di uno schema nazionale di identificazione elettronica che è interoperabile a livello comunitario perché conforme alle regole dell’ Architecture Reference Framework (ARF) appena pubblicato nella versione 1.0.
Il documento è disponibile al seguente collegamento:
In questo documento di riferimento tecnico sono contenute le regole per richiedere, ottenere, memorizzare, combinare e utilizzare in modo sicuro i dati personali di identificazione ma anche certificati digitali da utilizzare per autenticazioni online e offline, per accedere a beni e servizi pubblici e privati.
Il wallet/portafoglio deve essere anche in grado di “memorizzare, selezionare, combinare e condividere attestazioni elettroniche di attributi in modo sicuro”.
L’emissione di queste attestazioni è a carico di un prestatore di servizi fiduciari qualificato e i requisiti sono stabiliti nell’allegato V, dedicato al tema.
Una prima perplessità nel testo la rileviamo nelle funzionalità di firma e apposizione di un sigillo elettronico qualificato stabilite come obbligatorie per il wallet/portafoglio.
Nel testo consolidato si stabilisce che “Il EUDIW deve, in modo intuitivo, consentire all’utente di firmare per mezzo di firme elettroniche qualificate che saranno offerte a tutti gli utenti per impostazione predefinita e gratuitamente”.
Questa regola non è ben coordinata con l’altra che definisce i servizi qualificati “forniti normalmente dietro remunerazione”.
L’offerta gratuita, legittima in uno scenario di stimolo alla diffusione dei servizi digitali, è compatibile con Stati membri di piccole e medie dimensioni che hanno impostato i loro servizi pubblici armonizzando informazioni di identità e servizi a loro connessi, come la sottoscrizione sulla base di emissioni di credenziali statali.
Il modello di business italiano a fronte di questo requisito dovrebbe cambiare. Lo scenario che possiamo ipotizzare è di due tipi. Il wallet/portafoglio è una fattispecie pubblica, l’elemento di base è l’APP IO evoluta nella direzione di eIDAS II.
Il servizio di firma può essere direttamente e completamente fruito dal wallet/portafoglio (in genere uno smartphone) ma è più probabile che si utilizzo un servizio di firma remota (tra l’altro la gestione dei dispositivi per la generazione di firme e sigilli è un nuovo servizio fiduciario stabilito in questa bozza di Proposta). Il wallet/portafoglio non è unico ma comunque sempre emesse su autorizzazione pubblica.
La gratuità al cittadino implica un costo per lo Stato che dovrà allocare risorse adeguate per l’infrastruttura necessaria al servizio. Allo stato attuale il mercato italiano non ha particolare diffusione di firme qualificate presso i cittadini. La firma remota è utilizzata per oltre l’80% dei certificati qualificati di firma in ambito professionale. Un’ipotesi su quanto la gratuità del servizio pubblico vada a erodere il mercato privato deve essere valutato attentamente perché il restringimento del mercato comporta meno entrate per l’erario e il servizio pubblico deve essere comunque finanziato.
Un altro elemento di perplessità è generato dall’articolo 24, paragrafo 1 e ne abbiamo ampiamente scritto nell’articolo disponibile al seguente collegamento:
In questa sede si ribadisce che i numerosi richiami, non solo italiani, alle istituzioni comunitarie non hanno, al momento, sortito alcun effetto.
Una lettera aperta di rilievo è quella dell’organizzazione CSC (Cloud Signature Consortium) che gli interessati possono reperire al seguente collegamento:
Per il mercato nazionale l’obbligo di utilizzo per la firma qualificata di un controllo di identità con livello di garanzia “alto” diventa obbligatorio essendo richiesta l’abrogazione del livello “significativo”. Senza entrare in ulteriore merito su quanto illustrato nell’articolo indicato e nella lettera aperta vale la pena di ricordare che fino alla piena operatività del wallet/portafoglio (che è ipotizzata in 12 mesi in modo decisamente ottimistico) e comunque in tutti in servizi che dovranno essere disponibili al di fuori di esso si dovrà utilizzare una soluzione più complessa, che comporta l’uso di dispositivi (Es. la CIE) e che costituisce un ulteriore ostacolo al consolidamento di SPID per maggiori oneri finanziari per i gestori dell’identità. Questo scenario porta inevitabilmente al suo fallimento. Oggi il miliardo di transazioni SPID è stato utilizzato con il livello “significativo” che è il livello 2 di SPID.
Per concludere questa analisi di scenario sulla Proposta di Regolamento rileviamo un altro paio di modifiche alle bozze precedenti.
Sono stati eliminati dal testo i registri elettronici. Per gli interessati ricordiamo che avevamo commentato la loro presenza nelle bozze precedenti del testo nell’articolo disponibile al seguente collegamento:
L’eliminazione è ragionevole perché la natura operativa dei registri elettronici (e di blockchain e smart contract) non è compatibile con le regole di servizi fiduciari.
Per quanto riguarda l’archiviazione elettronica c’è una cancellazione del tema nell’articolo 1 che stabilisce l’ambito della Proposta. Ma nel testo rimangono la definizione e gli articoli nella Sezione 10. Ci auguriamo che il dibattito nel trilogo chiarisca il tema.
Rispetto a bozze precedenti comunque è stato modificato l’articolo 45 octies (45fa nel testo base) che riguarda gli effetti giuridici di un servizio di archiviazione elettronica.
“1. L'effetto giuridico e l'ammissibilità dei dati e dei documenti archiviati mediante un servizio di archiviazione elettronica come prova legale non possono essere rifiutati per il solo motivo che tale servizio è in formato elettronico o non soddisfa i requisiti di un servizio di archiviazione elettronica qualificato.
2. I dati e i documenti archiviati presso un servizio qualificato di archiviazione elettronica beneficiano di una presunzione circa l'integrità dei dati e dei documenti archiviati, la loro disponibilità, la loro tracciabilità, la loro accuratezza e la loro provenienza nonché l'identificazione degli utenti.”
Riprenderemo il tema se la tipologia di servizio fiduciario sarà presente nel testo definitivo della Proposta di Regolamento.
Per concludere illustriamo qualche altro elemento cruciale del testo.
I prestatori di servizi fiduciari qualificati sono soggetti a controllo a loro spese e sanzionabili (compreso lo Stato membro) per le non conformità al Regolamento in coordinamento con la Direttiva NIS2.
Le pubbliche amministrazioni e i soggetti privati che intendono utilizzare la “strong authentication” (definita alla lettera 50 dell’articolo 1) devono consentire l’uso del EDIW.
L’impatto sui sistemi online è notevole perché coinvolge finanza, sanità, telecomunicazioni trasporti e in genere i servizi pubblici.
Di ulteriore notevole impatto sono l’applicazione coordinata della Direttiva NIS2 e del Digital Services Act (DSA). Con la NIS 2 si coordinano le attività di sicurezza compresa la vigilanza dei servizi fiduciari; il DSA è coinvolto per le grandi piattaforme come i cosiddetti Big Tech e i Social media che dovranno offrire il EDIW come uno dei mezzi per l’identificazione e l’autenticazione.
Nella plenaria del 13-16 marzo il Parlamento vota il testo che abbiamo illustrato e poi entro l’anno o all’inizio del prossimo, viene ipotizzato dalle istituzioni comunitarie, la disponibilità del testo definitivo.
Certamente il wallet/portafoglio è un progetto seducente, complesso e ambizioso, il mercato privato sembra essere maggiormente coinvolto sui servizi online mentre la pubblica amministrazione dovrà gestire la conformità dei servizi al nuovo scenario e il coordinamento con i servizi attualmente notificati che sono lo SPID e la CIE.
La sicurezza dei dati personali e quella cibernetica sono giustamente dettagliate e molto stringenti. In questi scenari è fondamentale trovare l’adeguato equilibrio operativo tra sicurezza e usabilità del bene/servizio. Il rischio da evitare è che il comune cittadino sia protetto da “troppa sicurezza” e malfunzionamenti e quindi non accetti, prima di apprezzare, i benefici della trasformazione digitale.