Identità digitale, che cosa cambia con il regolamento europeo eIDAS

SPID

Il nuovo regolamento eIDAS è apparso da poco in Gazzetta Ufficiale. Che cosa cambia a livello Europeo e come si rapporta a SPID? Andiamo verso un futuro in cui l'identità digitale sarà interoperabile a livello comunitario

di Andrea Rigoni

Il 28 agosto 2014 è apparso sulla Gazzetta Ufficiale dell’Unione Europea il regolamento eIDAS n. 910/2014 (on eIdentification and trusted services for electronic transactions in the internal market) sulla Identificazione elettronica e sui servizi fiduciari. Il regolamento sostituisce la direttiva 1999/93/EC. Il regolamento fornisce una base comune a tutti i paesi membri per i servizi fiduciari, ovvero quei servizi come la firma elettronica. L’adozione di un sistema unico di firma digitale favorirà non solo le transazioni cross-border, ma faciliterà la diffusione di questi strumenti anche in ambiti dove la firma digitale ha stentato a decollare. Fino ad oggi la firma elettronica, in particolare quella qualificata,  è stata impiegata a livello nazionale quasi totalmente nel settore pubblico. In ambito privato, i casi d’uso sono estremamente limitati, se non per la firma elettronica avanzata, in via di diffusione per la firma di contratti, in particolare modo in ambito bancario e assicurativo. 

Un aspetto rilevante del regolamento eIDAS che vale la pena chiarire è relativo all’”Identificazione elettronica”, ovvero al “processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica…”. L’identificazione elettronica è accompagnata dal concetto di “mezzo di identificazione elettronica” ovvero all’”unità materiale o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online”. Su questi aspetti, il regolamento eIDAS non fornisce alcuna indicazione, ma lascia ad ogni paese la libertà di sviluppare il proprio sistema. Ogni paese membro avrà la facoltà di poter notificare all’Unione Europea il proprio sistema, purché rispondente ai requisiti minimi definiti dal regolamento e conforme agli standard che ETSI e CEN definiranno. Questo implica che in Europa disporremo di 28 sistemi di “identificazione elettronica” differenti e che si dovrà procedere con una integrazione le cui modalità sono ancora tutte da chiarire. I progetti Stork e Stork II (Secure idenTity acrOss boRders linKed) sono piloti pluriennali a cui hanno partecipato 19 paesi e 58 partner definire un ambiente di interoperabilità tra i vari paesi. 

Il primo problema di questo approccio è che di fatto non esiste un concetto unico di Identità Digitale, bensì 28 sistemi di Identità Elettronica. L’Identità Elettronica così come è definita da eIDAS differisce notevolmente dall’Identità Digitale definito dall’italia con il Decreto del Fare, tramite il Servizio Pubblico di Identità Digitale (SPID). L’Identità Elettronica è fortemente legata ai documenti di Identità Nazionali, ovvero alle carte d’Identità Elettroniche e loro equivalenti.  E’ questo il principale motivo per cui gli stati membri si sono opposti ad un sistema unico europeo, considerando le carte d’identità un tema legato alla sicurezza nazionale e quindi per il principio di sussidiarietà, fuori dall’ambito di attività dell’Unione. 

L’Identità Digitale italiana invece va ben oltre questo concetto e prescinde dalla Carta d’Identità elettronica. E’ l’insieme degli attributi che descrive in maniera unica un soggetto, rilasciata tramite una verifica de visu, un controllo forte degli attributi minimi e una consegna sicura delle credenziali. La Carta d’Identità Elettronica può diventare uno strumento di autenticazione per l’Identità Digitale, ma di fatto non è necessaria. L’Europa aveva la possibilità di portare avanti un intervento sulle orme di quello Italiano, ma nonostante gli sforzi della Commissione Europea, il parlamento e poi il consiglio hanno modificato il testo. Allo stato attuale, il vuoto normativo sulle identità digitali sta lasciando campo libero ai grandi operatori globali che hanno individuato nella gestione delle identità digitali un business chiave, visto che nell’economia digitale i dati personali sono diventati una forma di valuta. 

Nonostante l’opportunità persa da parte dell’Unione, l’Italia si è dotata di un avanzato sistema di Identità Digitale, che una volta implementato consentirà un grande livello di flessibilità agli operatori (sia Gestori dell’Identità che Gestori di Servizi). L’impianto definito sino ad ora potrà in futuro rivoluzionare progetti come la PEC, la Carta d’Identità Elettronica e i servizi di firma. Un documento come la patente potrebbe sparire, diventando esclusivamente un attributo certificato dalla Motorizzazione civile e verificabile tramite un gestore di attributi certificato. I documenti per il riconoscimento a vista potranno essere sostituiti da un sistema di verifica delle foto accessibile alle forze dell’ordine e a qualunque ufficiale governativo che debba effettuare la verifica del soggetto: sarà sufficiente una interrogazione sul db del gestore degli attributi per comprendere se il soggetto che ho davanti è realmente Mario Rossi. Siamo solo all’inizio, ma in pochi anni assisteremo grazie a questi servizi a una piccola rivoluzione.

04 Novembre 2014

TAG: spid, rigoni, identità