Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

privacy e libertà

Cina, la sorveglianza su internet è completa: l’ID digitale universale è schiaffo all’Occidente

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Dal 15 luglio 2025, la Cina vara un innovativo sistema di identificazione internet nazionale gestito dallo Stato. Un’analisi comparata tra Cina, Usa, Europa rivela nuovi rischi per la privacy e la libertà, ponendo l’Occidente di fronte a un bivio cruciale tra controllo statale e sovranità digitale, mentre la Cina si prepara a varcare una nuova…

Pubblicato il 9 lug 2025
Gabriele Iuvinale

Senior China Fellows at Extrema Ratio

Nicola Iuvinale

Senior China Fellows at Extrema Ratio

great firewall china (1)

La Cina si prepara a varcare una nuova soglia nel controllo digitale: il 15 luglio 2025, un innovativo sistema di identificazione internet nazionale, gestito dallo Stato, centralizzerà la verifica dell’identità degli utenti sotto la supervisione governativa.

ID digitale cinese: la nuova misura

Questo sistema, che fornirà agli utenti un ID digitale internet per accedere a tutte le piattaforme online, rappresenta un’evoluzione delle proposte già avanzate dal Ministero della Pubblica Sicurezza (MPS) e dall’Amministrazione del Cyberspazio della Cina (CAC) per unificare i servizi di autenticazione di rete.

Ufficialmente, l’iniziativa mira a proteggere le informazioni identificative dei cittadini e a sostenere lo sviluppo dell’economia digitale, tanto che i media statali cinesi l’hanno definita un “giubbotto antiproiettile per le informazioni personali”.

E gli allarmi

Tuttavia, questa mossa, che si inserisce in un quadro di misure già stringenti per la cybersecurity, sta sollevando un’onda di preoccupazione internazionale. Esperti e organizzazioni per i diritti umani, come il Network of Chinese Human Rights Defenders (CHRD) e ARTICLE 19, lanciano l’allarme: la nuova misura dell’id digitale cinese potrebbe ulteriormente soffocare la libertà di espressione online, ostacolare il lavoro dei difensori dei diritti umani e violare gli standard internazionali.

I rischi per l’ID digitale della Cina

Tra i rischi più evidenti, si paventa un aumento della sorveglianza statale e una drastica riduzione dell’anonimato, con un controllo centralizzato che potrebbe facilmente silenziare le voci dissenzienti. Le critiche interne, come quelle di una professoressa di diritto dell’Università Tsinghua, sono già state brutalmente censurate, con la sospensione di account social media e il blocco di ricerche, a testimonianza delle intenzioni governative di stringere la presa sull’espressione individuale.

Sebbene il programma sia presentato come volontario, la sua rapida adozione da parte di oltre 80 app, inclusi servizi pubblici e giganti commerciali come WeChat e Taobao, suggerisce che l’adesione diventerà presto una necessità.

Le differenze con Usa e Ue sull’identità digitale

Questo modello di controllo centralizzato basato su id digitale per internet si pone in netto contrasto con gli approcci di altre potenze globali. Negli Stati Uniti, l’identità digitale è un mosaico frammentato e orientato al mercato, privo di un’unica identità nazionale gestita dal governo e con un forte accento sulla privacy e la scelta individuale.

L’Unione Europea, attraverso il Regolamento eIDAS 2.0, sta forgiando un portafoglio europeo di identità digitale che pone al centro la protezione della privacy, l’interoperabilità e la sovranità dei dati dei cittadini, con un uso strettamente volontario e garanzie robuste.

L’Italia, allineata con l’UE, ha già implementato SPID e la Carta d’Identità Elettronica (CIE), sistemi di identità pubblica gestiti da soggetti privati accreditati e dall’Agenzia per l’Italia Digitale (AgID), e non dalla polizia, assicurando protezione della privacy e accesso sicuro ai servizi, in vista del futuro IT Wallet europeo.

ID Digitale della Cina: aumento del controllo statale sulle attività online

La “Misura sull’ID Internet” è strutturata in 16 articoli che definiscono il “numero web” e il “certificato web”, chiariscono gli scenari di utilizzo, stabiliscono gli obblighi di protezione dei dati e delle informazioni personali e le responsabilità legali per le piattaforme che violano i doveri di protezione dei dati. Per la registrazione, gli utenti devono utilizzare l’app “National Network Identity Authentication Pilot Edition” sviluppata dall’MPS, fornendo la propria carta d’identità nazionale e sottoponendosi al riconoscimento facciale.

Questo sistema di verifica centralizzata conferisce al Ministero della Pubblica Sicurezza (MPS) e all’Amministrazione del Cyberspazio della Cina (CAC) una capacità rafforzata di monitorare gli oltre 1,1 miliardi di utenti internet in Cina, inclusi i residenti di Hong Kong, Macao, Taiwan e i cittadini stranieri che si registrano sull’app dell’ID Internet. Anche se l’adozione del nuovo sistema di identità digitale è presentata come volontaria negli Articoli 4, 6 e 7 della misura, l’Articolo 3 ha esplicitamente incaricato vari dipartimenti del Consiglio di Stato, come affari civili, cultura e turismo, radio e televisione, sanità, servizi ferroviari e postali, di promuovere e supervisionare l’implementazione della misura. Questo spiega perché, anche durante la fase di consultazione pubblica, numerose app di servizio pubblico per i trasporti e i servizi postali, insieme a popolari piattaforme di social media e shopping, hanno rapidamente integrato il nuovo meccanismo.

L’adesione per gli utenti all’id internet è quindi destinata a diventare essenziale, piuttosto che volontaria, anche solo per accedere ai servizi pubblici.

Impatto negativo sui difensori dei diritti umani

Nonostante l’Articolo 2 della misura affermi che i numeri web e i certificati aumentano la protezione della privacy eliminando le informazioni personali esplicite, questa asserzione ignora una realtà cruciale: l’ottenimento di queste credenziali richiede agli utenti di fornire un’identificazione legale valida e di sottoporsi a riconoscimento facciale. Il back-end dell’app dell’ID Internet memorizza registrazioni complete del numero di carta d’identità, della foto e di altri dettagli personali di ciascun richiedente, consentendo una facile identificazione e tracciamento delle attività online degli utenti. Invece di aumentare la privacy, questa misura rafforza il sistema di nomi reali implementato nel 2017, rendendo sempre più difficile l’operazione online anonima per i Difensori dei Diritti Umani (HRDs) e sottoponendoli a un maggiore scrutinio.

Le autorità cinesi hanno un consolidato precedente di perseguire gli HRDs per la loro espressione online. Con questa nuova misura, attivisti, giornalisti e avvocati che già affrontano sfide nel condurre le loro attività legali sotto il sistema esistente di nomi reali, probabilmente incontreranno ulteriori restrizioni. Una volta registrati, le autorità possono facilmente monitorare le attività degli HRDs su più piattaforme. Questa sorveglianza completa rende più difficili attività essenziali, inclusa la condivisione di informazioni sensibili, il mantenimento di comunicazioni sicure con le vittime di violazioni dei diritti e la creazione di reti con altri difensori. La consapevolezza che l’MPS e il CAC possono facilmente tracciare le loro attività online potrebbe portare gli HRDs all’autocensura e a operare sotto costante paura di ritorsioni.

La Misura sull’ID Internet crea il potenziale per le autorità di silenziare voci dissenzienti su più piattaforme contemporaneamente, prendendo di mira un singolo numero web. Le prime prove di questa intenzione possono già essere viste nella rapida censura delle critiche alla misura stessa. Man mano che l’adozione si espande, ciò probabilmente consentirà una censura online più intensiva e rapida. La misura ricorda il sistema di codici sanitari del COVID-19, in cui le autorità potevano limitare la mobilità dei cittadini in base al loro stato di salute. In uno scenario in cui la piena implementazione sostituisce altre opzioni di accesso, le autorità potrebbero silenziare gli individui revocando il loro certificato web, cancellando di fatto la loro presenza online. Ciò rappresenta un’espansione significativa del controllo rispetto alla situazione attuale, dove essere bannati da una piattaforma lascia comunque agli utenti l’accesso ad altri social media. Sotto il nuovo sistema, una singola azione potrebbe terminare simultaneamente l’accesso a tutte le piattaforme partecipanti, limitando gravemente la capacità di un individuo di impegnarsi in attività online.

Preoccupazioni sulla privacy e mancanza di responsabilità governativa

L’Articolo 7 della misura stabilisce che una volta che le piattaforme adottano il nuovo sistema, è loro proibito richiedere ulteriori informazioni personali dagli utenti. Sebbene ciò sembri limitare la raccolta di dati da parte delle imprese private, centralizza di fatto le informazioni personali sotto il controllo governativo, sollevando significative domande su supervisione e responsabilità. La gestione centralizzata di grandi quantità di informazioni personali da parte del governo, senza salvaguardie e accesso a rimedi, solleva ulteriori preoccupazioni di cybersecurity riguardo alle violazioni dei dati da parte di attori non statali. Un esempio notevole è la fuga di un database della polizia contenente le informazioni di un miliardo di cittadini nel 2022.

La misura tenta di affrontare le preoccupazioni sulla privacy attraverso l’Articolo 10, che richiede alle autorità di informare gli utenti su come i loro dati personali vengono utilizzati. Tuttavia, questa trasparenza è compromessa dall’Articolo 11, che introduce ampie esenzioni per “questioni riservate”. La mancanza di una chiara definizione di ciò che costituisce riservatezza crea una preoccupante scappatoia nella protezione della privacy degli utenti. Questa ambiguità è particolarmente problematica dato il modello storico di persecuzioni contro gli HRDs, dove la sicurezza nazionale è regolarmente invocata per negare diritti legali fondamentali, incluso l’accesso alla rappresentanza legale. In questo quadro, diventa del tutto plausibile che le autorità possano accedere e analizzare i dati personali degli HRDs senza la loro conoscenza o consenso, basandosi semplicemente su sospetti di “incitamento alla sovversione”, un’accusa frequentemente usata per silenziare gli attivisti e contro la quale c’è poco spazio per il ricorso. Questa mancanza di trasparenza e l’ampio potere discrezionale potrebbero avere un impatto significativo sulla privacy e la sicurezza degli individui impegnati nel lavoro per i diritti umani.

ID digitale in Cina: controllo statale senza confini

L’Articolo 15 specifica le forme di identificazione legale richieste per richiedere un numero web e un certificato. Queste includono l’identificazione per i cittadini cinesi residenti all’interno o all’esterno della Cina, i permessi di viaggio per i residenti di Hong Kong e Macao, i permessi di viaggio e di residenza per i cittadini di Taiwan e le carte d’identità di residenza permanente per gli stranieri. Questa clausola si estende oltre i confini nazionali della Cina, applicandosi a regioni dove le leggi e i regolamenti sottostanti della misura, come la CSL, non si applicano. Ad esempio, Hong Kong e Macao operano con sistemi legali distinti e separati dalla Cina continentale, e Taiwan è al di fuori dell’autorità legale della Cina. L’applicazione delle disposizioni della misura a individui di Hong Kong, Macao, Taiwan o cittadini stranieri solleva significative preoccupazioni legali e giurisdizionali. Nella campagna di repressione transnazionale del governo cinese, sono documentati metodi extragiudiziali come il rapimento. Se le autorità ottengono accesso alle informazioni personali degli HRDs di Hong Kong, Macao, Taiwan e potenzialmente altri paesi, ciò potrebbe ulteriormente consentire la strategia a lungo raggio del governo per mirare e perseguitarli.

Cina: ora è massima la violazione degli standard internazionali sui diritti umani

Il Network of Chinese Human Rights Defenders (CHRD) e ARTICLE 19 sostengono che la “Management Measure on National Network Identity Authentication Public Service” è incoerente con il diritto internazionale dei diritti umani, in particolare i diritti alla libertà di opinione ed espressione e alla privacy, come protetti dall’Articolo 19 della Dichiarazione Universale dei Diritti Umani (UDHR) e dall’Articolo 12 della UDHR e dall’Articolo 17 del Patto Internazionale sui Diritti Civili e Politici (ICCPR) rispettivamente. Il Consiglio dei Diritti Umani (HRC) ha affermato che “gli stessi diritti che le persone hanno offline devono essere protetti anche online, in particolare la libertà di espressione, che è applicabile indipendentemente dai confini e attraverso qualsiasi mezzo di propria scelta”. Sebbene la Repubblica Popolare Cinese (RPC) non abbia ratificato l’ICCPR, le garanzie dell’ICCPR e della UDHR spesso riflettono il diritto internazionale consuetudinario, rendendole vincolanti per la RPC.

Nel 2015, l’allora Relatore Speciale delle Nazioni Unite (SR) sulla libertà di opinione ed espressione ha pubblicato un rapporto che riconosceva il ruolo critico dell’anonimato online e della crittografia nel consentire la libera espressione e la privacy. In una dichiarazione all’HRC nel luglio 2015, il SR ha sottolineato che il diritto degli individui di accedere alle informazioni, garantito dalla UDHR, viene minato attraverso “il blocco massivo, la limitazione e il filtraggio di internet”. In particolare, il rapporto ha enfatizzato che gli strumenti di crittografia e anonimato sono diventati essenziali per giornalisti, attivisti, artisti, accademici e altri per esercitare liberamente le loro professioni e i diritti umani.

La legislazione cinese sulla regolamentazione di internet, tuttavia, è fondamentalmente in tensione con gli standard internazionali sui diritti umani. La CSL, in particolare attraverso l’applicazione di un sistema di nomi reali, ha minato le fondamenta dell’anonimato online, con la nuova Misura sull’ID Internet che rafforza ulteriormente questo approccio. Il Grande Firewall, che blocca i principali servizi internet internazionali e siti di notizie, combinato con la censura diffusa che rimuove termini sensibili definiti dalle autorità e le restrizioni sull’uso delle VPN, è anch’esso in contrasto con gli standard internazionali sui diritti umani, in particolare il diritto alla libertà di espressione e il diritto alla privacy.

Le raccomandazioni del SR sulla libertà di espressione nel loro rapporto del 2015 esortano i governi a stabilire o rivedere le leggi nazionali per promuovere e proteggere i diritti alla privacy e la libertà di espressione, sostenendo che gli individui dovrebbero essere liberi di proteggere le loro comunicazioni digitali attraverso la tecnologia di crittografia e gli strumenti che consentono l’anonimato online. Nella sua risoluzione del 2021 sui diritti umani su internet, l’HRC ha ulteriormente sottolineato che “le misure per la crittografia e l’anonimato sono importanti per garantire il godimento di tutti i diritti umani offline e online”.

La registrazione obbligatoria delle vere identità degli utenti internet e il sistema di registrazione con nomi reali contraddicono anche fondamentalmente lo spirito della protezione nell’Articolo 40 della costituzione cinese, che prevede che la libertà e la privacy della corrispondenza dei cittadini siano protette dalla legge. Sebbene organizzazioni o individui siano proibiti di violare questi diritti, gli organi di pubblica sicurezza e prosecutoriali possono ispezionare la corrispondenza per la sicurezza nazionale o le indagini criminali. Queste disposizioni sono spesso sfruttate dalle autorità cinesi per colpire i difensori dei diritti umani.

Alla luce di quanto sopra, CHRD e ARTICLE 19 hanno richiesto un’azione urgente da parte degli organismi internazionali di monitoraggio dei diritti umani, incluse le Procedure Speciali del Consiglio dei Diritti Umani delle Nazioni Unite, per esortare il governo cinese a:

  • Rivedere le leggi e i regolamenti sulla governance di internet e la cybersecurity per allinearli agli standard internazionali sui diritti umani. Qualsiasi disposizione che richieda la registrazione con nomi reali sotto la Cybersecurity Law e la Management Measure on National Network Identity Authentication Public Service, tra le altre, dovrebbe essere abrogata o abbandonata.
  • Riconoscere esplicitamente il diritto all’anonimato online nella sua legislazione nazionale e fornire adeguate salvaguardie in tutte le sue legislazioni e politiche, anche attraverso la protezione di qualsiasi strumento di anonimato. Abrogare qualsiasi legislazione che potrebbe minare l’anonimato online.
  • Riconoscere esplicitamente il diritto alla crittografia nella sua legislazione e politiche nazionali e il suo ruolo nella protezione della riservatezza delle informazioni, della sicurezza e della libertà di espressione online. Abrogare qualsiasi legislazione che restringa la crittografia e gli strumenti di elusione, come le VPN, e astenersi da tutte le misure che indeboliscono la sicurezza che gli individui possono godere online.
  • Garantire che qualsiasi restrizione alla libertà di espressione aderisca rigorosamente al test a tre parti che richiede che le limitazioni soddisfino il criterio di legalità, legittimità e proporzionalità, ai sensi dell’Articolo 19(3) dell’ICCPR.
  • Astenersi dall’emanare politiche e legislazioni che si estendono oltre la sua giurisdizione legale, in particolare quando tali misure minano le norme legali internazionali, i sistemi legali di altre giurisdizioni e gli standard internazionali sui diritti umani, e riconoscere i suoi obblighi ai sensi della Risoluzione UNGA 56/83 sulla Responsabilità degli Stati per gli atti illeciti internazionali.

Internet: analisi comparata tra Cina, USA, UE e Italia

Per condurre un’analisi comparata approfondita sui sistemi di identità digitale, è fondamentale esaminare le diverse filosofie e approcci normativi adottati da Cina, Stati Uniti, Unione Europea e Italia. Mentre la Cina si muove verso un modello di controllo centralizzato e statale dei dati, le democrazie occidentali, seppur con le loro peculiarità, tendono a privilegiare la protezione della privacy e la sovranità individuale sui dati.

La Cina: un modello di controllo centralizzato

Come dettagliato in precedenza, il sistema di identità digitale cinese, che entrerà pienamente in vigore il 15 luglio 2025, rappresenta un passo significativo verso un controllo statale più pervasivo sulle attività online dei suoi cittadini. Richiedendo la registrazione tramite un’app del Ministero della Pubblica Sicurezza (MPS) con carta d’identità e riconoscimento facciale, il sistema mira a centralizzare la verifica dell’identità, fornendo al governo una visione completa delle attività digitali degli utenti. Questa strategia si inserisce in un quadro normativo già rigoroso, che include la Cybersecurity Law (CSL), la Data Security Law (DSL) e la Personal Information Protection Law (PIPL).

L’approccio cinese è caratterizzato da un’enfasi sulla “sovranità digitale” intesa come controllo dello Stato sulla propria infosfera nazionale, con un coinvolgimento diretto del governo nei processi digitali. Questo modello, che promuove una “sovranità internet centrata sullo Stato” come alternativa al paradigma liberale di internet aperto, è guidato da ambizioni economiche, ideologiche e di sicurezza nazionale. La rapida adozione di questo sistema da parte di app pubbliche e private, anche prima della sua piena entrata in vigore, suggerisce una forte spinta verso la sua obbligatorietà de facto, nonostante sia presentato come volontario. La censura delle critiche iniziali alla misura e la sospensione degli account dei critici sono un esempio lampante di come questo sistema possa essere utilizzato per soffocare il dissenso.

In questo contesto, le aziende private avranno meno informazioni sull’identità dei loro utenti. Invece, gli ID digitali consentiranno alle persone di accedere a siti web o app senza rivelare i propri dati personali alle aziende, che vedranno solo un flusso anonimo di cifre e lettere, mentre solo la polizia conserverà i dati di tutti gli utenti. Sebbene ciò sia presentato come una protezione contro la vendita di dati a terzi e le truffe, i critici temono che possa accelerare le attività di spionaggio e facilitare la compilazione di elenchi completi delle attività online di ogni persona da parte delle autorità. A lungo termine, l’identità digitale rientra in una visione più ampia in cui lo Stato assume un controllo più saldo e centralizzato sui flussi di dati generati dall’economia digitale, motivato da preoccupazioni di sicurezza nazionale e dall’ambizione di monetizzare i dati come “fattore di produzione”. Questo potrebbe potenzialmente favorire le iniziative cinesi nel campo dell’intelligenza artificiale, fornendo algoritmi con un volume maggiore e una qualità superiore di dati.

Rischi specifici di cybersecurity e privacy in Cina

Il modello centralizzato cinese presenta rischi significativi per la cybersecurity e la privacy. La raccolta massiva di dati personali e la loro centralizzazione creano un unico punto di fallimento, rendendolo un bersaglio attraente per gli hacker e aumentando il rischio di violazioni su larga scala. L’esperienza passata, come la fuga di un database della polizia contenente le informazioni di un miliardo di cittadini nel 2022, dimostra la vulnerabilità di tali sistemi. Inoltre, l’assenza di salvaguardie e l’accesso discrezionale delle autorità ai dati degli utenti, spesso invocando la sicurezza nazionale, amplifica le preoccupazioni. La misura consente anche l’uso dell’ID come un “interruttore di blocco” per l’accesso a internet, permettendo al governo di impedire ai cittadini di accedere alla rete bloccando la loro identità digitale.

Gli Stati Uniti: un approccio frammentato e basato sul mercato

Negli Stati Uniti, l’approccio all’identità digitale è notevolmente più frammentato e decentralizzato rispetto alla Cina. Non esiste un’unica identità digitale nazionale gestita dal governo federale. Invece, la verifica dell’identità digitale si basa su una combinazione di soluzioni governative e private. Il Dipartimento per la Sicurezza Interna (DHS) sta sviluppando capacità di fiducia digitale, inclusi credenziali digitali come le patenti di guida mobili (mDL) e architetture “zero trust”, con un’enfasi sulla privacy, i diritti civili e le libertà individuali.

Il “Improving Digital Identity Act of 2023” mira a istituire una task force all’interno dell’Ufficio Esecutivo del Presidente per coordinare gli sforzi governativi nella promozione delle credenziali di identità digitale (come patenti di guida elettroniche e certificati di nascita) per l’uso sia nel settore pubblico che privato. Il National Institute of Standards and Technology (NIST) stabilisce le linee guida per l’identità digitale, concentrandosi sull’autenticazione e la prova dell’identità per i sistemi federali, influenzando le soluzioni del settore. Queste linee guida promuovono l’opzionalità e la scelta per i consumatori, includendo diverse modalità per verificare l’identità e cercando di prevenire le frodi attraverso modelli di minaccia aggiornati.

Le agenzie come la Transportation Security Administration (TSA) utilizzano già ID digitali in contesti specifici, come i controlli di sicurezza aeroportuali, dove i passeggeri possono utilizzare patenti di guida mobili tramite wallet digitali. È importante notare che l’uso di tecnologie biometriche, come il riconoscimento facciale, è volontario e le immagini e i dati personali vengono cancellati dopo la verifica dell’identità, non essendo utilizzati per forze dell’ordine o sorveglianza.

A differenza dell’approccio europeo basato su una regolamentazione estesa, gli Stati Uniti adottano un modello più “settore-specifico” e “orientato al mercato”, con un forte accento sulla conformità volontaria. Nonostante ciò, il dibattito sulla protezione dei dati è acceso, influenzato dal GDPR europeo e dal California Consumer Privacy Act (CCPA).

Rischi specifici di cybersecurity e privacy negli USA

Negli Stati Uniti, le preoccupazioni per la privacy digitale sono diffuse, con quasi tre quarti degli adulti (71%) che intendono adottare misure più serie per proteggere la loro privacy digitale nel 2025. La frammentazione dei dati personali online aumenta i punti di accesso per attori malevoli. I rischi includono violazioni della sicurezza dei wallet digitali, furto d’identità (con perdite stimate in 27,2 miliardi di dollari nel 2024, un aumento del 19% rispetto al 2023), e problemi di privacy dovuti all’accessibilità delle informazioni sensibili da parte dei fornitori di servizi. L’uso di biometria, sebbene promettente, solleva preoccupazioni sulla sua vulnerabilità a spoofing o hacking. L’aumento dell’uso dell’IA e dei bot rende più difficile distinguere gli utenti reali dagli agenti sintetici, spingendo verso la necessità di sistemi di verifica dell’identità più robusti, ma ciò amplifica anche le preoccupazioni sulla sorveglianza e la sovranità dei dati.

L’Unione Europea: privacy, interoperabilità e sovranità digitale

L’Unione Europea ha adottato un approccio normativo all’identità digitale che pone al centro la protezione della privacy e la sovranità digitale, distinguendosi nettamente dal modello cinese e differendo in parte da quello statunitense. Il “Regolamento sull’Identità Digitale Europea” (EUDI), noto anche come eIDAS 2.0, è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 30 aprile 2024 ed è entrato in vigore il 20 maggio 2024. L’obiettivo principale è garantire a tutti i residenti dell’UE l’accesso a schemi e servizi di identificazione elettronica sicuri e affidabili, promuovendo la fiducia nelle transazioni online con fornitori di servizi pubblici e privati.

Il regolamento EUDI rivoluzionerà l’identità digitale nell’UE consentendo la creazione di un portafoglio europeo di identità digitale universale, affidabile e sicuro. Entro il 2026, ogni stato membro dovrà rendere disponibile ai propri cittadini un portafoglio di identità digitale e accettare i portafogli EUDI degli altri stati membri. L’uso del portafoglio rimarrà sempre volontario, e sono state incluse sufficienti salvaguardie per evitare discriminazioni nei confronti di chi sceglie di non utilizzarlo. L’emissione, l’uso e la revoca del portafoglio saranno gratuiti per tutte le persone fisiche.

Un aspetto fondamentale dell’EUDI è l’interoperabilità e la trasparenza. I componenti software del portafoglio saranno open source, sebbene gli stati membri possano giustificatamente decidere di non divulgare componenti specifici non installati sui dispositivi degli utenti. Ciò riflette l’approccio dell’UE che bilancia la leadership tecnologica con la protezione del mercato interno, il sostegno al libero scambio e la salvaguardia dei diritti fondamentali. Il regolamento mira anche a ridurre la dipendenza dai servizi di identità forniti da grandi piattaforme private con un uso poco chiaro dei dati degli utenti.

L’UE si posiziona come un leader normativo nella protezione dei dati (ad esempio con il GDPR) e persegue un’autonomia strategica digitale, distinguendosi con un “terza via” rispetto agli Stati Uniti e alla Cina. L’obiettivo finale dell’EU AI Act, ad esempio, è proteggere i diritti fondamentali, un elemento distintivo rispetto agli approcci cinese e statunitense.

Rischi specifici di cybersecurity e privacy nell’UE

Nonostante le robuste salvaguardie, l’ampia disponibilità dei sistemi eIDAS nell’UE crea nuove potenzialità di abuso e sorveglianza. Se un’ampia percentuale della popolazione europea utilizzasse questi sistemi entro il 2030, con l’interconnessione di vari aspetti della vita (appuntamenti medici, login di Google, trasporti pubblici), si potrebbe avvicinare un “panopticon di sorveglianza digitale”.

Sebbene il regolamento contenga importanti salvaguardie, come la protezione dalla raccolta dati sull’uso del wallet, la mancanza di un divieto esplicito sull’obbligatorietà della biometria nei sistemi eIDAS è una lacuna. Le minacce includono anche il rischio di esposizione a cyber minacce dovute a collegamenti esterni non regolamentati, che potrebbero bypassare i controlli di sicurezza critici e permettere la distribuzione di APK malevoli o l’hijacking di account tramite pagine di login false.

L’Italia: SPID e CIE verso il Wallet Digitale Europeo

L’Italia ha compiuto progressi significativi nell’adozione dell’identità digitale attraverso il suo Sistema Pubblico di Identità Digitale (SPID) e la Carta d’Identità Elettronica (CIE). Lo SPID è un sistema di credenziali unico che consente ai cittadini di accedere a un’ampia gamma di servizi della Pubblica Amministrazione online, dalla scuola alla sanità, dai servizi fiscali a quelli previdenziali. Il sistema garantisce una maggiore sicurezza rispetto alle credenziali precedenti, riducendo il rischio di furto d’identità e non consente la profilazione degli utenti, tutelando la protezione dei dati personali. Per attivare lo SPID è necessario un documento d’identità italiano valido e una verifica dell’identità da parte di un gestore di identità. È fondamentale sottolineare che in Italia, SPID e CIE non sono gestiti direttamente dalla polizia, ma da soggetti privati accreditati (Identity Providers per SPID) e dall’Agenzia per l’Italia Digitale (AgID) per la supervisione e la regolamentazione, garantendo la protezione della privacy degli utenti.

La Carta d’Identità Elettronica (CIE) è il documento d’identità italiano che, oltre a stabilire l’identità del titolare, è dotata di un componente elettronico che la rende una vera e propria identità digitale, in conformità con la legislazione dell’UE. La CIE consente l’accesso ai servizi online attraverso tre livelli di autenticazione a sicurezza crescente.

Le attività di AgID (Agenzia per l’Italia Digitale) sono allineate con il programma “Decade Digitale” dell’UE, che stabilisce obiettivi europei per il 2030, e con la “Strategia Italia 2026” che mira a garantire a ogni cittadino un’identità digitale per un accesso sicuro a tutti i servizi digitali pubblici e privati, sia in Italia che in Europa. Un passo importante in questa direzione è l’implementazione dell’IT Wallet, una “borsa elettronica” che permetterà ai cittadini di firmare elettronicamente, archiviare e condividere i propri dati di identità e documenti ufficiali, come la patente di guida, la tessera sanitaria o i titoli di studio. Questo si inserisce nel più ampio contesto del quadro EUDI, che richiederà agli stati membri dell’UE di fornire un wallet per le identità digitali entro il 2026.

Rischi specifici di cybersecurity e privacy in Italia

In Italia, le preoccupazioni sulla privacy sono ben evidenziate dall’attività del Garante per la protezione dei dati personali, che è intervenuto contro pratiche di raccolta dati biometrici (come la scansione dell’iride da parte di Worldcoin) ritenute in violazione del GDPR, sottolineando l’importanza di un consenso informato e una chiara comunicazione dei rischi. Sebbene i sistemi SPID e CIE siano progettati con solide garanzie di privacy e sicurezza, la dipendenza crescente dall’infrastruttura digitale e dai wallet digitali comporta rischi intrinseci come potenziali violazioni della sicurezza, furto d’identità e vulnerabilità legate alla biometria se non correttamente protetta.

Analisi comparativa e implicazioni

Le differenze tra l’approccio cinese e quello delle democrazie occidentali in materia di identità digitale sono profonde e riflettono filosofie politiche e sociali divergenti.

  • Controllo statale vs. Sovranità individuale. La Cina adotta un modello centralizzato e “state-driven”, dove il governo detiene il controllo primario sui dati e sull’identità digitale, con forti implicazioni per la sorveglianza e la censura. Al contrario, l’UE e l’Italia, in linea con i principi del GDPR, pongono l’accento sulla protezione della privacy individuale e sulla sovranità degli utenti sui propri dati, con sistemi volontari e salvaguardie contro la discriminazione. Gli Stati Uniti, pur non avendo un quadro normativo unificato come l’UE, tendono a un approccio più “market-oriented” e “libertario” sulla privacy dei dati, con soluzioni che spesso emergono dal settore privato, ma con un crescente interesse per la protezione della privacy e dei diritti civili da parte delle agenzie governative.
  • Finalità e impatto. In Cina, l’identità digitale è un tassello fondamentale per la governance digitale dello Stato, volta a rafforzare il controllo e la stabilità sociale, limitando la libertà di espressione e l’anonimato. Le accuse di “incitamento alla sovversione” e la repressione degli HRDs mostrano le potenziali conseguenze negative di un tale sistema. In Occidente, l’identità digitale è concepita principalmente per facilitare l’accesso ai servizi pubblici e privati in modo sicuro, migliorare l’efficienza e proteggere gli utenti dalle frodi e dalla vendita non autorizzata dei dati, senza la pretesa di monitorare in modo pervasivo le attività online o di limitare la libertà di espressione.
  • Privacy e Trasparenza. La Cina centralizza le informazioni personali sotto il controllo governativo, con ampie esenzioni per “questioni riservate” che minano la trasparenza e l’accountability. Al contrario, l’UE promuove un modello in cui i cittadini hanno il controllo sui propri dati e l’obbligo di rendere open source i componenti software dei wallet digitali garantisce una maggiore trasparenza e fiducia. L’Italia, con SPID, si impegna a non profilare gli utenti.
  • Portata transnazionale. La misura cinese estende la sua applicazione al di là dei confini nazionali, includendo residenti di Hong Kong, Macao, Taiwan e stranieri, sollevando significative preoccupazioni giurisdizionali e il rischio di repressione transnazionale. Questo contrasta con i sistemi occidentali, che si concentrano principalmente sulla facilitazione dei servizi all’interno delle proprie giurisdizioni o, nel caso dell’UE, sull’interoperabilità tra gli stati membri, rispettando le diverse sovranità nazionali.

In sintesi, mentre la Cina adotta un approccio all’identità digitale come strumento di controllo e governance centralizzata, le democrazie occidentali, in particolare l’Unione Europea e l’Italia, si stanno muovendo verso modelli che bilanciano la comodità digitale con la protezione dei diritti individuali, la trasparenza e la sovranità dei dati.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

I
Gabriele Iuvinale
Senior China Fellows at Extrema Ratio
Seguimi su
I
Nicola Iuvinale
Senior China Fellows at Extrema Ratio

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • impresa digitale (1)

  • scenari

    Dalla bottega alla blockchain: il digitale ridisegna la proprietà aziendale

    25 Feb 2025

    di Giovanni Lorenzo Belloi

    Condividi
  • legge italiana AI crittografia post-quantistica standard HQC quantum computing

  • cyber sicurezza

    Informatica quantistica, le assicurazioni rispondono ai rischi

    29 Set 2025

    di Sauro Mostarda

    Condividi
  • minacce ibride rischi informatici sentenza deloitte diritto di accesso

  • la guida

    Rischi informatici e privacy: come gestire la sicurezza dei dati in azienda

    28 Apr 2025

    di Lorenzo Giannini

    Condividi