L'iniziativa

EUDI, l’identità digitale europea: ecco le regole della Commissione UE per costruirla

Il documento “European Digital Identity, Architecture and Reference Framework – Outline – ” della Commissione Europea indica le regole di architettura e le specifiche tecniche comuni per sviluppare un Toolbox per EUDI

25 Mar 2022
Giovanni Manca

consulente, Anorc

L’Identità digitale europea fa un grosso balzo in avanti con la pubblicazione (22 febbraio 2022) da parte della Commissione Europea del documento “European Digital Identity, Architecture and Reference Framework – Outline – “. Questo documento è il risultato operativo di una raccomandazione adottata dalla Commissione Europea che ha invitato gli Stati membri ad adoperarsi per lo sviluppo di un Toolbox comprendente un’architettura tecnica e un quadro di riferimento (ARF), una serie di norme e specifiche tecniche comuni e una serie di linee e best practice.

La raccomandazione specifica che questi risultati serviranno da base per l’attuazione del nuovo regolamento europeo eIDAS che ha come punto di riferimento proprio l’identità digitale.

Troppi errori nei siti della pubblica amministrazione: ecco i più gravi

Cosa prevede il documento della Commissione UE

La raccomandazione prevede che il Toolbox sia sviluppato dagli esperti degli Stati membri raggruppati nel gruppo di esperti individuati nell’ambito delle regole del regolamento eIDAS, in stretto coordinamento con la Commissione e, se del caso, con altre parti interessate del settore pubblico e privato.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

Seguendo il calendario indicativo fissato dalla raccomandazione, il gruppo di esperti eIDAS ha concordato il processo e le procedure di lavoro nella sua prima riunione del 30 settembre 2021 e ha discusso un documento informale su una descrizione di alto livello dell’ecosistema europeo del portafoglio di identità digitale (di seguito “Portafoglio EUDI ”) proposto dalla Commissione. Su questa base, il gruppo di esperti ha deciso di concentrarsi in primo luogo su una descrizione più dettagliata del concetto di portafoglio EUDI, delle sue funzionalità e degli aspetti di sicurezza e su una serie di casi d’uso fondamentali tra ottobre e dicembre 2021.

I punti principali del documento

Il documento pubblicato descrive:

  • gli obiettivi del portafaglio EUDI (EUDI wallet);
  • i ruoli degli attori dell’ecosistema;
  • i requisiti funzionali e non del portafoglio e
  • i potenziali elementi costitutivi.

Il documento precisa che lo schema elaborato non è obbligatorio e ha il solo obiettivo di presentare lo stato di avanzamento dei lavori in corso del gruppo di esperti eIDAS e non implica alcun accordo formale in merito al suo contenuto o alla proposta di regolamento. Sarà integrato e aggiornato nel processo di creazione del Toolbox (cassetta degli attrezzi). Lo sviluppo di questo schema sarà all’interno di una architettura completa e con un quadro di riferimento europeo dell’identità digitale (ARF) come stabilito nella raccomandazione.

L’ARF sarà allineato all’esito delle negoziazioni legislative della proposta di Quadro Europeo di Identità Digitale (che modificherà il regolamento 910/2014 – eIDAS) e il documento sarà conseguentemente aggiornato.

European digital identity wallet, gli obiettivi

L’obiettivo principale del proposto portafoglio di identità digitale europeo è la promozione di identità digitali affidabili per tutti gli europei, consentendo agli utenti di avere il controllo delle proprie interazioni e presenza online. Può essere visto come una combinazione di diversi prodotti e servizi fiduciari che consente agli utenti di richiedere, ottenere e archiviare in modo sicuro le proprie informazioni consentendo loro di accedere ai servizi online, condividere dati su di essi e firmare/sigillare elettronicamente i documenti. I casi d’uso più significativi includono:

  • identificazione sicura e affidabile per accedere ai servizi online;
  • mobilità e patente di guida digitale;
  • salute;
  • attestazioni scolastiche (diploma, laurea, attestazioni, ecc.);
  • finanza digitale.

Il numero dei casi d’uso di riferimento. La figura 1 pubblicata nel documento mostra i ruoli dell’ecosistema del portafoglio EUDI e ne evidenzia la molteplicità e la complessità, sia nelle interazioni tra i vari soggetti, sia nella difficoltà di coordinare e armonizzare tali ruoli nella generazione, gestione e utilizzo dei dati utilizzati e delle funzionalità previste.

Gli emittenti di portafoglio EUDI sono gli Stati membri o organizzazioni autorizzate o riconosciute dagli Stati membri che rendono disponibile il portafoglio EUDI per gli utenti finali. I termini e le condizioni del mandato o del riconoscimento sarebbe in carico a ciascuno Stato membro. In Italia non ci dovrebbero essere dubbi sul fatto che il portafoglio EUDI sarà l’evoluzione dell’APP IO.

Le funzionalità del portafoglio EUDI

Un altro punto fondamentale del documento in esame riguarda la descrizione sintetica delle funzionalità del portafoglio EUDI. Tali funzionalità sono visualizzate nella figura 2 del documento in analisi. La figura mostra i blocchi costitutivi suddividendoli in cinque categorie.

L’interfaccia utente (in blu), la memorizzazione dei dati (in giallo), le funzioni complesse/protocolli crittografici (in viola), il materiale crittografico sensibile (in rosso) e il modulo dell’eID (contorno verde). Si ipotizza che alcune funzionalità possono essere fornite direttamente dal portafoglio EUDI ma anche da un suo sottosistema o da un’entità esterna tramite un’interfaccia.

In questa fase del ciclo di vita del documento le funzioni e le interfacce sono suddivise in obbligatorie perché già previste nella proposta di regolamento e auspicabili come può emergere dal gruppo di esperti al lavoro sul Toolbox. Tra gli elementi obbligatori troviamo la memorizzazione dei dati personali di identificazione, le attestazioni elettroniche sia qualificate (il termine deriva dal regolamento eIDAS vigente per indicare uno status “cerificato” dei dati e delle funzionalità in analogia con le firme elettroniche vigenti) che non. I dati sono memorizzati in locale ma anche in modo ibrido, utilizzando puntatori a memorizzazioni remote.

Le funzionalità crittografiche devono consentire ampia e sicura libertà operativa all’utente. Stesso discorso per le interazioni atte a ottenere i dati di funzionamento, a partire dal cosiddetto on-boarding dell’utente tramite un documento di identità elettronico. La consapevolezza dell’utente viene curata con una specifica attenzione indicando numerose funzionalità obbligatorie.

L’utente deve avere chiare e non ambigue informazioni sulle operazioni che sta svolgendo nelle sue attività, anche nell’interazione con le varie componenti coinvolte. Gli attributi che sono assegnati all’utente devono indicati in modo chiaro e l’utente stesso ne deve autorizzare l’uso per la specifica operazione. Questa funzionalità è applicata oggi durante le operazioni di accesso ai servizi tramite SPID. Il gestore dell’identità chiede all’utente se autorizza il passaggio dell’insieme dei dati che il servizio online richiede per l’accesso.

La chiarezza delle informazioni nei processi di firma

Un’altra funzionalità è quella della chiarezza delle informazioni durante le operazioni di apposizione di una firma qualificata. Quanto richiesto è in linea con l’offerta italiana di firma digitale apposta utilizzando la firma remota. Analogo discorso per i sigilli elettronici qualificati.

Per chiudere questa sintesi sui requisiti funzionali si sottolineano anche quelli per i meccanismi di sicurezza nell’autenticazione dell’utente (anche in questo caso SPID è conforme) e sull’attenzione alla conformità con il regolamento UE sulla protezione dei dati personali (GDPR).

Il rapporto con entità esterne

Il documento sul portafoglio EUDI si completa con la descrizione funzionale delle interfacce con entità esterne con specifica attenzione alle interfacce dei dispositivi (Es. connessioni di rete, Bluetooth, IR, NFC, ecc.) e altro. Gli ultimi due capitoli del documento sono dedicati ai requisiti non funzionali per il portafoglio EUDI e alle sue potenziali componenti costitutive.

Sul primo tema vengono delineati i principali vincoli entro i quali le funzionalità EUDI Wallet devono poter operare come definito per i requisiti obbligatori non funzionali a seguito della proposta legislativa di modifica del regolamento eIDAS. In tal senso, il portafoglio EUDI soddisfa i requisiti di cui all’articolo 8 del regolamento eIDAS per quanto riguarda il livello di affidabilità elevato, in particolare per quanto riguarda i requisiti per la prova e la verifica dell’identità, e la gestione e l’autenticazione utente in conformità alla Decisione di esecuzione della Commissione Europea 2015/1502.

Le tecnologie per EUDI wallet

Come previsto dalla proposta legislativa, i portafogli EUDI sono interoperabili in tutta l’Unione europea e dispongono di interfacce orientate verso l’esterno specificate da norme tecniche comuni. Per quanto attiene ai blocchi costitutivi il documento in esame propone quanto di seguito: L’implementazione delle funzionalità EUDI Wallet presentate nel Capitolo 4 di questo documento può essere fornita da diverse tecnologie. Queste tecnologie esistenti possono essere segmentate in blocchi costitutivi al fine di identificare l’insieme di componenti che possono costituire il nucleo del portafoglio EUDI. Le diverse funzioni del portafoglio EUDI possono essere implementate utilizzando le tecnologie esistenti come:

  1. applicazione mobile;
  2. applicazione Web;
  3. Applicazione protetta su PC.

Elementi costitutivi di supporto:

  1. server back-end incluso l’ HSM valutati per la firma qualificata;
  2. documenti di identità elettronica ufficiali;
  3. token hardware esterno sicuro;
  4. Provider di servizi crittografici
  5. Ambiente di esecuzione attendibile (TEE – Trusted Execution )

I fattori di forma possono, oltre all’interfaccia utente, fornire:

  1. Autenticazione dell’utente per garantire il consenso.
  2. Storage (livello di sicurezza a seconda del blocco costitutivo utilizzato).
  3. Accesso a QSCD (dispositi di firma qualificati) e funzionalità basate su cloud (livello di sicurezza a seconda del blocco costitutivo utilizzato).

I blocchi costitutivi, a seconda dell’implementazione, insieme al fattore di forma, possono fornire:

  1. Archiviazione sicura sul blocco costitutivo (con limitazioni);
  2. Autenticazione utente avanzata;
  3. Archiviazione sicura e crittografata;
  4. Autenticazione reciproca;
  5. firme elettroniche qualificate;
  6. Accesso sicuro ai servizi cloud.

Progetto Toolbox, i fronti critici

Concludiamo questa descrizione sintetica con alcune considerazioni sulle criticità del progetto del Toolbox. Certamente gli Stati membri dovranno utilizzare le infrastrutture di identità di digitale e di portafoglio EUDI già esistenti, in Italia l’APP IO, SPID e CIE. Le interazioni tra i vari attori sono numerose e tutte ad elevato livello di sicurezza, quindi la sicurezza cibernetica e l’interoperabilità, anche comunitaria, dovranno essere curate ai massimi livelli.

Il portafoglio EUDI è anche un contenitore di dati personali. Il progetto attuale sembra demandare all’utente le tematiche di protezione dei dati personali. Questo aspetto richiede che l’utente debba agire con limiti ben definiti nell’ambito dei sui diritti. La cosa è tutt’altro che ovvia. L’utente deve, in ogni caso, disporre di procedure efficaci ed efficienti di recupero/blocco del portafoglio EUDI in caso di smarrimento, furto e guasto del dispositivo tecnologico ovvero dello smart phone.

La complessità del portafoglio EUDI lo rende ambizioso e troppe funzionalità aggregate o troppo entusiasmo realizzativo non favoriscono il suo successo. La strada migliore sembra essere quella della costruzione delle funzionalità principali sulle infrastrutture esistenti tramite la loro integrazione con il portafoglio EUDI. Una volta stabilizzate queste funzionalità altre possono essere inserite con l’attenzione alle componenti architetturali che avranno raggiunto un’adeguata stabilità.

La Commissione Europea ha attivato una piattaforma per la consultazione pubblica.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 3