Il nuovo framework eIDAS, destinato a sostituire il noto Regolamento sulle identità, risalente al 2014, sembra che andrà a istituire un “portafoglio digitale” legato all’identità elettronica europea. Le tempistiche che sono dettate dalla Commissione sono brucianti: entro dicembre di quest’anno andranno definiti gli standard, il lavoro va iniziato subito, anche se il nuovo Regolamento ancora è in fase di approvazione (e potrebbe non essere approvato affatto o essere radicalmente modificato). Non è però semplice realizzare il wallet e non basta certamente che la UE approvi un Regolamento perché esso divenga realtà.
Wallet per identità digitale europea, le difficoltà
Non va sottovalutato l’impatto del cambiamento che richiede la Commissione, anche rispetto al “benchmark” di quanto è stato possibile fare (non poco) sin qui, rispetto all’identità elettronica da quando è in vigore il Regolamento eIDAS. Il nuovo framework imposta una decisa sterzata verso gli aspetti cross-border, l’identità elettronica viene vista come uno strumento che deve essere possibile utilizzare in maniera ugualmente agevole sia per transazioni nazionali che per transazioni tra Stati membri, sia verso servizi pubblici online, che verso servizi privati ai quali la legge impone di utilizzare l’autenticazione forte.
Come ben hanno descritto i colleghi che sin qui si sono occupati del tema su queste pagine, il sistema dell’identità disegnato dalla riforma europea prossima ventura vuol promuovere l’identità elettronica a “portafoglio” in cui conservare e tramite il quale trasmettere non solo la conferma della nostra identità ma anche tutti i documenti relativi agli attributi (professione, status, certificati, ulteriori documenti di identità, ecc.) facendo in modo che essi possano essere automaticamente riconosciuti da tutti i providers pubblici e privati UE.
Identità digitale europea e conservazione elettronica, che cambia con la proposta UE
Il sistema è certamente necessario: solo pochi giorni fa una società che si occupa di servizi di sharing di veicoli mi esprimeva il proprio disappunto perché, nell’era dell’identità elettronica, non esiste in UE (e in Italia) un sistema per verificare online se un individuo ha la patente di guida. Si pensi che il sistema nazionale che contiene le patenti di guida è accessibile solo ad enti pubblici e ad operatori di tlc per il rilascio della SIM… non a chi deve affidare un veicolo in mano alla persona.
I riferimenti normativi
Facciamo un passo indietro e vediamo cosa già prevedeva il Regolamento eIDAS sul punto: si tratta di norme che, a 7 anni dall’approvazione, dovrebbero essere pienamente attuate, l’Italia e gli altri Stati membri, per la mancata attuazione, sarebbero passibili di procedura d’infrazione. Il Regolamento anzitutto prevede che le identità eIDAS notificate alla Commissione debbano essere riconosciute nei servizi pubblici online degli altri Stati membri che accettano il livello 2 delle rispettive identità elettroniche nazionali.
La situazione in Italia
Questo in qualche caso avviene: le principali amministrazioni italiane hanno il tasto “Login con eIDAS” ma sono più i casi in cui la norma non è attuata che quelli in cui il sistema è stato implementato. Da vari anni l’Agid ha reso disponibile il c.d. nodo eIDAS, derivante dal progetto Ficep, che rende possibile l’autenticazione transnazionale, convertendo i dati delle identità estere in dati nei formati delle identità nazionali SPID/CIE e viceversa e dunque la mancata attuazione dipende esclusivamente dalle Amministrazioni.
In tante riforme del CAD e Decreti Semplificazione il Legislatore non ha mai infatti ritenuto di inserire una norma che obbligasse le Amministrazioni ad adeguare ai servizi “cross-border” i loro servizi online e, dunque, le Amministrazioni che lo hanno fatto lo hanno fatto solo perché pressati dagli utenti o desiderose di rendere un migliore servizio.
In effetti, in Italia manca anche a tutt’oggi un riconoscimento normativo formale del “nodo” eIDAS attivo presso Agid (nodo FICEP), che consente agli italiani di usare SPID/CIE all’estero e ai cittadini UE di usare le loro identità elettroniche in Italia, come componente obbligatorio e necessario previsto dal Regolamento EIDAS, con la paradossale conseguenza che esso risulta censito come un qualsiasi “progetto” che Agid potrebbe interrompere da un momento all’altro. Nessuna norma assegna infatti ad Agid il compito di mantenere il “nodo” e individua in FICEP il nodo EIDAS e questo a 7 anni dall’approvazione del Regolamento eIDAS.
Inoltre è sotto gli occhi di chiunque segua l’evoluzione della trasformazione digitale che il sistema degli attributi, presente sin dall’inizio nelle specifiche e norme di SPID, non è ancora partito. Se io sono un avvocato, studente, ho la patente, prendo la pensione, ecc. non ho modo di farmi rilasciare l’attributo digitale che completa la mia identità SPID e questa è una grande limitazione del servizio. Dunque abbiamo prova che, in 7 anni, normative vincolanti sullo stesso tema ma di più semplice esecuzione, sono rimaste lettera morta e questo non depone bene rispetto alla nuova riforma.
La presentazione elettronica del documento di riconoscimento
C’e’ un altro tema che preoccupa alla prima lettura della nuova proposta di Regolamento: di fatto l’UE “espropria” il tema della presentazione elettronica del documento di riconoscimento. La Commissaria Vestager ha parlato nella propria dichiarazione di uso con un click per fare “check-in all’aeroporto” e la proposta di Regolamento disciplina l’uso del portafoglio elettronico anche per accedere mediante presentazione elettronica del medesimo a servizi fisici.
Dunque il portafoglio elettronico dell’identità sembra, nelle intenzioni, voler diventare la virtualizzazione del documento di identità, assumendo funzioni di documento di riconoscimento in presenza che invadono il campo della pubblica sicurezza e della normativa di settore (es. si parla di uso obbligatorio per autenticazione bancaria, laddove l’utente scelga di avvalersene). Il Regolamento parla inoltre di certificazione dell’età, riferendosi al controllo dei servizi che richiedono un limite minimo di età e, dunque, al delicato tema dell’uso dei minori, sul quale sappiamo esservi temi complessi affrontati dall’Agid tramite linee guida.
Cosa manca
Il Regolamento, nella versione che vediamo, non sembra sufficientemente dettagliato e precedenti esperienze mostrano come il procedere per Regolamento, piuttosto che per Direttiva, provoca un più complesso coordinamento con la Legislazione nazionale e con la normativa di dettaglio che, come noto, per quanto riguarda la trasformazione digitale, è particolarmente ipertrofica ultimamente.
Occorre dunque veramente attivarsi immediatamente e presidiare da vicino e con ampie risorse il coordinamento tra le istituzioni del digitale italiano e l’Unione UE per assicurare che la riforma contenga tempistiche e previsioni ragionevoli, rispetto ai già sfidanti piani della trasformazione digitale italiana e, soprattutto, che non costringa a tornare indietro rispetto a traguardi già conquistati, con l’effetto di creare confusione e “rigetto” da parte dell’utente. Quest’ultimo rimane sempre libero di non aderire al nuovo “portafoglio” UE e, dunque, è facile prevedere che l’adesione ci sarà se il sistema sarà effettivamente diffuso, non complesso e darà effettivi vantaggi.
