Nuovo eIDAS, presenza da remoto e identificazione elettronica: le proposte - Agenda Digitale

L'approfondimento

Nuovo eIDAS, presenza da remoto e identificazione elettronica: le proposte

La proposta di revisione del regolamento eIDAS, presentata dalla Commissione UE, affronta i temi della firma e dell’identificazione elettroniche, con l’intento di individuare regole valide in tutta l’unione

13 Set 2021
Gea Arcella

Notaio, componente della Commissione Informatica del Consiglio Nazionale del Notariato

È in corso la revisione del Regolamento eIdas, la cui importanza è fondamentale sia rispetto al tema della firma elettronica che dell’identificazione elettronica: esso, infatti, detta regole valevoli in tutta l’Unione su entrambe le materie, superando l’utilizzo delle Direttive che lasciavano ampia discrezionalità agli Stati membri nelle loro attuazione.

Nuovo eIdas, le proposte per l’identificazione elettronica

In tema di identificazione elettronica il Regolamento eIdas ha richiesto per la prima volta un sistema di garanzia a più livelli, secondo standard uniformi[1], ed un meccanismo di notifica alla Commissione affinché tali requisisti fossero verificati e generassero una interoperabilità degli strumenti di identificazione attraverso il nodo eIdas[2] . L’obiettivo, ambizioso, non è stato completamento raggiunto tanto che la revisione del Regolamento, secondo quanto dichiarato dalla stessa Commissione Europea, punta ad un duplice risultato: fornire un quadro normativo per supportare a livello Ue un sistema semplice, affidabile e sicuro di gestione delle identità nello spazio digitale, coprendo l’identificazione, l’autenticazione e la fornitura di attributi, credenziali e attestazioni; creare un ID digitale unico, paneuropeo e universale.

WEBINAR
28 Ottobre 2021 - 12:00
Sanità: Servizi digitali e piattaforme per un Sistema Sanitario Nazionale a misura di cittadino
CIO
Dematerializzazione

Firma remota, l’evoluzione nella proposta del nuovo Regolamento eIDAS

Come in altri settori l’Unione Europea, consapevole delle frammentazione dei sistemi di identificazione elettronica sin qui elaborati dai singoli stati membri, propone la creazione di wallet di identità digitali: sorta di “borsellini elettronici” contenenti sia dati di identificazione, che credenziali ed attributi collegati all’identità del cittadino, che consentono l’esibizione di tali dati in caso di transazioni transfrontaliere all’interno dell’Unione Europea e da utilizzare come strumenti di autenticazione per l’utilizzo di ulteriori servizi sempre in ambito digitale. Di grande interesse è il fatto che i wallet dovranno essere rilasciati ai cittadini da ciascun Stato membro, che potrà farlo direttamente oppure attraverso la delega ad altro soggetto oppure riconoscendo il wallet rilasciato da soggetti terzi; dal punto di vista dei livelli di garanzia di cui dovranno essere dotati gli European Digital Identity Wallet, il testo proposto richiede che essi assicurino un livello di sicurezza almeno “elevato” secondo la classificazione contenuta nell’art. 8 del Regolamento 910/2014.

Se questi sono i requisiti, al giurista appare chiaro che nel sistema proposto in sede di rilascio l’identificazione del cittadino resta una prerogativa statuale, mentre lo strumento informatico è pensato per una migliore e più completa interoperabilità in sede di utilizzo dell’identità digitale; sia consentito un esempio chiarificatore: già ora esistono applicativi informatici che gestiscono le diverse credenziali di autenticazione mediante un’unica password, la quale finisce per diventare la “password delle password”, in tale sistema ciascun login resta indipendente e separato, ma viene gestito unitariamente attraverso una credenziale “master” che gestisce tutte le altre. Il sistema proposto dalla Commissione sembra ispirato a questa logica, pur richiedendo – come appena sottolineato – che le singole credenziali gestite abbiano il più elevato livello di garanzia.

Identità digitale e documenti di identità elettronici

Se, come appena illustrato, l’identificazione del cittadino anche all’interno del sistema dei wallet europei digitali rimane una prerogativa del singolo Stato membro è utile ricordare che il nostro ordinamento richiede requisiti specifici nel rilascio dei documenti di identità (es. carta d’identità) o di riconoscimento (es. il passaporto):

  • la presenza di un dato biometrico incorporato nel medesimo documento (l’immagine del volto del titolare del documento riprodotta in una fotografia è a tutti gli effetti un dato biometrico);
  • la competenza esclusiva al rilascio in capo allo Stato;
  • l’obbligatorietà nella dotazione e nell’utilizzo, in quanto nel nostro ordinamento non può esservi cittadino dello Stato (minorenne o maggiorenne che sia) che possa privarsene.

I documenti d’identità e di riconoscimento cui si è fatto riferimento – carta d’identità e passaporto – possono essere rilasciati con caratteristiche elettroniche, ovvero dotati di uno speciale microchip che contiene i dati identificativi (ivi inclusi la fotografia del soggetto e le sue impronte digitali) e che può essere letto in modalità contactless attraverso la tecnologia NFC. In questo caso entrambi devono rispettare la normativa comunitaria specifica che sovrintende a tale modalità di rilascio: la Carta di Identità Elettronica (c.d. CIE), infatti, oltre ad essere un documento di identità in Italia è riconosciuta anche in tutta l’Unione Europea in quanto disciplinata dal Regolamento (UE) 2019/1157.

A ciò si aggiunga che essa è divenuta pienamente operativa come strumento di identificazione elettronica di livello più elevato[3] in tutti gli Stati dell’Unione Europea a seguito della notifica secondo la procedura di cui all’art. 9 del Regolamento 910/2014 e con la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea C 309 del 13 settembre 2019, infatti è stata integrata con il nodo eIDAS, in conformità con l’omonimo Regolamento (UE) n. 910/2014. Il passaporto elettronico è disciplinato dal Regolamento (CE) N. 2252/2004 del Consiglio, la sua esibizione è valida ai fini identificativi, in quanto documento di riconoscimento, ha caratteristiche di sicurezza – biometriche ed informatiche – analoghe alle carte d’identità elettroniche ed al contempo è dotato di caratteristiche di interoperabilità internazionale pur non essendo ancora stato integrato con il nodo eIdas ai sensi dell’omonimo Regolamento.

Entrambi questi documenti godono dei tre requisiti che abbiamo evidenziato come fondamentali per distinguere un mero strumento di identificazione elettronica da un vero e proprio documento d’identità o riconoscimento elettronici: presenza di un dato biometrico, competenza esclusiva al rilascio in capo allo Stato, obbligatorietà nell’utilizzo e nella dotazione; in particolare è essenziale l’incorporazione nel documento e la conseguente ispezionabilità diretta del dato biometrico del titolare, attestato come autentico da un’entità statuale, assente in altri strumenti che, pur consentendo l’identificazione elettronica, proprio per questa carenza non costituiscono documento di identità o di riconoscimento.

Vi sono infatti usi dell’identità digitale che presuppongono una identificazione completa ed affidabile del soggetto che intenda avvalersene, ad esempio nell’ambito dei contratti a forma vincolata qualora sia consentito dal nostro ordinamento la loro conclusione on line, o in sede giurisdizionale (si pensi ad un possibile intervento da remoto non solo delle parti, normalmente identificate a mezzo del loro difensore, ma anche di testimoni) sempre qualora l’udienza si svolga mediante strumenti di video conferenza, che non possono prescindere dall’ispezione di un vero e proprio documento di identità elettronico.

Identificazione elettronica e contemporaneo svolgimento di una videoconferenza

Uno degli snodi più delicati dell’identificazione elettronica, infatti, non è solo il momento del rilascio, in cui ovviamente l’attenzione è massima, ma proprio quello del suo concreto utilizzo e a questo proposito ci si può chiedere quale sia il senso della richiesta, in alcuni contesti, del contemporaneo svolgimento di una video conferenza, nonostante l’utilizzo di una identificazione elettronica di livello più elevato. A questo punto è opportuno ricordare che l’identità digitale nasce soprattutto per l’interazione tra uomo e macchina e si tenga presente che le attuali procedure di accesso ai servizi in rete non prevedono la contestuale presenza di un operatore remoto che verifichi l’identità dell’utente che sta accedendo al sistema e richiedendo il servizio in questione, pertanto essa normalmente può essere utilizzata a prescindere dal contemporaneo svolgimento di una sessione di videoconferenza.

Parallelamente sarebbe possibile svolgere una videoconferenza che non preveda una identificazione elettronica di livello elevato, anzi per lo più gli strumenti fin ora utilizzati prevedono forme di autenticazione dei soggetti che vi partecipano legate alla specifica piattaforma utilizzata, ma difficilmente sono collegate ad una vera e propria identificazione elettronica così come definita dalle norme sin qui analizzate. Il punto debole di una mera procedura di identificazione video è che l’autenticità della carta d’identità eventualmente esibita tramite la fotocamera non può essere verificata in modo affidabile; d’altronde il punto debole della procedura di identificazione esclusivamente elettronica è che è impossibile rilevare l’uso di identità digitali rubate o deliberatamente cedute a terzi per scopi abusivi, così come è impossibile rilevare possibili pressioni psicologiche cui sia sottoposto l’utente o in generale suoi stati personali che evidenzino una sua eventuale incapacità.

Fronti critici

Si pone pertanto il problema se e come combinare in modo efficiente e sicuro l’utilizzo dell’identità digitale di livello elevato, secondo gli standard di garanzia europei, con lo svolgimento contestuale di una videoconferenza. La problematica è stata affrontata a livello internazionale e ad esempio nelle NIST (National Institute of Standards and Technology) Digital ID Standards statunitensi, il concetto di verifica dell’identità “di persona” include le c.d. interazioni remote “supervisionate” con il richiedente, esattamente al pari delle interazioni in cui il richiedente e il fornitore di servizi di identità sono fisicamente presenti nella stessa posizione[4].

Lo standard americano da una grande importanza alla presenza di operatore dal vivo, adeguatamente formato, connesso a distanza con il richiedente per l’intera sessione di verifica d’identità ed alla necessità di poter ispezionare e raccogliere un dato biometrico del richiedente. L’importanza di un utilizzo supervisionato in tempo reale dell’identità digitale da parte di un operatore è stato sottolineato dalla Guida del Groupe d’action financière o GAFI (v. Guida all’identità digitale, marzo 2020, pag. 4).

Secondo il GAFI utilizzi “non presidiati” da alcun operatore delle identità digitali sarebbero addirittura visti come possibili fonti di aumento del rischio, posto che il GAFI stesso richiama l’attenzione degli Stati non solo al momento del rilascio della identità digitale, quanto soprattutto al momento del suo concreto utilizzo, nel quale posso verificarsi ipotesi di utilizzo abusivo di detta identità con o senza la consapevolezza del legittimo titolare.

Conclusioni

Dall’analisi del quadro normativo sin qui tracciato, se è da salutare con favore il fatto che nell’implementazione dei futuri European Digital Identity Wallet si richieda che essi assicurino un livello di sicurezza almeno “elevato”, è però importante sottolineare come una identificazione elettronica, soprattutto quando essa si svolga verso soggetti della quale debba essere accertata con certezza l’identità personale, non possa prescindere dalla presenza di un altro soggetto che verifichi tramite una interazione contestuale la corrispondenza tra chi sta utilizzando l’identità digitale e colui che pretende di esserne il titolare.

Le criticità rilevate nell’utilizzo della sola videoconferenza (probabilmente non più consentita una volta che andrà a regime il sistema proposto del wallet) o della sola identificazione elettronica, infatti, possono essere significativamente mitigate dalla combinazione di entrambe le procedure, soprattutto quando la parte debba rendere una serie di dichiarazioni giuridicamente impegnative, in modo tale che l’identità digitale e la dichiarazione della parte possano essere riferite ad una determinata persona, al contempo il soggetto qualificato ha così la possibilità di verificare non solo l’identità digitale ma anche il suo stato personale e la sua capacità.

_

Note

  1. Regolamento UE 910 definisce i livelli di garanzia per i mezzi di identificazione elettronica, ripartendoli in: basso, significativo ed elevato; secondo quanto riportato dall’art. 8 del Regolamento 910/2014 citato il livello «basso» riduce il rischio di uso abusivo o alterazione dell’identità; quello «significativo» riduce significativamente il rischio di uso abusivo o alterazione dell’identità; mentre il livello «elevato» ha «lo scopo di impedire l’uso abusivo o l’alterazione di identità». Il successivo Regolamento di Esecuzione (UE) 2015/1502 definisce tali livelli dal punto vista funzionale.
  2. Il riferimento è alla procedura di cui all’art. 9 del Regolamento 910/2014 cit.
  3. Va rilevato, infatti, che solo il livello di garanzia elevato prevede in sede di rilascio il riconoscimento tramite la fotografia dell’utente o comunque tramite caratteristiche biometriche.
  4. Secondo tali standard statunitensi, il controllo ed il rilascio di identità “di persona” possono essere effettuati da:* un’interazione fisica con il richiedente, supervisionata da un operatore; o* un’interazione remota con il richiedente, sotto la supervisione di un operatore, basata su requisiti specifici per il controllo dell’identità personale in remoto, che raggiunga livelli comparabili di affidabilità e sicurezza rispetto al controllo tramite interazione fisica.Per entrambi i tipi di accertamento di identità in persona, le norme tecniche richiedono che:1) l’operatore debba ispezionare almeno una fonte biometrica (ad esempio impronte, volto) (…);

    2) l’operatore raccolga tale fonte con modalità tali da garantire che essa sia raccolta direttamente dal richiedente e non da un altro soggetto e che vengano rispettati tutti i requisiti dell’evidenza biometrica stabiliti nelle norme.

    Per stabilire poi l’equiparabilità tra una verifica e attribuzione di una identità effettuata in remoto sotto la supervisione di un operatore e l’analoga operazione effettuata in presenza fisica, devono essere soddisfatti i seguenti requisiti (…), ovvero il Provider deve:

    * monitorare l’intera sessione di verifica dell’identità (ad es. mediante una trasmissione video ad alta risoluzione continua del richiedente);

    * far partecipare un operatore dal vivo, connesso a distanza con il richiedente per l’intera sessione di verifica d’identità. Gli operatori devono aver svolto un programma di formazione per essere in grado di rilevare potenziali frodi e per eseguire correttamente una sessione di prove virtuali;

    * far eseguire tutte le verifiche digitali possibili (ad es. tramite chip o tecnologie wireless) mediante scanner e sensori integrati;

    * assicurarsi che tutte le comunicazioni avvengano su un canale protetto, reciprocamente autenticato;

    * approntare sistemi di rilevamento di possibili manomissioni fisiche ai sistemi, approntati sulla base delle caratteristiche del luogo ove si svolge la verifica dell’identità (ad esempio, un chiosco situato in un’area riservata o monitorato da un individuo di fiducia richiede un rilevamento di manomissione fisico inferiore rispetto a uno situato in un’area semi-pubblica, ad esempio l’atrio di un centro commerciale).

    Il richiedente, infine, deve rimanere continuamente (non può disconnettersi) all’interno della sessione monitorata di verifica dell’identità e tutte le azioni intraprese dal richiedente durante la sessione di verifica dell’identità devono essere chiaramente visibili all’operatore remoto.

WEBINAR
30 Settembre 2021 - 17:00
Ottimizza i processi di backoffice pre e post-vendita grazie a una piattaforma innovativa
Dematerializzazione
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4