Cos’è il wallet?
Prende forma la app europea per l’identità digitale. Ossia il wallet (un’applicazione che funge da portafoglio sullo smartphone), dove i cittadini potranno caricare documenti personali, come carta di identità, patente, tessera sanitaria o titoli di studi, e condividerli, su richiesta, solo per lo stretto necessario. Per esempio, chi va dal tabaccaio per comprare le sigarette, potrà dimostrare di essere maggiorenne senza tirare fuori la carta di identità, ma mostrando dall’app solo la data di nascita.
Come procede
Nelle scorse ore la Commissione ha pubblicato su Github, una piattaforma per lo sviluppo e la condivisione di progetti software, codice sorgente, kit e linee guida di sviluppo per le app che ogni Paese dell’Unione realizzerà. Come l’It-Wallet a cui sta lavorando l’Italia. Di fatto, con questo manuale di istruzioni Bruxelles ha indicato le modalità e le regole a cui i singoli wallet nazionali dovranno adeguarsi. Il progetto, che non sostituisce i sistemi locali di identità digitale (come Spid e Cie in Italia) ma li integra in una applicazione, è una delle infrastrutture a cui Bruxelles tiene di più, specie dopo l’esperienza della app per il green pass, che di fatto è stata una versione “in piccolo” del wallet.
Il piano dello European digital identity wallet (o Eudi wallet) fa parte della riforma del regolamento Eidas, che riguarda l’identità elettronica comunitaria, che ha ottenuto il via libera del Parlamento europeo a fine febbraio. È uno dei pilastri della legislatura che si chiude a giugno. La Commissione vuole lanciare il wallet nel 2025. Nel 2022 ha distribuito 37 milioni per la realizzazione di alcuni test e punta entro l’anno a lanciare prototipi.
Come funzionerà l’app dell’identità digitale
I manuali di istruzione della Commissione ci consentono di prevedere alcuni meccanismi di funzionamento del wallet. Uno dei temi più delicati riguarda identificazione e autorizzazione all’uso dei dati. Lo scenario base è quello di una comunicazione di prossimità tra i dispositivi. Un agente di polizia mi ferma e mi chiede di identificarmi. Attraverso protocolli di prossimità per far comunicare i nostri dispositivi, per esempio bluetooth, un qr-code o sistemi di near-field communication (nfc), dalla app consento la lettura dei dati a un altro dispositivo. Qualcosa di molto simile proprio a quanto avveniva con le app del green pass. È previsto anche uno scenario in cui l’identificazione avvenga in automatico, per esempio mostrando un abbonamento dei mezzi pubblici al tornello della metropolitana.
Tuttavia la Commissione punta a diffondere l’uso del wallet anche per controlli e autenticazioni da remoto. L’app, per esempio, potrà essere usata per fare login su servizi o piattaforme online, su internet, sostituendo l’uso di altri sistemi di identità.
Per accedere all’app e per autorizzare lo scambio di dati sono previsti diversi sistemi di autenticazione: codice pin, password, sistemi biometrici e password usa e getta (one-time password, otp). Ognuno ha i suoi pro e i suoi contro. Usare l’impronta digitale o la scansione del volto, per esempio, è rapido, ma distorsioni di luci, orientamento della fotocamera e somiglianze possono creare problemi. E in più bisogna affidarsi alla tecnologia altrui. La password o il pin, per esempio, possono essere smascherate da attori malintenzionati con tecniche di ingegneria sociale. Mentre nel caso dell’otp, il rischio è un ritardo nella ricezione confonda l’utente. Per questo la Commissione suggerisce di adottare diversi sistemi, a seconda della confidenzialità dei dati da condividere e delle circostanze.
Condivisione dei dati
Secondo Bruxelles, l’app dovrà garantire un controllo molto approfondito dei dati. I cittadini dovranno avere opzioni chiare su ciò che condividono e trasparenza sulle informazioni “obbligatorie” caso per caso (tipo data di nascita se devo dimostrare la maggiore età) e quelle a discrezione, sul perché vengono diffuse e verso quali enti. “Si raccomanda di raggruppare i dati opzionali in sezioni nascoste e che non siano selezionati di default”, si legge nel manuale. Scopi e tempi dell’archiviazione devono essere dichiarati in modo semplice e il controllo va esercitato con sistemi semplici e intuitivi.
La Commissione ha previsto anche un meccanismo di “pre-autorizzazione”, che avvalora lo scambio di dati a monte verso alcuni enti, senza che sia necessario dare l’ok in ogni occasione. Tuttavia i tecnici di Bruxelles raccomandano che gli enti “pre-autorizzati” siano autenticati almeno una volta e che il processo non sia troppo “fluido”, per evitare che sia preso alla leggera e che l’utente dia il consenso senza pensarci. Inoltre deve avere una validità limitata nel tempo e deve dare notifica delle condivisioni.
Altro punto critico è il controllo delle terze parti autorizzate. La Commissione punta a uno schema con indicatori visivi che identifichino gli enti accreditati a ricevere informazioni attraverso il wallet. E se questa non è verificata, un avviso deve mettere in guardia gli utenti prima di procedere all’autenticazione.
I tecnici hanno previsto anche una serie di scenari di errore. La app deve prevedere un blocco di tempo di almeno 2 minuti quando si effettuano troppi tentativi di accesso senza successo, per impedire intrusioni indesiderate. Inoltre deve comunicare se un documento caricato è giudicato non valido, perché scaduto, revocato o non leggibile. Una seconda guida raccomanda le soluzioni di design per progettare l’app. Come adottare icone riconoscibili, un linguaggio semplice, caratteri e dimensioni adatte a persone con disabilità e con difficoltà di interazione online, scorciatoie intuitive per completare le operazioni.
Come si comporterà l’Italia?
A queste regole si dovrà conformare anche l’Italia nello sviluppo dell’app nazionale, battezzata It-Wallet e affidata alla società dei pagamenti verso la pubblica amministrazione, PagoPA (nel frattempo destinata, tra molte critiche, alla vendita a Istituto poligrafico e Zecca dello Stato e Poste). Siccome l’app non sostituisce i sistemi di identità digitale, ma li integra, nell’atteso decreto di varo, annunciato per lo scorso luglio e licenziato solo a fine febbraio, il governo prevede sia una versione sviluppata dal pubblico, dentro l’app Io, sia wallet privati, che dovranno essere accreditati dall’Agenzia per l’Italia digitale (Agid). A budget ci sono 102 milioni all’anno per il triennio 2024, 2025 e 2026.
In Italia il decreto rimanda a un nuovo decreto, da pubblicare entro due mesi, in cui si mettono nero su bianco regole di sviluppo e e processo di accreditamento verso Agid. La prova che l’Italia, sul wallet digitale, è avanti solo a parole rispetto all’Europa, tanto che non guida nessuno dei grandi test in corso (Nobid, Potential, Eu Digital Identity Wallet Consortium, Digital Credential 4 Europe), neppure quello che si svolgeranno in parte anche sul territorio nazionale, in Trentino.
“It Wallet prima dell’estate 2024”
Giorgia Dragoni, direttrice dell’Osservatorio Digital Identity del Politecnico di Milano, osserva che “il governo si è prefisso l’obiettivo di lanciare l’It Wallet prima dell’estate 2024, per poi farlo convergere nel framework Eudi Wallet obbligatorio a partire dal 2026. I tempi per la realizzazione sono quindi piuttosto stretti e questo decreto dovrebbe rendere più snello il processo implementativo”. E aggiunge: “Da qui in avanti si aprono tante domande sui prossimi mesi. Lato utenti, come recepiranno questa novità gli italiani? Quanto diffusa e ampia sarà l’adozione di questo strumento? Lato offerta, in che modo verranno risolti i limiti sulla user experience dell’app Io, applicativo base per l’accesso a It Wallet? Si farà tesoro delle lessons learned degli 8 anni di vita dei sistemi precedenti, Spid e Cie? Sul mercato in generale, che ruolo avranno gli attori coinvolti nell’erogazione di Spid e di altri servizi fiduciari chiave per la digitalizzazione del Paese? Come si integreranno nella offerta del wallet, ammesso che trovino uno spazio in questo nuovo campo da gioco?”
Le fa eco Giovanni Manca, presidente dell’Associazione nazionale operatori e responsabili della custodia di contenuti digitali (Anorc): “Già dall’entrata in vigore del nuovo regolamento, prevista tra qualche settimana, sarà importante prestare attenzione alle attività di standardizzazione per garantire continuità alle scelte nazionali, con l’indispensabile esigenza di essere conformi alle regole comunitarie”.
Mark Zuckerberg non dovrebbe avere il diritto di vedere la nostra carta di identità
Il wallet ha nella cybersecurity uno degli aspetti chiave. In Parlamento il Partito pirata ha votato contro Eidas proprio a causa del wallet. “È un assegno in bianco per la sorveglianza dei cittadini online, mette a rischio la privacy e la sicurezza”, è l’affondo dell’eurodeputato del Partito pirata, Patrick Breyer, proprio in riferimento alla possibilità di usare l’app per autenticarsi a servizi online. “La sicurezza del browser è compromessa e la sovra-identificazione eroderà gradualmente il nostro diritto all’uso dei servizi digitali in forma anonima – dice Breyer -. Mark Zuckerberg non dovrebbe avere il diritto di vedere la nostra carta di identità. Questo accordo sacrifica i requisiti essenziali posti dal Parlamento europeo avanti per rendere l’app sicura e rispettosa della privacy”.
Una delle battaglie più aspre ha riguardato i certificati del wallet per l’accesso ai siti (qwacs, qualified web authentication certificates). Grandi operatori online, come Mozilla, la fondazione alle spalle del browser Firefox, Apple e Google si sono opposti all’obbligo di accettare i certificati del wallet europeo, emessi dagli Stati, perché sarebbero meno sicuri di quelli adoperati dalle rispettive piattaforme. Un’accusa rispedita al mittente da Bruxelles.
Contro alcune regole tecniche si sono espressi anche 500 esperti del settore. E la Gsma, l’associazione mondiale degli operatori di telefonia mobile, ha scritto in un rapporto che al momento i dispositivi non sarebbero in grado da soli di garantire la sicurezza e la crittografia delle informazioni come previsto dal regolamento. Se ci aggiungiamo i 52 decreti attuativi che serviranno a rendere Eidas 2 operativo, la partita per l’identità digitale europea è appena cominciata.
Tirando i conti, ci troviamo in bilico tra quella che potrebbe essere un’innovazione pazzesca – una di quelle da dire: “questo è il futuro” – e quella che potrebbe essere una dittatura. Una voglia sempre più costante di controllarci, manipolarci e condizionarci. Sappiamo bene che il mondo è comandato da pochi ricchi burattinai, ma fino a quanto durerà questa storia? Fino a dove si spingeranno? Ai lettori l’ardua sentenza.
