L’obiettivo di una Europa “senza confini” non può prescindere da una strategia unica, anche sul tema dell’identità digitale. Facciamo il punto su luci ed ombre di questo settore di grande attualità.
Alberto Zanini – esperto identità digitale e consulente Commissione Europea
Lo scenario generale
Negli ultimi anni, diverse iniziative sono state promosse dalla Commissione Europea (EC) per
regolamentare ed incentivare l’ecosistema dell’identità digitale (eID): dal regolamento eIDAS al
finanziamento di molteplici progetti Horizon, gli sforzi normativi ed economici non sono mancati. A livello
nazionale, si sono osservate velocità realizzative differenti: se pionieri come Germania e Italia hanno da
tempo notificato a livello cross-border i propri strumenti di identità, altri Paesi stanno mostrando minore
reattività, come ad esempio la Francia, prossima a candidare nel 2021 il proprio FranceConnect come primo
sistema di identità mutuamente riconosciuto. Altri ancora, come la Grecia, devono finalizzare le
aggiudicazioni per le gare con cui approvigionarsi dei dispositivi sicuri (smartcard) su cui saranno basati i
documenti di identità. Il risultato netto è una roadmap di adozione di sistemi di identità digitale molto
eterogenea tra i 27 Stati Membri, con alcune caratteristiche comuni:
- L’introduzione di uno strumento di identificazione elettronico per i propri cittadini, a prescindere
dal suo riconoscimento cross-border; - La riconosciuta importanza di un approccio “mobile first”;
- L’attenzione alla “user experience” durante l’utilizzo di questi sistemi negli accessi on-line;
- Il focus sull’offerta di servizi accessibili online tramite eID, sia nel settore pubblico che nel privato
Le differenze più rilevanti si trovano nelle rispettive strategie di medio-lungo termine: solo due Paesi
(Danimarca e Germania) hanno sviluppato una strategia dedicata all’implementazione e all’adozione
dell’eID, identificandone obiettivi e deadline; la grande maggioranza (sedici, tra cui l’Italia) hanno dedicato
all’identità digitale una specifica sezione della loro piano di digitalizzazione nazionale, puntando
alternativamente sullo sviluppo di nuovi strumenti o sull’adozione di programmi di eGovernment dove l’eID
gioca un ruolo determinante; i rimanenti nove Paesi hanno sviluppato o stanno sviluppando una strategia
di digitalizzazione dove c’è qualche menzione delle tematiche di identità digitale, seppur non sviluppate
compiutamente.
Luci ed ombre
La consultazione pubblica lanciata dalla EC la scorsa estate sulla bozza del nuovo regolamento eIDAS ha
consentito ai differenti stakeholders comunitari di esprimere la propria opinione su quello che potrebbe
realmente dimostrarsi un game changer negli equilibri sovranazionali in questo settore. Molta la carne al
fuoco: l’apparente apertura ai service provider privati ed addirittura uno strumento di identificazione
europeo unico, e nelle intenzioni compatibile con gli schemi già notificati, promettono di focalizzare grandi
interessi e potenziali nuovi investimenti. Nel frattempo, aumentano i progetti ed i casi d’uso in cui una
identità digitale emessa da un certo Paese può essere utilizzata per l’accesso ai servizi online di altri Stati
Membri. Tra i più interessanti citiamo:
- Iniziative promosse dall’eHealth Digital Service Infrastructure (eHDSI) per facilitare la trasmissione
di dati sanitari cross-border, con alcune funzionalità già disponibili in alcuni Paesi (es.
ePrescription/eDispensation). Progetti di recente introduzione finanziati dalla EC come X-eHealth
mirano ad estendere l’onboarding degli Stati Membri e ad aggiungere casi d’uso, potendo contare
su una considerevole “potenza di fuoco” composta da 36 aziende partecipanti, in rappresentanza di
21 Paesi; - Progetti che mirano all’utilizzo delle identità digitali cross-border per servizi business, in particolar
modo orientati a piccole-medie imprese, come GRIDS.
E’ dunque tutto oro ciò che luccica? Probabilmente no. Esistono alcune aree di miglioramento facilmente
identificabili: oltre alla già citata necessità di spinta sul settore privato, meritano menzione una auspicabile
razionalizzazione delle call e degli investimenti, in quanto sovente progetti differenti tendono a
sovrapporsi ed a produrre risultati (troppo) simili, e la necessità di passare dallo status di progetto a quello
di prodotto ( troppo spesso ci si “accontenta” di aver implementato un pilota, ovvero di aver realizzato “il
compitino”, e non ci si sforza di ragionare in prospettiva, bloccando sul nascere una possibile diffusione e
commercializzazione della soluzione realizzata).
Fare tesoro delle lessons learned
E’ interessante notare come alcuni temi presenti nella bozza del nuovo regolamento e caratterizzati da un
grande hype mediatico siano in buona parte versioni “rivedute e corrette” di concetti già esplorati ed in alcuni casi sperimentati nel passato. Un esempio significativo è il paradigma della SSI – Self Sovereign Identity, oggi di enorme attualità. L’idea sottostante è semplice: qualsiasi utente deve poter essere in grado di inviare al sito web (service provider) cui sta per accedere, solo i dati identificativi pertinenti e non eccedenti. Inoltre, questi dati devono essere in possesso e pieno controllo dell’utente stesso, magari memorizzati in un wallet, ed è lui stesso a deciderne la disclosure selettiva.
Un semplice esempio per indirizzare lo scenario può essere il seguente: se un sito web ha un’area riservata cui si può accedere solo dimostrando la maggiore età, pensiamo ad esempio ad un sistema di online voting come quello realizzato in Estonia, deve essere sufficiente comporre e trasmettere una asserzione di identità contenente la sola data di nascita dell’utente, senza ulteriori dati anagrafici. Ancor prima della diffusione del termine SSI, diversi progetti Horizon hanno lavorato su questa intuizione, come CREDENTIAL: i dati di identità di ogni utente sono rilasciati da uno o più identity provider esterni e custoditi all’interno di un wallet, su cui l’utente stesso agisce nel momento in cui effettua un accesso autenticato ad un servizio online. Particolari tecniche crittografiche (come la proxy re-encryption) sono estesamente impiegate per trattare i dati di identità esclusivamente nella loro forma cifrata.
Un secondo ed ultimo esempio riguarda gli accessi cross-border nell’ambito healthcare, di cui si è anche discusso con Andrea Servida (Commissione Europea – DG CNECT) nel recente incontro promosso da ClubTIMilano nell’ambito del gruppo di lavoro #clubTI4SPID: partendo dal paradigma che qualsiasi cittadino europeo deve poter accedere, all’occorrenza, a cure sanitarie in ogni altro Stato Membro, è auspicabile che nuovi progetti possano vedere la luce prendendo stimolo dal nuovo regolamento eIDAS, ma notiamo che già in passato iniziative concrete sono state lanciate per consentire una identificazione cross-border del paziente, talvolta mediata da un operatore sanitario – tra gli altri ricordiamo ePSOS, e-SENS e soprattutto HEALTHeID, dove l’autenticazione veicolata tramite i nodi eIDAS ha consentito ad un gruppo di Stati pilota (Italia, Portogallo, Repubblica Ceca, Grecia) di dimostrare anche a livello pratico l’efficacia di soluzioni di questo tipo, che idealmente devono essere completate da un importante tassello: ad oggi, l’identificativo sanitario del paziente è spesso non incluso nella asserzione trasmessa dai nodi eIDAS attraverso i rispettivi strumenti di identificazione nazionali e, come risultato, sono necessarie azioni aggiuntive da parte del service provider “destinatario” dei dati utente per ottenerlo.
In questo ambito, gli strumenti notificati dall’Italia non fanno eccezione: la CIE – Carta d’Identità Elettronica, quando impiegata in scenari cross-border, trasmette il codice fiscale dell’utente autenticato (che in Italia ricopre anche il ruolo di identificativo sanitario del paziente), mentre SPID no. Servizi healthcare di altri Stati Membri come – ad esempio – il Fascicolo Sanitario Svedese, che consentono l’accesso ad utenti italiani sia con CIE che con SPID, avranno quindi set di dati differenti in funzione dello strumento scelto da un potenziale paziente italiano in fase di login. Questo è un ambito in cui una strategia di normalizzazione e standardizzazione è indispensabile, per consentire una piena interoperabilità di strumenti e servizi.
Conclusioni
Le risorse messe a disposizione in ambito comunitario per finanziare progetti innovativi, anche nell’ambito dell’identità digitale, sono considerevoli, e come abbiamo visto hanno consentito di ottenere risultati tangibili e promettenti (anche se spesso senza la piena maturazione in prodotto). Parallelamente, uno sforzo normativo (regolamento eIDAS) ha consentito di creare uno “standard di fatto” e di non disperdere le forze in azioni di normalizzazione bilaterali o limitati ad alcuni Stati Membri.
Ulteriori iniziative come:
- il coinvolgimento del settore privato;
- l’estensione degli strumenti (eID) notificati ed interoperabili tra gli Stati Membri;
- uno sforzo di normalizzazione strategico in alcuni settori (e-health in primis);
- valorizzare i risultati di progetti già realizzati, senza “reinventare la ruota”
potrebbero rappresentare un cambio di passo significativo e di sicuro interesse per questo ecosistema.