Nel panorama digitale attuale, la crescente dematerializzazione dei servizi ha reso l’identità digitale un elemento imprescindibile.

Tuttavia, le soluzioni attualmente disponibili, pur essendo funzionali, rappresentano un ostacolo strutturale all’integrazione del mercato unico digitale. La frammentazione dei sistemi nazionali ostacola un accesso transfrontaliero fluido, la proliferazione delle credenziali aumenta i rischi di furto d’identità e il modello incentrato sui fornitori di servizi espone gli utenti a pratiche di profilazione e sorveglianza, compromettendo il controllo sui propri dati personali.

Ecco cos’è l’European Digital Identity Wallet (EUDI Wallet), quali caratteristiche offre, la sua evoluzione normativa e quali sono implicazioni per cittadini e imprese.

Una nuova era per l’identità digitale in Europa

In questo scenario, l’Unione europea introduce una risposta strategica che segna un cambio di paradigma fondamentale: il Portafoglio europeo di Identità Digitale (EU Digital Identity Wallet, o EUDI Wallet).

Questa iniziativa non è solo uno strumento, ma una vera e propria riorganizzazione del concetto di fiducia e sovranità digitale. Passando da un modello frammentato e gestito da terzi a uno interoperabile, portatile e incentrato sull’utente, l’EUDI Wallet si concretizza in un’applicazione sicura e affidabile, progettata per conferire a cittadini, residenti e imprese il pieno e unico controllo della propria identità e dei propri dati.

Ecco le caratteristiche fondamentali, il quadro normativo, gli scenari di utilizzo e i meccanismi di sicurezza di questa rivoluzionaria iniziativa, destinata a cambiare il modo in cui le persone interagiscono nel mercato unico digitale europeo.

Caratteristiche fondamentali e funzionamento dell’EUDI Wallet

Comprendere le funzionalità principali dell’EUDI Wallet è essenziale per apprezzarne il potenziale trasformativo.

Il portafoglio non deve essere considerato come un semplice contenitore passivo, ma come uno strumento attivo che abilita interazioni digitali sicure, trasparenti e sotto il controllo dell’utente, rispondendo direttamente alle carenze dei sistemi attuali.

Di seguito, un’analisi delle sue principali funzionalità:

• I dati di identificazione personale (PID – Personal Identification Data) costituiscono il nucleo del wallet e permettono all’utente di provare la propria identità online in modo sicuro e inequivocabile. Il processo di registrazione è concepito per essere semplice: l’utente scarica l’applicazione del wallet fornita dal proprio Stato membro, la protegge con le funzionalità di sicurezza del proprio dispositivo mobile (PIN, biometria) e la collega al sistema nazionale di identità per caricare i propri dati identificativi.
• Archiviazione e gestione dei documenti digitali: oltre al PID, il wallet può archiviare i “documenti digitali”, che non sono semplici file, ma vere e proprie credenziali digitali verificabili emesse da fonti attendibili. Questi documenti attestano informazioni o attributi specifici dell’utente. Tra questi, possono essere inclusi: diplomi di laurea, ricette mediche, patenti di guida, biglietti per eventi o trasporti e tessere professionali.
• La presentazione dei documenti e lo scambio dei dati sono standardizzati e sicuri. Di solito, il wallet genera un codice QR che l’applicazione del fornitore scansiona, stabilendo così una connessione crittografata. Il fornitore invia una richiesta specificando i dati necessari e l’utente può visualizzare chiaramente quali informazioni sono state richieste. Per autorizzare lo scambio e completare la transazione, l’utente deve fornire un’approvazione esplicita.
• Il controllo dell’utente e la divulgazione selettiva (Selective Disclosure) sono due delle innovazioni più significative in termini di privacy. Il principio della divulgazione selettiva consente all’utente di condividere solo le informazioni strettamente necessarie, riducendo al minimo l’esposizione dei propri dati personali.
• Esempio classico è la verifica dell’età: per acquistare un biglietto a tariffa ridotta per un museo, l’utente può dimostrare di avere l’età richiesta (per esempio, “maggiore di 18 anni”) senza dover rivelare la propria data di nascita completa, cosa che invece avverrebbe mostrando un documento fisico.

Queste innovative funzionalità, che pongono l’utente al centro del processo di gestione dei dati, sono rese possibili da un quadro giuridico solido, che si è evoluto nel tempo per rispondere alle crescenti esigenze del mercato unico digitale.

L’evoluzione normativa: dall’eIDAS all’European digital identity framework

Un quadro normativo chiaro e armonizzato è fondamentale per garantire l’interoperabilità, la sicurezza e la fiducia nell’ecosistema dell’identità digitale a livello europeo.

L’introduzione dell’EUDI Wallet rappresenta il culmine di un percorso legislativo pluriennale finalizzato a superare i limiti del passato e a gettare le basi per un futuro digitale più integrato.

Il Regolamento eIDAS del 2014

Il primo passo fondamentale è stato l’adozione del Regolamento (UE) n. 910/2014, noto come eIDAS. Questa normativa ha creato una base giuridica comune per l’identificazione elettronica (eID) e i servizi fiduciari (come le firme elettroniche), consentendo per la prima volta l’uso transfrontaliero degli schemi nazionali di eID per accedere ai servizi pubblici di altri Stati membri.

Le criticità emerse e la necessità di un’evoluzione

Con il tempo, il primo eIDAS ha mostrato dei limiti strutturali. Il regolamento non imponeva agli Stati membri di fornire un’identità digitale, il che ha portato a una disponibilità frammentata e disomogenea in tutta l’UE.

Inoltre, l’adozione nel settore privato è rimasta molto limitata, ostacolando la creazione di un vero mercato unico digitale. La rapida digitalizzazione, unita alle crescenti preoccupazioni per la privacy, la profilazione commerciale e la sorveglianza da parte delle grandi piattaforme, ha reso evidente la necessità di una profonda revisione.

Il nuovo paradigma: European digital identity framework del 2024

Per rispondere a queste sfide, la Commissione ha proposto una revisione del regolamento eIDAS che ha portato all’adozione del nuovo regolamento (UE) 2024/1183, entrato in vigore il 20 maggio 2024.

Questo quadro normativo stabilisce un principio fondamentale: ogni individuo deve avere il pieno e unico controllo della propria identità digitale. Le funzionalità di controllo dell’utente e di divulgazione selettiva sono una risposta diretta alle preoccupazioni relative alla profilazione e alla sorveglianza, mentre l’obbligo, per ogni Stato membro, di fornire almeno un EU Digital Identity Wallet e, per le grandi piattaforme, di accettarlo, mira a risolvere il problema della frammentazione e a stimolare l’adozione.

Tale evoluzione si inserisce negli obiettivi strategici del programma di politica digitale “Digital Decade”, il cui scopo è fornire un’identità digitale al 100% dei cittadini dell’UE entro il 2030.

Gli Stati membri si stanno già muovendo in questa direzione: il progetto italiano IT Wallet, per esempio, mira a far convergere SPID e CIE nella nuova soluzione nazionale.

Le tappe del percorso

La tabella seguente riassume le tappe più importanti di questo percorso.

Questo nuovo quadro normativo non si limita a definire lo strumento del wallet, ma delinea un intero ecosistema di attori e relazioni, abilitando una vasta gamma di applicazioni pratiche.

Ecosistema e casi d’uso: l’impatto pratico dell’EUDI Wallet

Il valore reale dell’EUDI Wallet risiede nella sua capacità di abilitare un ecosistema digitale sicuro, interoperabile e interconnesso. La sua efficacia dipende dalla collaborazione sinergica tra diversi attori, ognuno con un ruolo specifico e regolamentato.

Gli attori chiave dell’ecosistema

L’architettura dell’EUDI Wallet si basa sull’interazione di tre attori principali:

• I fornitori di wallet (Wallet Provider) sono entità pubbliche o private che sviluppano e forniscono applicazioni wallet per conto degli Stati membri, garantendone la conformità agli standard europei in materia di sicurezza e interoperabilità.
• Emittenti (Issuers): sono organizzazioni pubbliche o private affidabili che emettono i documenti digitali, noti anche come “attestazioni di attributi”, ovvero credenziali digitali che provano una specifica caratteristica, come un titolo di studio o un’abilitazione professionale. Tra gli esempi vi sono le università che rilasciano i diplomi, le motorizzazioni civili che rilasciano le patenti e le banche che certificano le informazioni.
• I fornitori di servizi (Service Providers/Relying Parties) sono le organizzazioni, pubbliche o private, che richiedono i dati dal wallet per poter fornire un servizio. In questa categoria rientrano, per esempio, le farmacie che verificano le ricette, gli hotel che effettuano il check-in e le società di autonoleggio che controllano la validità delle patenti.

Analisi dei casi d’uso

Grazie a questo ecosistema, l’EUDI Wallet consentirà di utilizzare una moltitudine di servizi che renderanno la vita quotidiana più semplice:

• Servizi Pubblici e Amministrativi: accesso semplificato e sicuro ai portali della pubblica amministrazione, sia a livello nazionale che transfrontaliero, per presentare dichiarazioni o richiedere certificati.
• Banche e pagamenti: apertura di conti correnti in modo completamente digitale e autorizzazione sicura dei pagamenti online tramite wallet per l’autenticazione forte del cliente.
• Istruzione e lavoro: archiviazione e condivisione delle credenziali educative (diplomi, certificati) per candidarsi a un lavoro e firma digitale dei contratti con pieno valore legale.
• Sanità e previdenza sociale: ritiro delle ricette mediche. Questo processo richiede un emittente affidabile, come il Servizio Sanitario Nazionale, che emetta la ricetta digitale, un fornitore di portafogli digitali certificato che garantisca la sicurezza dell’app e una farmacia che la richieda e la verifichi in modo sicuro, dimostrando la collaborazione alla base dell’intero ecosistema.
• Viaggi e mobilità: archiviazione e presentazione della patente di guida digitale, gestione dei documenti di viaggio e semplificazione delle procedure di check-in in hotel e aeroporti.
• Telecomunicazioni: registrazione rapida e sicura di nuove schede SIM, in conformità con i requisiti di identificazione del cliente.

Il ruolo strategico dei Large Scale Pilots (LSP)

Per garantire che l’ecosistema funzioni nel mondo reale, la Commissione ha finanziato diversi progetti pilota su larga scala (LSP). Consorzi come Potential, Ewc, DC4EU, Nobid, Aptitude e We Build, a molti dei quali partecipa il Dipartimento per la trasformazione digitale, stanno testando questi casi d’uso in scenari pratici, coinvolgendo oltre 550 organizzazioni pubbliche e private in tutta Europa.

Questo approccio agile e iterativo è fondamentale dal punto di vista strategico, in quanto consente al quadro normativo e agli standard tecnici di evolvere insieme sulla base di feedback reali, riducendo i rischi legati al lancio su larga scala e garantendo che l’infrastruttura finale sia costruita su basi pratiche e collaudate.

La fattibilità di un ecosistema così complesso dipende interamente da un’architettura che metta la sicurezza e la privacy dell’utente al primo posto.

Sistema IT-Wallet

L’Italia ha ufficialmente istituito il Sistema di portafoglio digitale italiano (IT-Wallet) con il decreto-legge n. 19 del 2 marzo 2024, successivamente convertito nella legge n. 56 del 29 aprile 2024.

La norma individua anche i soggetti coinvolti nello sviluppo dell’iniziativa e i relativi ruoli: il Dipartimento per la trasformazione digitale è impegnato nell’indirizzo strategico e nel coordinamento dell’attuazione dell’IT-Wallet pubblico, insieme ai soggetti attuatori PagoPA e IPZS, di concerto con l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN).

Il sistema IT-Wallet è costituito da un portafoglio digitale pubblico integrato nell’app IO e sviluppato da PagoPA S.p.A., e da portafogli digitali privati resi disponibili da operatori privati secondo quanto stabilito dalle Linee guida previste dal comma 3 dell’articolo 64- quater del Codice dell’amministrazione digitale (CAD).

Il progetto prevede una prima fase di sperimentazione, regolamentata da linee guida e specifiche tecniche dettagliate, con l’obiettivo di testare il portafoglio digitale e valutarne l’impatto in contesti reali, seguita da un’estensione progressiva delle funzionalità e delle modalità di utilizzo.

Documenti su IO

A partire da dicembre 2024, tutti i cittadini e i residenti possono attivare la funzionalità “Documenti su IO” del Portafoglio dell’app IO, che rende disponibili le prime versioni digitali dei documenti personali.

L’applicazione IO, infatti, consente di aggiungere al proprio portafoglio digitale la versione digitale della patente di guida, della tessera sanitaria, della tessera europea di assicurazione malattia e della carta europea di invalidità.

Tutti i cittadini e i residenti maggiorenni, a condizione che abbiano installato e aggiornato l’app IO sul proprio dispositivo, possono usufruire di questo servizio gratuito e facoltativo.

Sarà sufficiente accedere con la propria identità digitale (CIE o SPID) per ottenere la versione digitale dei documenti già disponibili e utilizzarli in contesti specifici al posto di quelli cartacei.

Sicurezza, privacy e pieno controllo dei dati

La fiducia degli utenti è il pilastro su cui si fonda il successo dell’EUDI Wallet. Per questo motivo, la sicurezza informatica e la protezione della privacy non sono caratteristiche accessorie, ma elementi fondanti dell’intera architettura del sistema, integrati fin dalla fase di progettazione (privacy by design).

I meccanismi implementati per garantire la massima protezione dei dati personali sono molteplici e stratificati:

• Il principio di minimizzazione dei dati prevede che il sistema condivida solo la quantità minima di dati strettamente necessaria per erogare un servizio. Grazie alla funzionalità di divulgazione selettiva, l’utente non è più obbligato a mostrare l’intero documento d’identità per provare un singolo attributo, come l’età o la nazionalità. Ciò riduce drasticamente l’esposizione di informazioni non pertinenti.
• L’utente ha il controllo totale: i dati personali e i documenti digitali vengono
  archiviati localmente e in modo crittografato direttamente sul suo dispositivo.
  Nessuna transazione può avvenire senza l’esplicita e consapevole approvazione dell’utente. I fornitori di wallet sono legalmente vincolati a non poter visualizzare, raccogliere o tracciare i dati personali e il loro utilizzo.
• Prevenzione del tracciamento e della profilazione: il design architetturale del wallet e le rigide regole legali imposte dal nuovo regolamento rendono estremamente difficile per gli emittenti di documenti o i fornitori di servizi tracciare le attività online dell’utente o combinare dati provenienti da fonti diverse per creare profili commerciali o di altro tipo.
• Dashboard per la privacy: ogni wallet sarà dotato di una “dashboard della
  privacy” integrata. Questa funzionalità offre agli utenti una visione completa e
  trasparente di tutte le interazioni passate. Sarà possibile visualizzare una cronologia dettagliata delle transazioni, vedere esattamente quali dati sono stati condivisi con ciascun fornitore di servizi e, se necessario, inviare richieste per interrompere il trattamento dei dati o segnalare un uso improprio direttamente all’autorità nazionale per la protezione dei dati.
• Standard elevati di cyber sicurezza: i wallet dovranno essere obbligatoriamente certificati secondo i più alti standard di cybersicurezza dell’Unione Europea. Ciò implica l’uso di metodi crittografici avanzati per proteggere i dati sia quando sono archiviati sul dispositivo (at rest), sia durante la trasmissione (in transit), garantendone l’integrità e la riservatezza.

Questi robusti meccanismi posizionano l’EUDI Wallet come un’alternativa superiore alle attuali pratiche di gestione dell’identità online, aprendo la strada a un futuro digitale più equo, sicuro e trasparente.

L’impatto dell’EUDI Wallet sul futuro digitale europeo

L’introduzione del Portafoglio Europeo di Identità Digitale rappresenta una svolta per il mercato unico digitale, offrendo vantaggi concreti e strategici a tutti gli attori coinvolti:

• Per i cittadini: l’EUDI Wallet offre un maggiore controllo sui propri dati, un accesso semplificato ai servizi, una significativa riduzione della burocrazia e un rafforzamento della privacy online.
• Per le Pubbliche Amministrazioni: L’adozione del wallet migliorerà la sicurezza dei servizi digitali, potenziando la prevenzione delle frodi e favorendo l’erogazione di servizi efficienti e interoperabili a livello europeo.
• Per le imprese private: il wallet ridurrà i costi di autenticazione, semplificherà il rispetto del GDPR e aprirà nuove opportunità di business in un mercato digitale più affidabile.

È inoltre importante sfatare alcuni concetti errati emersi riguardo a questa iniziativa:

• Non ci sarà un’unica app europea, ma ogni Stato membro fornirà almeno un wallet e il nuovo quadro normativo consentirà un ecosistema diversificato di fornitori pubblici e privati. Ciò potrebbe tradursi in portafogli nazionali ufficiali, portafogli privati specializzati e persino funzionalità di portafoglio “nascoste” all’interno di applicazioni di uso quotidiano, come quelle bancarie o degli operatori telefonici, tutte interoperabili secondo gli stessi standard.
• L’uso del wallet sarà volontario: l’adozione dell’EUDI Wallet sarà una scelta del cittadino. Rappresenta un’opzione aggiuntiva e non un obbligo, affiancando i metodi di identificazione già in uso.
• Non indebolirà la privacy, ma la rafforzerà. Lontano dall’essere uno strumento di controllo, il wallet è progettato per restituire la sovranità dei dati all’utente e garantire un livello di protezione superiore a molte delle pratiche online attuali.

Un passo verso la sovranità digitale europea

Con l’obiettivo di fornire un’identità digitale a tutti i cittadini UE entro il 2030, nell’ambito del “Digital Decade”, e con la previsione di una vasta disponibilità dei wallet entro il 2026, l’Europa sta compiendo un passo fondamentale.

L’EUDI Wallet non è solo una tecnologia, ma un pilastro fondamentale della sovranità digitale europea: un’infrastruttura digitale pubblica che fornisce ai cittadini una rappresentazione digitale sicura e portatile della propria identità legale, essenziale per navigare in modo sicuro, privato e autonomo nell’economia del futuro.