Come parte della sua iniziativa per digitalizzare servizi pubblici e privati e favorire la fiducia, la Commissione europea sta promuovendo l’adozione del portafoglio europeo di identità digitale (portafoglio EUDI). Ciò comporterà che, entro la fine del 2023, ogni Stato membro dell’UE offrirà gradualmente ai propri cittadini, residenti e imprese un portafoglio basato su dispositivi mobili per l’identificazione e l’autenticazione online.
La proposta della Commissione europea mira a rafforzare il controllo degli utenti sui propri dati, in linea con la strategia 2020 “Shaping Europe’s digital future”. Si riconosce che, offrire ai cittadini piena fiducia nel quadro europeo per l’identità digitale, richiede un elevato livello di sicurezza, compresa l’emissione di portafogli EUDI. Vi è l’impegno a rispettare la legislazione sulla protezione dei dati, incluso il GDPR. La relazione che accompagna la proposta evidenzia la complementarità con la nuova legge sulla cybersicurezza e i suoi sistemi comuni di certificazione.
Il dibattito ha sollevato preoccupazioni sulla protezione dei dati riguardanti l’uso del portafoglio.
Nelle sue osservazioni formali sulla proposta del 28 luglio 2021, il Garante Europeo della Protezione dei Dati ha sollevato preoccupazioni riguardo alla sufficiente efficacia delle salvaguardie specifiche, affermando che ciò dipende principalmente dalla tecnologia utilizzata per implementare la proposta.
Le modifiche esaminate per proteggere la privacy e i dati degli utenti nell’utilizzo del portafoglio EUDI, possono essere suddivise in quattro gruppi principali. Il primo riguarda la minimizzazione e la divulgazione selettiva dei dati degli utenti, tramite la riduzione dell’impronta digitale, l’introduzione della cronologia delle transazioni e la “prova a conoscenza zero”. Inoltre, gli utenti dovrebbero avere la possibilità di gestire le proprie credenziali e attributi identificativi e utilizzarle per l’identificazione online e offline. Il secondo gruppo si concentra sulla protezione dei dati e sulla privacy, utilizzando il principio della privacy by design come caratteristica standard del portafoglio EUDI. Questo gruppo include emendamenti che rendono tecnologicamente impossibile per gli emittenti dei wallet e dell’attestazione elettronica degli attributi, nonché per i facenti affidamento sulla certificazione, di ricevere qualsiasi informazione sull’uso del Wallet o dei suoi attributi senza il consenso degli utenti. Il terzo gruppo riguarda la sicurezza del portafoglio EUDI, includendo disposizioni per prevenire gli attacchi informatici e garantire la sicurezza dei dati dell’utente. Infine, il quarto gruppo propone l’uso di una “prova a conoscenza zero” per la verifica dell’età dei minori.
Oggi è fondamentale essere in grado di dimostrare la propria identità non solo con credenziali fisiche come carte d’identità, tessere sanitarie e patenti di guida, ma anche online. In questo contesto, il Mobile ID rappresenta un’ottima soluzione per autenticare l’identità digitale, ma è essenziale stabilire un ponte tra il mondo digitale e quello fisico. A tale scopo, il portafoglio Digital ID offre ai cittadini una piattaforma affidabile in grado di mantenere in modo sicuro le loro credenziali digitali e fisiche.
Il portafoglio europeo Digital ID consente di unire il mondo fisico e digitale, garantendo agli utenti il completo controllo dei propri dati e aprendo interessanti possibilità per nuove iniziative di identificazione incentrate sull’utente. Ciò non solo consente un accesso rapido ai servizi, proteggendo al contempo le informazioni personali, ma permette anche ad agenzie governative e fornitori di assistenza sanitaria di sviluppare servizi personalizzati per i cittadini. In sintesi, il Digital ID Wallet rappresenta uno strumento importante per migliorare la sicurezza e la convenienza nella gestione dei dati personali.
Le specifiche dell’app wallet sono dettagliate nel documento “The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework”. Tale Toolbox, adottato dal gruppo di esperti eIDAS nel gennaio 2023, comprende l’architettura europea del portafoglio di identità digitale e il quadro di riferimento (ARF). Anche se attualmente non obbligatorio, è destinato a essere sostituito dal regolamento quadro europeo sull’identità digitale, il quale sarà invece obbligatorio.
Il portafoglio EUDI fa parte della proposta eIDAS 2.0, che consente agli utenti di archiviare in modo sicuro e accedere ai loro dati identificativi derivati dalle eID nazionali all’interno di un’app. Gli utenti hanno il pieno controllo sui propri dati, e questo include attestazioni di attributi come passaporti elettronici, patenti di guida, diplomi universitari e informazioni personali come cartelle cliniche o dettagli bancari. Inoltre, il portafoglio consente di accedere a una vasta gamma di servizi pubblici e privati online, e di firmare documenti con firme e sigilli elettronici qualificati (QES).
L’interfaccia e i relativi requisiti per la funzionalità della patente di guida conforme ISO su dispositivi mobili sono descritti nello standard internazionale ISO/IEC 18013-5, che apre la strada alla patente di guida mobile (mDL) come futuro della licenza e della prova di identità. Inoltre, lo standard ISO/IEC 23220-1 appena pubblicato, descrive gli elementi costitutivi delle infrastrutture del sistema eID mobile, standardizzando le interfacce e i servizi per le app di documenti mobili (mdoc) e le applicazioni di verifica mobile su scala internazionale.
Il portafoglio digitale richiede un nuovo approccio per garantire l’accesso logico e la protezione dei dati sensibili rispetto ai dispositivi non connessi, come le carte d’identità elettroniche o i passaporti elettronici. Attualmente, la norma tecnica principale, utilizzata per proteggere questi dati, è la norma ICAO 9303, come previsto dal regolamento (UE) 2019/1157. Durante l’ispezione dei documenti eID, viene utilizzato il protocollo Basic Access Control per accedere ai dati del chip. Il protocollo richiede una prova di possesso, in cui l’ispettore legge i dati in una zona leggibile dalla macchina (MRZ) per derivare una chiave simmetrica 3DES che permette di accedere ai dati del chip eID tramite l’interfaccia NFC (ICAO 9303, parte 11). Tuttavia, per il portafoglio digitale, è necessario un cambiamento fondamentale in questo approccio, poiché si tratta di un dispositivo connesso.
Il passaggio da dispositivi non connessi a dispositivi mobili crea sfide significative in termini di sicurezza. Si riscontra un modello di minaccia complesso e un aumento dei vettori di attacco a causa del cambiamento del fattore di forma, dell’aumento delle funzionalità e dell’ecosistema ampliato. Il portafoglio EUDI deve garantire un livello adeguato di protezione contro i malware installati da utenti ingenui e gli attacchi professionali o dedicati su piattaforme emulate o rootate. Inoltre, potrebbe essere attaccato il canale di comunicazione tra l’app del portafoglio EUDI e i servizi di back-end o il back-end stesso.
Gli attacchi alle vulnerabilità presenti nell’ecosistema possono causare gravi conseguenze per l’identità digitale, come ad esempio la creazione di identità false o l’emissione di false dichiarazioni. Queste minacce includono il furto di identità, dove un utente malintenzionato potrebbe imitare la vittima clonando l’app o raccogliendo dati locali, e la perdita di dati, che rappresenta una violazione diretta del GDPR, quando si ha un accesso non autorizzato ai dati dei cittadini. Inoltre, il furto di identità potrebbe anche consentire a un utente malintenzionato di accedere a servizi online sensibili in modo fraudolento.
La protezione adeguata di un’applicazione mobile è un’impresa complessa, come dimostrato dalle 152 misure di sicurezza raccomandate in 13 aree diverse nel tool Smartphone Guidelines pubblicato dall’Agenzia dell’Unione europea per la cybersicurezza (ENISA).
L’emissione del portafoglio EUDI è di competenza di ogni Stato membro, tuttavia, il portafoglio deve essere utilizzabile in tutti gli Stati membri. Secondo la proposta di modifica del regolamento eIDAS, l’emittente del portafoglio EUDI può essere lo Stato membro stesso, direttamente o tramite un mandato, oppure una parte indipendente riconosciuta da uno Stato membro. Qualunque sia la scelta dell’emittente, l’emissione di un portafoglio EUDI comporta una grande responsabilità e un elevato rischio reputazionale sia per l’emittente che per lo Stato membro. In caso di violazione o compromissione del portafoglio EUDI, lo Stato membro che segnala la violazione sospende immediatamente l’emissione e revoca la validità del portafoglio europeo per l’identità digitale. L’informazione deve essere condivisa con gli altri Stati membri e la Commissione.
Situazioni ipotetiche come le seguenti potrebbero suscitare un grande interesse mediatico:
La Commissione europea prevede di rilasciare un kit di sviluppo software open source (SDK) per il portafoglio EUDI, al fine di promuovere l’uso del portafoglio e garantire l’interoperabilità. Tuttavia, la responsabilità della sicurezza del portafoglio rimane a carico dell’emittente e del paese che lo ha emesso, poiché la sicurezza è una questione critica e complessa che richiede l’implementazione di misure adeguate a prevenire e gestire le minacce informatiche.
Il portafoglio EUDI adotterà diverse funzionalità di sicurezza, come la crittografia incorporata e l’interfacciamento con un Trusted Execution Environment (TEE) e un Secure Element (SE) nativo, ma l’SDK open source non sarà sufficiente per mitigare tutti i rischi di sicurezza, come il reverse engineering, né garantirà dispositivi e API sufficientemente sicuri. Pertanto, gli emittenti di portafogli EUDI dovranno implementare ulteriori misure di sicurezza nell’app e sottoporsi a test di penetrazione per ottenere la certificazione. Il ricorso ad ulteriori librerie di sicurezza e l’adozione di un approccio di difesa evolutivo, potranno aiutare ad affrontare le minacce relative al portafoglio EUDI, difendendolo nell’ampio panorama di minacce dell’ecosistema mobile.
Pur proponendo alcuni passi avanti dal punto di vista tecnico, la console sembra essere destinata…
Alcuni proprietari di immobili, che vivono in California, stanno sfocando le proprie abitazioni su Google…
Negli ultimi anni sono aumentate le truffe online e anche quelle tramite messaggistica: gli imbroglioni…
Dopo il lancio disastroso, il numero di utenti attivi è calato sempre di più e…
Il nostro Paese tra i primi a utilizzare l'intelligenza artificiale nel campo dell'imprenditoria. Ma le…
Definendo un nuovo standard per la privacy nell’AI, Apple Intelligence capisce il contesto personale per…