La febbre del Wallet di identità digitale (parte 2): i punti di attenzione di questo paradigma
Come abbiamo visto, il 2022 è stato un anno di fermento nel mercato dell’identità digitale a causa della migrazione verso il paradigma del Digital Identity Wallet, che ha messo in discussione gli ecosistemi ad oggi definiti e che sta interessando sia gli attori privati sia i Governi.
Questo nuovo paradigma ha avuto due forti spinte. Da un lato troviamo le BigTech che hanno rivisto la propria offerta di sistemi di pagamento per creare dei veri e propri wallet con la possibilità di memorizzare sul proprio smartphone diverse tipologie di documenti. Questo si è reso evidente dal rebranding delle app che hanno appunto assunto il nome di wallet, come nei casi di GooglePay e SamsungPay, ma anche dalle collaborazioni instaurate con istituti governativi per consentire ai propri utenti di memorizzare alcuni documenti di identità sul proprio cellulare, come ha fatto Apple in diversi stati americani, che oggi utilizzano la patente di guida in formato digitale.
La seconda importante spinta verso il modello di wallet è stata la revisione del Regolamento eIDAS, che è stata avviata a giugno 2022 e dovrebbe concludersi nel 2024. La direzione è orientata verso la creazione di un Digital Identity Wallet come base per l’identità digitale comunitaria, in cui convergeranno i sistemi nazionali attualmente attivi e notificati eIDAS. Nel 2024 verranno co-finanziati dall’Unione Europea diversi Large Scale Pilots (LSP) per sperimentare le funzionalità di questo strumento e definire gli standard da utilizzare.
Nella febbre generale delle sperimentazioni di questo modello, l’Osservatorio Digital Identity ha raccolto dalla sua community i benefici che ne deriverebbero, ma anche i punti di attenzione da tenere sotto controllo in questo periodo di transizione.
In questa seconda “puntata”, esploriamo i potenziali rischi e i punti di attenzione che questo paradigma suscita per utenti, aziende, Governi e interi ecosistemi comunitari.
Convergenza verso gli standard dalle BigTech
È evidente che le BigTech abbiano le capacità di influenzare fortemente gli standard del mercato nella costruzione e nell’implementazione del wallet digitale. Negli anni, hanno infatti consolidato alcuni asset importanti: oltre ai fondi e alle competenze tecnologiche, vantano una base utenti già consolidata. Ciò è un incentivo estremamente importante per gli attori privati che devono decidere a quale ecosistema prendere parte.
Quindi uno dei rischi che la Commissione europea deve affrontare è quello di contenere il condizionamento da parte delle BigTech per riuscire a implementare degli standard di gestione dei dati che siano conformi ai principi e alle normative europee, in termini di sicurezza e di privacy. Per fare ciò, un aspetto chiave nell’affrontare questo rischio saranno le tempistiche: la Commissione deve muoversi velocemente per far prevalere i propri standard, così da direzionare gli investimenti degli attori privati.
Distruzione degli investimenti fatti
Guardando invece agli attori che sono attualmente coinvolti in sistemi di identità digitali nazionali, una delle loro maggiori preoccupazioni è che gli investimenti fatti vengano resi vani dall’implementazione di standard o normative contrastanti.
A questo proposito un punto di attenzione è che diversi sistemi nazionali attualmente in uso (tra cui SPID e FranceConnect) abbiano un Level of Assurance (LoA) “substantial”. Se la Commissione europea dovesse implementare un Digital Identity Wallet richiedendo LoA “high” (ossia il livello di sicurezza superiore), diversi attori dell’ecosistema dovrebbero rivedere la propria posizione e offerta in modo sostanziale, distruggendo in alcuni casi asset già attivi sul mercato.
A gennaio 2023, la revisione del Regolamento eIDAS è giunta ad un compromesso: le identità certificate di livello “substantial” potranno essere utilizzate per inizializzare il wallet, mentre altri servizi, come i certificati di firma, dovranno utilizzare il LoA “high”. Ci si può quindi aspettare un adeguamento del LoA sulla base del servizio che si richiede.
L’utilizzo di LoA high si associa a servizi meno fruibili per gli utenti, a causa di un processo di riconoscimento più complesso in fase di accesso. Questo potrebbe comportare un sottoutilizzo del wallet con relativa perdita di incentivi da parte degli attori privati di prendere parte di questo ecosistema. Diventa quindi importante che una volta stabiliti le normative e gli standard, di impostare il modello di business del wallet in modo coerente, ossia in modo da remunerare gli attori coinvolti per i servizi offerti.
Maggiore valorizzazione di attributi certificati
Se da un lato il wallet vuole essere il punto unico di raccolta degli strumenti di riconoscimento digitale dei cittadini europei, i documenti tecnici della Commissione europea si stanno concentrando fortemente sul PID (Personal IDentifier), ossia sui dati identificativi dei cittadini. Tuttavia, è fondamentale che si presti attenzione anche alle Verificable Credentials (VC), ossia quelle attestazioni e attributi dell’utente che sono collegati all’identità ma separati da questa, che necessitano di standard e protocolli appositi.
È necessario che standard, protocolli e normative, siano pensati per favorire l’utilizzo delle VC. Il rischio associato ad uno scarso utilizzo delle VC è che il wallet ne risulti impoverito e diventi una semplice identità digitale. Se invece si vuole costruire il wallet come uno strumento che permetta di conservare molteplici certificazioni per semplificare l’accesso ai servizi online, le VC sono un aspetto chiave. A questo proposito, i LSP saranno un tavolo di prova estremamente importante per testare l’effettivo utilizzo del wallet, infatti i 4 consorzi andranno a focalizzarsi su diversi use case:
- Potential comprende ambiti di sperimentazione molto diversificati tra cui l’apertura di una nuova utenza telco, di un conto bancario, la digitalizzazione della patente, l’accesso a servizi governativi e la gestione di dati sanitari:
- Nobid è focalizzato principalmente sull’ambito dei pagamenti digitali;
- EU Digital Identity Wallet Consortium è focalizzato sugli ambiti di viaggi e turismo, pagamenti digitali e identità digitale per organizzazioni;
- Digital Credentials for Europe sta lavorando sull’identità digitale nell’ambito della formazione universitaria.
Per concludere queste due puntate sui benefici e i punti di attenzione del wallet, è chiaro che il paradigma del wallet sia strumento con grandi potenzialità. È tuttavia chiara la necessità di lavorare in modo collaborativo per prendere in considerazione gli interessi di tutti gli stakeholder, con l’obiettivo di portare valore aggiunto agli attori coinvolti nell’ecosistema. Auspicabilmente, il wallet diventerà uno strumento per semplificare le nostre vite nel mondo digitale, ma anche in quello fisico, grazie a un processo di accesso ai servizi semplificato e a portata di mano.
A cura di
Clarissa Falcone
Digital B2b, Digital IdentityRicercatrice degli Osservatori Digital B2b e Digital Identity.
Diletta Villa
Digital IdentityAnalista dell’Osservatorio Digital Identity.
Siamo a tua disposizione per informazioni e assistenza
Eleonora Evstifeew
Acquisti e abbonamenti Da Lunedì al Venerdì, dalle 09 alle 18Antonella Zagheni
Assistenza abbonati Da Lunedì al Venerdì, dalle 09 alle 18Scopri altri contenuti di Digital Identity