Il cd. IT Wallet introdotto dal Decreto PNRR è un portafoglio (pubblico) digitale che potrà raccogliere una serie di documenti (e.g., patente di guida, tessera sanitaria) in versione digitale. Questo promette di cambiare le abitudini degli utenti, che potranno così disporre di tali documenti senza necessità di portarne con sé la versione cartacea. Al contempo, nel wallet potranno essere inseriti ulteriori strumenti, offerti da soggetti privati autorizzati: ad esempio, strumenti di pagamento, chiavi di accesso a servizi privati e interfacce per la fruizione di servizi (tra cui quelli di pagamento) che utilizzano l’autenticazione attraverso l’identità digitale. L’implementazione del IT Wallet pone, dunque, una serie di questioni giuridiche: non solo relative all’esigenza di tutela dei dati personali e alla necessità di garantire un livello adeguato di cybersicurezza, ma anche in relazione al rispetto delle regole specifiche in relazione agli ulteriori servizi prestati. Non va trascurata infine una questione applicativa, relativa alla possibile coesistenza – in prospettiva futura – tra l’IT Wallet e altri meccanismi di autenticazione attualmente previsti dall’ordinamento nazionale (e.g., CIE, SPID).
L’innovazione sottesa all’introduzione del IT Wallet non è una vicenda italiana isolata. Per una corretta analisi, occorre inquadrarla alla luce della disciplina contenuta nel c.d. regolamento eIDAS (Regolamento (UE) 910/2014), che prevede la possibilità di utilizzare l’identità digitale rilasciata da uno stato UE al fine di poter accedere ai servizi erogati dalle PA, non solo in quello stesso paese, ma anche degli altri Stati membri. Ebbene, la recente modifica al Regolamento 2024/1183, cd. eIDAS2 (pubblicato in Gazzetta Ufficiale UE il 30 aprile 2024) disciplina uno strumento europeo di identità digitale unico (lo European Digital Identity Wallet) definito all’art. 1 come “un mezzo di identificazione elettronica che consente all’utente di conservare, gestire e convalidare in modo sicuro dati di identità personale e attestati elettronici di attributi al fine di fornirli alle parti facenti affidamento sulla certificazione e agli altri utenti dei portafogli europei di identità digitale, e di firmare mediante firme elettroniche qualificate o apporre sigilli mediante sigilli elettronici qualificati”. Si tratta quindi di un contenitore unico per i documenti d’identità europei, teso a rendere possibile il riconoscimento dei cittadini anche al di là del territorio nazionale. Nell’ambito di tale framework, ciascuno Stato membro dovrà disciplinare il funzionamento di un proprio wallet, avente le caratteristiche (e basato sulle specifiche tecniche) definite nel Regolamento, consentendo così di raggiungere una piena interoperabilità.
Il Decreto PNRR (decreto-legge n. 19/2024) ha modificato il Codice dell’amministrazione digitale introducendo l’art. 64-quater, rubricato “Sistema di portafoglio digitale italiano – Sistema IT Wallet”. Il Wallet, dunque, rappresenta una novità che si inserisce nell’ambito di un percorso tracciato dal legislatore europeo, ma al contempo costituisce una virtuosa sperimentazione d’avanguardia. Infatti, “anticipa” l’entrata in funzione del wallet europeo (che avverrà nel 2026) e consente di mettere alla prova le soluzioni tecnologiche e di comunicazione sottese al progetto.
Un aspetto che merita attenzione è che l’IT Wallet sarà disponibile in due versioni: una pubblica e una privata. Per quanto riguarda la versione pubblica, va chiarito come la possibilità di caricare i documenti d’identità sul wallet ne abiliterà l’utilizzo – con efficacia legale – sia offline (potendo l’utente esibire il proprio documento in versione digitale, ad esempio nell’ambito di un controllo di polizia) sia online. È quest’ultima funzione ad aprire i maggiori orizzonti applicativi, in quanto potrebbe far venir meno l’esigenza che il cittadino invii fotocopie del proprio documento al momento della sottoscrizione di nuovi contratti, consentendo invece alla controparte contrattuale di avere un immediato riscontro circa l’identità del soggetto.
Interessante sarà pure capire quale potrà essere ruolo del wallet nell’ambito dell’implementazione dello Spazio Europeo dei Dati Sanitari, che promette di rendere più efficace la circolazione dei dati sanitari. I documenti conservati nel wallet potranno rappresentare la chiave d’accesso ai propri dati sanitari, al fine di esercitare i relativi poteri di controllo ed eventuale opt out dal loro utilizzo secondario. Dunque, un meccanismo che consentirà di accedere ai dati ed esercitarne i relativi diritti, sia nel contesto nazionale sia in quello europeo.
Il wallet, inoltre, costituirà una innovazione abilitante: consentirà, infatti, di accedere ad una serie di servizi che potranno essere offerti attraverso l’app e che impiegheranno i dati (certificati) contenuti nel “portafoglio”. Tra i più rilevanti, gli utenti potranno inserire nel wallet strumenti di pagamento, i quali potranno utilizzare i meccanismi di autenticazione ed autorizzazione previsti dall’app. Ad ogni modo, anche in questo contesto dovranno rispettarsi le regole settoriali (tra cui in particolare quelle di cui alla PSD2 relative alla trasparenza e agli standards tecnici per l’autenticazione), al fine di garantire le medesime tutele previste in generale per gli strumenti di pagamento.
Anche a fronte delle molteplici applicazioni abilitate dal wallet, evidentemente il tema della tutela dei dati personali assume particolare rilevanza. A livello europeo, con riferimento alla proposta di European Digital Identity Wallet, sia l’EPDS sia ENISA si sono pronunciate evidenziando le preoccupazioni nell’adozione di simili soluzioni, legate in particolare all’accesso “sproporzionato” da parte dei providers ai dati dell’utente (in spregio al principio di minimizzazione). Peraltro, la concentrazione della conservazione di documenti con efficacia legale, di mezzi d’interazione con la PA e strumenti di pagamento nell’ambito di una stessa app evoca rischi di profiling e pervasiva sorveglianza, qualora i dati non siano correttamente trattati nel rispetto dei principi del GDPR.
Inoltre, sarà indispensabile garantire elevati standards di sicurezza cyber: la disciplina di dettaglio al riguardo sarà contenuta apposite in linee guida dedicate, che consentiranno di far fronte rapidamente a mutamenti tecnologici e nuove esigenze di tutela.
Occorre, infine, soffermarsi sulle modalità di accesso al wallet. Secondo la configurazione attuale, al Wallet – disponibile attraverso l’app IO – potrà accedersi sia mediante lo SPID, sia utilizzando la CIE. Dunque, nella fase iniziale vi sarà continuità rispetto agli strumenti già noti al pubblico. È possibile però che in futuro si opti per una progressiva transizione ad un meccanismo unitario di accesso. Ciò potrebbe mettere a repentaglio la sopravvivenza di sistemi ormai diffusi ed ampiamente utilizzati dai cittadini (quali, ad esempio, lo SPID), con effetti potenzialmente negativi sull’utilizzo del wallet da parte di chi non intenda dotarsi della CIE e dei relativi strumenti per la lettura.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0