In questa pagina:
- Identità Digitale, che cos'è e come si usa
- Cosa vuol dire Identità Digitale
- Identità Digitale, come funziona
- Come si usa l'Identità Digitale
- Le tecnologie a servizio dell'Identità Digitale
- Identità Digitale e normativa
- Strumenti di Identità Digitale in Italia: SPID, CIE e CNS
- Identità Digitale in Italia: i numeri di SPID
Identità Digitale, che cos'è e come si usa
L'Identità Digitale, a seguito della spinta verso la digitalizzazione fornita dalla pandemia, ha avuto una forte crescita. Sia come strumento chiave per cittadini e imprese che per abilitare le interazioni online.
Negli ultimi anni, sia nel contesto italiano sia nel panorama internazionale, per governi, aziende e cittadini è così cresciuta l'importanza del valore di una chiave estremamente sicura. Una chiave che apra le porte di servizi online pubblici e privati in maniera semplice e affidabile. Questa chiave è rappresentata proprio dall’identità digitale.
In Italia, poi, ci sono due strumenti di Identità Digitale principali. Lo SPID (il Sistema Pubblico di Identità Digitale) e la CIE (la Carta d’Identità Elettronica). Queste due modalità di Identità al digitale sono diventate le credenziali uniche per accedere ai servizi online della PA a partire dal 28 febbraio 2021.
Secondo quanto stabilito dal Decreto Semplificazioni per l'Identità Digitale, infatti, tutte le Pubbliche Amministrazioni, centrali e locali, sono state chiamate a interrompere il rilascio di credenziali proprietarie. Le PA, inoltre, sono state tenute anche ad integrare nei propri sistemi informativi SPID e CIE come unico sistema di identificazione per l’accesso ai servizi digitali. Le vecchie credenziali sono rimaste valide fino alla data del 1° ottobre 2021.
Tali interventi normativi a favore dell'Identità Digitale, uniti alla spinta indotta dall'app IO per il Cashback e il Green Pass, hanno affermato la sua importanza anche in Italia. Sebbene comunemente associata allo SPID, l’identità digitale è, in realtà, molto di più.
In questa guida digitale dedicata all'Identità Digitale, a cura dell’Osservatorio Digital Identity del Politecnico di Milano, cercheremo di approfondire i suoi temi chiave. Lo faremo sia a livello italiano sia internazionale, rispondendo alle principali domande sul tema:
- Cosa vuol dire identità digitale, come funziona e come si ottiene?
- Quali sono i sistemi di Identità Digitale oltre SPID e CIE?
Oltre a definizioni e istruzioni, analizzeremo gli aspetti di business legati all'identità digitale. In primis, gli ambiti applicativi, le prospettive di mercato e le opportunità per imprese e cittadini. Approfondiremo, poi, anche le tecnologie abilitanti dell'Identità Digitale e il suo quadro normativo di riferimento.
Cosa vuol dire Identità Digitale
Partiamo dal principio definendo, prima di tutto, cos’è l’identità digitale. Usando la ricerca dell'Osservatorio, possiamo definirla come:
Per identità digitale si intende un insieme di dati che consentono di identificare in modo univoco una persona, un’azienda o un oggetto. Questi, poi, vengono raccolti, memorizzati e condivisi digitalmente all’interno di un ecosistema di attori e attraverso tecnologie abilitanti. L'Identità Digitale, poi, viene usata per permettere agli utenti l’accesso a servizi digitali a valore aggiunto.
L'identità digitale, allo stesso modo dell'identità fisica, rappresenta l’insieme delle caratteristiche e dei tratti distintivi che descrivono un individuo e lo differenziano dagli altri.
Identità Fisica e Identità Digitale, le differenze
Identificare un soggetto significa poterlo riconoscere in maniera univoca: nel mondo fisico affinché questo avvenga sono necessarie la presenza e la prossimità delle parti in causa.
L’identità digitale permette, invece, il riconoscimento anche da remoto, attraverso canali differenti. Sebbene entrambe contribuiscano alla funzione di identificazione e riconoscimento di un individuo, identità fisica e identità digitale differiscono per molti aspetti. Vediamo, nei paragrafi seguenti, alcune delle differenze principali.
Creazione di più Identità
Nel caso dell’identità fisica, ciascun individuo può possedere uno o più strumenti di identità validi e riconosciuti. Questi, poi, sono spesso associati a un documento fisico, come carta di identità, patente o passaporto.
Online, invece, è possibile attivare e possedere più di un’identità digitale in contemporanea. Partendo da quelle rilasciate dalle piattaforme di social network, all’identità digitale legate a sistemi nazionali, quali CIE e SPID, passando per identità in ambito business.
Validità dell'Identità vs Ecosistema Associato
I documenti di riconoscimento nel mondo fisico sono tipicamente accettati su tutto il territorio nazionale e in molti casi hanno validità anche a livello internazionale. L’identità digitale, invece, è riconosciuta esclusivamente all’interno dell’ecosistema di attori che hanno deciso di aderirvi, ma non solo. Questi attori hanno anche deciso di predisporre l’adeguata infrastruttura tecnologica per integrarsi con il gestore dell’identità digitale (cosiddetto Identity Provider, IdP).
Per quel che riguarda l’identità fisica, l’ente che emette il documento di riconoscimento non è coinvolto nelle successive interazioni in cui questo verrà esibito. Il contesto digitale, invece, è fortemente interconnesso.
La dinamicità dell'Identità Digitale
L’identità fisica ha un set predefinito e statico di dati identificativi dell’individuo. Questo comprende i dati anagrafici e, in alcuni casi, i dati biometrici raccolti in fase di identificazione e memorizzati sul documento di riconoscimento.
L’identità digitale è, invece, costituita da un insieme di dati potenzialmente molto più dinamico. A seconda dell’ambito di riferimento, il profilo di identità digitale può essere arricchito con informazioni di natura legale, dati sanitari o finanziari.
Identità Digitale, come funziona
La definizione data di identità digitale permette di mettere in luce alcune caratteristiche chiave che aiutano a spiegare nel dettaglio come funziona l’identità digitale. Queste caratteristiche, come spiegato nei paragrafi successivi, sono le tipologie di dati, l’ecosistema, le tecnologie e i servizi accessibili. Vediamoli ora, nei paragrafi successivi, in maniera più approfondita.
Identità Digitale e dati costitutivi
Nell'Identità Digitale, i dati costitutivi hanno la funzione di identificare in modo univoco l’individuo, ma non solo. Hanno anche la funzione di definire cosa è abilitato a fare ed in alternativa tenere traccia delle sue interazioni nel mondo digitale. Possono essere di diverse tipologie:
- dati costitutivi (anagrafici, biometrici, certificazioni e attributi) che connotano un’entità o che ne definiscono alcune qualità peculiari
- dati dinamici derivanti dalle interazioni dell’individuo con altre entità o organizzazioni, come informazioni di natura legale e dati sanitari e finanziari.
I servizi accessibili dell'Identità Digitale
L’identità digitale permette all’utente di accedere a servizi a valore aggiunto, abilitare transazioni o effettuare operazioni nel mondo digitale. Per minimizzare il rischio di furti di identità e frodi, sulla base del livello di robustezza dei dati, l’utente avrà accesso a servizi. Questo può avvenire attraverso livelli di criticità diversi.
L’ecosistema dell’Identità Digitale
Gli ecosistemi associati ai sistemi di identità digitale possono avere diverse configurazioni. Esistono configurazioni in base al livello di centralizzazione o decentralizzazione del sistema e in base al livello di controllo che l’utente ha dei dati stessi.
In particolare, con livelli di decentralizzazione crescenti si trovano:
- sistemi centralizzati, in cui esiste un unico gestore dell’identità digitale (Identity Provider, IdP), come nel caso del sistema indiano Aadhaar
- sistemi federati, dove la gestione è condivisa in maniera interoperabile tra due o più attori, come avviene per il sistema italiano SPID
- sistemi decentralizzati, in cui l’utente presta il consenso per la condivisione dei propri dati tra i diversi fornitori di servizi (Service Provider, SP). Questo avviene ad esempio nel caso del protocollo decentralizzato SecureKey
- sistemi Self-Sovereign Identity (SSI), nei quali l’utente stesso è l’unico proprietario e “gestore” della propria identità. Egli infatti non delega a terze parti la custodia e il controllo delle informazioni identificative un esempio di questo modello è il sistema sviluppato da Jolocom.
In questi ecosistemi, poi, si trovano principalmente i seguenti ruoli:
- utente finale, che utilizza l’identità digitale per interagire, richiedere servizi e avviare transazioni
- Identity Provider (IdP), che verifica i dati dell’utente, rilascia e gestisce la sua identità digitale. Lo fa interfacciandosi con i fornitori di servizi per il trasferimento dei dati richiesti. Un IdP può essere un ente pubblico, un’azienda privata oppure una federazione di attori, sia pubblici che privati
- Service Provider (SP), ossia le aziende private e gli enti pubblici che sfruttano l’identità digitale e gli attributi per offrire servizi all’utente finale
- Provider di attributi qualificati, che si occupa di rilasciare e gestire informazioni associate al profilo dell’identità dell’utente che ne attestano attributi o certificazioni. Un esempio sono gli Ordini, i collegi professionali, gli Albi, le Camere di Commercio, i Consigli nazionali o i soggetti in grado di certificare attributi finanziari.
Come si usa l'Identità Digitale
A livello internazionale l’identità digitale è valorizzabile in numerosi contesti come strumento abilitante di interazioni sicure online e offline. Essa, infatti, funge da sistema di riconoscimento agile per accedere a un’ampia gamma di servizi. Ecco alcuni esempi all'interno di diversi ambiti applicativi:
- Pubblica Amministrazione: accesso a servizi online offerti da enti locali e centrali, come servizi anagrafici, catastali o tributari;
- Sanità: accesso al Fascicolo Sanitario Elettronico per la prenotazione di prestazioni sanitarie ed esami;
- eCommerce: acquisto di prodotti e servizi;
- Mobility: attivazione di account per la sharing mobility, pagamento di ticket urbani con biometria;
- Finanza & Assicurazioni: accesso all’online banking, sottoscrizione di polizze da remoto;
- Viaggi & Turismo: prenotazione di biglietti e soggiorni, check-in;
- Cultura & Intrattenimento: consultazione di contenuti personalizzati, accesso a musei fisici e digitali e gaming online.
Un esempio di Identità Digitale: il Green Pass
Indipendentemente dalle eventuali considerazioni sulla sua utilità nel contrasto alla pandemia, il Green Pass è stato per il nostro Paese un esperimento significativo di identità digitale. L’emissione di un certificato di questo tipo ha rappresentato un primo e concreto passo verso un modello di Self Sovereign Identity (SSI). Tra evidenti potenzialità e qualche limite, questa scelta tecnologica ha rappresentato un passo in avanti decisivo per il futuro dell'identità digitale.
Le tecnologie a servizio dell'Identità Digitale
La tecnologia rappresenta una delle dimensioni chiave sulle quali si poggia il concetto di identità digitale. Le scelte in ambito tecnologico rappresentano, per molteplici ragioni, un elemento cruciale nei sistemi di identità digitale.
Le tecnologie legate all'Identità Digitale, possono influenzare la definizione dell'ecosistema e del conseguente modello di business. Esse sono inoltre determinanti per migliorare l'esperienza e il livello di sicurezza del sistema di identificazione e autenticazione.
Per semplicità, le tecnologie utilizzate all’interno dei sistemi di identità possono essere divise in tre principali categorie:
- tecnologie architetturali, che costituiscono la base infrastrutturale del sistema, determinano le modalità di gestione dei dati e di condivisione delle informazioni (es. Blockchain, Cloud);
- tecnologie di integrazione, le quali supportano l’interoperabilità tra sistemi che utilizzano software diversi e permettono la collaborazione tra applicazioni e dati proveniente da fonti differenti (es. sistemi di gestione API);
- tecnologie di processo, che costituiscono il front-end con cui l’utente interagisce e consentono la gestione dell’intero ciclo di vita dell’identità digitale. Passando dall’identificazione all’autorizzazione (es. biometria, Machine Learning e Intelligenza Artificiale).
Tra queste meritano particolare attenzione per il loro livello di innovazione la tecnologia Blockchain per l’SSI e i sistemi di riconoscimenti biometrici.
La Tecnologia Blockchain per l'SSI
Le tecnologie Blockchain e Distributed Ledger stanno favorendo e accelerando lo sviluppo di nuovi modelli decentralizzati di identità digitale. La massima decentralizzazione si trova nei modelli Self Sovereign Identity (SSI). Questi modelli consentono all’utente di non delegare la custodia e il controllo delle informazioni personali a un attore terzo. Al contrario, gli utenti stessi diventano gli unici proprietari e gestori della propria identità.
La Biometria
I fattori biometrici, come impronta digitale, iride e tratti somatici del volto, sostituiscono i tradizionali fattori di autenticazione basati sulla conoscenza di una password o di un PIN. I sistemi ad autenticazione biometrica, oltre a rendere l’esperienza dell’utente piacevole e immediata, garantiscono un maggiore grado di sicurezza. Questo perchè il riconoscimento è legato a un fattore univoco, peculiare del singolo soggetto.
Identità Digitale e normativa
Nella sua ricerca l’Osservatorio Digital Identity ha analizzato come l’Identità Digitale viene tutelata a livello normativo. In questo caso, per avere un quadro a 360 gradi delle tematiche relative alle norme vigenti in Italia ed in Europa si sono analizzati due aspetti principali:
- il primo è il regolamento vigente a livello europeo eIDAS e la sua ultima versione;
- il secondo riguarda strettamente l’Italia e come intende regolare l’utilizzo dell’identità digitale tramite il PNRR.
Identità Digitale in Europa, il Regolamento eIDAS
Il Regolamento eIDAS (acronimo di electronic IDentification, Authentication and trust Services) è la disposizione comunitaria. Esso stabilisce i meccanismi di implementazione dei sistemi di identità digitale nei diversi Stati membri.
È entrato in vigore nel 2014 e ha promosso la diffusione di sistemi di identità digitale notificati. Ovvero, che sono riconosciuti in tutta Europa per l’accesso ai servizi online. Il Regolamento, infine, definisce anche che il livello di certezza dell’identificazione può essere associato a un sistema, detto Level of Assurance (LoA). Il LoA si declina su tre livelli: Low, Substantial e High, con crescente grado di sicurezza.
La revisione del Regolamento: eIDAS2
A partire da giugno 2021, il Regolamento Europeo per l'Identità Digitale, l'eIDAS, è in revisione. Questo progetto mira a creare un mercato digitale europeo. Lo farebbe fornendo a tutti i cittadini un’identità digitale erogata tramite un wallet di identità digitale , lo European digital identity wallet (EUDI Wallet).
Questo strumento per l'Identità Digitale utilizzerà i sistemi di riconoscimento nazionali già presenti nei diversi Stati. Esso permetterà agli utenti di accedere a servizi online, memorizzare e presentare documenti elettronici (come la patente di guida o il diploma di laurea), ma non solo. Permetterà di apporre firme elettroniche qualificate.
PNRR e Identità Digitale, la strategia
L’Italia sta definendo la propria strategia sull’identità digitale proprio nel complesso contesto europeo. Il nostro Paese, infatti, sta progettando la convergenza dei sistemi esistenti – SPID e CIE – in un unico strumento, grazie al modello di wallet.
Inoltre, il PNRR prevede tra i suoi obiettivi di raggiungere un tasso di diffusione dell’identità digitale, pari al 70% di cittadini entro il 2026. L’Italia sta, quindi, lavorando su questo, puntando soprattutto sulla user experience e sull’ampliamento della rosa di servizi a valore accessibili con questi strumenti.
Strumenti di Identità Digitale in Italia: SPID, CIE e CNS
Come già citati in questa guida, il panorama italiano dell’identità digitale presenta molteplici strumenti per accedere ai servizi digitali pubblici e privati. Di seguito sono elencati i principali strumenti di identità digitale attualmente attivi nel contesto italiano, i rispettivi servizi offerti, le modalità di acquisizione e le principali differenze.
SPID (Sistema Pubblico per l'Identità Digitale)
SPID (Sistema Pubblico di Identità Digitale) è uno strumento promosso dall’Agenzia per l’Italia Digitale (AgID). Esso consente ai cittadini di accedere a servizi online di oltre 15.000 PA e delle circa 220 imprese private aderenti attraverso un’unica identità digitale.
Alcuni esempi di servizi ai quali è possibile accedere sul fronte pubblico sono:
- la richiesta di certificati anagrafici;
- il pagamento delle tasse;
- l’accesso al fascicolo sanitario elettronico;
- ai servizi Inps.
Su quello privato, invece, vi sono il supporto alla verifica dell’identità in fase di apertura di un conto corrente e l’accesso a servizi di firma digitale.
Al momento, possono richiederne il rilascio tutti i cittadini maggiorenni in possesso di documento di riconoscimento e tessera sanitaria. Da marzo 2022 è possibile rilasciare SPID anche ai minorenni al di sopra dei cinque anni. Lo si può richiedere sotto la supervisione di un genitore, a cui lo SPID del minore è collegato .
Lo SPID può essere rilasciato da dodici gestori di identità digitale, chiamati Identity Provider (IdP) accreditati da AgID. Tra questi ci sono: Aruba, EHT, Infocamere, Infocert, Intesi Group, Lepida, Namirial, Poste Italiane, Register, Sielte, TeamSystem e TIM.
CIE (Carta d'Identità Elettronica)
La CIE o Carta di Identità Elettronica è l’evoluzione della tradizionale carta di identità cartacea, rilasciata dall’ufficio anagrafe del proprio Comune di residenza.
Questa tipologia di Identità Digitale, ha anche una forma fisica. Infatti, la tessera, oltre a riportare i dati anagrafici del cittadino, è dotata di un microchip. Questo contiene ulteriori dati per la fruizione di servizi a valore aggiunto in Italia e in Europa. È inoltre abbinata a una coppia di codici forniti al momento del rilascio della carta fisica.
Da aprile 2023, l’identità digitale basata su CIE si può utilizzare per l’accesso a servizi online con tutti i livelli di criticità. Ciò è possibile grazie alla facoltà di impostare uno username e una password tramite l’app CieID è possibile accedere a servizi a medio-basso livello di criticità. La CIE è possibile utilizzarla anche per l'accesso ai servizi con alto livello di criticità (LoA High, secondo il Regolamento eIDAS). Questo grazie alla lettura della carta (tramite app CieID o lettore di carte elettroniche).
CNS (Carta Nazionale dei Servizi)
La CNS o Carta Nazionale dei Servizi è anch’essa una smartcard dotata di microchip. Essa contiene un certificato digitale a supporto del riconoscimento dell’utente per l’accesso ai servizi online di alcune PA.
Per i cittadini c'è anche un'altra alternativa alla CNS: la tessera sanitaria. Essa, infatti, ha anche valore di CNS. Questa, poi, tramite il supporto di un lettore di carte elettroniche, offre l’accesso a servizi quali Inps, Inail o Agenzia delle Entrate. Dall’altro lato, le CNS erogate a imprese e professionisti permettono anche di consultare le informazioni relative alla propria azienda nel Registro Imprese.
Identità Digitale SPID e Carta d'Identità Elettronica (CIE), differenze e analogie
Inizialmente le due principali identità digitali, SPID e CIE, sono nate come strumenti diversi, anche se per certi aspetti sono complementari. Con le recenti evoluzioni della CIE, però, le evoluzioni recenti della CIE hanno avviato un processo di convergenza tra i due strumenti. Vediamo quali sono le differenze tra i due sistemi e come stanno evolvendo:
Livello di Robustezza
In primis, per loro costruzione tecnologica, i due strumenti sono valorizzabili su servizi diversi. CIE, infatti, ha di default un livello di robustezza (LoA) massimo, corrispondente al livello 3 definito dal regolamento eIDAS. Questo consente l’accesso a servizi fortemente critici, come l’apertura di un conto corrente e la firma della relativa contrattualistica.
È stata attivata anche la possibilità di utilizzare CIE per servizi di livello inferiore. Questo è stato reso possibile attraverso l’utilizzo di username e password ed eventualmente un codice OTP, ricevuto tramite SMS o notifica dall’app CieID.
SPID, invece, è ampiamente usato come un sistema di livello 2, abilitando l’accesso a servizi con un livello di criticità minore, come la richiesta di certificati anagrafici. Vi è anche la possibilità di attivare SPID di livello 3 per servizi più critici, offerta però solo da alcuni gestori di identità digitale e a pagamento.
Rilascio e Attivazione
In secondo luogo, le modalità di attivazione ed erogazione di SPID e CIE sono profondamente diverse.
CIE viene rilasciata dal Ministero dell’Interno al momento della naturale scadenza della carta di identità cartacea o in casi particolari di furto, smarrimento o deterioramento. Praticamente, seguendo dei vincoli amministrativi per il rilascio.
Per quel che riguarda SPID, invece, in qualsiasi momento un cittadino può richiederne il rilascio presso un IdP. Le differenti tipologie di rilascio delineano anche due modalità di diffusione tra la popolazione fortemente diverse, che influenzano anche i successivi utilizzi dei sistemi.
Identità Digitale, SPID e CIE: a che punto siamo?
Come anticipato, il PNRR delinea per questi due sistemi di identità digitale una linea di sviluppo futuro estremamente interessante. Questi sono, infatti, considerati come fondamenta di una piattaforma integrata di identità digitale. Questa piattaforma, poi, costituisce un abilitatore cruciale per un ampio set di progetti e servizi, sia in ambito pubblico sia privato.
Identità Digitale in Italia: i numeri di SPID
Concludiamo la nostra guida con i numeri del fenomeno dell’identità digitale in Italia, che evidenziano la centralità e l'importanza di questo strumento per il nostro Paese. Dopo l’accelerazione della diffusione dei sistemi di identità digitale avvenuta fino al 2021, infatti, c'è stato un momento di stabilizzazione. A partire dal 2022 e per tutto il corso del 2023, infatti, il mercato ha iniziato una fase di consolidamento.
SPID, o Sistema Pubblico di Identità Digitale, è l’identità digitale certificata più utilizzata e conosciuta in Italia. Inoltre è una delle più diffuse identità full-digital, ovvero non basate su smartcard, a livello europeo. Il numero di rilasci , infatti, è passato da poco più di 9 milioni di utenti a luglio 2020 a oltre 36 milioni a fine 2023. Una crescita che ha fatto registrare un aumento del +10%.
SPID è ormai nelle mani del 73% della popolazione maggiorenne, anche se con differenze sostanziali tra gli utenti in base al loro livello di digitalizzazione. Di pari passo con i rilasci, è fortemente cresciuto anche il suo effettivo utilizzo.
Secondo la Ricerca dell’Osservatorio sull'Identità Digitale in Italia solo un decimo dei possessori di SPID è “dormiente”. il resto degli utenti utilizza SPID più volte al mese o più volte all’anno, o è addirittura può essere classificato come un “heavy user”. Inoltre, l’utilizzo di SPID è diventato più organico rispetto al biennio precedente, slegandosi da obblighi imposti, come l’utilizzo del GreenPass, e consolidando il trend del 2022.
Il dato presentato riguardo all'Identità Digitale, segnala una crescente maturità digitale per i cittadini, sempre più avvezzi e familiari con la loro identità digitale. La strada da percorrere è certamente ancora lunga, tanto è vero che la Digital Identity è ancora sotto utilizzata.
Una delle principali ragioni è una rosa di servizi accessibili ancora limitato. Infatti, mentre la quasi totalità delle PA consente l’accesso ai propri servizi con SPID e/o CIE, le imprese private faticano a percepirne il valore.