Tutto quello che devi sapere sull’identità digitale
Dalla definizione agli ultimi sviluppi del “wallet”, le identità digitali spiegate semplici
Tutte le risposte di cui hai bisogno per navigare in modo consapevole nel vasto e sempre più complesso mondo dell’identità digitale.
In questo articolo scoprirai:
Con il rapido sviluppo della tecnologia e l’aumento delle attività e dei servizi online, l’identità digitale è oggi uno dei pilastri fondamentali della nostra vita quotidiana. Intorno ad essa esiste però un “mondo”, fatto di ruoli, definizioni e concetti tecnologici e normativi. Il significato e la natura di questo mondo è spesso conosciuto solo agli operatori del settore, ma è utile per comprendere meglio le identità digitali, uno strumento che tutt’oggi è in evoluzione e sarà sempre più necessario nel futuro.
Facciamo quindi un po’ di ordine con una guida completa sull’identità digitale, per conoscerne i principi di base e approfondire le sue implicazioni nel mondo del business e della governance.
In questo articolo troverai tutte le risposte di cui hai bisogno per navigare in modo consapevole nel vasto e sempre più complesso mondo dell’identità digitale.
Che cos’è l’identità digitale
Per rispondere alla domanda “che cos’è l’identità digitale” è utile soffermarsi dapprima sulle caratteristiche e sulle qualità dell’identità nel mondo fisico.
Nel mondo fisico, infatti, l’identità è strettamente legata al possesso di un numero limitato di documenti (anch’essi “materiali”, come la carta di identità e il passaporto) che riportano e certificano le informazioni sulla persona che li porta con sé. La veridicità delle informazioni è quindi immediatamente verificabile con osservazioni empiriche e oggettive. Questi documenti, inoltre, sono largamente e comunemente accettati anche fuori dai confini nazionali.
Molto cambia, invece, nel mondo digitale. Essendo slegate dalla nostra presenza fisica, le identità digitali servono a dare certezze su chi è l’utente che interagisce dall’altra parte dello schermo. Per questo non è sufficiente esibire una foto del documento, ma è indispensabile fare affidamento su istituzioni e aziende private che, ognuna per il suo ruolo, danno vita a un cosiddetto “ecosistema” che si basa su un’infrastruttura tecnologica e grazie ad esso sono in grado di garantire la sicurezza e la verifica dell’identità.
Gli ecosistemi in cui vengono utilizzate le identità digitali possono essere diversi e afferire a diversi ambiti. Ad ogni persona fisica, dunque, possono corrispondere più identità digitali, a seconda di quanti sono gli ecosistemi con cui si ha bisogno di interagire.
Per fare un esempio concreto, possiamo considerare identità digitali sia le credenziali per accedere al nostro account di posta elettronica, sia quelle per accedere al nostro home banking. Tuttavia difficilmente potremo utilizzare l’una per accedere all’altro servizio e viceversa: ogni identità digitale, come vedremo, può avere un diverso livello di sicurezza.
La definizione dell’Osservatorio Digital Identity
Alla luce di queste considerazioni, l’Osservatorio Digital Identity del Politecnico di Milano ha definito l’identità digitale in questo modo:
L’identità digitale è un insieme di dati che consentono di identificare univocamente una persona, un’azienda o un oggetto e che vengono raccolti, memorizzati e condivisi digitalmente all’interno di un ecosistema di attori e attraverso le tecnologie abilitanti e che permette l’accesso a servizi digitali a valore aggiunto.
L’identità digitale, dunque, rispetto a un qualsiasi documento cartaceo ha l’enorme vantaggio di poter dimostrare non solo i dati anagrafici, ma, come sottolinea l’Osservatorio, un insieme di diverse tipologie. I dati che costituiscono un’identità digitale si possono quindi categorizzare in questo modo:
- i dati che connotano l’identità, ovvero i dati biometrici e anagrafici
- gli attributi, quindi i dati che definiscono alcune qualità e caratteristiche dell’identità
- i dati “transazionali”, derivanti dagli scambi che quell’identità ha all’interno dell’ecosistema (quindi dati sanitari, finanziari etc..)
Si precisa inoltre che nel contesto italiano, con il termine “identità digitale” si fa solitamente riferimento a una delle due identità digitali riconosciute dallo Stato, anche denominate “identità digitali governative”: SPID e CIE.
Cosa sono gli attributi dell’identità digitale
Gli “attributi” sono tutte le informazioni che esulano dai dati anagrafici e biometrici, ma aiutano a definire meglio e arricchire l’identità digitale. Per esempio, un attributo può essere il fatto di possedere una o più patenti di guida, di possedere certificazioni o brevetti ma anche una laurea. Gli attributi delle identità digitali diventeranno molto importanti con l’attivazione dell’European Digital identity Wallet, la cui idea alla base è proprio quella di essere un “portafogli” con cui potremo dimostrare in tutta Europa non solo la nostra identità, ma anche tutti i nostri attributi.
Il Level of Assurance
Si è detto che ognuno di noi può possedere più di un’identità digitale e scegliere di volta in volta quale usare a seconda dell’ecosistema con cui dobbiamo interagire e quindi del servizio digitale a cui vogliamo accedere. SPID e CIE, per esempio, sono due identità digitali cosiddette “governative”, quindi emesse all’interno dell’ecosistema della Pubblica Amministrazione e utilizzate principalmente per accedere ai servizi della PA.
Ciò che differenzia un’identità digitale dall’altra, però, è anche il suo livello di sicurezza, o “Level of Assurance” (abbreviato LoA), che dev’essere adeguata al tipo di servizio a cui danno accesso: il nostro account e-mail, per esempio, non ha un livello di sicurezza tale da permettere l’accesso al portale dell’Agenzia delle Entrate per la dichiarazione dei redditi, livello che invece è adeguato sia in SPID che in CIE.
Come si valuta il Level of Assurance? Il regolamento europeo sui servizi digitali eIDAS individua tre livelli di sicurezza, assegnati sulla base delle modalità di identificazione, cioè il processo con cui è stata verificata l’identità del proprietario dell’identità digitale al momento della creazione dell’identità digitale stessa, e quelle di autenticazione, cioè l’insieme dei passaggi e verifiche che devono essere effettuate ogni volta per utilizzare l’identità digitale.
Per questo motivo gli account e-mail o social non possono essere considerate identità digitali adatte ad accedere ai servizi della PA. SPID e CIE, invece, hanno modalità di identificazione e autenticazione più complesse, e per questo hanno rispettivamente livelli di sicurezza 2 e 3. Con il decreto dell’8 ottobre 2022 del Ministero dell’Interno con il Ministero per l’Innovazione Tecnologica e la Transizione Digitale e il Ministero dell’Economia e delle Finanze, tuttavia, per CIE è stata inoltre aggiunta la possibilità di utilizzo con Livello di Sicurezza 2 (corrispondente al Level of Assurance Substantial), che ne ha semplificato molto il processo di autenticazione, favorendone la diffusione.
Leggi anche: Che differenza c’è tra CIE e SPID?
Gli attori dell’ecosistema
Nella definizione dell’Osservatorio Digital Identity sopra riportata di fa riferimento a un “ecosistema di attori”, cioè quell’insieme di istituzioni e aziende private che, ognuna per il suo ruolo, rende possibile la creazione, la verifica e il funzionamento delle identità digitali.
Ma chi sono gli attori dell’ecosistema, e che ruoli hanno? Vediamoli di seguito:
1. Utente
Probabilmente il ruolo più importante all’interno dell’ecosistema, e cioè il proprietario dell’identità e colui che interagirà con i servizi.
2. Identity Provider
Le realtà che erogano e gestiscono le identità digitali. Nella maggior parte dei casi si tratta di aziende private che attuano un processo di riconoscimento e verifica dell’identità. Nel caso di SPID, che assieme a CIE è una delle due identità digitali governative riconosciute dallo Stato italiano, gli identity provider devono essere accreditati da AgID rispettano le regole emesse dall’Agenzia stessa. Per CIE, invece, l’identity provider è il Ministero dell’Interno.
3. Service Provider
Un service provider può essere considerato chiunque offra un servizio digitale a cui si accede tramite l’identità digitale. Nel caso in cui si voglia dare accesso ai propri servizi attraverso le identità digitali governative SPID e CIE, oggi molto diffuse, i service provider è necessario diventare un service provider accreditato e attenersi a un’apposita convenzione con AgID.
4. Technology Provider
Le realtà che forniscono l’infrastruttura tecnologica di verifica e utilizzo delle identità digitali.
5. Aggregatori
Gli aggregatori I soggetti aggregatori sono pubbliche amministrazioni o privati che offrono a terzi (cosiddetti “soggetti aggregati”) la possibilità di rendere accessibili con SPID e CIE i rispettivi servizi, e rappresentano una grande opportunità per tutte quelle aziende che, per i motivi più svariati, non sono in grado di ottenere l’accreditamento AgID come service provider privati.
6. Le attribute authority
I soggetti che hanno il potere di attestare la presenza di abilitazioni o autorizzazioni legati all’identità digitale, come l’iscrizione ad albi, elenchi o registri pubblici.
7. Gli "Issuer" e i "Verifier"
In un modello di identità digitale a “wallet”, come per esempio l’European Digital Identity Wallet, si indica col termine generico “Issuer” tutti gli enti, pubblici o privati, che emettono le attestazioni degli attributi dell’identità digitale. Tali attestazioni diventano a quel punto “verificabili” anche da altri enti pubblici o privati. I “verifier”, per l’appunto. Gli Issuer, inoltre, possono poi essere certificati o meno. Gli Issuer certificati emettono QEAAs (Qualified Electronic Attestation of Attributes) come possono essere la patente, i certificati di pagamento o i certificati sanitari. Gli Issuer non certificati emettono semplicemente delle EAAs (Electronic Attestation of Attributes), come per esempio biglietti di viaggio o certificati personali.
La differenza tra identity provider e service provider
Soprattutto nel caso di SPID, l’identità digitale più diffusa in Italia in questo momento, sembra in questo contesto opportuno sottolineare la differenza tra gli identity provider e i service provider. Per “identity provider SPID” si fa riferimento a tutte le realtà che rilasciano le credenziali SPID, come per esempio Poste Italiane. Con “service provider SPID”, invece, si fa riferimento a tutte le realtà che si sono accreditate AgID per poter abilitare l’accesso con SPID nei loro servizi. Un identity provider SPID, dunque, non è necessariamente un service provider SPID e viceversa: è possibile ottenere l’accreditamento come service provider SPID pur non avendo la possibilità di erogare le credenziali.
Scarica il white paper gratuito: Le identità digitali per il customer self onboarding
Come interagiscono gli attori: i modelli di identità digitale
A seconda di come gli attori dell’ecosistema, così come sopra descritti, interagiscono tra di loro e a seconda dell’infrastruttura tecnologica prescelta, le identità digitali si possono suddividere in 4 modelli, definiti così dall’Osservatorio Digital Identity del Politecnico di Milano:
Gli ultimi sviluppi: l’EUDI Wallet e l’IT Wallet
Come si è detto, il contesto delle identità digitali in Italia e in Europa è in forte evoluzione. Nel 2021, l’UE ha avviato i lavori per creare l’European Digital Identity (EUDI) Wallet, parte di una revisione del regolamento eIDAS, che mira a digitalizzare vari attributi, oltre ai documenti di identità. Parallelamente, in Italia, è stato lanciato il progetto IT Wallet, un’iniziativa nazionale che anticipa l’EUDI Wallet, che consentirà di digitalizzare la patente e le certificazioni all’interno dell’app IO di PagoPA.
Mentre l’IT Wallet ed l’EUDI Wallet condividono il concetto di identità digitale, tuttavia, sono progetti distinti. L’EUDI Wallet è infatti parte di un’ampia iniziativa dell’UE che coinvolge vari Stati membri, con passaggi legislativi e formali tutt’ora in corso. I progetti pilota sono stati assegnati a consorzi internazionali come il Consorzio POTENTIAL, ma la sua realizzazione è soggetta a sfide tecnologiche, normative e di business.
In entrambi i progetti, la novità maggiore risiede nella struttura ad “attributi”, che consentiranno di dimostrare titoli professionali, certificazioni e altro ancora con benefici per utenti e aziende, migliorando flussi di onboarding e autenticazione.
Leggi anche: IT o EUDI Wallet? Cosa succede con le identità digitali in Italia
Questo significa che l’EUDI e l’IT Wallet sostituiranno completamente SPID e CIE? Uno spegnimento di SPID o CIE non è ancora previsto e sarebbe probabilmente controproducente, data la loro diffusione, ma potrebbero assumere nuovi ruoli. Sia l’IT che l’EUDI Wallet dovrebbero quindi tener conto degli investimenti che sono stati fatti su queste identità digitali e valorizzare il contributo di chi ha creduto in SPID e CIE come sistemi di autenticazione.
Scopri le soluzione per la trasformazione digitale della tua azienda:
Cosa sono gli attributi dell'identità digitale?
Gli “attributi” sono tutte le informazioni che esulano dai dati anagrafici e biometrici, ma aiutano a definire meglio e arricchire l’identità digitale. Continua a leggere.
Che cos'è il Level of Assurance (LoA)?
Con Level of Assurance (abbreviato LoA) si intende il livello di sicurezza delle identità digitali, suddiviso su tre livelli: Low, Substantial e High., SPID, per esempio, ha un LoA "Substantial", mentre CIE nasce con un LoA "High" ma può essere utilizzata anche con un livello di sicurezza inferiore. Continua a leggere.