Prospettive

Accesso passwordless per il Digital Identity Wallet europeo. Una doppia sfida tra diffidenza e digital divide

Il Digital Identity Wallet europeo tra un anno e mezzo introdurrà un nuovo modo di accedere, gestire e condividere la propria identità. Per i cittadini sarà una rivoluzione, per Innovery è già ora una sfida, quella di garantire loro un utilizzo sicuro di questo strumento. Allo studio c’è una soluzione innovativa e passwordless ispirata alla sicurezza del mondo bancario che unisce blockchain, crittografia e SPID per garantire a ogni utente il controllo dei propri dati. 

Pubblicato il 30 Set 2022

shutterstock_1419514517

Dietro al sogno di una Schengen del digitale c’è una roadmap concreta: primo step l’European Digital Identity Wallet (EUDI), entro settembre 2023. Per implementarlo e gestirlo stanno emergendo varie iniziative, le più urgenti riguardano la protezione dei dati e la loro libera e consapevole condivisione da parte dei cittadini. È questa la strategia che anche Innovery sta perseguendo con un’applicazione che combina tecnologie prese in prestito dal mondo bancario all’interno di un approccio passwordless basato su chiavi crittografate. Un progetto che avanza passo a passo, consapevole della resistenza che dovrà affrontare. Per il digital wallet in sé e per la scomparsa delle password: anche se difficili da ricordare, per molti rappresentano ancora lo strumento “normale” per proteggere le proprie credenziali.

EUDI entro il 2023, nuove opportunità e nuovi rischi

I primi passi di questa iniziativa si inseriscono nel contesto di un progetto pilota già in corso, in collaborazione con alcuni atenei italiani.

MyAcademicID o European Student Identifier è infatti nato nel 2019 per permettere agli studenti di autenticarsi per i loro studi all’estero direttamente attraverso l’account della propria università. Una facility basata sul bridge con nodi nazionali eIDAS, che collega identità accademiche e persone fisiche. Il primo output, pre-European Digital Wallet, è stata una piattaforma di gestione identità e accessi per l’autenticazione ai servizi elettronici relativi al programma Erasmus+. Questo strumento ha migliorato user experience, fruibilità, affidabilità e ridotto l’effort amministrativo del processo, lasciando però i dati esposti a un certo livello di rischio perché registrati in un unico luogo. Oggi a questo primo step possono seguirne molti altri, tecnologicamente più sfidanti, proprio alla luce del portafoglio europeo digitale che cambia lo scenario e apre nuovi orizzonti.

La prima volta che se ne è sentito parlare ufficialmente è stato il 3 giugno 2021, quando la Commissione Europea ha condiviso le raccomandazioni per lo sviluppo di un sistema di riconoscimento interoperabile in cui archiviare e utilizzare i dati legati all’identità digitale per l’accesso a un ampio e diversificato set di servizi. Il 22 febbraio 2022 è stata la volta dell“European Digital Identity, Architecture and Reference Framework” con l’invito per gli Stati membri a sviluppare un Toolbox con architettura, quadro di riferimento (ARF), best practice e specifiche tecniche. In USA esiste già un progetto simile, la patente di guida digitale, ma è parzialmente gestito da privati. L’Unione Europea non vuole seguire questa strada e, con queste due mosse, ha preso in mano la situazione, promettendo l’EUDI entro l’autunno del 2023.

“Basato su blockchain e distributed ledger, è una combinazione di diversi prodotti e servizi fiduciari che permette di richiedere, ottenere e archiviare in modo sicuro le proprie informazioni. Servirà per l’accesso a servizi online, la condivisione di dati e la firma elettronica di documenti, ma non solo. Introdurrà nuove opportunità e procedure anche in ambiti come mobilità, salute, istruzione e finanza digitale” spiega Mauro Bossi, Business Line Manager di Innovery Group.

Sicurezza e centralità delle persone: la scommessa passwordless di Innovery

Mentre ogni Stato membro è intento a implementare l’EUDI, Innovery sta elaborando una soluzione che mantiene al centro le persone garantendo loro privacy e controllo sulla condivisione delle proprie informazioni.

Nuovi principi giuridici e nuove tecnologie, hanno infatti innescato un’evoluzione del suo originario progetto pilota verso un approccio decentralizzato, che fa leva su blockchain e crittografia ZKP (zero-knowledge proof) per garantire la sicurezza dei dati.

In linea sia con i principi dell’Agid che con il regolamento eIDAS, la nuova soluzione di Innovery “fa convergere varie tecnologie già in uso soprattutto nel mondo banking all’interno di un’applicazione per l’accesso protetto all’EUDI. Ogni cittadino, entrandovi, potrà così memorizzare e scambiare informazioni in modo sicuro, sempre mantenendone il controllo. Sarà sia web che mobile, con un’area privata accessibile dopo il primo accreditamento in modalità passwordless secondo le specifiche FIDO2” precisa Bossi.

Nella fase di registrazione, infatti, avviene uno scambio di chiavi, una pubblica memorizzata sul server europeo e una privata che resta sul dispositivo dell’utente. È proprio per lo sblocco di quest’ultima che Innovery ha scelto di introdurre innovazione sostituendo la classica password con fattori biometrici più sicuri.

“Non ci illudiamo che possa avere subito una larga diffusione. Il wallet europeo e la nostra soluzione impattano sulle abitudini delle persone, solo con interventi istituzionali che li renderanno indispensabili, verranno adottati in maniera diffusa. È comunque necessario approcciare soluzioni innovative, ma a piccoli passi, perché il rischio di un investimento troppo anticipato rispetto ai tempi di rientro è poi difficile da sostenere” sottolinea Bossi. Al di là delle deadline dell’Unione Europea, infatti, il portafoglio digitale europeo diventerà realtà solo quando avrà superato la diffidenza di molti e colmato il digital divide di alcuni, che rischierebbero altrimenti l’esclusione da servizi anche essenziali.

Dal banking al wallet: nuove tecnologie per i diritti digitali degli europei

La buona notizia confermata da Innovery è che, almeno lato tecnologie, non ci sono ostacoli all’orizzonte. “Sono tutte disponibili per rispondere alle attuali concrete esigenze, in completa aderenza alle normative più stringenti” spiega Bossi riferendosi a quelle per il wallet ma anche per l’applicazione progettata, illustrandole una a una.

Lo SPID fa da identity provider e da attribute provider, e poi verifica gli attributi per l’accesso. Già compatibile con le specifiche eIDAS, è ideale perché rilascia le identità dopo una fase di riconoscimento visivo e i dati a essa associati sono già certificati.

Il modello passwordless serve per registrare il dispositivo e autenticare l’utente, ma anche per autorizzare l’accesso ai dati introducendo uno scambio di informazioni criptate che ne garantiscono l’inalterabilità. Elimina i rischi legati alle password e semplifica fortemente la fruizione.

La SSI (Self-Sovereign Identity) mantiene il focus sull’utente assicurandogli il pieno controllo dei propri dati personali e di quelli che intende condividere. La DLT opera invece come strato di comunicazione tra emittenti e verificatori di identità, consentendo uno scambio di informazioni sicuro e trasparente. La sua natura decentralizzata potenzia anche la scalabilità orizzontale della soluzione, spingendola ben oltre i limiti delle tecnologie e architetture tradizionali concorrenti.

Completa il quadro il protocollo crittografico ZKP, che assicura una condivisione e una verifica delle informazioni senza che siano rivelati dati non necessari. Un ulteriore innalzamento del livello di sicurezza che Innovery vuole offrire agli utenti.

Nel futuro prossimo, potrebbero essere gli studenti che orbitano attorno agli atenei con cui Innovery collabora a sperimentare questa applicazione. I suoi utilizzi potenziali superano però i confini del mondo accademico, spaziando in ambiti più cruciali. Nella sanità, per esempio, permetterebbe di condividere esami o cartelle cliniche nella massima sicurezza consentendo agli europei di beneficiare di cure specialistiche anche al di fuori dei confini nazionali.

Garantirebbe protezione e controllo dei dati anche in altri contesti, in cui l’identità digitale in wallet promette di semplificare la vita dei cittadini. Nel cambio di gestore di un contratto telefonico o energetico, nell’apertura di un nuovo conto corrente con migrazione del proprio portafoglio, oppure nell’accensione di un mutuo con una banca diversa dalla solita. Tutte operazioni oggi gestite spesso in modo ibrido, se non del tutto “analogico” ma che, trasferite online, potranno risultare più sicure e certificate. E, dopo averci preso l’abitudine, anche più comode.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4