Il problema della sovranità sui dati personali con IT-Wallet

L’identità digitale è uno strumento essenziale che permette ai cittadini di autenticarsi online e usufruire dei servizi digitali tramite l’utilizzo dei propri dati. L’attuale contesto europeo disciplina l’identità digitale con il Regolamento eIDAS 2.0, il quale ha introdotto il sistema innovativo dell’European Digital Identity Wallet (EUDIW), recepito a livello nazionale con il progetto IT-Wallet. Tale sistema, tuttavia, potrebbe non porsi perfettamente in linea con il modello di Self-Sovereign-Identity, in cui è centrale la sovranità del cittadino sui propri dati, presentando alcuni dubbi in termini di autonomia e decentralizzazione. 

Nell’ambito della trasformazione digitale il concetto di identità digitale ha ormai primaria importanza da oltre dieci anni ed è divenuta uno strumento fondamentale per i cittadini. Nel contesto odierno, essere dotati di un’identità digitale è divenuto un requisito essenziale per poter usufruire di servizi pubblici digitali. A tal fine, assume rilievo l’evoluzione dei sistemi di gestione delle identità digitali disciplinati dall’Unione europea, svolgendo un ruolo di coordinamento tra i diversi Stati nazionali in tema di regolazione digitale (G. Sgueo, Il ‘Minilateralismo digitale’ – Sistemi di governo reticolari e tecnologie emergenti). La natura del problema della gestione dei sistemi delle identità digitali si basa su un binomio di modelli contrapposti: da un lato la gestione accentrata delle identità, in cui lo Stato mantiene il controllo dei dati, e dall’altro la Self-Sovereign-Identity (SSI). Quest’ultimo, modello auto-sovrano di identità, rappresenta un superamento del primo poiché garantisce maggior fiducia e sicurezza al cittadino che ne usufruisce. Il motivo risiede nel funzionamento stesso della SSI, il quale si basa su un sistema decentralizzato che consente un’autenticazione a tutela della privacy e della sovranità dei dati del soggetto. 

Nella gestione dei sistemi di identità digitale è intervenuta la disciplina europea, in primo luogo con “eIDAS 1.0” (Regolamento UE 910/2014) e in un secondo momento con “eIDAS 2.0” (Regolamento UE 1183/2024), il quale, a differenza del primo, mira a promuovere una maggiore flessibilità applicativa. Lo scopo dell’attuale disciplina è quello di regolamentare i sistemi informatici per le identità digitali da utilizzare nel contesto dell’European Digital Identity Wallet (EUDIW), di cui si ha l’applicazione nel sistema italiano nella nota app “IO”, permettendo ai cittadini di custodire un portafoglio digitale contenente dati personali, documenti e certificati informatizzati (come la patente o la tessera sanitaria). 

Il regolamento eIDAS dispone che ogni Stato membro debba fornire almeno un portafoglio europeo di identità digitale e che esso possa essere fornito attraverso una delle seguenti modalità: 

a) direttamente dallo Stato membro; 

b)su incarico dello Stato membro; 

c)indipendentemente dallo Stato membro pur essendo riconosciuto da quest’ultimo. 

Nella ratio del regolamento il wallet europeo rappresenta la nuova frontiera per permettere ai cittadini comunitari di “richiedere, ottenere, selezionare, combinare, conservare, cancellare, condividere e presentare in modo sicuro, con il controllo esclusivo dell’utente, dati di identificazione personale e, se del caso, in combinazione con attestati elettronici di attributi (…), al fine di accedere ai servizi pubblici e privati” (c. 4a art. 5bis Reg.UE 2024/1183).  

Rappresenta dunque un sistema per raccogliere e governare i propri dati personali e i certificati digitali emessi dalle autorità pubbliche (c.d. “Qualified Electronic Attestation of Attributes” – QEAA), facilitando così l’accesso ai servizi pubblici e superando la frammentazione dei sistemi attuali. 

Su quest’ambito si pone il lavoro di Sitouah, Bruschi e De Cillis del Politecnico di Milano intitolato “Enabling SSI-Compliant Use of EUDI Wallet Credentials through Trusted Execution Environment and Zero-Knowledge Proof”, uno studio che propone un’architettura alternativa a quella definita dal regolamento eIDAS 2.0 per l’EUDI Wallett. 

La necessità di un sistema diverso per il wallet europeo, e in particolare la sua declinazione italiana “IT-wallet” sviluppata nella app “IO”, è ispirata a tre punti chiave evidenziati dagli autori, che non permettono al sistema definito dal Regolamento europeo di garantire la piena conformità al principio della Self-Sovereign-Identity (SSI): 

1. la centralità dell’autorità pubblica nel processo di verifica dei certificati, che non consente al cittadino di certificare autonomamente verso soggetti terzi autorizzati (c.d. “Relying Parties”) i propri attestati;
2. l’esclusività dei dati di identificazione emessi dall’autorità statale (c.d “Personal Identification Data” – PID) come base giuridica per l’autenticazione, che non garantisce l’anonimizzazione completa verso i fornitori dei wallet, permettendo loro di identificare il cittadino; 
3. l’obbligatorietà della registrazione presso l’autorità statale in capo ai soggetti terzi verificatori. Questa procedura instaurerebbe un ulteriore adempimento burocratico, con relativi costi organizzativi e finanziari, per i soggetti pubblici e privati che desiderano far parte del sistema eIDAS 2.0. 

Anche nel processo di creazione e verifica delle credenziali definito dall’architettura di EUDI Wallett vengono identificati degli aspetti critici:  

• la portabilità delle credenziali dipende dalla disponibilità costante degli endpoint di stato di tutti gli attori della federazione OpenID coinvolti nella verifica di una determinata condizione; l’indisponibilità di uno degli endpoint di stato, che potrebbe verificarsi per un problema tecnico del server dell’autorità pubblica coinvolta, impedirebbe la verifica delle credenziali;  

• la non-ripudiabilità delle prove, cioè la certezza legale e tecnica che una certa azione sia stata svolta, come il rilascio di una credenziale, è minata da: 

• la possibilità che la chiave privata di un ente (es. un ufficio pubblico) venga rubata, dando la possibilità a un soggetto malintenzionato di emettere documenti falsi che appaiono validi; 

• la natura tecnica delle risposte degli endpoint di stato, che si configurano come oggetti web JSON senza crittografia o firme digitali, impedendo l’attestazione delle prove in modalità offline in assenza di ulteriori elementi che possano dimostrarne la validità. 

Per risolvere le criticità citate gli autori propongono la creazione di un ulteriore wallet personale, sviluppato in un’area sicura (c.d. “Trusted Execution Environment” – TEE) del proprio dispositivo mobile, che si integri con gli strumenti attualmente previsti nell’IT-Wallet. All’interno di quest’area dovrebbero essere svolti i principali processi di verifica delle informazioni esportate dall’IT wallet (ad esempio, la validità della patente emessa dal Ministero). Questo passaggio creerebbe una prova inoppugnabile, auto-consistente e opponibile a terzi della veridicità di tali informazioni. 

L’architettura alternativa e maggiormente compatibile coi principi del SSI si configura nei seguenti passaggi: 

1. l’utente accede all’IT-Wallet (l’app IO) usando SPID o CIE e richiede una credenziale certificata, come i dati sanitari, a un fornitore autorizzato (QEAA); 
2. la credenziale viene esportata dall’app IO a un SSI-Wallet esterno e personale; questo nuovo portafoglio deve essere installato su un dispositivo dotato di TEE; 
3. il SSI-Wallet fa un primo controllo rapido all’esterno del TEE per risparmiare energia e risorse: verifica che le firme siano corrette e che i server dello Stato siano online e confermino la validità del documento;  
4. il SSI-Wallet attiva l’enclave (la zona blindata del processore) per analizzare il documento originale. Per evitare che qualcuno intercetti i dati, la comunicazione con l’esterno avviene attraverso un “tunnel” crittografato (TLS) che parte direttamente dall’interno della zona sicura; 
5. dentro l’enclave, il sistema valida definitivamente i dati e i “marchi di fiducia”. Produce quindi una prova attestata dall’hardware: un certificato digitale che garantisce che il controllo è avvenuto dentro un processore sicuro e che i dati non sono stati manipolati; 
6. il SSI-Wallet crea una nuova credenziale JWT-VC. Questa contiene un “rapporto di attestazione”: un documento che chiunque può verificare per avere la certezza che quella credenziale è nata dentro un ambiente sicuro (SGX) e seguendo regole rigide;  
7. per permettere ai soggetti terzi di verificare l’attestato (es: un hotel che deve controllare la validità della patente di un suo ospite), il SSI-Wallet genera una Zero-Knowledge Proof (ZKP), ovvero una “prova sintetica” che garantisce la certezza del processo descritto nei passaggi precedenti;  
8. il SSI-Wallet invia questa prova ZKP a uno Smart Contract sulla blockchain che controlla la prova e, se è valida, emette un evento di transazione; l’evento rimane scritto per sempre nella cronologia della blockchain; 
9. il soggetto terzo (l’hotel) può così verificare l’attestato del soggetto interessato (l’ospite) utilizzando la credenziale JWT-VC fornita dal SSI Wallet (punto 6) e il relativo riferimento all’evento sulla blockchain (punto 8), interrogando la blockchain per vedere se esiste quella “ricevuta” emessa dallo Smart Contract. Se la ricevuta esiste ed è collegata alla credenziale dell’utente, l’hotel ha la certezza della validità del documento. 

Come evidente dal terzo passaggio, il processo dipenderebbe ancora dalla disponibilità dei server statali per la conferma della validità delle credenziali. Tuttavia, la credenziale così generata e verificata sarebbe, da un lato, autonomamente verificabile in modalità offline, in quanto salvata in un dispositivo personale; dall’altro, valida per un certo periodo di tempo, poiché gli autori partono dall’ipotesi che gli attestati (come la patente o la tessera sanitaria) non siano sensibili “al secondo”, non dovendo così verificarne la validità in ogni istante. 

Il sistema così progettato garantirebbe ai cittadini la tutela dei propri dati, uno dei diritti maggiormente messi alla prova nel contesto digitale (B. Scialla, La regolamentazione dei nuovi poteri digitali: una sfida per il costituzionalismo moderno?), senza compromettere gli impatti positivi della transizione digitale. La creazione di un wallet personale e sicuro sarebbe maggiormente aderente ai principi della Self-Sovereign-Identity (SSI), costituendo la base per una maggiore autonomia del cittadino dai soggetti pubblici e privati coinvolti nei processi di autenticazione e certificazione. 

Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0