Inizialmente l’espressione “identità digitale” non indicava una definizione contenuta in un testo di legge, ma veniva utilizzata – anche in ambito giuridico – come sinonimo di identità “in rete” o “virtuale”. Erano considerate manifestazioni dell’identità digitale alcune espressioni della personalità umana (come ad esempio agli account social) e questo concetto era funzionale allo scopo di difendere la reputazione di un soggetto anche sul web: per questa via veniva tutelata anche la possibilità di utilizzare pseudonimi (più spesso noti come nickname) o di creare una proiezione del sé (un avatar) non collegata ai propri dati anagrafici, ma anzi volutamente diversa da quella reale.
In un’altra e più tecnica accezione, l’identità digitale è stata definita come “l’insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore”, partendo dal presupposto che l’utilizzo di una risorsa informatica presuppone quasi sempre un sistema di riconoscimento dell’utente affinché questi vi possa accedere, e collegando in tal modo le modalità di autenticazione informatica all’identificazione a mezzo di strumenti informatici del soggetto utilizzatore.
Di recente l’accezione “ID digitale” è passata ad indicare l’uso della tecnologia per affermare e dimostrare la propria identità personale, così come essa risulta dai dati anagrafici pubblici relativi al soggetto interessato: da ciò sono nati lo SPID (sigla che sta per Sistema Pubblico di Identità Digitale, disciplinato dall’art. 64 del D. Lgs. 82/2005 o CAD, Codice dell’Amministrazione Digitale) e ancor più di recente la Carta d’Identità Elettronica (c.d. CIE).
Questa esigenza va di pari passo con la digitalizzazione dei servizi fruibili via web, in particolare quelli pubblici, che hanno sempre di più l’esigenza di identificare con esattezza chi è l’utente che ne chiede l’erogazione o semplicemente la consultazione: si pensi ad esempio all’accesso al proprio cassetto fiscale in ambito tributario o alla propria cartella clinica in ambito sanitario.
Diversamente dai servizi offerti dai privati, in cui è fondamentale da un lato l’effettività del pagamento (ad es. nell’e-commerce il problema non è l’identificazione di chi effettua l’acquisto ma che questi sia in grado di pagarlo) e dall’altro la sicurezza dell’accesso (soprattutto in abito bancario e assicurativo) onde impedire la sottrazione di risorse o le frodi, nei servizi pubblici l’esigenza prioritaria è proprio l’identificazione dell’utente sia per il loro valore legale (si pensi a quanto sia importante, anche per le sanzioni ad essa collegate, l’iscrizione alla scuola dell’obbligo di un figlio) che per la riservatezza e la confidenzialità di alcune informazioni cui danno accesso (abbiamo fatto cenno a quelle sanitarie, ma anche le informazioni patrimoniali hanno certamente un rilevante risvolto collegato alla tutela della privacy).
Se guardiamo ai testi normativi attuali, nel Regolamento UE 910/2014 – c.d. Regolamento eIDAS – troviamo diverse definizioni ma nessuna relativa all’identità digitale; viene infatti definita l’«identificazione elettronica» come il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica; i «mezzi di identificazione elettronica» vengono indicati come un’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online; i «dati di identificazione personale» sono definiti come un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica; il «regime di identificazione elettronica» è individuato quale il sistema per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche; ed infine l’«autenticazione» viene descritta come un processo che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica.
La nostra legislazione nazionale, invece, nel CAD all’art. 1, comma 1, lett. u-quater) definisce esplicitamente il concetto di identità digitale come: “la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità fissate nel decreto attuativo dell’articolo 64”.
Potremmo pertanto dire che mentre il legislatore italiano ha cercato di definire l’identità digitale in quanto tale, quello Europeo abbia guardato più al risultato del suo utilizzo e ai mezzi e ai processi necessari per ottenerlo.
La legislazione di matrice comunitaria e quella interna conoscono diversi livelli di sicurezza nell’identificazione elettronica e nell’attribuzione dell’identità digitale, nella consapevolezza che non sempre il servizio offerto richiede la piena identificazione del soggetto richiedente.
I livelli di garanzia per i mezzi di identificazione elettronica stabiliti dal Regolamento eIDAS sono 3: il livello «basso» riduce il rischio di uso abusivo o alterazione dell’identità; quello «significativo» riduce significativamente il rischio di uso abusivo o alterazione dell’identità; mentre il livello «elevato» ha «lo scopo di impedire l’uso abusivo o l’alterazione di identità». I requisiti specifici dei predetti livelli sono disciplinati dal un diverso atto normativo: il Regolamento di Esecuzione 2015/1502. Solo il livello di garanzia elevato prevede in sede di rilascio il riconoscimento tramite la fotografia dell’utente o comunque mediante caratteristiche biometriche.
La Carta di Identità Elettronica (c.d. CIE), a sua volta disciplinata dal Regolamento UE 2019/1157, a seguito della procedura di notifica prevista dal più volte citato Regolamento eIDAS, è stata riconosciuta come strumento di identificazione elettronica di livello più elevato in tutti gli Stati dell’Unione Europea e quindi è valida sia come documento di identificazione tradizionale che come mezzo di identificazione elettronica con il massimo livello di garanzia.
Anche la normativa nazionale in tema di SPID definisce tre livelli di sicurezza che vengono declinati facendo riferimento alla specifica tecnologia utilizzata, ma che non sono totalmente sovrapponibili ai livelli di garanzia previsti dalla normativa eIDAS. Essi rispecchiano la finalità per il quale il sistema è nato: consentire l’accesso da remoto ai servizi della PA come la presentazione di istanze o la richiesta di certificazioni, non necessariamente l’identificazione personale dei cittadini.
Il Sistema Pubblico di Identità Digitale è infatti un insieme di soggetti pubblici e privati che, a fronte dell’accreditamento da parte dell’Agenzia per l’Italia Digitale (AgID), identificano gli utenti per consentire loro il compimento di attività e l’accesso ai servizi in rete forniti sia dalla Pubblica Amministrazione che dai soggetti privati che vi aderiscono; l’identificazione avviene attraverso un’unica Identità Digitale utilizzabile indifferentemente da computer, tablet e smartphone.
I suoi tre livelli di sicurezza possono essere così esemplificati: il primo permette di accedere ai servizi online attraverso un nome utente e una password scelti dall’utente; il secondo, dedicato ai servizi che richiedono un grado di sicurezza maggiore, permette l’accesso attraverso un nome utente e una password scelti dall’utente, la generazione di un codice temporaneo di accesso (one time password) o l’uso di un’APP, a sua volta fruibile attraverso un dispositivo (es smartphone); il terzo livello prevede l’utilizzo di ulteriori soluzioni di sicurezza e di dispositivi fisici (es smart card) che vengono erogati dal gestore dell’identità.
La Carta d’Identità Elettronica (o CIE) è, invece, l’evoluzione della carta di identità in versione cartacea ed ha la stessa valenza identificativa di un documento di identità tradizionale. Ha le dimensioni di una carta di credito o un bancomat ed è costituita da: un supporto di materiale plastico in policarbonato, su cui sono stampati a laser la foto e i dati del cittadino, protetti con elementi e tecniche di anticontraffazione, come ologrammi e inchiostri speciali; un microchip contactless che contiene i dati personali, la foto e le impronte del titolare, protetti da meccanismi che ne prevengono la contraffazione e la lettura impropria; le informazioni per consentire l’autenticazione in rete da parte del cittadino a servizi erogati in rete da pubbliche amministrazioni e imprese; ulteriori dati per la fruizione di servizi a valore aggiunto, in Italia e in Europa. Su ciascuna CIE è riportato un numero di serie stampato sul fronte in alto a destra ed avente il seguente formato: 2 lettere – 5 numeri – 2 lettere (ad esempio CA00000AA). Tale numero è il Numero Unico Nazionale. I dati stampati sul documento o memorizzati all’interno del microchip sono:
Comune emettitore
Nome
Cognome
Luogo e data di nascita
Sesso
Statura
Cittadinanza
Immagine della firma del titolare
Validità per l’espatrio
Fotografia
Immagini di 2 impronte digitali (un dito della mano destra e un dito della mano sinistra)
Nome e cognome del padre e della madre (nel caso di un minore)
Codice fiscale nei formati alfanumerico e codice a barre
Estremi dell’atto di nascita
Indirizzo di residenza
Comune di iscrizione AIRE (per i cittadini residenti all’estero);
È evidente che essa sia molto più affidabile di qualsiasi altro mezzo di identificazione elettronica con la limitazione di essere utilizzabile solo attraverso uno specifico lettore contactless o con la maggior parte dei tablet/smartphone purché dotati di interfaccia NFC.
Quest’ultimo limite è in corso di superamento in quanto a marzo di quest’anno sono state pubblicate le istruzioni per attivare le credenziali di livello 1 (username e password) e 2 (username, password e SMS), oltre che la procedura per il recupero del codice PUK e da maggio il sistema è uscito dalla fase sperimentale. Per attivare dette credenziali è necessario inserire nella pagina dedicata sul portale istituzionale del Ministero dell’Interno (https://www.cartaidentita.interno.gov.it/attiva/) metà codice PUK ricevuto insieme alla tessera dal Comune in fase di rilascio, nel caso in cui si fosse smarrito il codice PUK si può seguire l’apposita guida sempre messa a disposizione dal ministero all’indirizzo: https://www.cartaidentita.interno.gov.it/info-utili/recupero-puk/ tenendo in considerazione il fatto che, per ragioni di sicurezza, sarà necessario attendere 48 ore.
Lo stesso Parlamento Europeo, che sta procedendo alla revisione del Regolamento 910, sembra orientato a prescrivere l’utilizzo esclusivamente di servizi di livello “elevato” anche nell’ambito dell’identità digitale, il che comporterà per il sistema italiano, nel quale attualmente è certamente più diffuso lo SPID che non la CIE, la necessità di attuare soluzioni-ponte o quanto meno chiedere una maggiore gradualità nel passaggio da uno strumento all’altro, nella consapevolezza che, preso atto della sostanziale identificazione tra identità digitale e identità personale, la certezza dell’identificazione è più che mai necessaria sia verso la Pubblica Amministrazione che nei rapporti tra privati.