In arrivo l’European Digital Identity Wallet. La privacy si gioca nei contatti inter dominio
15 Novembre 2023
Si tratta di un sistema composito di identificazione plurivalente che risiede in una semplice app. Certamente un mattone importante nella costruzione del sistema digitale unico europeo però – senza i corretti standards tecnici privacy – può trasformarsi anche in uno strumento di sorveglianza e di profilazione. Le specifiche tecniche sono il cuore del sistema EUDI Wallet Ogni Stato Membro dovrà adottare sistemi di interoperabilità al fine di sviluppare norme, specifiche tecniche e protocolli comuni necessari per garantire che tutti i portafogli funzionino allo stesso modo in tutta l'UE e offrano le stesse funzionalità, sicurezza e caratteristiche di protezione dei dati. Il cuore del sistema di identità digitale UE sono soprattutto le specifiche tecniche. Tant'è vero che è stato richiesto il parere dell'ENISA sugli standards tecnici da applicare e sulla costituzione dei certificati per i siti web atti all'accettazione e al riconoscimento dell'app sull'identità digitale europea. Nel parere di ENISA “Identità Digitale. Analisi dei requisiti di standardizzazione a supporto di politica di sicurezza informatica” del luglio 2023 si espongono i vari standards di identificazione esistenti però si conclude che attualmente non esiste un modello che riesca da solo a coprire tutte le funzioni necessarie per l'EU Digital Identity Wallet. Pertanto, sono stati attivati 4 progetti pilota per costruire e testare dei modelli di portafogli adeguati. Al netto di tutti i vari standards da utilizzare per la costruzione del modello adeguato, quest'ultimo in ogni caso dimostra delle forti criticità privacy nelle dinamiche di interoperabilità, nei collegamenti interdominio. In che modo i sistemi saranno interoperabili e funzioneranno tra i diversi Stati membri? Vorrebbe saperlo il Garante Privacy Europeo che esprime forti perplessità. Il Garante Privacy Europeo. “Dove stiamo andando con le identità digitali?” Il Garante europeo della protezione dei dati (EDPS) Wojciech Wiewiórowski nel documento del 7.02.23 “Dove stiamo andando con le identità digitali?” si interroga sulle criticità privacy insite nei meccanismi di interoperabilità (https://edps.europa.eu/system/files/2023-02/23-02-07_ww-enisa_en_2.pdf) «[…] un'altra area che merita un'attenta riflessione ed esplorazione di possibili alternative sono le opzioni di progettazione tecnica e organizzativa per il collegamento interdominio e transfrontaliero delle identità, attualmente implementate attraverso il cosiddetto identificatore unico e persistente e il processo di corrispondenza. Questo identificatore crea intrinsecamente rischi per gli individui, come la piena e forse inutile capacità di collegare i dati personali tra settori e attori con ampie conseguenze in caso di furto di identità, sorveglianza e, naturalmente, abuso da parte delle pratiche di marketing. Sono a conoscenza – continua Wiewiórowski - delle soluzioni tecniche che migliorano la privacy basate sulla crittografia, come identificatori pseudonimi o firme elettroniche pseudonime. Non ho una preferenza particolare per una di queste tecniche, ma penso che sia importante che gli organismi di standardizzazione le affrontino con attenzione. […] Per riassumere, il portafoglio europeo di identità digitale è un istituto che non è solo progettato per semplificare la nostra vita digitale, ma che può anche potenzialmente creare ulteriori vantaggi per la nostra privacy e la protezione dei dati. Il raggiungimento di questo potenziale non dipende solo dal Regolamento, ma anche molto dall'attuazione e, in particolare, dall'architettura tecnica, dalle norme di riferimento e dai meccanismi di certificazione che verranno invocati». L'uso dei servizi Internet in modo sicuro non implica a tutti i costi un'identificazione generale forte osserva il GEPD: «ho spesso protestato contro l'idea che un'identificazione generale forte sia la conditio sine qua non per l'utilizzo dei servizi Internet. Sebbene l'identificazione possa essere necessaria in alcuni casi (i servizi finanziari ne sono l'esempio migliore), non è assolutamente necessaria per la maggior parte di Internet. C'è però la tendenza a spingere gli utenti verso l'identificazione: in teoria per rendere i servizi più sicuri, nella pratica per tracciare gli utenti e profilarli». (fonte: Diritto e Giustizia) |