Lo scorso 5 ottobre 2022 è stato pubblicato in Gazzetta Ufficiale il Decreto 8 settembre 2022 sulle “modalità di impiego della carta di identità elettronica”. Il decreto presenta in maniera ordinata molti degli elementi che contraddistinguono la CIE introducendo di nuovi, definendo meglio il ruolo del documento nel panorama dell’identità digitale sia nazionale che europea.
Come scrive il Ministero dell’Interno, “con l’adozione del provvedimento, la carta di identità elettronica diventa uno strumento digitale più semplice con il quale il cittadino può ancor più agevolmente accedere ai servizi in rete erogati dalle pubbliche amministrazioni e dai privati”.
CIE: cosa cambia con il nuovo decreto
Elenchiamo le principali novità introdotte.
1) CIE e livelli di autenticazione
La prima novità riguarda il livello di autenticazione ai servizi online tramite CIE, con l’introduzione di 3 livelli diversi tra cui i cittadini potranno scegliere in base al livello di sicurezza richiesto dai fornitori.
I livelli sono:
- livello 1, basso: richiede un solo fattore di autenticazione;
- livello2, significativo: richiede l’autenticazione a due fattori;
- livello 3, elevato: CIE e un ulteriore fattore di autenticazione.
Precedentemente, la CIE permetteva solo il terzo livello. Ora, dato che il livello 2 non richiede l’uso di strumenti hardware per l’identificazione, gli utenti potranno certificare la loro identità in rete tramite CIE senza dover usare fisicamente la tessera. Questa semplificazione permetterà una fruizione più snella e facile della propria identità digitale, paragonabile a quella offerta dallo SPID.
Tuttavia, ciò sarà possibile solo quando verrà resa disponibile la funzionalità di configurazione delle credenziali sul portale www.cartaidentita.it. Tramite il portale i cittadini potranno anche aggiornare i propri dati personali, visualizzare il registro delle operazioni effettuate, recuperare il PUK della CIE e, in futuro, manifestare il consenso alla donazione di organi e altro ancora.
L’identità digitale viene verificata con la CIE stessa e con elementi ad essa associati, come i codici PIN e PUK, e il NIS, il numero univoco casuale associato alla CIE e memorizzato nel microchip.
2) CIEId come identità digitale
CIEId non è più solo l’app che permette di utilizzare la carta di identità elettronica per accedere ai servizi online della PA, ma diventa il contenitore dell’identità digitale che il cittadino “riceve” nel momento in cui entra in possesso di una carta di identità elettronica.
Oltre alle informazioni personali di base (nome e cognome, codice fiscale, data e luogo di nascita; sesso), CIEId include altri dati, tra i quali: gli estremi della carta d’identità, l’IdANPR dall’Anagrafe Nazionale Popolazione Residente (se disponibile), recapiti telefonici sia mobile che fissi, l’indirizzo di posta elettronica, il domicilio digitale (facoltativo), la residenza anagrafica.
La nuova identità digitale tramite CIEId è disponibile anche per i minorenni, senza escludere il controllo dei genitori. Tuttavia, il Garante per la Privacy avrà il compito di definire meglio la questione.
3) CIE e SPID
Grazie alla semplificazione vista qui sopra, CIEId si pone come diretto concorrente di SPID. Difatti, all’art. 5 il decreto tratta la presenza di aggregatori e fornitori di servizi tramite CIE e riconosce che, nel caso in cui i FdS privati siano già ammessi alla federazione SPID, l’autorizzazione all’erogazione di servizi tramite CIE sarà soggetta ai soli requisiti tecnici. Inoltre, all’art.16 il decreto introduce il CIEId Server e il suo ruolo analogo e quello del gestore dell’identità digitale SPID.
4) Privacy
Per quanto riguarda la privacy, il decreto richiede al Ministero dell’Interno l’esecuzione di una valutazione d’impatto conformemente all’articolo 35 del GDPR, con approvazione preventiva da parte del Garante. regolamento europeo 2016/679 conforme all’articolo 35 del medesimo regolamento.
5) Registro degli accessi
Il decreto introduce il registro degli accessi, in cui i cittadini possono vedere lo storico degli utilizzi della CIEId. Ciò consente di verificare eventuali usi illeciti della propria identità digitale, anche se potrebbe ricadere in una sorta di tracciamento e quindi sollevare alcuni dubbi in materia di protezione dei dati personali.
6) Carta d’identità elettronica e firma elettronica avanzata
Il decreto ufficializza la possibilità di utilizzare la CIE come firma elettronica avanzata (FEA). A tal proposito, l’articolo 16 del decreto esplicita che il Ministero dell’Interno fornisce all’AgID i certificati delle autorità di certificazione che emettono certificati utili alla generazione delle firme elettroniche avanzate tramite CIE, al fine di pubblicarli nell’elenco di fiducia di cui all’art. 22 del regolamento eIDAS. Inoltre, il Ministero, avvalendosi del Poligrafico, mette a disposizione un applicativo per la verifica e la generazione della firma elettronica avanzate tramite la CIE.
Identità digitale e CIE: il contesto Europeo
CIE (e anche SPID) erano già in precedenza schemi di identificazione conformi ad EIDAS e, quindi, riconosciuti anche in altri stati membri dell’UE. Tuttavia, il nuovo decreto si inserisce in un progetto relativo all’identità digitale comunitaria che, tra le altre, vedrà anche la revisione del regolamento eIDAS nel 2023.
Altra novità europea sarà l’introduzione di EUDI Wallet, l’European Union Digital Identity Wallet, un vero e proprio portafoglio dell’identità digitale europea. SPID e CIE dovranno essere integrati in questo portafoglio che, alla fine, conterrà le diverse espressioni dell’identità digitale di un individuo: dalla patente al passaporto, dai titoli di studio a quelli professionali, nonché licenze e altri dati personali.
Il Wallet sarà inoltre uno strumento di self-sovrane identity, tramite cui gli individui avranno il controllo sui propri dati, ovvero saranno loro a decidere quali trasmettere a una controparte durante una transazione, e non la controparte a imporre una richiesta.
– «Non hai ancora attivato lo SPID Namirial? Scopri come attivarlo velocemente ed in pochi passaggi»