Il 2022 è stato un anno molto importante per l’identità digitale. In Italia, a fine settembre 2022 32,2 milioni di cittadini sono in possesso di SPID (+30% rispetto allo stesso periodo del 2021), con rilasci e accessi in continuo aumento. Il Sistema Pubblico di Identità Digitale è nelle mani del 63% della popolazione maggiorenne, ma con una distribuzione non omogenea né per fasce d’età né per area geografica. Tutti i ragazzi della fascia 18-24 anni possiedono SPID, situazione molto diversa tra gli oltre 75 anni dove meno di 1 su 4 ha attivato la propria identità digitale. Anche a livello geografico, ci sono molte differenze: si passa dal record del Lazio, dove il 74% della popolazione ha SPID, seguito da Lombardia (70%) ed Emilia-Romagna, Campania e Piemonte (62%), fino agli ultimi posti di Calabria (54%), Marche (53%) e Molise (con il 52%). In Italia, tuttavia, non esiste solo SPID, ma cresce anche la diffusione della Carta d’Identità Elettronica: 31,3 milioni di cittadini sono in possesso del documento, +29% rispetto a settembre 2021. Questi livelli di diffusione posizionano l’Italia già oltre gli obiettivi definiti nel PNRR per il 2024, raggiunti quindi con ben due anni di anticipo. Tuttavia, la partita delle identità digitali in Italia è tutt’altro che conclusa.
A livello europeo, i sistemi di identità digitale che negli scorsi anni stavano attraversando una fase di rapido sviluppo hanno continuato il percorso di consolidamento e diffusione tra utenti e aziende, anche se il ritmo di crescita sta progressivamente rallentando. Analizzando i sistemi digitali non basati su Smart Card, si passa dal 95% della popolazione raggiunto in Olanda con il sistema DigiD, seguito dal 79% in Norvegia e il 78% in Svezia con BankID, fino al 9% raggiunto in Repubblica Ceca con MojeID. L’Italia, con SPID (54% del totale della popolazione), raggiunge buoni risultati di diffusione, con tassi di crescita paragonabili a quelli del sistema francese FranceConnect (59%) e del belga itsme (56%). Nel settore si sta facendo strada quella che potrebbe essere una vera e propria rivoluzione, spinta anche dal cambio normativo in atto: il mercato delle identità digitali sta migrando verso il concetto di wallet, che consente di integrare credenziali, certificazioni, pass e altri attributi in un unico strumento nelle mani degli utenti.
Sono i risultati della ricerca dell’Osservatorio Digital Identity della School of Management del Politecnico di Milano.
“L’ecosistema di riferimento della Digital Identity, a livello mondiale, sta attraversando una forte evoluzione verso sistemi di identità digitale sempre più interoperabili e transnazionali”, spiega Giorgia Dragoni, Direttore dell’Osservatorio Digital Identity. “Nella direzione di un wallet digitale si stanno muovendo sia soggetti tradizionali, sia le BigTech. Queste ultime iniziano a scorgere maggiori opportunità di business nell’identità sicura e certificata, si propongono come partner tecnologici degli enti istituzionali nei vari Paesi, mettendo a disposizione competenze su interoperabilità e fruibilità dei loro applicativi, oltre al vastissimo bacino di utenti che attualmente già utilizza le soluzioni da loro erogate”.
L’European Digital Identity Wallet.
A giugno 2021, la bozza di revisione del regolamento eIDAS ha delineato la creazione di un European Digital Identity (EUDI) Wallet. La Commissione europea sembra voler spingere l’allargamento dell’arena competitiva, introducendo un nuovo ruolo, quello di Wallet Provider, che potrebbe potenzialmente essere ricoperto tanto da attori tradizionali quanto da nuovi soggetti. Per sperimentare questo nuovo paradigma sono state incentivate iniziative di collaborazione tra i diversi Paesi per lo sviluppo di wallet, utilizzabili in diversi casi d’uso in ambito pubblico e privato. Nella prospettiva della transnazionalità, a febbraio 2022 è stato lanciato un bando da 37 milioni di euro per lo sviluppo di progetti pilota.
“Siamo davanti a un bivio che potrebbe portare ad una rivoluzione del settore”, afferma Valeria Portale, Direttore dell’Osservatorio Digital Identity. “Se il wallet sarà considerato solo come un nuovo ‘contenitore’ per identità digitali e credenziali esistenti, senza modificare la configurazione attuale del mercato e dell’offerta all’utente, sarà semplicemente un ritocco di quanto siamo già abituati a utilizzare. Se invece davvero si riuscirà a raggiungere l’interoperabilità, abilitando sinergie tra servizi digitali in Stati diversi, allora si assisterà davvero alla rivoluzione dell’identità digitale. L’Italia è chiamata ad affrontare una sfida difficile a fianco di altri paesi europei. Senza una chiara strategia sull’identità digitale, sarà estremamente difficile per le aziende e, più in generale, per l’intero Paese catturare le opportunità generate dal wallet comunitario: è importante lavorare ora per essere davvero parte di questa rivoluzione ed evitare di rimanerne travolti”.
Gli accessi a SPID
Per SPID prosegue la crescita degli accessi osservata negli scorsi anni, anche se si è ancora lontani da un utilizzo strutturale e quotidiano. Nel 2022 SPID è stato mediamente utilizzato dagli italiani 25 volte l’anno (crescita del 14%), contro le 22 del 2021 e le 9 del 2020. Emerge un utilizzo sempre meno trainato da obblighi normativi, come l’accesso al cashback o al proprio greenpass, e sempre più spinto in modo “organico” da servizi chiave per il cittadino.
Nel 2022 ci sono stati importanti sviluppi anche sul piano normativo. È stato definito il ruolo dei soggetti aggregatori di servizi privati, semplificando il processo di adesione per le aziende da un punto di vista amministrativo e tecnologico. Sono state emanate linee guida per i gestori di attributi qualificati (come albi professionali e università), che potranno certificare qualifiche da integrare nel set di dati presente in SPID.
L’identità digitale nelle aziende
La pandemia ha spinto le grandi aziende a offrire modalità di riconoscimento da remoto per garantire continuità di business, ma siamo ancora molto lontani da una visione matura e strategica delle identità digitali. L’80% delle grandi aziende nei settori finance, telco e utility consente di avviare e concludere la procedura di riconoscimento in digitale e, nell’80% dei casi in cui è necessaria una verifica dei dati inseriti dall’utente, effettuarla senza doversi recare allo sportello. Le aziende stanno cominciando a integrare modalità di riconoscimento senza password o pin, sostituendole con fattori di possesso, come l’invio via sms o email di un codice OTP (42% dei casi) o app per generare OTP o notifiche push (18%), ma anche fattori biometrici (solo 8% dei casi). Anche negli ambiti con maggiore maturità, però, manca un’adeguata struttura interna che presidi la gestione dell’identità digitale. E il 63% delle aziende in questi settori non ha mai valutato l’integrazione di sistemi certificati a livello nazionale, come SPID e CIE.
Le aziende hanno finora lavorato a compartimenti stagni, sviluppando sistemi non interoperabili e procedendo senza una visione di insieme. Solo il 12% sta valutando la possibilità di valorizzare il profilo identificativo dell’utente finale per abilitargli l’accesso anche ad altri servizi di terzi, in una logica di wallet. Le occasioni d’uso di SPID e CIE sono evidentemente ancora da potenziare: nonostante tutti gli interventi normativi per rendere più “appetibili” questi sistemi, a ottobre 2022 solo 141 aziende private hanno aderito a SPID e 19 a CIE, ben lontane dalla stima dell’Osservatorio di oltre 175.000 attori potenzialmente beneficiari di sistemi di riconoscimento certificati.
“L’ecosistema italiano deve lavorare per essere pronto al cambiamento portato dagli identity wallet”, afferma Luca Gastaldi, Direttore dell’Osservatori Digital Identity. “È essenziale sviluppare maggiore sensibilità e consapevolezza sull’importanza di identità digitali interoperabili, per creare sinergie tra settori e tra contesti nazionali diversi. Parallelamente, bisogna lavorare su SPID e CIE, affinché siano pronti a un’arena competitiva allargata dalle evoluzioni normative. Delegare il presidio su asset tecnologici e dati contenuti nel wallet nelle mani di pochi attori, ci taglierebbe fuori da questo cambiamento, vanificando di fatto lo sforzo di aver creato un sistema che metta al centro l’utente e il controllo sui suoi dati, snaturando i sistemi nazionali su cui si è investito negli ultimi anni, facendo perdere la posizione nel mercato agli attori che finora hanno sviluppato servizi legati all’identità digitale”.