Il Portafoglio di Identità Digitale Europeo prende forma grazie alla revisione del regolamento eIDAS, approvata con il Regolamento (UE) 2024/1183 e divenuta effettiva nel maggio 2024. L’obiettivo della Commissione europea è quello di offrire a tutti i cittadini un strumento unico, interoperabile e riconosciuto in tutti gli Stati membri, capace di custodire in formato digitale i principali documenti personali e di semplificare l’accesso a servizi pubblici e privati.
Gli Stati membri hanno l’obbligo di rendere disponibile almeno un wallet certificato entro la fine del 2026, in seguito all’adozione degli atti di esecuzione pubblicati tra il 2024 e il 2025. La norma introduce anche vincoli per i fornitori di servizi privati, soprattutto nei settori regolamentati come banche, telecomunicazioni, trasporti, sanità ed energia, che entro il 2027 dovranno accettare il wallet quando richiesto dal cliente. L’utilizzo rimarrà comunque volontario, ma la diffusione sarà favorita da un meccanismo di obbligatorietà nell’accettazione da parte delle grandi piattaforme.
Per garantire uniformità, la Commissione ha adottato una serie di atti di esecuzione nel 2025. Essi definiscono il funzionamento del registro dei soggetti autorizzati, le procedure di certificazione dei wallet, le regole di gestione degli incidenti di sicurezza e l’integrazione con le trust list europee. Accanto al quadro giuridico, è stato sviluppato un Architecture and Reference Framework (ARF) che stabilisce i protocolli, i formati e i livelli di sicurezza minimi. Questo strumento è essenziale per evitare frammentazioni e garantire che un wallet italiano funzioni senza differenze tecniche in Francia, Germania o Finlandia.
Meccanismi di funzionamento e uso quotidiano
Il percorso dell’utente inizia con l’onboarding all’interno dell’app ufficiale predisposta dallo Stato. Per l’attivazione occorre un riconoscimento forte che soddisfi i requisiti eIDAS di livello High. Una volta superata la fase di identificazione, vengono caricati i Personal Identity Data (PID) e, su richiesta, le Attestazioni Elettroniche Qualificate di Attributi (QEAA), come la patente, il diploma, le abilitazioni professionali o i certificati sanitari. Tutti questi elementi sono firmati digitalmente da fornitori di servizi fiduciari qualificati e resi disponibili nel wallet.
Quando un servizio richiede una prova di identità o di una specifica caratteristica, il wallet consente di presentare solo i dati necessari. In un controllo su strada, per esempio, basterà mostrare la validità della patente senza dover rivelare altre informazioni personali. Nelle interazioni online, il wallet utilizzerà protocolli come SD-JWT Verifiable Credentials o gli standard ISO 18013-5/7, che permettono di condividere dati attraverso QR, NFC o sessioni sicure.
Uno dei principi cardine del progetto è la tutela della privacy. Ogni condivisione di dati deve essere autorizzata dall’utente, che potrà visualizzare in tempo reale quali attributi sono stati richiesti e decidere se concederli o meno. Tecniche come le Zero-Knowledge Proofs consentono di dimostrare il possesso di un requisito, ad esempio l’età minima per acquistare un prodotto, senza rivelare la data di nascita completa. In questo modo si abbatte il rischio di tracciabilità e si garantisce la minimizzazione dei dati, in linea con il GDPR.
Sicurezza, governance e scenari applicativi
Ogni wallet dovrà essere certificato attraverso schemi comuni gestiti a livello europeo. Verranno creati registri ufficiali che elencheranno i provider di wallet autorizzati, gli emittenti di identità e attributi, e i soggetti privati registrati per poter interrogare il sistema. L’inserimento nelle trust list europee sarà la condizione necessaria per operare, e la non conformità comporterà sospensioni o revoche.
La sicurezza non è un aspetto opzionale: il regolamento prevede procedure chiare per la segnalazione degli incidenti. In caso di compromissione, il fornitore del wallet dovrà avvisare tempestivamente gli utenti, notificare l’accaduto a livello europeo e attuare misure correttive. L’ENISA, l’Agenzia europea per la cybersicurezza, ha già avviato i lavori per uno schema di certificazione specifico per i wallet, che sarà integrato nel Cybersecurity Act e rappresenterà il sigillo di qualità e sicurezza delle applicazioni.
Dal 2026 in avanti, il Digital Identity Wallet diventerà uno strumento polivalente. Si userà per accedere ai servizi pubblici nazionali ed europei senza password, per aprire un conto bancario a distanza, per firmare un contratto di lavoro con una firma elettronica qualificata, per mostrare la ricetta medica elettronica valida anche all’estero o per presentare un titolo di studio in fase di candidatura a un’università straniera. In aeroporto potrà funzionare come Digital Travel Credential, mentre in ambito lavorativo e scolastico potrà sostituire attestati cartacei e certificati fisici, abbattendo tempi e burocrazia.
