In un precedente articolo, sono stati illustrati i pregi ed i difetti della digital identity nelle transazioni finanziarie in base alle nuove raccomandazioni del Gruppo di Azione Finanziaria (GAFI-FAFT). Vediamo ora qual è lo stato dell’arte in alcuni Paesi cui tali raccomandazioni sono indirizzate.
Iniziamo ovviamente dall’Italia, ove il Sistema pubblico di identità digitale (SPID) è stato lanciato nel 2016. Tale sistema consente a soggetti pubblici e privati (accreditati dall’Agenzia per l’Italia digitale) di offrire servizi di registrazione dell’identità digitale a persone fisiche di almeno 18 anni e di autenticare le credenziali dell’ID digitale SPID. Ciò al fine di abilitare le credenziali di una persona fisica identificata per accedere a servizi pubblici a privati. La registrazione SPID può avvenire di persona, online o utilizzando un dispositivo mobile con webcam, a seconda delle procedure di registrazione offerte da un determinato Identity provider.
Per ottenere le credenziali dell’ID SPID, un individuo può fornire a un provider un documento di identità valido (carta d’identità o passaporto), la tessera sanitaria, un indirizzo e-mail e un numero di cellulare, oppure utilizzare la propria firma digitale, la carta di identità elettronica (CIE) o la carta nazionale dei servizi (CNS). L’accettazione di SPID è obbligatoria per il settore pubblico e facoltativa per il settore privato (commerciale e finanziario). La legislazione italiana antiriciclaggio consente, alle entità obbligate, l’utilizzo delle ID digitali per l’identificazione e la verifica dei clienti che sono persone fisiche.
In India viene utilizzato un numero ID univoco (UID). Il numero di ID univoco dell’India – o Aadhaar – è un programma che utilizza molteplici informazioni biometriche e biografiche, nonché la documentazione di identità ufficiale laddove sia disponibile, per fornire un ID digitale a tutti i residenti in India, indipendentemente dall’età o dalla nazionalità.
La Unique Identification Authority of India (UIDAI) ha rilasciato un’app mobile, m-Aadhaar, che genera un numero di “ID virtuale”, collegato ma diverso dal numero Aadhaar, per aumentare la privacy e la sicurezza. Sia il numero Aadhaar che l’ID virtuale possono essere autenticati online, rispetto al database Aadhaar, o offline, utilizzando un codice QR.
Al fine d’inclusione finanziaria, il processo di registrazione di UIDAI Aadhaar prevede requisiti di prova di identità flessibili al fine di ottenere una copertura completa in una giurisdizione in cui molte persone non dispongono di documenti di identità di base e si fonda sulla biometria per stabilire l’univocità. L’iscrizione deve essere effettuata di persona presso gli uffici pubblici autorizzati situati in tutto il paese. Misure speciali sono utilizzate per iscrivere donne, bambini, anziani, persone con disabilità, tribù nomadi e tutti gli altri gruppi emarginati / vulnerabili di persone che non hanno alcuna dimora permanente.
Ai sensi dell’Amending Aadhaar Act, adottato nel luglio 2019 per conformarsi alla decisione della Corte Suprema del 26 settembre 2018, che ha annullato alcune disposizioni dell’AAhahaar Act originale per motivi di privacy, l’uso di Aadhaar rimane obbligatorio a fini fiscali e per ricevere benefici, sussidi e servizi governativi finanziati dal Fondo consolidato dell’India, ma non è più obbligatorio aprire un conto bancario (o ottenere un numero di cellulare). Invece, l’uso di Aadhaar per la customer due diligence è strettamente volontario e deve basarsi sul consenso informato del cliente.
In Svezia, il governo, che mantiene un database centrale delle identità di tutti i cittadini svedesi e di coloro che vi risiedono, facilita l’identificazione digitale attraverso un partenariato pubblico-privato. Il governo fornisce infatti il sistema delle ID digitali mentre i soggetti privati, comprese le banche, agiscono come fornitori di servizi di ID digitali, emettendo credenziali di ID digitali e fornendo servizi di autenticazione.
Lanciato per la prima volta nel 2003 e gestito da un consorzio di 10 banche svedesi, BankID fornisce ai clienti un ID digitale gratuito, che può essere utilizzato per autenticare l’identità per condurre transazioni nel settore pubblico e privato. Nei servizi finanziari tale ID può essere utilizzato da coloro che sono già clienti di un istituto di credito. Infatti, ab initio, per ottenere un ID bancario, il soggetto richiedente deve sottoporsi ad un’attività di customer due diligence documentale da parte della banca che emette l’ID digitale. Una volta ottenuto, BankID banca può quindi essere utilizzato per aprire un conto con altri istituti finanziari. A partire dal 2016, l’identità digitale BankID ha facilitato 2 miliardi di transazioni all’anno ed è stato utilizzato da oltre l’80% dei cittadini svedesi. Ai fini antiriciclaggio l’uso dell’ID digitale per l’identificazione / verifica dei clienti è esplicitamente previsto dalla normativa AML / CFT.
In Estonia, esistono numerosi sistemi di identificazione digitale disponibili. Ad esempio:
• Carte d’identità: costituiscono il documento di identificazione principale in Estonia, sono obbligatori per tutti i cittadini e residenti e sono l’opzione di identificazione digitale più utilizzata. La carta d’identità ha una fotografia e un chip che memorizza in modo sicuro i dati di identità personale e i certificati di firma digitale, utilizzando l’infrastruttura a chiave pubblica (PKI).
• Mobile-ID è un servizio di identificazione digitale del settore privato, che può essere utilizzato tramite il telefono cellulare di una persona. L’ID mobile viene emesso da un fornitore di telecomunicazioni in relazione alla SIM e alla carta d’identità di una persona. Il servizio deve essere attivato sul sito Web del PPA (Police and Border Guard Board).
• Smart-ID è un servizio di ID digitale del settore privato che utilizza l’API Smart-ID sul telefono cellulare di una persona e il servizio del server di gestione delle chiavi Smart-ID. Lo Smart-ID può essere rilasciato a persone con un codice di identificazione personale estone. Funziona in modo simile alla carta d’identità e all’ID mobile nell’identificare e verificare un cliente.
Le soluzioni di identificazione digitale estone vengono utilizzate per l’identificazione / verifica dei clienti al momento dell’ingresso nel mondo finanziario, nonché per effettuare la c.d. strong authentication dei clienti in conformità con la seconda direttiva sui servizi di pagamento. Ai fini della normativa antiriciclaggio l’autorità estone di vigilanza finanziaria ha affermato che le soluzioni di identificazione digitale (ovvero le informazioni ottenute mediante autenticazione con ID digitale) non possono essere fonte esclusiva per verificare l’identità del cliente.
Da una lettura trasversale di quanto riportato emerge dunque che, anche se con diverse modalità, molti Stati hanno avviato l’utilizzo diffuso delle identità digitali fondamentalmente per interfacciarsi con le Pubbliche amministrazioni e favorire l’inclusione finanziaria (si pensi a quanto scritto per l’India o a quanto avviene in Cina). Ciò che preoccupa ovviamente è riconducibile ad utilizzi distorti delle nuove possibilità che tale strumento può fornire. Ma di questo ho già scritto. Molteplici però le opportunità che si aprono.
Il percorso che rimane da fare, dunque, è ancora lungo ma la strada risulta essere stata tracciata.
