1. Introduzione

Nell'ultimo decennio, la digitalizzazione ha trasformato radicalmente il modo in cui cittadini e imprese interagiscono con i servizi pubblici e privati, introducendo nuove forme di accesso ai servizi sicure, accessibili e user-friendly.

In Italia, il Decreto-Legge n. 19 del 2 marzo 2024, convertito, con modificazioni, dalla Legge n. 56 del 29 aprile 2024, ha introdotto l'articolo 64-quater del Decreto Legislativo n. 82 del 7 marzo 2005, istituendo il Sistema di Portafoglio Digitale Italiano - Sistema IT-Wallet. Il Sistema IT-Wallet consente a persone fisiche o giuridiche di accedere a servizi pubblici e privati attraverso la presentazione sicura di Attestati Elettronici, attestanti diritti, deleghe, caratteristiche, licenze o qualifiche. L'articolo 64-quater prevede inoltre l'adozione di uno o più decreti attuativi per definire le regole che disciplinano il funzionamento del Sistema IT-Wallet, compresi i ruoli delle entità coinvolte, i requisiti tecnici e di sicurezza, e i principi di sostenibilità economica, di cui queste Specifiche Tecniche – redatte attraverso un processo aperto e collaborativo – costituiscono parte integrante.

Grazie al Sistema IT-Wallet, le persone fisiche e giuridiche possono fornire direttamente, tramite il proprio Wallet, le informazioni necessarie per accedere ai servizi offerti da enti pubblici e privati sotto forma di Attestati Elettronici. Analogamente a un portafoglio fisico, un'Istanza del Wallet può contenere dati relativi all'identità o ai documenti, come la patente di guida o la tessera sanitaria, nonché una vasta gamma di informazioni digitali verificabili, come una qualifica professionale, un diploma di istruzione, una licenza o un attributo certificato.

I principali ruoli nell'ecosistema Wallet sono elencati di seguito:

• Fornitore di Attestati Elettronici: soggetti che rilasciano Attestati Elettronici agli Utenti;

• Verificatori di Attestati Elettronici: soggetti che richiedono all'Utente presentazioni di Attestati Elettronici, per finalità di Autenticazione e autorizzazione;

• Utenti: individui che possiedono un'Istanza del Wallet e hanno il controllo sugli Attestati Elettronici che possono richiedere, acquisire, memorizzare e presentare alle Verificatori di Attestati Elettronici;

In questo modello, il Fornitore di Attestati Elettronici (ad esempio, un'istituzione educativa) fornisce Attestati Elettronici all'Utente, che può memorizzarle nella propria Istanza del Wallet. L'Istanza del Wallet è tipicamente fornita come applicazione mobile sullo smartphone dell'Utente.

Ciò che distingue questo nuovo approccio dai precedenti sistemi di gestione dell'accesso all'identità è che gli Attestati Elettronici si riferiscono a caratteristiche, qualità o proprietà, già autenticate alla fonte. Questi Attestati Elettronici possono essere utilizzate dall'Utente senza che i Fornitori di Attestati Elettronici siano a conoscenza del loro utilizzo. Durante l'uso degli Attestati Elettronici, nessuna informazione sull'utilizzo viene rilasciata a terze parti poiché la relazione è esclusiva tra l'Utente e il Verificatore di Attestati Elettronici, in modo trasparente e informato. Lo sviluppo del Sistema IT-Wallet include un processo di sperimentazione graduale, finalizzato a testare il Wallet e valutarne l'impatto in contesti reali. Questo processo è progettato per validare componenti tecniche, elementi di esperienza utente e meccanismi di interoperabilità, garantendo al contempo un'adozione progressiva e controllata del Sistema. Inoltre, supporta il miglioramento continuo del Sistema IT-Wallet e il suo graduale allineamento con il Portafoglio Europeo di Identità Digitale (EUDI Wallet), sia in termini di architettura che di conformità con le specifiche europee in evoluzione.

Altri elementi chiave che caratterizzano questo nuovo paradigma di Portafoglio di Identità Digitale includono:

• Riservatezza e controllo: i Wallet consentono agli individui di mantenere il controllo sulle informazioni fornite all'interno degli Attestati Elettronici presentate. Possono scegliere quali attributi o Attestati Elettronici presentare e a chi;

• Sicurezza: i Wallet sfruttano meccanismi crittografici per l'integrità e la sicurezza dei dati scambiati. Ciò evita il furto di identità, le frodi e gli accessi non autorizzati;

• Interoperabilità: i Wallet promuovono l'interoperabilità consentendo a diversi sistemi e organizzazioni di riconoscere e verificare le identità, abilitando interazioni affidabili tra individui, organizzazioni e persino oltre i confini;

• Efficienza e riduzione dei costi: gli individui possono gestire facilmente i propri Attestati Elettronici, evitare di gestire più token di identità e ridurre i processi ripetitivi di verifica dell'identità.

1.1. Ambito

Queste Specifiche Tecniche sono destinate a completare le Linee Guida previste dall'articolo 64-quater del Decreto Legislativo n. 82/2005 (CAD). Sia le Linee Guida che queste Specifiche Tecniche, una volta formalmente adottate, diventeranno parte del quadro normativo per il Sistema IT-Wallet. Saranno periodicamente aggiornate, ove necessario, alla luce dei risultati della fase di sperimentazione, dell'adozione di nuovi atti legislativi nazionali o europei e dei requisiti in evoluzione in termini di sicurezza e interoperabilità. Queste Specifiche Tecniche perseguono due obiettivi principali e rappresentano una componente fondamentale del quadro di implementazione per il Sistema IT-Wallet.

Il primo obiettivo è quello di fornire un insieme chiaro e strutturato di raccomandazioni, risorse e requisiti di progettazione relativi agli elementi del Sistema IT-Wallet che impattano sull'Esperienza dell'Utente. Il documento, distinguendo tra aspetti normativi obbligatori e buone pratiche progettuali e implementative, mira a fornire agli enti pubblici e privati interessati a partecipare al Sistema IT-Wallet quanto necessario per:

• facilitare la comprensione e l'adozione del Modello di Servizio, aumentando il numero di potenziali servizi e opportunità di utilizzo per l'Utente;

• adottare l'Identità Visiva del Sistema IT-Wallet al fine di migliorarne l'affidabilità e la riconoscibilità per l'Utente;

• garantire la coerenza di progettazione tra macro-funzionalità e singole interazioni tra l'Utente e i Touchpoint del servizio;

• mantenere un adeguato livello di qualità, promuovendo i principi di usabilità, accessibilità e inclusività.

Il secondo focus è definire l'architettura tecnica e il quadro di riferimento che servirà da linea guida per tutte le parti coinvolte nello sviluppo delle Soluzioni Tecniche del Sistema IT-Wallet.

Documentazione, strumenti e risorse aggiuntive - di seguito definite Risorse Ufficiali - per la progettazione e lo sviluppo delle Soluzioni Tecniche del Sistema IT-Wallet saranno rese disponibili sul prossimo sito web http://www.wallet.gov.it.

1.2. Linguaggio Normativo e Convenzioni

Le parole chiave "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY" e "OPTIONAL" in questo documento devono essere interpretate come descritto in BCP 14 [RFC2119] [RFC8174] quando, e solo quando, appaiono in maiuscolo, come mostrato qui.

1.3. Come leggere le Specifiche

Questa specifica è progettata per soddisfare i requisiti di molteplici stakeholder all'interno dell'ecosistema IT-Wallet. Ogni ruolo ha responsabilità e ambiti diversi e diverse esigenze informative. Questa sezione fornisce percorsi di lettura personalizzati per aiutare il lettore a navigare in modo efficiente verso i contenuti più rilevanti per gli obiettivi di implementazione.

1.3.1. Panoramica della Struttura delle Specifiche

La specifica è organizzata nelle seguenti sezioni principali:

Sezione Introduzione:

Stabilisce l'ambito e il linguaggio normativo per l'ecosistema IT-Wallet.

Sezione Principi di design:

Fornisce principi di progettazione e requisiti di identità visiva dell'ecosistema IT-Wallet.

Sezione Panoramica dell'Architettura:

Fornisce funzionalità di sistema di alto livello e guida per navigare nella specifica in base ai requisiti di implementazione.

Sezione L'Infrastruttura di Trust:

Definisce il modello di trust basato sulla federazione, le relazioni tra entità e i meccanismi di valutazione della fiducia che proteggono l'intero ecosistema.

Sezione Entità:

Requisiti di implementazione completi per ogni partecipante all'ecosistema: Soluzioni Wallet, Fornitori di Credenziali, Relying Party e Fonti Autentiche, inclusi i loro componenti, modelli di interazione e requisiti di configurazione.

Sezione Gestione degli Attestati Elettronici:

Copre i modelli di dati e i formati delle Credenziali Elettroniche, la gestione del ciclo di vita, la verifica della validità e la struttura del catalogo delle Credenziali.

Sezione Flussi relativi agli Attestati Elettronici:

Guida dettagliata all'implementazione per i flussi di emissione e presentazione delle Credenziali Elettroniche, inclusi i flussi di interazione remota e di prossimità.

Sezione Endpoints:

Specifiche tecniche per tutti gli endpoint API esposti da ciascun tipo di entità, inclusi gli endpoint di federazione e le integrazioni di servizi specializzati.

Sezione Algoritmi Crittografici, Considerazioni di Sicurezza e Privacy, e Politiche Generali di Conservazione dei Log (Supporto all'Implementazione):

Requisiti crittografici, considerazioni sulla sicurezza e sulla privacy, e politiche di conservazione dei log essenziali per implementazioni conformi.

Sezione Termini Definiti e Riferimenti, Come contribuire, e Rilasci Open Source (Terminologia e Riferimenti):

Terminologia completa, riferimenti normativi, linee guida per i contributi.

Sezione Appendice:

Fornisce dettagli tecnici supplementari, modelli di implementazione e framework di test, inclusa la gestione delle istanze di applicazioni mobili, specifiche di integrazione della piattaforma nazionale e matrici di test complete per la validazione dell'ecosistema.

1.3.2. Percorsi di Lettura per Ruolo

Prima di immergersi nelle sezioni specifiche per ruolo, tutti i lettori dovrebbero familiarizzare con i concetti fondamentali delineati nelle Sezioni Introduzione, Panoramica dell'Architettura e L'Infrastruttura di Trust, che stabiliscono il vocabolario comune, i principi di progettazione e l'infrastruttura di fiducia che forniscono il quadro sottostante per l'intero ecosistema.

1.3.2.1. Fornitore di Wallet

I lettori che implementano o gestiscono una Soluzione di Fornitore di Wallet dovrebbero concentrarsi sulla comprensione di come gestire in modo sicuro le Credenziali Elettroniche e facilitare le interazioni dell'Utente con altri partecipanti all'ecosistema.

Sezioni essenziali:

• Sezione Soluzione Wallet: Requisiti completi di implementazione del Wallet, componenti e processi di interazione.

• Sezione Gestione degli Attestati Elettronici: Modelli di dati, formati e gestione del ciclo di vita delle Credenziali Elettroniche.

• Sezione Flussi relativi agli Attestati Elettronici: Flussi di emissione e presentazione per le Credenziali Elettroniche.

• Sezione Endpoint del Fornitore di Wallet: Specifiche API per la federazione e specifiche per IT-Wallet.

• Sezione Algoritmi Crittografici: Requisiti di implementazione per sicurezza e crittografia.

• Sezione Istanza dell'Applicazione Mobile: Modelli di implementazione specifici per dispositivi mobili.

• Sezione e-Service PDND: Integrazione con la Piattaforma Nazionale di Interoperabilità dei Dati.

Sezioni secondarie:

• Sezione Soluzione del Fornitore di Attestati Elettronici: Comprensione delle interazioni e dei requisiti del Fornitore di Credenziali.

• Sezione Soluzione di Relying Party: Comprensione delle interazioni con le Relying Party e dei protocolli di presentazione.

1.3.2.2. Fornitore di Credenziali

Per i lettori interessati all'implementazione di una Soluzione di Fornitore di Credenziali, dovrebbero concentrarsi sul ciclo di vita delle Credenziali Elettroniche e sui flussi di interazione per l'emissione.

Sezioni essenziali:

• Sezione Soluzione del Fornitore di Attestati Elettronici: Soluzione di Fornitore di Credenziali - Requisiti completi di implementazione e dettagli dei componenti.

• Sezione Fonti Autentiche: Comprensione dei modelli di integrazione con fonti di dati autorevoli.

• Sezione Gestione degli Attestati Elettronici: Formati delle Credenziali Elettroniche e gestione del ciclo di vita.

• Sezione Emissione di Attestati Elettronici: Implementazione dettagliata del flusso di emissione.

• Sezione Endpoint del Credential Issuer: Specifiche API per la federazione e specifiche per l'emissione.

• Sezione Algoritmi Crittografici: Algoritmi di firma e requisiti di implementazione della sicurezza.

Sezioni secondarie:

• Sezione Soluzione Wallet: Comprensione delle interazioni e dei requisiti dell'Istanza del Wallet.

• Sezione Presentazione della Credenziale Digitale: Comprensione di come le Credenziali Elettroniche vengono presentate sia in scenari remoti che di prossimità.

• Sezione e-Service PDND: Integrazione con la Piattaforma Nazionale di Interoperabilità dei Dati.

Nota

Se il Fornitore di Credenziali autentica l'Utente deve conformarsi alla Sezione Presentazione della Credenziale Digitale. Se la Fonte Autentica che fornisce gli attributi dell'Utente appartiene al settore pubblico deve conformarsi alla Sezione e-Service PDND.

1.3.2.3. Fonte Autentica

Se il lettore vuole gestire una Fonte Autentica, l'attenzione dovrebbe essere sulla fornitura sicura dei dati e sull'integrazione con i Fornitori di Credenziali.

Sezioni essenziali:

• Sezione Fonti Autentiche: Requisiti e modelli di integrazione con i Fornitori di Credenziali.

• Sezione Endpoint delle Fonti Autentiche: Specifiche API e integrazione del catalogo.

• Sezione Algoritmi Crittografici: Requisiti di integrità dei dati, autenticazione e sicurezza.

• Sezione e-Service PDND: Integrazione PDND e requisiti di interoperabilità.

Sezioni secondarie:

• Sezione Soluzione del Fornitore di Attestati Elettronici: Comprensione dei componenti principali dei Fornitori di Credenziali e dei processi di integrazione.

• Sezione Gestione degli Attestati Elettronici: Comprensione di come i dati autorevoli e gli attributi diventano Credenziali Elettroniche e di come viene gestito il loro ciclo di vita.

1.3.2.4. Relying Party

I lettori interessati all'implementazione o alla gestione di una Soluzione di Relying Party per accettare e verificare le Credenziali Elettroniche dovrebbero concentrarsi sui protocolli di presentazione e sui meccanismi di verifica.

Sezioni essenziali:

• Sezione Soluzione di Relying Party: Requisiti completi di implementazione del Verificatore di Credenziali.

• Sezione Gestione degli Attestati Elettronici: Comprensione dei formati delle Credenziali Elettroniche e verifica della validità.

• Sezione Presentazione della Credenziale Digitale: Implementazione del flusso di presentazione sia per scenari remoti che di prossimità.

• Sezione Endpoint della Relying Party: Specifiche API relative alla federazione e alla verifica.

• Sezione Algoritmi Crittografici: Requisiti della suite crittografica.

Sezioni secondarie:

• Sezione Soluzione Wallet: Comprensione delle interazioni dell'Istanza del Wallet e dei protocolli di presentazione.

• Sezione Istanza dell'Applicazione Mobile: Modelli di implementazione specifici per dispositivi mobili.

1.3.3. Argomenti Trasversali

Indipendentemente dal ruolo principale, alcune sezioni contengono informazioni rilevanti per tutti i partecipanti all'ecosistema:

Sicurezza e Conformità:

Tutti gli implementatori devono implementare le loro soluzioni secondo la Sezione Considerazioni di Sicurezza e Privacy e la Sezione Politiche Generali di Conservazione dei Log.

Standard e Riferimenti:

La Sezione Termini Definiti e Riferimenti fornisce riferimenti normativi, termini definiti e standard tecnici per consentire un'interoperabilità sicura e corretta tra tutti i partecipanti.

Test e Validazione:

La Sezione Piani di Test fornisce una matrice di test completa per la validazione delle implementazioni tra diversi ruoli e flussi di interazione.

1.3.4. Approccio all'Implementazione

Si suggerisce il seguente approccio di lettura in fasi:

1. Fase di Fondazione: Leggere le Sezioni Introduzione, Panoramica dell'Architettura e L'Infrastruttura di Trust per stabilire una comprensione concettuale del paradigma IT-Wallet, dei principi di progettazione e dell'infrastruttura di fiducia.

2. Fase Specifica per Ruolo: Concentrarsi sulle sezioni essenziali del ruolo primario per comprendere i requisiti specifici di implementazione, i componenti tecnici principali, l'architettura generale e i flussi di interazione (vedere la Sezione Entità e la Sezione Endpoints per maggiori dettagli).

3. Fase di Integrazione: Rivedere le sezioni secondarie rilevanti per le interazioni con altri partecipanti all'ecosistema e i requisiti di integrazione della piattaforma.

4. Fase di Validazione: Studiare le considerazioni sulla sicurezza, le linee guida per i test e i requisiti di conformità secondo le Sezioni Considerazioni di Sicurezza e Privacy, Politiche Generali di Conservazione dei Log e Piani di Test per ulteriori informazioni.

Nota

Per gli implementatori che lavorano su soluzioni che coprono più ruoli (ad esempio, una combinazione di Soluzioni di Fornitore di Credenziali e Relying Party), si raccomanda di rivedere le sezioni per tutti i ruoli pertinenti prima di procedere con gli sviluppi. È importante prestare particolare attenzione ai requisiti di Entity Configuration e ai flussi di federazione che si applicano a più ruoli.