Identità digitale e EUDI Wallet: il nuovo equilibrio tra diritti, mercato e istituzioni. Intervista al Prof. Riccardo De Caria

Riccardo De Caria, Professore associato di Diritto dell’economia all’Università di Torino, e visiting professor presso le università Lyon 3 e Catholique de Lyon. Autore di 2 monografie, due curatele e molti contributi pubblicati in riviste e libri di editori internazionali, insegna Comparative Law and Economics, Diritto pubblico dell’economia e il laboratorio Entrepreneurship and Innovation Law Lab. Ha co-fondato la rivista internazionale Journal of Law, Market & Innovation, è Co-Chair dell’Italian hub dello European Law Institute e Affiliate del Collegio Carlo Alberto. È stato Principal Investigator di uno Jean Monnet Module e di un Progetto di Ricerca di Rilevante Interesse Nazionale (PRIN), e da settembre 2026 lo sarà del progetto FUEL ECLI nel bando e-Justice (JUST-2025-JACC-EJUSTICE). Si occupa di regolazione delle nuove tecnologie, identità digitale, tokenizzazione e diritti economici.

Il Prof. Riccardo De Caria

In occasione del convegno “L’identità digitale tra diritti, mercati e istituzioni”, tenutosi a Torino il 16 aprile, abbiamo intervistato il Prof. Riccardo de Caria, responsabile scientifico dell’iniziativa, per approfondire uno dei temi centrali del dibattito europeo: il ruolo dello European Digital Identity Wallet introdotto dal Regolamento eIDAS 2. Tra opportunità e criticità, il nuovo modello di identità digitale si candida a ridefinire i rapporti tra cittadini, istituzioni e mercato.

Il convegno “L’identità digitale tra diritti, mercati e istituzioni” incentrato sul ruolo dello European Digital Identity Wallet introdotto dal Regolamento eIDAS 2, a quali domande ha cercato di dare risposta e quali strumenti di riflessione vuole offrire?

Il convegno ha cercato innanzitutto di rispondere a una domanda fondamentale e in apparenza semplice, ma tutt’altro che scontata: che cos’è esattamente lo European Digital Identity Wallet e quali funzioni è destinato a svolgere. A partire da questo inquadramento definitorio, la riflessione si è articolata su tre grandi aree tematiche tra loro interconnesse.

Da un lato, l’impatto che il Wallet produrrà sul rapporto tra il cittadino e la pubblica amministrazione, ridefinendo le modalità di accesso ai servizi pubblici e il modo in cui l’identità digitale viene riconosciuta e gestita dalle istituzioni. Dall’altro, le nuove frontiere di mercato che questo strumento apre, nella misura in cui introduce un protocollo inedito di scambio e tutela dei dati destinato a incidere profondamente sulle dinamiche competitive tra operatori privati. A queste due dimensioni si affianca il tema della privacy by design e della protezione dei dati personali, che rappresenta una delle sfide più delicate dell’intera architettura regolativa.

Il convegno ha dunque cercato di tenere insieme questi tre piani, diritti, mercati e istituzioni, come suggerisce il titolo stesso, non per esaurire le risposte, ma per aprire nuovi spunti di riflessione. In particolare, ha voluto stimolare un dibattito sul cambiamento di impostazione che l’Unione europea sta compiendo in materia di identità digitale e, più in generale, sul tema della sovranità digitale europea, una sfida che non è solo tecnica o giuridica, ma profondamente politica.

E’ chiaro che il Regolamento eIDAS 2 introduce lo European Digital Identity Wallet come pilastro dell’identità digitale europea. Dal punto di vista del diritto e dell’economia, che tipo di infrastruttura regolativa sta costruendo l’Unione Europea?

Il Regolamento eIDAS 2 sta costruendo qualcosa di strutturalmente nuovo per il contesto europeo: un’infrastruttura regolativa basata su una collaborazione inedita tra pubblico e privato. Per la prima volta, il legislatore europeo si inserisce direttamente all’interno degli standard tecnologici che regolano la trasmissione dei dati, assumendo un ruolo attivo nella definizione delle regole del gioco digitale, e non limitandosi, come spesso accaduto in passato, a intervenire ex post con strumenti di regolazione tradizionale.

Allo stesso tempo, però, l’impianto normativo lascia un ampio margine di autonomia agli operatori di mercato, che conservano spazi significativi di iniziativa privata nell’implementazione e nello sviluppo dei servizi connessi al Wallet. Questa coesistenza tra un intervento pubblico forte sul piano degli standard e una sostanziale libertà del mercato sul piano applicativo rappresenta, al tempo stesso, la forza e la sfida principale del nuovo modello.

La vera scommessa, dal punto di vista sia giuridico che economico, è proprio quella di riuscire a far dialogare questi due mondi in modo efficace ed efficiente: garantire che l’infrastruttura informativa europea funzioni, che sia sicura, interoperabile e rispettosa dei diritti fondamentali, senza tuttavia soffocare l’innovazione privata. In questa tensione si gioca una partita decisiva per la sovranità digitale europea e che riguarda la capacità dell’Unione di affermare un proprio modello tecnologico e valoriale in un settore finora dominato da logiche e piattaforme extra-europee.

Dal punto di vista operativo, quali cambiamenti strutturali introdurrà il wallet nei rapporti tra cittadini, pubbliche amministrazioni e operatori privati nell’accesso ai servizi digitali?

Per comprendere i cambiamenti operativi introdotti dal Wallet, è utile fare riferimento all’architettura di ruoli che il Regolamento eIDAS 2 delinea, e che vede interagire tra loro diverse categorie di soggetti. Vi sono innanzitutto coloro che emettono e gestiscono il Wallet, tipicamente soggetti pubblici o da questi certificati, accanto a chi è abilitato a rilasciare i dati identificativi di base del cittadino. A questi si affiancano i soggetti, pubblici o privati accreditati, che possono emettere attestazioni relative ad attributi specifici della persona, come qualifiche professionali o altri elementi certificati. Completano il quadro tutti quei soggetti, pubblici e privati, che accettano e verificano le credenziali presentate tramite Wallet nell’ambito dell’erogazione dei propri servizi. Dal punto di vista del cittadino, il cambiamento è essenzialmente di “comfort” e sicurezza: il Wallet aggrega in un unico strumento digitale certificato tutto ciò che oggi è frammentato tra SPID, CIE, app IO, documenti fisici e credenziali di terze parti. L’accesso ai servizi diventa più fluido, la presentazione selettiva degli attributi, la cosiddetta selective disclosure, consente di condividere solo le informazioni strettamente necessarie, riducendo l’esposizione dei dati personali.

Per le pubbliche amministrazioni, il Wallet semplifica i processi di verifica dell’identità e degli attributi, abbattendo i costi di gestione delle procedure di onboarding digitale e riducendo la necessità di interoperabilità tra sistemi eterogenei. Il successo già registrato da piattaforme come SPID e soprattutto dall’app IO, che conta oggi ben oltre dieci milioni di utenti attivi, dimostra che l’ecosistema italiano è già strutturalmente pronto ad accogliere questa evoluzione, di cui il Wallet rappresenta il naturale completamento architetturale.

L’impatto più rilevante e strutturalmente più profondo riguarda invece gli operatori privati. Per questi soggetti, il Wallet non è solo un nuovo strumento di autenticazione: è una ridefinizione delle architetture di sistema e dei protocolli interni di gestione dei dati. Oggi gran parte dei processi di Know Your Customer (KYC) e di verifica degli attributi utente si fondano su soluzioni proprietarie, spesso costose, frammentate e non interoperabili. Con il Wallet, le informazioni certificate transitano attraverso un canale standardizzato e regolamentato, il che implica un ripensamento profondo dei flussi informativi aziendali, delle architetture di data management e dei sistemi di identity verification. È un cambiamento che richiede investimenti tecnologici e organizzativi significativi, ma che al tempo stesso offre vantaggi concreti in termini di affidabilità dei dati ricevuti e riduzione del rischio di frode.

Va detto con onestà intellettuale che molti di questi effetti sono ancora in larga parte da verificare: sul piano applicativo, il sistema Wallet è in fase di sperimentazione e i primi risultati concreti saranno disponibili solo quando l’infrastruttura sarà pienamente operativa. Ciò che appare però già chiaro è che questa soluzione non è semplicemente auspicabile: è necessaria, come evoluzione coerente e inevitabile del percorso di digitalizzazione che l’Europa e l’Italia hanno già intrapreso.

L’introduzione di credenziali verificabili e attributi digitali solleva anche questioni di selezione, profilazione e accesso differenziato ai servizi. Come si bilancia, in un quadro comparato, l’aumento di efficienza e fiducia con i rischi di nuove asimmetrie e possibili effetti discriminatori? Quali sono i rischi in termini di concentrazione del potere informativo?

L’introduzione di credenziali verificabili e attributi digitali certificati non crea di per sé rischi di profilazione o di accesso differenziato in quanto questi sono effetti strutturali della digitalizzazione in quanto tale, indipendenti dall’architettura specifica del Wallet. Il punto rilevante è quindi capire se il framework eIDAS 2 li governa adeguatamente o li amplifica.

L’architettura tecnica del Wallet è stata progettata con una logica esplicita di privacy by design e privacy by default, in conformità con il GDPR. Il meccanismo della selective disclosure, implementato attraverso protocolli crittografici come le Zero-Knowledge Proof, consente al cittadino di presentare solo gli attributi strettamente necessari per la specifica transazione, senza rivelare informazioni ulteriori. Questo riduce strutturalmente la superficie di esposizione dei dati e limita la possibilità di costruire profili informativi aggregati.

Sul piano della concentrazione del potere informativo, il rischio principale non risiede tanto nel Wallet in sé, quanto nella governance dei soggetti abilitati a emettere attestazioni e nell’accesso delle Relying Parties ai dati verificati. Il Regolamento affronta questo rischio attraverso un sistema di accreditamento e vigilanza affidato alle autorità nazionali di supervisione, che operano in un quadro coordinato a livello europeo. È un modello che, a differenza di ciò che avviene con le piattaforme private oggi dominanti nell’ecosistema dell’identità digitale, mantiene la governance del sistema in capo a istituzioni democraticamente legittimate e soggette a controllo pubblico.

Il vero strumento di bilanciamento non è dunque solo tecnico, ma istituzionale: sono i Parlamenti nazionali ed europeo a definire i limiti normativi entro cui il sistema opera, sono le Autorità Garanti, a partire dal Garante per la protezione dei dati personali, a vigilare sulla corretta applicazione di quei limiti, e sono i cittadini a esercitare i diritti di accesso, rettifica, cancellazione e portabilità dei propri dati che il GDPR garantisce e che l’architettura del Wallet è tenuta a rendere concretamente esercitabili.

In una prospettiva comparata, il modello europeo si distingue proprio per questa scelta di fondo, quella di affidare la tutela non a meccanismi puramente di mercato né a soluzioni puramente tecnocratiche, ma a un sistema integrato in cui la tecnologia è al servizio di standard fissati normativamente e presidiati da autorità indipendenti. È un equilibrio difficile da costruire, ma i presidi previsti dalla nuova architettura a tutela dell’utente, sotto il profilo tanto di possibili nuove asimmetrie quanto di potenziali effetti discriminatori, appaiono sufficienti, senza al contempo comprimere in maniera troppo marcata lo spazio per l’iniziativa privata, che dunque potrà sviluppare soluzioni anche molto innovative nei nuovi mercati che si aprono con l’introduzione della nuova identità digitale.