In Italia è partita la fase di test del progetto di ecosistema per una “identità finanziaria”, targato Politecnico di Milano, PwC, Fabrick e studio legale BonelliErede.
L’obiettivo è costruire uno strumento che semplifichi l’onboarding dei nuovi clienti, permettendo agli utenti di trasferire i propri dati detenuti presso una banca, e quindi già verificati, verso un nuovo istituto. Ma anche, perché no, ad altri fornitori di servizi digitali, non necessariamente bancari e assicurativi.
Il vantaggio evidente è di velocizzare l’identificazione del cliente, comprese AML e KYC. Rispettando in pieno il modello europeo di portabilità dei dati, che appartengono al cittadino.
Sono parecchi i player bancari e assicurativi, oltre ai provider di servizi, che hanno aderito al progetto. Tecnicamente, questi soggetti sono connessi tra loro mediante API per la portabilità e il trasferimento dei dati.
Come richiedere l’identità finanziaria
L’utente si registra al servizio, indica presso quale banca ha i propri dati “in deposito” (e, nel caso, li aggiorna) e aggiunge SPID per aggiungere ulteriori informazioni certificate.
Bastano il numero delle adesioni alle prime fasi del progetto e il tam-tam sui social network professionali per capire che c’è un forte interesse da parte dell’industria. Anche per la possibilità di creare sinergie con gli oltre 26 milioni di identità SPID già rilasciate.
A onore del vero, però, dobbiamo ricordare che negli ultimi anni abbiamo parlato diverse volte di un possibile ruolo delle banche nella creazione di una identità digitale verificata. Abbiamo articoli del 2013 in cui parliamo delle "opportunità dell'Identity and Access Management per i player finanziari".
È un bene che diversi istituti abbiano rotto gli indugi, ma l’Italia segue in questo ambito le esperienze di altri Paesi. Vediamo se c’è qualcosa che possiamo imparare da loro.
Il BankID norvegese (e il caso scandinavo)
Il primo esempio è geograficamente vicino e segue un modello simile a quello del progetto italiano. Parliamo di BankID, una identità digitale di emanazione bancaria che è diventata di uso quotidiano in Norvegia.
La vicina Svezia ha un sistema che ha lo stesso nome (BankID) ma è completamente separato, e progetti analoghi esistono anche in Danimarca (NemID) e in Finlandia (il TUPAS. E sì, tecnicamente la Finlandia non è in Scandinavia, ma chiamarli “Nordics” non ci piace proprio).
BankID è un caso interessante perché nasce dal mondo bancario. La forte adesione della maggioranza degli istituti ha consentito di creare uno standard che ha conquistato 4,3 milioni di utenti nella sola Norvegia (che ha circa 5,4 milioni di abitanti).
E anche il manipolo di banche che, all’inizio, erano scettiche sul progetto si sono dovute allineare.
Dal modello norvegese, le nostre banche dovrebbero imparare che le soluzioni di sistema possono diventare uno standard a favore dell’intero settore e di tutti i player. La competizione è su altro.
L’Aadhar indiano
Facciamo un viaggio di migliaia di chilometri per andare in India. In un contesto completamente diverso, con una quota importante della popolazione non bancarizzata e priva di accesso, anche fisico, all’infrastruttura bancaria come quella che noi conosciamo, il Governo ha avviato qualcosa di straordinario.
Un progetto di identità digitale di Stato che ha trovato applicazione anche nel settore bancario. L’Aadhaar è un codice identificativo univoco che rimanda ai dati biometrici e anagrafici di un residente in India. Residente, non cittadino.
È gestito da un ente governativo, lo UIDAI (Unique Identification Authority of India), che dal 2010 a oggi ha registrato oltre 1,2 miliardi (miliardi!) di persone. Nel 2016 nasce l’Aadhaar vero e proprio, con una copertura di almeno un terzo della popolazione indiana.
Dal 2018, l’Aadhaar inizia a essere utilizzato per accreditare ai cittadini incentivi e sussidi statali, a quella data il 50% della popolazione aveva un conto bancario collegato a un ID digitale e a un wallet. L’Aadhaar permette oggi agli utenti di identificarsi con certezza per una lista molto lunga di servizi, dall’attivazione di una SIM card all’apertura di un conto bancario.
Si tratta di un immenso sforzo governativo per facilitare l’inclusione finanziaria e digitale delle persone. Ma non mancano le polemiche: l’Aadhaar è molto discusso in patria per il rischio di impedire l’accesso ai servizi a chi non ne è provvisto. Una lunga scia di sentenze e ricorsi ha portato a sentenze a volte contraddittorie sulla possibilità di renderlo obbligatorio, ad esempio, per l’erogazione di alcuni sussidi.
L’esperienza indiana, pur con le innumerevoli differenze di contesto, ci insegna che le sinergie pubblico-privato possono indirizzare la digitalizzazione delle abitudini dei cittadini. Ma anche che la digitalizzazione deve essere inclusiva e progressiva: bisogna stare attenti a non lasciare nessuno indietro.
L’Austria: alleanza banche – retailer (contro le BigTech?)
Ancora diverso il caso austriaco. Qui dovrebbe vedere la luce nel corso del 2022 la app “ich.app” (che potremmo tradurre in “io.app”), su iniziativa di PSA Payment Services Austria.
Siamo tornati nell’ambito dei progetti privati con ambizioni di sistema. Ich.app vuole essere un sistema di identificazione digitale basato su un ID che viene pre-assegnato a ogni cliente di una banca austriaca.
L’attivazione dovrebbe quindi essere particolarmente rapida, sfruttando i dati del cliente già in possesso della banca (esattamente come nei modelli italiano e scandinavo).
Va però evidenziato che sono già stati coinvolti retailer e fornitori di servizi online. La identità digitale di ich.app potrà infatti essere utilizzata (anche) come strumento unico di accesso a una serie di portali di e-commerce e altre imprese online.
Unendo il pagamento e l’identificazione per fornire, cito un comunicato stampa ufficiale, «un’alternativa, affidabile e conforme alla normativa nazionale sui dati, ai login effettuati via Google e Facebook».
Ed è questa la lezione più interessante che troviamo nel caso austriaco. Come per le CBDC, anche con l’identità digitale è in gioco la sovranità sui dati dei cittadini europei. Non è qualcosa da lasciare in mano alle BigTech.
