Supporto mDoc di Apple: iOS 26 introduce la verifica dell'ID

Durante la WWDC25, Apple ha annunciato il supporto ufficiale per i documenti mobili (mdoc) tramite l' API Digital Credentials, consentendo ai siti web di richiedere e verificare l'ID digitale di un utente in iOS 26 direttamente da Safari. Questo porta le credenziali digitali di Apple, conformi allo standard ISO 18013-5, sul web per una verifica dell'identità sicura e basata sul consenso dell'utente.

Questo aggiornamento rappresenta un importante catalizzatore per l'ecosistema dell'identità digitale. Per anni, la verifica dell'identità online è stata afflitta da complessità, rischi per la privacy e frodi. Integrando le credenziali digitali Apple standardizzate, il nuovo framework semplifica la verifica per casi d'uso come il controllo dell'età, gli accessi aziendali e l'onboarding dei clienti.

Questo articolo analizza cosa significa il supporto mdoc di Apple per sviluppatori e aziende, come funziona a grandi linee e come prepararsi al suo arrivo in iOS 26.

Al centro di questo nuovo paradigma di identità c'è l'mdoc (mobile document), un formato standardizzato per le credenziali di identità digitali archiviate nell'Apple Wallet, come una patente di guida mobile (mDL) o un ID aziendale.

Una caratteristica chiave dello standard mdoc è la divulgazione selettiva, che consente agli utenti di condividere solo i campi di dati specifici richiesti per una transazione (ad esempio, solo "maggiore di 21 anni") invece del loro intero documento d'identità. Questa funzionalità, che tutela la privacy, è definita dagli standard ISO 18013-5 e ISO 18013-7, che regolano il modo in cui gli mdoc sono strutturati, protetti e presentati online.

L' API Digital Credentials del W3C funge da ponte tra i siti web e l'Apple Wallet dell'utente. Quando un sito web deve verificare l'identità di un utente, non richiede più un'app personalizzata o reindirizzamenti. Il processo è invece orchestrato dal browser.

Il flusso di verifica tipico è il seguente:

1. Avvio della richiesta: un sito web o un'app web chiama l'API JavaScript (navigator.credentials.get()) per richiedere una credenziale specifica, come la prova dell'età da una mDL.
2. Passaggio al sistema: iOS 26 intercetta questa chiamata e invoca l'interfaccia nativa di Apple Wallet.
3. Consenso dell'utente: all'utente viene presentato un prompt sicuro a livello di sistema operativo che mostra esattamente quali informazioni vengono richieste (ad esempio, "Questo sito sta richiedendo la verifica della tua età"). L'utente deve autenticarsi con Face ID o Touch ID per dare il consenso.
4. Trasferimento sicuro dei dati: una volta ottenuto il consenso, il wallet rilascia al browser solo i dati richiesti, che vengono poi passati al sito web per la verifica.

L'intero flusso è progettato per essere sicuro e fluido, eliminando la necessità per gli utenti di caricare foto di documenti d'identità fisici o compilare moduli.

• Meno attriti e conversioni più alte: semplifica drasticamente i processi di onboarding e verifica.
• Maggiore sicurezza e riduzione delle frodi: si basa su credenziali firmate crittograficamente da emittenti attendibili (ad esempio, la motorizzazione civile), riducendo al minimo il rischio di documenti d'identità falsi.
• Conformità semplificata: richiedere solo gli attributi necessari aiuta a soddisfare i requisiti di minimizzazione dei dati previsti da normative come GDPR e CCPA.
• Interoperabilità: basato su standard globali (W3C, ISO), garantisce la compatibilità tra le piattaforme che li adottano.

• Pieno controllo e privacy: gli utenti acconsentono esplicitamente a ogni condivisione di dati.
• Comodità: elimina la necessità di portare con sé tessere fisiche o di inserire manualmente le informazioni di identità.
• Maggiore sicurezza: riduce il rischio di condivisione eccessiva di dati e di attacchi di phishing.

Anche se l'implementazione tecnica approfondita è trattata nella nostra guida all'API Digital Credentials, sviluppatori e product manager dovrebbero iniziare a prepararsi fin da ora.

Ecco i passaggi strategici chiave:

1. Identificare i casi d'uso: individua i processi nel percorso dell'utente che attualmente si basano sulla verifica manuale dell'identità (ad esempio, creazione di account, contenuti con limiti di età, transazioni di alto valore) e che trarrebbero vantaggio da controlli istantanei e ad alta affidabilità dell'ID digitale.
2. Rivedere le esigenze di dati: analizza gli attributi di identità che raccogli attualmente. Con il supporto mdoc di Apple, pianifica la transizione verso la richiesta dei soli dati minimi necessari per ogni transazione.
3. Formare il team: familiarizza i tuoi team di sviluppo e conformità con gli standard pertinenti, tra cui ISO 18013-5 per gli mdoc e il framework W3C Digital Credentials.
4. Pianificare la verifica lato backend: la credenziale restituita dall'API deve essere verificata crittograficamente sul tuo backend per garantirne l'autenticità e l'integrità. Pianifica la logica lato server necessaria per elaborare queste credenziali.

La decisione di Apple di integrare gli mDoc direttamente nel web tramite il suo wallet nativo ha implicazioni strategiche significative per il più ampio panorama dell'identità digitale.

Dando priorità a mdoc (ISO 18013-5), Apple lo stabilisce come standard primario per gli ID verificabili emessi da enti governativi (come le patenti di guida) sul web. Questo conferisce al formato mdoc un enorme slancio per i casi d'uso legati all'identità ufficiale.

Tuttavia, questo non sminuisce il ruolo di altri formati come le W3C Verifiable Credentials (VC), spesso basate su SD-JWT o JWT-VC. Questi formati sono fondamentali per le credenziali non governative come diplomi universitari, badge dei dipendenti o biglietti per eventi. La stessa API Digital Credentials è progettata per essere estensibile, il che significa che potrebbe supportare questi altri formati in futuro. Il risultato immediato è un doppio ecosistema: mdoc per gli ID ufficiali e altri formati VC per il resto, tutti potenzialmente accessibili attraverso lo stesso standard web di base.

L'integrazione nativa offre ad Apple Wallet un netto vantaggio, rendendolo l'opzione predefinita e più fluida per gli utenti su iOS. Questo rappresenta una sfida per le app di wallet di terze parti.

Sebbene l'API potrebbe teoricamente consentire agli utenti di scegliere un wallet predefinito diverso, è difficile competere con l'esperienza nativa del sistema operativo. I fornitori di terze parti dovranno probabilmente affidarsi a protocolli alternativi come OpenID4VP avviati tramite link universali, il che potrebbe tradursi in un'esperienza utente meno integrata (ad esempio, richiedendo il passaggio da un'app all'altra). Questa mossa consolida il ruolo centrale di Apple Wallet, costringendo gli altri fornitori a differenziarsi attraverso funzionalità specializzate, soluzioni aziendali o concentrandosi su tipi di credenziali non ancora prioritari per Apple.

Il supporto mdoc di Apple in iOS 26 è più di una semplice API. È un passo verso un internet più sicuro, privato e incentrato sull'utente. Adottando standard aperti, Apple ha spianato la strada a un futuro in cui le credenziali digitali verificabili sostituiranno i metodi di verifica dell'identità obsoleti e insicuri.

Per le aziende, questa è un'opportunità per creare esperienze utente di nuova generazione basate sulla fiducia e sulla trasparenza. Inizia oggi a esplorare come le credenziali digitali di Apple possono trasformare i tuoi servizi.