eIDAS 2: che cosa è e cosa introduce

Le revisioni al regolamento eIDAS sono state approvate ed eIDAS 2 vede la luce. Novità interessanti sul fronte dell’identità digitale, dei servizi fiduciari e delle tecnologie a supporto.

Nel 2014 l’UE ha istituito il regolamento eIDAS (Electronic Identification, Authentication and Trust Services) come un elemento fondante per poter disporre di strumenti e procedure su cui costruire il Mercato Unico Digitale Europeo e, più nello specifico, per regolare in modo condiviso in tutta Europa l’identità digitale e la sua autenticazione. Il regolamento, quindi, si è dato l’obiettivo di dettare le regole sia su come affrontare i servizi fiduciari digitali, sia su come condividere, per omogeneizzarle, le modalità operative di gestione delle identità digitali in tutta Europa, aspirando alla piena interoperabilità.

Obiettivi nobili e di impatto strategico che, tuttavia, sono stati solo parzialmente raggiunti. In Italia è stato fatto molto e probabilmente oggi il nostro Paese rappresenta uno dei più virtuosi su questo fronte ma, nel complesso, il concetto di “identità digitale Europea” non si può ancora considerare pienamente realizzato.

Per questo motivo, dalla metà del 2021 si è deciso di lavorare a una revisione del regolamento: l’obiettivo è allinearlo ulteriormente alle opportunità offerte dalle nuove tecnologie, estendendole a ulteriori ambiti applicativi che ne possono essere impattati. Al processo di revisione di eIDAS è stato attribuito anche l’incarico di introdurre il principio di centralità del cittadino nelle dinamiche di controllo dei propri dati personali, cioè il diritto e la responsabilità di determinare come e quando i propri dati possano essere utilizzati.

Da questo processo di revisione è nato eIDAS 2, che lo scorso 29 febbraio è stato ufficialmente approvato dal Parlamento europeo e – a valle del voto del Consiglio – finirà in Gazzetta. A seguito dell’entrata in vigore, entro al massimo due anni, ulteriori affinamenti attuativi ne definiranno ulteriormente le caratteristiche e il regolamento revisionato entrerà in pieno servizio, con le peculiarità di qualsiasi regolamento europeo: cioè, sovrascrivendo ogni eventuale norma nazionale che non risulti pienamente coerente con quanto previsto nel regolamento stesso.

Cosa c’è di nuovo?

Tra le novità presenti in eIDAS 2, viene introdotta l’innovativa figura dei “Portafogli Europei di Identità Digitale”, o EUDI Wallet, per consentire agli utenti di gestire in modo sicuro e trasparente i propri dati di identificazione personale, eventuali attributi e attestati che li certificano. La norma delinea la rilevanza di un’interfaccia comune di riferimento e la garanzia di elevati standard di sicurezza e autenticità, con meccanismi di convalida per assicurarne l’integrità.

Il regolamento stabilisce l’esigenza di introdurre requisiti anche per i servizi qualificati di firme elettroniche a distanza, nonché regole per la conservazione di firme e documenti elettronici, in grado di assicurarne un quadro normativo chiaro e coerente. Infine, vengono inclusi tra i servizi fiduciari anche i registri elettronici qualificati, plausibilmente introducendo i registri distribuiti delle blockchain tra gli strumenti con cui garantire la validità e l’autenticità delle informazioni in contesti giudiziali.

I Portafogli Europei di identità digitale o EUDI Wallet

Nel dettaglio, i nuovi “Portafogli Europei di Identità Digitale” sono strumenti in cui potranno essere raccolte certificazioni e documenti verificabili e verificati, quali passaporto, certificato di nascita, patente e tessera elettorale (i cosiddetti “attributi” e “attestati”). Questi strumenti (i “Wallet”) nascono per consentire agli utenti di gestire in modo sicuro e trasparente i propri dati di identificazione personale, eventuali “attributi” (prerogative, caratteristiche o qualità associate all’identità in forma elettronica) e gli “attestati” che autenticano gli attributi, facilitando l’autenticazione online e offline e consentendo anche di apporre firme elettroniche qualificate.

Tra le caratteristiche salienti, vi è la creazione di un’interfaccia comune che coinvolge prestatori di servizi fiduciari e parti che si affidano alla certificazione. I Wallet devono anche garantire un livello elevato di sicurezza e autenticità, dettato da rigorosi requisiti normativi. Inoltre, sono previsti meccanismi di convalida per garantirne l’autenticità e la validità. L’uso dei Wallet garantisce agli utenti il pieno controllo sui propri dati, nel rispetto della privacy e della tutela dei dati personali.

L’obiettivo è quello della interoperabilità tra le varie piattaforme software della PA (e non solo) in Europa, al fine di consentire ai cittadini di fruire dei servizi digitali loro rivolti. Un po’ come accade oggi con la carta di identità fisica: se questa è riconosciuta in tutta Europa, analogamente lo sarà anche quella elettronica.

In Italia, candidata per accogliere questi nuovi portafogli di carte di identità digitali è l’App IO, utilizzata già da molti italiani. Con tutta probabilità verranno previsti accessi a più livelli di sicurezza in base ai dati da fornire. I dati saranno sempre aggiornati e sincronizzati con la PA e non sarà più necessario fornire copie di documenti di identità a supporto.

La certificazione dei Portafogli Europei di Identità Digitale costituisce un passaggio fondamentale per garantire la sicurezza e l’affidabilità di questi strumenti. In conformità con i regolamenti dell’Unione Europea, i Wallet devono ottenere una certificazione o una dichiarazione di conformità nel contesto del sistema di certificazione della cybersicurezza; tale conformità include anche gli aspetti relativi al trattamento dei dati personali, il quale viene certificato secondo le disposizioni del regolamento (UE) 2016/679. A occuparsi della certificazione degli EUDI Wallet provvederanno organismi pubblici o privati accreditati designati dagli Stati membri. Tutto questo per garantire un’alta qualità e sicurezza che possa contribuire a instaurare fiducia nell’uso di tali strumenti nell’ambito dell’Unione Europea.

Le firme elettroniche a distanza

Tra le modifiche introdotte, eIDAS 2 stabilisce anche i requisiti per i servizi qualificati relativi alle firme elettroniche a distanza. Tali servizi possono essere forniti solo da prestatori fiduciari qualificati, che devono garantire la sicurezza dei dati, rispettare specifiche tecniche e normative e sottostare a regolari valutazioni di vulnerabilità. In ambito attuativo, la Commissione Europea è chiamata a delineare le tecniche e le norme da seguire per garantire l’efficacia e la coerenza dei servizi offerti.

La conservazione di firme e di documenti elettronici

Un servizio di conservazione di firme elettroniche qualificate o di archiviazione elettronica per documenti elettronici può essere erogato solo da prestatori di servizi fiduciari che usano procedure e tecnologie che assicurino l’affidabilità di quanto conservato anche oltre il suo periodo di “validità tecnologica”. Anche su questo fronte, alla Commissione Europea spetta l’incarico di stabilire le norme attuative per tali servizi entro 12 mesi dall’entrata in vigore del regolamento, al fine di garantire così un quadro normativo chiaro e coerente per i servizi di conservazione.

I registri elettronici qualificati

eIDAS 2 introduce tra i servizi fiduciari anche i registri elettronici, i quali richiamano il concetto dei “registri distribuiti” presenti nelle blockchain. Secondo il regolamento, la forma elettronica dei registri non ne può precludere la validità come prova in procedimenti giudiziali, soprattutto se i registri elettronici qualificati godono della presunzione di unicità, autenticità e corretto sequenziamento dei dati al loro interno, così come dell’accuratezza della data e dell’ora di tali dati (e qui, il richiamo ai registri distribuiti diventa ancora più sensibile). I requisiti per la qualificazione dei registri elettronici includono la loro creazione da parte di prestatori di servizi fiduciari qualificati, la garanzia di unicità e autenticità dei dati, il corretto ordine cronologico e la possibilità di individuare eventuali modifiche successive. Anche qui, elementi “attuativi” specifici verranno definiti in un periodo subito successivo all’entrata in vigore del nuovo regolamento.

Che cosa succederà a SPID e CIE con l’avvento dei nuovi EUDI Wallet?

SPID (Sistema Pubblico di Identità Digitale, oggi in assoluto tra i sistemi di identità digitale più diffusi in Europa) e CIE (Carta di Identità Elettronica, in continua crescita) sono sistemi per la gestione delle identità digitali entrambi “ufficialmente notificati” a livello europeo, in coerenza con quanto già richiesto dal primo regolamento eIDAS. In poche parole, sono sistemi di identità nazionali che, almeno formalmente, devono già essere riconosciuti in tutta Europa.

Nonostante l’avvento degli EUDI Wallet, capaci di associare all’identità digitale anche ulteriori attributi univocamente legati all’individuo, SPID e CIE conserveranno comunque la loro attuale funzione di abilitatori all’identificazione dell’identità anagrafica. Inoltre, potrebbero anche essere utilizzati come strumenti per “attivare” un EUDI Wallet, agendo da “PID provider”, cioè da Person Identification Data Provider.

In sintesi

La revisione del regolamento eIDAS introduce importanti innovazioni in un framework consolidato e ispirato ai principi della compatibilità tecnologica “cross-Country”. In coerenza con il primo eIDAS, si rafforza il messaggio che gli strumenti di identificazione elettronica devono essere altamente interoperabili e, se ufficialmente censiti, riconoscibili in tutti gli Stati europei. La revisione ha esteso il perimetro dei servizi fiduciari e ha introdotto nuove tecnologie a supporto di tali servizi, con l’obiettivo di promuovere nuovi modelli condivisi e affidabili per la gestione digitale di dati e documenti.

Le normative attuative future specificheranno le modalità di esecuzione, garantendo così una maggiore sicurezza nell’autenticazione e nella gestione di identità, dati personali e documenti. Questo aumenterà la responsabilità e la protezione per i legittimi proprietari di questi dati: i cittadini.

Tuttavia, i cittadini necessiteranno di un supporto, soprattutto perché molti stanno ancora adattandosi all’uso dello SPID come sistema di identità digitale per accedere a migliaia di servizi online forniti dalla Pubblica Amministrazione e da alcuni enti privati.

Quindi se da un lato la diffusione dello SPID, 33,5 milioni di identità (fonte AGID al gennaio 2023), crea un terreno fertile per il passaggio culturale e tecnologico attuale, e con eIDAS 2 per ora SPID rimane utilizzabile come sistema di identità digitale, dall’altro si dovrà fare chiarezza attuativa per evitare la frammentazione e la duplicazione delle nostre identità digitali.

Una volta delineato il destino di uno strumento che ha contribuito ad attuare e raggiungere importanti traguardi di efficacia e di relazione tra cittadino e istituzioni, sarà necessario spiegare come si inserisce lo SPID in questa strategia digitale europea.

Conclusioni

È importante continuare a promuovere l’educazione digitale per migliorare la relazione tra cittadini e istituzioni, anche perché, se di fatto eIDAS mira a rendere sicure le interazioni elettroniche tra cittadini, imprese e pubbliche amministrazioni, migliorando efficienza e sicurezza dei servizi digitali, la sua adozione richiede una valutazione scrupolosa delle implicazioni sulla privacy e sui diritti dei cittadini da parte di tutti gli attori coinvolti.

Parallelamente sarà importante informare e educare i cittadini sull’uso responsabile di queste nuove tecnologie, facendo loro comprendere i cambiamenti, i rischi e le opportunità che ne derivano. Questo perché il dibattito sul controllo sociale e sulla sorveglianza delle attività dei cittadini e delle imprese è destinato a intensificarsi con l’avvicinarsi dell’entrata in vigore del regolamento eIDAS 2, soprattutto in riferimento al wallet digitale e dati sanitari.

In conclusione, è in corso un importante cambiamento culturale che richiede la promozione di una cultura di responsabilità nell’uso delle tecnologie digitali e nell’implementazione di regolamenti come eIDAS 2: azioni concrete, dunque, che rendano il cittadino consapevole delle trasformazioni in atto, attivo e consapevole.