norme e tecnologia

Nuovo eIDAS, ecco cosa cambierà con l’accordo sull’identità digitale europea



Indirizzo copiato

Il trilogo ha approvato il regolamento del Parlamento europeo e del Consiglio che, modificando le norme eIDAS, istituisce un framework per l’identità digitale europea: ecco lo scenario che si prospetta

Pubblicato il 10 nov 2023

Giovanni Manca

consulente, Anorc



documenti digitali

Il regolamento del Parlamento europeo e del Consiglio che modifica le norme eIDAS per quanto riguarda l’istituzione di un quadro per un’identità digitale europea è stato approvato dal trilogo (il gruppo negoziale composto dalla Commissione, il Consiglio e il Parlamento). Per la definitiva pubblicazione nella Gazzetta Ufficiale comunitaria mancano solo due passi formali: la ratifica nella commissione parlamentare ITRE e poi quella finale del Parlamento.

Nuova identità digitale europea, la roadmap

Il percorso di questa cruciale norma era iniziato il 3 giugno 2021 con la pubblicazione della proposta iniziale della Commissione che, prima della sopra citata approvazione ha percorso sentieri complessi e accidentati.

Il titolo del regolamento è già chiara indicazione dell’obbiettivo primario, un’identità digitale europea. La modalità mediante la quale si raggiunge questo obbiettivo è il Portafoglio Europeo di Identità Digitale (European Digital Identity Wallet – EDIW).

Il EDIW è definito come “un mezzo di identificazione elettronica che consente all’utente di conservare, gestire e convalidare in modo sicuro i dati di identità e le attestazioni elettroniche degli attributi, per fornirli alle parti facenti affidamento e ad altri utenti dei Portafogli Europei di Identità Digitale, e per firmare mediante firme elettroniche qualificate o per sigillare mediante sigilli elettronici qualificati”.

La messa in opera del Portafoglio Europeo consente di utilizzare un’unica identità digitale in tutta l’Unione per tutti i servizi in rete o, come definito nel regolamento, fuori rete.

Gli aspetti privacy

La maggior parte del tempo nella discussione è stata impiegata per la definizione di regole primarie per la sicurezza del sistema e per la protezione dei dati degli utenti. Più volte nell’articolato di eIDAS 2 troviamo riferimenti alla direttiva NIS2 e al regolamento GDPR.

Molto dibattuto infatti il tema della protezione dei dati personali nel Portafoglio comunitario. Le regole sono molto precise e stringenti ma complesse da applicare già per i Portafogli istituzionali obbligatori. I Garanti nazionali dovranno attrezzarsi per essere adeguati controllori ma anche entità proattive continentali, allo scopo di evitare squilibri e conseguenti disomogeneità tra Stati con posizioni governative.

Un elemento fondamentale è la consapevolezza dell’utente, la sua formazione sulla sicurezza cibernetica e sulla protezione dei dati. Il regolamento stabilisce regole specifiche in varie parti del testo.

Come funzionerà il wallet

Un altro elemento importante è quello della trasparenza del Portafoglio Europeo. Il codice sorgente utilizzato per esso è aperto e sarà pubblicato per consentire attività di verifica e revisione. L’utente disporrà di un cruscotto mediante il quale potrà avere il controllo della circolazione dei propri dati con l’opzione di verifica dell’uso corretto degli stessi da parte del mondo esterno degli altri Portafogli o dei servizi offerti agli stessi.

Al Portafoglio è strettamente associata una nuova tipologia di servizio fiduciario (trust service), quella denominata “attestazione elettronica degli attributi” essendo l’attributo definito come “una prerogativa, caratteristica o qualità di una persona fisica o giuridica o di una entità”. Come si vede dalla definizione, l’entità diventa parte del sistema dell’identità digitale; questa può essere un sistema di intelligenza artificiale, un robot o un meccanismo dell’IoT.

Gli attributi sono gestiti da soggetti pubblici o privati mediante le “fonti autentiche” definite nel testo. Queste fonti sono sorgente primaria riconosciuta dalle norme dell’Unione o da quelle nazionali.

Il processo di firma

Il Portafoglio Europeo deve consentire all’utente (persona fisica) la sottoscrizione qualificata in modo gratuito. Questa regola ha sollevato numerose perplessità negli Stati dove le firme qualificate sono diffuse in un mercato importante. Nel trilogo si è concordato di limitare l’uso a scopi non professionali della firma. Lo scopo rimane quello di diffondere la sottoscrizione dei documenti presso il comune cittadino al fine di ampliare in questa parte della società la digitalizzazione dei servizi.

Quali obblighi per gli Stati membri

Il singolo Stato membro ha l’obbligo di emettere almeno un Portafoglio e ha l’opzione di riconoscere il Portafoglio emesso da un altro Stato. La criticità è per la possibile proliferazione di Portafogli emessi da soggetti privati, anche se questi devono essere autorizzati dagli Stati.

Identità digitale europea, cosa succede in Italia

In Italia si è definito un percorso di convergenza dell’APP IO verso il Portafoglio Europeo passando attraverso il Portafoglio Pubblico Italiano di Identità Digitale referenziato in modo sintetico come IT Wallet.

E’ stata annunciata una sperimentazione del Portafoglio Europeo nella Provincia Autonoma di Trento nell’ambito del Progetto Pilota europeo denominato Potential.

I nuovi servizi fiduciari in arrivo

Il nuovo regolamento eIDAS non ha solo la novità del Portafoglio, infatti vengono introdotti nuovi servizi fiduciari di base oltre agli attestati elettronici degli attributi. Questi sono :

  • la gestione di dispositivi per la creazione remota di firme elettroniche qualificate o di dispositivi per la creazione remota di sigilli elettronici qualificati;
  • l’archiviazione elettronica di dati;
  • la registrazione di dati in un registro elettronico.

Il servizio sulla gestione dei dispositivi remoti di firma e sigillo rappresenta un successo per i servizi del genere proposti in Italia da oltre 12 anni e solo accennati nell’eIDAS vigente.

L’archiviazione dei dati, cosa cambia

L’archiviazione elettronica dei dati è una importante novità, perché si introduce un servizio fiduciario specifico, diverso da quello vigente (che comunque viene modificato con la parola custodia rispetto ad archiviazione) per firme, sigilli e i certificati da essi utilizzati.

Il servizio vigente ha lo scopo di gestire la scadenza dei certificati, mentre l’archiviazione elettronica dei dati viene definita come “un servizio che assicura la ricezione, la memorizzazione, il recupero e la cancellazione di dati e documenti elettronici allo scopo di garantire la loro durevolezza e leggibilità così come di custodire la loro integrità, riservatezza e prova dell’origine per tutto il periodo di custodia”.

Questo servizio fiduciario, che come tale può anche essere qualificato, ha un impatto sulla conservazione nazionale dei documenti informatici che deve essere gestita opportunamente, anche aggiornando le norme nazionali, per evitare disparità tra soggetti nazionali e comunitari (si pensi ai 5 milioni di euro di capitale sociale richiesti per ottenere la qualifica in Italia che rappresentano una barriera di ingresso rispetto ai soggetti qualificati nell’Unione), ma anche per mantenere l’equilibrio tra norme nazionali, che hanno scopi specifici per il patrimonio documentale pubblico ed europee. Queste, di rango normativo superiore sono a rischio sul tema della applicabilità di norme nazionali non conformi a quelle comunitarie e quindi abrogate de jure.

La registrazione dei dati

Un’altra novità nei servizi fiduciari è la registrazione elettronica di dati elettronici. Questa è definita come “una sequenza di record di dati, che assicurano la loro integrità e l’accuratezza del loro ordine cronologico”.

La definizione, anche se nei limiti della neutralità tecnologica e del principio di non discriminazione tipici nella normativa comunitaria, esplicita i concetti base della blockchain. Questo aspetto è ancora più evidente nello specifico articolato di eIDAS 2.

I registri elettronici hanno avuto vicende alterne all’interno del testo. Ad un certo punto del dibattito sono stati anche eliminati, ma nel compromesso finale sono stati reinseriti perché ritenuti importanti da molti Stati. Trattandosi di un servizio fiduciario, è qualificabile e sarà interessante analizzare le regole che verranno stabilite per registri elettronici distribuiti permissionless. Le criticità sono per il perimetro di qualifica, la vigilanza e l’applicabilità delle sanzioni. Questi temi non si applicano a registri distribuiti permissioned.

Conclusione

Per concludere questa sintetica carrellata su eIDAS 2 è utile ricordare che l’uso del Portafoglio Europeo non è obbligatorio, quindi in Italia ci sarà l’IT Wallet che deve conservare le sue funzionalità per coloro i quali non vogliono avvalersi dell’opzione comunitaria.

Alla fine il Portafoglio sarà una buona cosa se il cittadino avrà servizi funzionanti, facili da usare, sarà accompagnato nell’uso con regole chiare e supporto tecnico e informativo adeguato.

Ci vorranno un paio di anni per partire con il Portafoglio Europeo e i quattro progetti pilota in corso stanno dimostrando la loro utilità con le funzionalità provate “sul campo” con il conseguente adattamento delle regole tecniche.

Auguriamo buona fortuna al Portafoglio Europeo di Identità Digitale passo cruciale per un’Europa unita anche nel mondo digitale.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati