Nell’ambito dell’iter di revisione del Regolamento eIDAS, è stato raggiunto un accordo politico provvisorio dalla presidenza del Consiglio e dai rappresentanti del Parlamento europeo su alcuni degli elementi cardine dell’identità digitale europea (“eID”)[1], Tale accordo è stato reso noto con la pubblicazione del comunicato stampa da parte del Consiglio dell’Unione Europea il 29 giugno 2023.
Prima di esaminare sommariamente quali sono i punti sui quali i suddetti attori coinvolti sembrerebbero aver trovato un punto di incontro, è bene ripercorrere in breve l’iter e lo stato di predisposizione e approvazione del nuovo Regolamento eIDAS.
Gli obiettivi del nuovo Regolamento eIDAS
Nel mese di giugno 2021, la Commissione Europea ha presentato una prima proposta di revisione del Regolamento eIDAS, con l’obiettivo di:
- fissare le condizioni alle quali gli Stati membri avrebbero fornito e riconosciuto i mezzi di identificazione elettronica delle persone fisiche e giuridiche rientranti in un regime di identificazione elettronica notificato di un altro Stato membro;
- stabilire le norme comuni relative ai servizi fiduciari;
- istituire un quadro giuridico europeo per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato, i servizi relativi ai certificati di autenticazione di siti web, l’archiviazione elettronica e gli attestati elettronici di attributi, la gestione di dispositivi per la creazione di firme elettroniche e sigilli elettronici a distanza e i registri elettronici
- stabilire le condizioni per l’emissione di portafogli europei di identità digitale da parte degli Stati membri.
L’identità digitale europea
Nell’ambito della revisione del Regolamento, la Commissione ha proposto l’introduzione di un quadro per un’identità digitale europea disponibile per tutti i cittadini, i residenti e le imprese dell’UE tramite un portafoglio europeo di identità digitale (European Digital Identity Wallet o EUDI o EDIW).
Il portafoglio di identità digitale costituirà “un mezzo di identificazione elettronica, che archivia, gestisce e convalida in modo sicuro i dati di identità e l’attestazione elettronica degli attributi, per fornirli alle terze parti e ad altri utenti EDIW su richiesta, consentendo la creazione di firme e sigilli elettronici qualificati”
Già nel discorso sullo stato dell’Unione, pronunciato il 16 settembre 2020, la presidente della Commissione Europea sottolineava come “ogni volta che una app o un sito web ci chiede di creare una nuova identità digitale o di accedere facilmente tramite una grande piattaforma, non abbiamo idea di cosa ne sia veramente dei nostri dati. Per questo motivo, la Commissione proporrà presto un’identità digitale europea sicura. Qualcosa di affidabile, che ogni cittadino potrà usare ovunque in Europa per fare qualsiasi cosa, da pagare le tasse a prendere a noleggio una bicicletta. Una tecnologia che ci consenta di controllare in prima persona quali dati vengono utilizzati e come”.
L’utilità dell’identità digitale europea
L’European Digital Identity Wallet nasce quindi con il chiaro obiettivo di:
- conferire il diritto ad ogni persona di avere un’identità digitale riconosciuta ovunque nell’UE;
- implementare un modo semplice e sicuro per controllare le informazioni condivise con i servizi che richiedono l’inserimento di propri dati e/o informazioni;
- consentire l’identificazione online e offline dell’utente;
- memorizzare e scambiare informazioni fornite dai governi, ad esempio nome, cognome, data di nascita, nazionalità;
- archiviare e scambiare le informazioni fornite da fonti private attendibili;
- utilizzare le informazioni come conferma del diritto di risiedere, lavorare o studiare in un determinato Stato membro.
Erik Slottner, ministro svedese per la pubblica amministrazione ha affermato che: “sempre più persone utilizzano la propria identità e credenziali nei contatti quotidiani con enti pubblici e privati. Un portafoglio di identità digitale europeo è quindi indispensabile. In questo modo, almeno l’80% dei cittadini dell’UE dovrebbe essere in grado di utilizzare una soluzione di identificazione digitale per accedere ai principali servizi pubblici entro il 2030”.
L’EUDYW rappresenta certamente uno strumento potenzialmente strategico e centrale nell’ambito della gestione autonoma dei dati da parte degli utenti, in totale aderenza ai sistemi di Self Sovereign Identity.
Tuttavia, se gli Stati membri non hanno avuto alcuna difficoltà a riconoscere il valore dell’European Digital Identity Wallet, nel corso della definizione della nuova versione del Regolamento eIDAS sono emerse alcune “questioni” impellenti attorno all’individuazione delle caratteristiche e dei requisiti dell’European Digital Identity Wallet.
I nodi: livelli di garanzia e registri elettronici
Una delle principali questioni emerse con la pubblicazione della proposta di revisione del Regolamento eIDAS riguarda il livello di garanzia (“LOA”) dei sistemi di identificazione elettronica che dovrebbero consentire l’emissione di un portafoglio di identità digitale europea e il rilascio di certificati qualificati o di un’attestazione elettronica qualificata di attributi.
In particolare, nella prima proposta di revisione del Regolamento (quella formulata dalla Commissione nel giugno 2021), era previsto che:
- i portafogli europei di identità digitale potessero essere emessi nell’ambito di un regime di identificazione elettronica notificato il cui livello di garanzia fosse “elevato”;
- Il rilascio di un certificato qualificato o un attestato elettronico di attributi qualificato per un servizio fiduciario potesse avvenire mediante l’utilizzo di un mezzo di identificazione elettronica notificato con un livello di garanzia “significativo” o “elevato”.
Alcuni Stati membri, quindi, in considerazione dell’elevato numero di mezzi di identificazione elettronica di livello di garanzia “significativo” rilasciati da alcuni di essi, avevano proposto un meccanismo per facilitare la procedura di onboarding anche per utenti ai quali era stato rilasciato un mezzo di identificazione elettronica caratterizzato – per l’appunto – da un livello di garanzia “significativo”, contribuendo in tal modo a facilitare l’adozione dei portafogli europei di identità digitale. L’intento era quello di consentire agli utenti di iscriversi al portafoglio europeo di identità digitale utilizzando i mezzi nazionali di identificazione elettronica esistenti di livello di garanzia “significativo” in combinazione con ulteriori procedure di onboarding a distanza che, insieme, soddisfacessero i requisiti del livello di garanzia “elevato”.
Con il raggiungimento dell’accordo provvisorio, si ribadisce la necessità che il portafoglio europeo di identità digitale sia emesso all’interno di un sistema di identificazione elettronica che soddisfi il livello di garanzia “alto”. Rispetto alla prima proposta della Commissione Europea è stato invece rimosso il riferimento a livelli di garanzia “sostanziale” per il rilascio di certificati qualificati o di un’attestazione elettronica qualificata di attributi.
Nel medesimo accordo si sottolinea, inoltre, che l’emissione, l’uso per l’autenticazione e la revoca dei portafogli dovrebbero essere gratuiti per le persone fisiche e che, all’interno degli stessi, sarà reso disponibile un certificato che consentirà gratuitamente alle persone fisiche di sottoscrivere elettronicamente i documenti.
I nuovi servizi fiduciari qualificati
Per rispondere alle dinamiche dei mercati e agli sviluppi tecnologici, il regolamento eIDAS 2.0 amplia l’attuale elenco di servizi fiduciari con nuovi servizi fiduciari qualificati, tra cui la fornitura di registri elettronici.
Nella prima proposta di revisione presentata dalla Commissione trovavano, infatti, spazio gli articoli 45 nonies e decies, che introducevano novità in materia di blockchain e registri distribuiti, definendo i loro effetti giuridici e i requisiti.
Il riferimento ai registri elettronici era stato rimosso in una delle ultime proposte di bozze presentate da parte della Commissione ITRE (Commissione per l’Industria, la Ricerca e l’Energia) del Parlamento europeo[2]. Tuttavia, stante quanto previsto nell’ultimo comunicato stampa del Consiglio, tale riferimento sembra essere stato reinserito successivamente all’accordo raggiunto con i rappresentanti del Parlamento Europeo, come anche auspicato da molte associazioni di categoria. I registri elettronici costituiscono infatti un elemento essenziale per costruire infrastrutture digitali europee resistenti agli attacchi informatici, a vantaggio sia delle imprese che dei consumatori europei. Si tratta di una tipologia di servizi fiduciari che rispondono alle richieste della società europea di rafforzare la fiducia digitale. Difatti, i registri elettronici sono utili a prevenire la contraffazione di risorse digitali, dimostrare o rivendicare la proprietà di risorse digitali o tokenizzate, tracciare la catena di approvvigionamento o digitalizzare i diritti di proprietà intellettuale.
Prossimi passi
Raggiunto l’accordo politico, spetterà ai tecnici di rendere conforme il nuovo Regolamento eIDAS rispetto a quanto negoziato e definito. Una volta finalizzato, il testo sarà sottoposto ai rappresentanti degli Stati membri (Coreper) per l’approvazione. Fatto salvo un riesame giuridico/linguistico, il regolamento riveduto dovrà quindi essere adottato formalmente dal Parlamento e dal Consiglio prima di poter essere pubblicato in Gazzetta ufficiale dell’UE ed entrare in vigore.
Nel frattempo, le prime sperimentazioni di soluzioni di wallet che coinvolgono anche l’Italia sono iniziate. Sarà interessante comprendere come, nel concreto, l’EUDYW contribuirà all’efficientamento dell’accesso ai servizi pubblici e privati e alla gestione più consapevole dei propri dati e delle proprie informazioni.
Note
[1] https://www.consilium.europa.eu/en/press/press-releases/2023/06/29/council-and-parliament-strike-a-deal-on-a-european-digital-identity-eid/
[2] Parlamento Europeo, Commissione ITRE, Emendamenti alla proposta di regolamento che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per l’identità digitale europea. Disponibile online qui.
