Come si accerta l’identità di una persona su Internet?
Come si può essere certi che il signor Tizio Caio è veramente colui che dice di essere?
Questa domanda è il vero interrogativo oggi per la nuova fase della digitalizzazione che riguarda tutti i servizi che richiedono l’accertamento dell’identità: per esempio, aprire un conto corrente bancario o inviare un’istanza alla pubblica amministrazione o ancora partecipare ad una gara d’appalto on line.
Non tutti i servizi on line richiedono ovviamente l’accertamento dell’identità: per molti acquisti di commercio elettronico è richiesto solo il pagamento e non l’accertamento dell’identità: basta dunque la carta di credito. Ma in alcuni casi, provare l’identità è necessario: ancora, per esempio, per acquisire una carta di credito.
Per risolvere questo problema il Parlamento europeo ha approvato il 3 aprile la proposta di Regolamento europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno che è in attesa di pubblicazione in Gazzetta Ufficiale.
Anche il Progetto SPID italiano nasce per risolvere il problema dell’identificazione on line, ma il Regolamento europeo ovviamente lo affronta nell’ambito dell’Unione europea.
La più importante novità del Regolamento è nello strumento giuridico prescelto: non più una direttiva, ma un Regolamento. Il regolamento, una volta approvato dal Parlamento sarà direttamente applicabile negli Stati membri, senza atti di recepimento, come invece accade per le direttive europee. Non più uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto. Un’identica legge europea per i 28 Stati.
Lo scopo principale del Regolamento è quello realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea degli strumenti elettronici di identificazione, autenticazione e firma (in inglese, electronic identification, authentication, signature, da cui l’acronimo eIDAS usato per indicare il Regolamento). Gli Stati membri hanno facoltà di notificare alla Commissione sistemi di identificazione che, una volta accettati dalla Commissione e pubblicati, devono essere riconosciuti da tutti gli Stati membri, a determinate condizioni.
Negli schemi di identificazione deve esser precisato il livello di sicurezza per l’identificazione: basso, medio, alto. Il livello di sicurezza dipende dal processo di identificazione e di verifica, dall’attività svolta, dai controlli implementati anche sotto il profilo tecnologico.
L’obbligo di riconoscere on line un soggetto identificato in un altro Stato sussiste soltanto se il livello di sicurezza è almeno il medesimo e se è almeno medio o alto.
Il riconoscimento del sistema di identificazione on line che è stato accettato dalla Commissione è obbligatorio se l’interessato vuole identificarsi presso un soggetto pubblico (es.: partecipazione ad una gara d’appalto).
Il Regolamento non si occupa solo di e-identity ma in generale e-trust services: quindi e-signature, e-seal, electronic time stamp, electronic registered delivery service, website authentication.Fra le novità più rilevanti: l’introduzione dell’e-seal o sigillo elettronico che costituisce la firma della persona giuridica e va distinto dall’e-signature o firma elettronica, firma della persona fisica. Quindi una società potrà utilizzare il sigillo elettronico, indipendentemente dalla firma del legale rappresentante, che garantirà provenienza e integrità del documento elettronico. Un’ulteriore novità è il marchio di garanzia europeo (EU trustmark) che i fornitori di servizi fiduciari qualificati inclusi negli elenchi tenuti dalle autorità nazionali potranno utilizzare.
