Un European digital identity wallet, l’identità digitale europea che dovrà essere messa a disposizione di ogni cittadino, oltre a modifiche nell’ambito dell’erogazione dei servizi di certificazione e degli strumenti messi a disposizione ai cittadini ed alle imprese: tante sono le idee avanzate dalla Commissione europea per il nuovo regolamento eIDAS.
Infatti, il 3 giugno 2021 ha presentato una proposta di regolamento modificativa dell’attuale disciplina stabilita nel Regolamento (UE) n. 910/2014 (eIDAS) che, come noto, detta delle regole uniformi nel territorio europeo per la prestazione di servizi fiduciari (firme e sigilli elettronici, validazione temporale e servizi di recapito elettronico) e stabilisce i meccanismi di implementazione da parte dei singoli Stati membri dei sistemi di identità elettronica dei cittadini (come il nostro SPID).
Pur trattandosi di una prima proposta da parte della Commissione Europea, che come tale potrebbe essere soggetta a modifiche e revisioni del testo regolamentare, possiamo affermare che con le modifiche del Regolamento eIDAS l’Unione Europea cerca di dare un’ulteriore spinta di acceleratore al processo di digitalizzazione dei servizi (pubblici e privati) ampliando le possibilità effettive di loro utilizzo anche in ambito transfrontaliero.
Perché si va verso un nuovo eIDAS
Nel 1999 l’allora Comunità Europea, in considerazione dell’utilizzo in alcuni Stati membri di sistemi particolari per la creazione dei documenti informatici e per l’attribuzione della paternità degli stessi, decise di adottare la direttiva 93/1999/CE. Tale provvedimento in verità regolava solamente l’utilizzo delle firme elettroniche, distinguendo al proprio interno tre tipologie di firme (semplice, avanzata e qualificata) e lasciando ampli margini di discrezionalità agli Stati membri circa l’effettiva regolazione delle stesse.
La direttiva non conteneva una disciplina specifica per gli strumenti di “identificazione elettronica”, tanto che ogni Stato ha visto nascere ed evolvere una o più soluzioni (come ad esempio la Carta Nazionale dei Servizi (CNS) italiana o l’identità digitale (eID) estone) senza alcuna interoperabilità tra le medesime né regole precise per il reciproco riconoscimento.
Identità digitale, nessuna “buona” nuova dal PNRR: cosa non ha funzionato e cosa manca
Con il passare degli anni, quindi, mentre alcuni servizi si consolidavano sempre di più (come appunto le firme elettroniche qualificate o i servizi di validazione temporale) per andare verso un’uniformità di soluzioni (derivanti anche dalla ristretta cerchia di tecnologie utilizzabili), il tema dell’identità digitale dei cittadini europei ha assunto sempre più rilevanza, soprattutto nell’ottica di creare un “Mercato Digitale Unico Europeo” idoneo ad attuare pienamente anche nello “spazio elettronico” i fondamentali principi di libera circolazione delle persone e delle merci tra Stati membri che costituiscono uno dei principali motivi dell’istituzione dell’Unione.
Per dar seguito a tale esigenza è stato pubblicato il Regolamento eIDAS attraverso il quale si è tentato di incentivare la creazione dei sistemi di identità digitale statali ed il reciproco riconoscimento dei singoli sistemi nelle transazioni transfrontaliere all’interno dell’Unione Europea. In tale ottica ciascuno Stato provvede alla notificazione alla Commissione Europea dei sistemi di identità digitale presenti all’interno dei suoi confini (l’Italia ha notificato lo SPID e la Carta di Identità Elettronica) ovviamente nel rispetto dei requisiti e caratteristiche stabiliti nel Regolamento stesso.
Il problema dei sistemi di identificazione elettronica
Contestualmente tramite eIDAS veniva istituito un meccanismo per il quale la qualificazione dei servizi da parte di un prestatore in uno Stato membro consente la loro erogazione in tutta l’Unione Europea. Però mentre con riguardo ai servizi per così dire “tradizionali” (firme elettroniche e validazione temporale) il regolamento ha svolto egregiamente il suo lavoro, portando ad una sostanziale armonizzazione in tutto il territorio europeo, non si può dire lo stesso per i sistemi di identificazione elettronica.
L’autonomia lasciata ai singoli Stati in merito al sistema di identità digitale da implementare ha, infatti, determinato un’eccessiva frammentazione ostacolando, nonostante la creazione dei cd. “nodi eIDAS” l’effettiva possibilità di utilizzare le identità in transazioni transfrontaliere. Inoltre, non tutti i sistemi sono stati notificati alla Commissione Europea arrivando quindi ad una copertura stimata ad oggi del 59% della popolazione sul territorio europeo.
Per far fronte a tali problematiche, ed anche per adeguare il regolamento alle evoluzioni che in questi sette anni si sono avvicendate nel settore, la proposta COM(2021) interviene con una serie di novità, inserite dopo un ampio confronto con i principali attori europei, che puntano sia a creare una vera e propria identità digitale europea sia a regolare nuove forme di servizi qualificati, quali l’attestazione di attributi, la conservazione documentale ed i registri elettronici.
L’European Digital Identity Wallet
La novità più rilevante è l’introduzione del wallet europeo di identità digitale, che viene definito come un prodotto o un servizio che consente all’utente di conservare dati di identificazione, credenziali ed attributi collegati alla sua identità, al fine di esibirli alle parti richiedenti e di utilizzarlo come strumenti di autenticazione (online ed offline).
Il compito di dotare i cittadini del wallet spetta a ciascuno Stato membro (ed è previsto che sia rilasciato gratuitamente) che potrà provvedervi direttamente oppure delegando un soggetto al rilascio o, infine, riconoscendo il wallet rilasciato da soggetti terzi.
Il wallet deve consentire la gestione degli attributi, qualificati e non, del titolare dello stesso, la validazione dei dati identificativi, la presentazione dei dati ed attributi anche in modalità offline ed assicurare un livello di sicurezza almeno “elevato” secondo la classificazione contenuta nell’art. 8 del Regolamento. Grande attenzione è posta in tema di tutela dei dati personali in quanto è fatto divieto sia di raccogliere informazioni circa l’uso del wallet da parte degli utenti sia di condividere dati ulteriori, salvo consenso dell’interessato, rispetto a quelli necessari alla gestione del wallet stesso.
Gli “attestati elettronici di attributi”
Il wallet è lo strumento naturale in cui andranno a confluire gli “attestati elettronici di attributi” che sono disciplinati nella nuova Sezione 9 del regolamento. Si tratta della trasposizione del concetto di “Verifiable Credentials” di cui già avevamo trattato in un precedente articolo in tema di Self Sovereign Identity le quali, con la proposta in esame, entrano a pieno titolo nella disciplina giuridica europea. Così come per gli altri servizi fiduciari anche gli attestati di attributi potranno essere qualificati o non qualificati (ossia emessi da un prestatore di servizi qualificato o da altro soggetto) con una differenza di effetti disciplinata dall’art. 45a della proposta: gli attributi qualificati devono avere pari valenza giuridica di quelli rilasciati “su carta” mentre a quelli non qualificati non possono essere negati effetti giuridici per il solo fatto di essere emessi in forma elettronica.
E’ importante sottolineare che secondo l’Annex VI stabilisce che gli Stati membri debbano garantire a un emittente di attestati elettronici qualificati di poter verificare tramite fonti pubbliche sicure almeno i seguenti attributi di una persona: indirizzo, età, sesso, stato civile, stato di famiglia, nazionalità, diplomi, titoli e abilitazioni relative al percorso scolastico, qualifiche, titoli e abilitazioni professionali, permessi pubblici e licenze, dati societari e finanziari.
Si tratta, pertanto, di un’ulteriore spinta verso l’accesso ai dati pubblici che richiederà un notevole sforzo, dal punto di vista organizzativo ed informatico, da parte della pubblica amministrazione per poter rendere effettiva la previsione.
Ulteriore incentivo alla diffusione ed utilizzo dell’European digital identity wallet è dato dall’art. 12b.2, in cui viene stabilito che in tutti i casi in cui un provider privato rilascia servizi sulla base di un meccanismo di “strong user authentication” deve accettare anche l’utilizzo del wallet a tale scopo. Il riferimento, anche se indiretto, va ai sistemi di strong authentication già introdotti dalla PSD2 per i servizi di pagamento che quindi dovranno essere affiancati con il nuovo sistema introdotto dalla proposta regolamentare in esame.
Le novità per i servizi fiduciari
Anche relativamente alla prestazione di servizi fiduciari la proposta introduce alcune innovazioni di non poco conto. Innanzitutto è prevista l’estensione dei requisiti previsti nella direttiva NIS2 (in fase di approvazione) anche ai prestatori di servizi fiduciari qualificati, sia in sede di qualificazione sia nelle fasi successive con vigilanza congiunta delle competenti autorità di controllo ed obblighi di segnalazione degli incidenti di sicurezza (ferma rimanendo, ovviamente, la parallela disciplina di segnalazione delle violazioni riguardanti anche i dati personali).
Firme elettroniche
Una specifica disciplina viene introdotta in merito alla gestione dei dispositivi per l’apposizione delle firme elettroniche, principalmente al fine di delegare la Commissione ad emanare delle norme tecniche (o indicare i relativi riferimenti) che assicurino standard uniformi in tutta Europa, previsione che appare opportuna considerato il rapido diffondersi di queste tipologie di firme elettroniche (dato rinvenibile anche nei report pubblicati da AgID in cui si evidenzia un sempre più crescente numero di firme digitali remote in Italia e del loro utilizzo).
Conservatori
L’art. 45g introduce i servizi di conservazione elettronica qualificata. Ricordiamo che nel testo attualmente in vigore non sono presenti delle disposizioni dirette a disciplinare tale tipologia di servizio, tanto che in Italia, proprio per adeguarsi a tale disciplina, si è deciso con il decreto semplificazioni 2020 di eliminare il meccanismo di accreditamento dei conservatori presso AgID per la fornitura di servizi di conservazione. La nuova disciplina europea sembra voler introdurre un sistema di previa qualificazione dei prestatori dei servizi di conservazione anche se gran parte delle regole è demandata ad un successivo provvedimento della Commissione con cui saranno individuati gli standard applicabili a detti servizi. Ciò comporterà un ritorno al sistema previgente in Italia, con la reintroduzione di un albo dei soggetti qualificati a prestare anche tale tipologia di servizi.
I registri elettronici
Infine, non si può non segnalare l’introduzione della Sezione 11 con la nuova disciplina sui registri elettronici. Dalla definizione di registro elettronico, quale prova inalterabile della registrazione elettronica di dati idonea a fornire autenticità ed integrità dei dati, accuratezza della data ed ora di registrazione nonché dell’ordine cronologico di inserimento non si evince in verità che si tratti necessariamente di “tecnologie a registro distribuito” (o DLT, tra cui la blockchain) non costituendo il requisito della decentralizzazione un elemento della definizione data.
D’altra parte però l’ampiezza del dato normativo sicuramente consente di ritenere incluse in tale definizione dette tecnologie, e ciò emerge anche dai requisiti di cui all’art. 45i che prevedono la necessità di una loro creazione da uno “o più” prestatori di servizi qualificati. Gli effetti giuridici riconosciuti ai registri elettronici sono diversi a seconda del soggetto che eroga servizi ad essi collegati: un registro elettronico non gestito da un prestatore qualificato deve comunque essere ammesso come prova in giudizio, salvo poi rimettere la valenza probatoria effettiva alle disposizioni del singolo Stato membro. Il registro elettronico qualificato, invece, gode di una presunzione di unicità ed autenticità dei dati che contiene, dell’accuratezza della data ed ora in cui sono stati registrati e del loro ordine cronologico sequenziale di registrazione nel registro elettronico.
La qualificazione di un registro elettronico, infine, è possibile solamente qualora lo stesso sia gestito da uno o più prestatori qualificati di servizi fiduciari, quando sia garantita l’unicità, autenticità e correttezza delle registrazioni, la corretta sequenza cronologica di inserimento nel registro e della data ed ora dello stesso e la possibilità di dare evidenza immediata di qualsiasi modifica successiva ai dati già registrati.
Nuovo eIDAS, l’impatto della proposta
Sicuramente l’istituzione dell’European Digital Identity Wallet costituirà un passo importante verso tale obiettivo e dovrebbe facilitare la messa a disposizione in favore dei cittadini di uno strumento unico di autenticazione, ricordando che tale sistema potrà non solo essere erogato direttamente dallo Stato, ma anche realizzato da soggetti diversi con successivo riconoscimento (aprendo anche in tal modo a soluzioni di Self Sovereign Identity).
L’intervento sui “registri elettronici” si attesta ad un livello molto alto, quasi che la Commissione non abbia voluto entrare troppo nel dettaglio dei requisiti tecnici per consentire un più ampio margine di operatività della previsione.
Vero è, d’altra parte, che prevedere un riconoscimento “ufficiale” ai soli registri gestiti e creati da prestatori qualificati di servizi fiduciari, senza definire effetti e requisiti di altre tipologie di servizi che pur si basano su registri ad ampia diffusione la cui sicurezza si può dire oramai “acquisita”, sembrerebbe a chi scrive un approccio eccessivamente restrittivo, considerando anche che, come l’esperienza dell’attuale disciplina eIDAS insegna, quando la norma non definisce in maniera precisa gli effetti giuridici dell’uso di una certa tecnologia, soprattutto nell’ambito dei servizi di certificazione, alla fine la stessa non viene implementata dagli attori del mercato.
