guida

eIDAS 2: tutto su identità digitale europea, IT wallet, servizi fiduciari

Home
Indirizzo copiato

In vigore dal 20 maggio 2024 il nuovo regolamento eIDAS 2: ecco un vademecum con tutte le novità per le aziende, le scadenze e le sanzioni

Pubblicato il 20 mag 2024
Giovanni Manca

consulente, Anorc

eIDAS 2
eIDAS 2

Il 20 maggio 2024 entra in vigore il regolamento europeo 2024/1183 (al quale comunemente ci si riferisce come eIDAS 2) dell’11 aprile 2024 che modifica il regolamento europeo n. 910/2014 per quanto riguarda l’istituzione del quadro relativo a un’identità digitale europea. Questo traguardo è la fine del cammino legislativo iniziato il 3 giugno 2021 con la pubblicazione della proposta iniziale della Commissione europea.

eIDAS 2, cosa dice il nuovo regolamento

Questo regolamento inizia un nuovo percorso che è quello dell’attuazione gestita attraverso la pubblicazione da parte della Commissione di una serie di provvedimenti attuativi (atti di esecuzione) che fisseranno le regole operative per il regolamento stesso.

La tempistica è variabile per la varie fattispecie di atti, gli atti di esecuzione per il portafoglio e le attestazioni elettroniche degli attributi dovranno essere emanati entro il 21 novembre 2024, gli altri atti prevalentemente entro il 21 maggio 2025.

Questo regolamento ha impatti significativi sui comportamenti digitali di cittadini, imprese e professionisti dell’Unione, nel seguito ne descriviamo le peculiarità.

Le novità di eIDAS 2

Le principali novità sono il portafoglio europeo di identità digitale (EDIW – European Digital Identity Wallet), la revisione e l’ampliamento dei servizi fiduciari stabiliti nel regolamento originario. Ad essi si aggiungono i servizi di archiviazione elettronica di dati e documenti elettronici, la registrazione di dati elettronici in un registro elettronico, il rilascio e la convalida di attestati elettronici di attributi, la gestione di dispositivi per la creazione di una firma elettronica a distanza o di dispositivi per la creazione di un sigillo elettronico a distanza. Alla prestazione di servizi elettronici di recapito certificato si aggiunge la convalida dei dati trasmessi tramite servizi elettronici di recapito certificato e relative prove.

EDIW – European Digital Identity Wallet in eiDAS 2

Il protagonista assoluto di questo nuovo regolamento è l’EDIW che introduce un’identità digitale unica, sicura e interoperabile a livello comunitario. Questa identità, associata con l’attestazione elettronica di attributi mette a disposizione un potenziale operativo elevato visto che disporre di questa identità apre una serie di opportunità per la resa di servizi in rete moderni e integrati. L’apertura di un conto corrente o operazioni bancarie in genere, l’interazione con i servizi nel settore dei trasporti, dell’energia, dei servizi finanziari, della sicurezza sociale, della sanità, dell’acqua potabile, dei servizi postali, dell’infrastruttura digitale, dell’istruzione o delle telecomunicazioni potrà essere svolta mediante l’utilizzo del EDIW e se i servizi indicati richiedono l’autenticazione forte le imprese (escluse le piccole e medie imprese) dovranno accettare i EDIW (su richiesta volontaria dell’utente).

IT wallet

La normativa sul EDIW è complessa e le amministrazioni di riferimento potranno iniziare ad attuarla sperimentando il Portafoglio italiano di identità digitale o IT Wallet introdotto recentemente nel nostro ordinamento.

Questi strumenti di identità digitale intendono superare la frammentazione o l’assenza di soluzioni nazionali sul tema. L’obbligo di garantire l’utilizzo gratuito della firma elettronica qualificata ai titolari di EDIW favorisce l’utilizzo di dati associati alla propria identità digitale, in rete o fuori rete (tipo le connessioni “bluetooth”). Si dispone di documenti e attributi di varia natura, tramite essi si accede e si fruisce di servizi pubblici e privati. Il vantaggio per le imprese è legato alla possibilità di ottenere valore economico attraverso le maggiori possibilità di un accesso sicuro e diffuso a beni e servizi. La gestione dell’identità, anche interoperabile, diventa più economica con la riduzione dei costi operativi e le caratteristiche organizzative e tecniche del EDIW in materia di sicurezza cibernetica riducono il rischio di furto di identità, di dati e di truffe in rete.

Gli attributi dell’EDIW

Il EDIW (ma anche IT Wallet) consentono l’utilizzo di attributi dell’identità aumentando i potenziale del Portafoglio. Gli attributi contenuti nell’elenco minimo stabilito nell’Allegato VI del regolamento 2024/1183 sono:

  • l’indirizzo,
  • l’età,
  • genere,
  • stato civile,
  • composizione del nucleo familiare,
  • nazionalità o cittadinanza,
  • titoli e licenze di studio,
  • qualifiche e licenze professionali,
  • poteri e mandati di rappresentanza di persone fisiche o giuridiche,
  • permessi e licenze pubblici, per le persone giuridiche,
  • i dati societari e finanziari.

Tutti questi dati sono sotto lo stretto controllo del titolare che ne controlla la diffusione capillare, sempre da lui autorizzata, commisurata alle specifiche transazioni o operazioni, nel pieno rispetto dei principi del regolamento GDPR. Questi principi si applicano anche ai dati di identificazione personale.

eIDAS 2 archiviazione elettronica

Le imprese potranno anche sviluppare e adottare per sé e per il mercato altri servizi comunitari come l’archiviazione elettronica. Nell’ambito di applicazione nell’Unione si ha il riconoscimento degli effetti giuridici e dell’ammissibilità come prova in giudizio di dati e documenti elettronici (ma anche di documenti analogici trasformati in digitale tramite scansione elettronica) quando conservati mediante un servizio di archiviazione elettronica. L’utilizzo di un prestatore di servizi fiduciari qualificato garantisce che i documenti e i dati conservati godono della presunzione di integrità e autenticità per tutto il periodo di conservazione con i relativi vantaggi legali in termini probatori.

Trust service, eIDAS 2 e i servizi fiduciari: i registri elettronici

Nei servizi fiduciari compaiono anche i registri elettronici che sono una sequenza di registrazioni di dati elettronici che garantisce l’integrità delle citate registrazioni e l’accuratezza dell’ordine cronologico delle stesse. Trattandosi di un servizio fiduciario è possibile qualificarlo quando è offerto da un prestatore di servizi fiduciari qualificato e conforme alle regole stabilite nell’articolo 45 terdecies.

La lettura di tali regole riporta chiaramente ai registri elettronici distribuiti o decentralizzati e ai loro utilizzi classici come la blockchain o gli smart contract.

Firma e sigilli elettronici eIDAS 2

Le regole sul servizio fiduciario di gestione di dispositivi per la creazione di una firma elettronica a distanza o di dispositivi per la creazione di un sigillo elettronico a distanza riguardano le tematiche di utilizzo e il ciclo di vita di questi dispositivi quando si richiede la loro qualifica. Le nuove regole sono stabilite per questi scopi e, in pratica, si applicano agli HSM (Hardware Security Module). Le imprese che utilizzano questi dispositivi dovranno adeguarsi entro il 21 maggio 2026.

Firme e sigilli da remoto, cosa fare con le nuove regole eIDAS

Le regole per i certificati di autenticazione di siti web

Per completare la nostra analisi rileviamo le regole più stringenti e i nuovi obblighi per i certificati di autenticazione di siti web e il particolare servizio fiduciario di convalida dei dati trasmessi tramite servizi elettronici di recapito certificato e relative prove.

Nel primo caso i certificati devono essere riconosciuti dai fornitori di browser web superando gli ostacoli del mondo “big tech” in ambito extra europeo.

Nel secondo caso si pone attenzione anche alle “relative prove” cioè alle ricevute utilizzate nel corso dello scambio di dati o messaggi nei servizi elettronici di recapito certificato.

La completa attuazione e le valutazioni operative complete si potranno avere solo con la pubblicazione degli atti di esecuzione che stabiliscono un elenco di norme di riferimento, e se necessario, anche specifiche e procedure applicabili al contesto specifico del servizio.

Nuovo eIDAS, le sanzioni

Concludiamo evidenziando l’articolo 16 con le nuove e pesanti possibili sanzioni per i prestatori di servizi fiduciari qualificati e non. Le sanzioni per i soggetti non qualificati sono una novità e le imprese che dal 20 maggio 2024 erogano servizi fiduciari di questo tipo ne tengano conto anche per gli obblighi di conformità di cibersicurezza alla Direttiva 2022/2555 comunemente nota come NIS 2).

Conclusione

Il 20 maggio 2024 inizia l’era dell’identità digitale europea che nasce con delle ottime premesse di unicità, sicurezza e interoperabilità. Il successo, soprattutto nei primi anni sarà legato alla capacità di offrire servizi attraenti e efficienti e a un coordinamento e controllo da parte degli Stati membri e dei Garanti per la protezione dei dati personali sul numero di EDIW in circolazione. Il rischio è che i “big tech” pongano in opera i loro EDIW (lo Stato membro ha l’obbligo di emetterne almeno uno) monopolizzando, ancora una volta, i flussi di dati personali anche tramite le ben note piattaforme di servizi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Giovanni Manca
consulente, Anorc
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • appalti e pnrr

    Procurement pubblico leva per crescere nel 2024: ecco perché

    09 Gen 2024

    di Stefano De Marinis e Pierluigi Piselli

    Condividi

  • marketing e finanza

    Fintech in crisi? Comunicare bene è la chiave per resistere

    17 Nov 2023

    di Alessio Pecoraro

    Condividi

Prossimo

Procurement pubblico leva per crescere nel 2024: ecco perché

Articolo 1 di 3