Seleziona una pagina
Home » Normativa » eIDAS 2.0: facciamo il punto
02.11.2022
| Tempo di lettura: 7 min

eIDAS 2.0: facciamo il punto

La revisione del regolamento che introdurrà il digital identity wallet europeo procede velocemente. Ecco cosa sappiamo ad oggi e i punti ancora da chiarire.

Anche l’Unione Europea deve fare i conti con un mercato e un tessuto socio-economico in costante trasformazione, rivedendo i suoi obiettivi e le sue direttive alla luce di queste trasformazioni.

In questo articolo scoprirai:

Nel 2014, quando è stato istituito il regolamento europeo eIDAS (electronic IDentification, Authentic and trust Services), uno degli obiettivi dell’UE era quello dare accesso a tutti i cittadini a servizi fiduciari digitali altamente sicuri, ma anche a identità digitali da poter spendere in tutta Europa.

Un obiettivo raggiunto, ma in modo molto disomogeneo: nonostante l’Italia sia tra i paesi “virtuosi”, in cui l’identità digitale è più diffusa tra la popolazione, nel resto d’Europa sono solo 14 gli stati membri che hanno notificato almeno un sistema di identità digitale alla Commissione, e solo il 59% dei cittadini europei è oggi in possesso di una digital ID. Inoltre, restando sempre in ambito europeo, ad oggi vi è poca interoperabilità o coerenza sia nei livelli di sicurezza e nella user experience delle identità digitali di ogni paese membro che nelle modalità di accreditamento ed erogazione dei Qualified Trust Service Provider, tra cui gli erogatori di firme elettroniche qualificate, nei vari paesi.

Per questo, a giugno 2021, la Commissione ha annunciato la revisione del regolamento eIDAS, la cui novità più discussa e attesa si trova nell’implementazione dell’European Digital Identity Wallet. Dall’annuncio di giugno la revisione ha fatto veloci passi avanti: a inizio febbraio 2022 al Parlamento Europeo si è tenuta un’audizione pubblica sul tema, mentre il 22 febbraio è stata aperta dall’Unione una call for proposals per l’implementazione dell’European Digital Identity Framework. Oggi, a ottobre 2022, è in discussione la quarta revisione di emendamenti al nuovo regolamento.

La revisione eIDAS: perché?

Su larga scala l’obiettivo della revisione eIDAS è però molto più ampio: oltre a unificare il panorama delle identità digitali in termini di diffusione, ux e sicurezza, il nuovo regolamento eIDAS ha anche l’obiettivo di riportare la sovranità dei dati personali nelle mani dei cittadini –  in linea con la GDPR e in contrasto con la gestione delle informazioni da parte delle big tech – ma anche garantire parità di condizione nell’utilizzo dei servizi fiduciari all’interno dell’UE: l’Italia infatti è il paese più avanzato per presenza di Qualified Trust Service Provider, ma in altri paesi il numero è molto limitato.

Insomma, lo scopo ultimo della revisione di eIDAS è quello di aumentare l’interoperabilità e integrabilità dei servizi fiduciari all’interno dell’UE, facendo un ulteriore passo avanti nell’unificazione dei paesi e porre le basi per creare l’european digital market.

Le altre novità introdotte

Come si è detto, per raggiungere questo obiettivo la revisione eIDAS non comprende solo interventi in ambito identità digitale, ma aggiunge alcuni servizi fiduciari a quelli già regolamentati nella prima versione (firma elettronica, sigillo elettronico, timestamp, website authentication certificate):

  • l’electronic archiving, che in Italia è già previsto dal CAD ma si potrà così espandere in tutta Europa, aprendo nuovi mercati per alcuni paesi;
  • la gestione degli apparati di firma e degli HSM, che diventerà un servizio fiduciario a sé stante;
  • la possibilità di registrazione e storing dei dati su electronic ledger (blockchain), apparsa nella prima versione;
  • i “verificatori” di certificati, firme elettroniche, sigilli e attestazioni diventeranno veri e propri servizi qualificati;
  • l’emissione di attributi e attestazioni elettroniche (che potranno poi essere spesi con il digital wallet).

Il nuovo regolamento, inoltre, obbligherà tutti i paesi europei a mettere a disposizione delle banche dati nazionali per ottenere informazioni significative sui cittadini, in Italia attualmente carenti o poco attendibili.

L’ “elefante nella stanza”: il ruolo di SPID nel Digital Wallet

Ciò che più fa discutere sui tavoli di lavoro della revisione eIDAS, però, è la questione legata ai livelli di sicurezza (il Level of Assurance, LoA) delle identità digitali attualmente in uso nei paesi europei (comprese SPID e CIE) per l’accesso dei cittadini al digital wallet europeo. SPID, infatti, può essere utilizzato con tutti e tre i livelli di sicurezza previsti (Low, Substantial e High), ma la maggior parte degli SPID attualmente in uso in Italia si limita al livello 2 di substantial. Alcuni paesi europei diversi dall’Italia, tuttavia, richiedono che l’accesso al wallet sia limitato alle identità digitali con livello high, già raggiunto invece da CIE. Un recente decreto, inoltre, apporterà delle modifiche alla UX di CIE, rendendola molto più simile a SPID. Insomma, il timore è che con la revisione eIDAS gran parte delle utenze SPID diffuse oggi in Italia non sarebbero accettate per accedere al digital wallet, decisione che potrebbe limitare molto il futuro di SPID e quindi dissipare parte degli investimenti – anche privati – di questi anni.

In un recente articolo per Agenda Digitale, Matteo Panfilo, Chief Solutions Officer di Intesa, auspica che venga finalmente definito un modello italiano per le identità digitali e che l’esperienza italiana venga adeguatamente valorizzata.

«L’iter legislativo si concluderà nel 2023 e – volenti o nolenti – potrebbe avere impatti ragguardevoli per il nostro Paese che, per quanto costruito in questi anni, auspichiamo possa continuare ad essere un punto di riferimento europeo anche in futuro».

L’EuDI wallet, comunque, si configura già come una grande innovazione nell’ambito delle identità digitali, non solo per i numerosi ambiti e use case a cui si potrà applicare, ma anche per l’altissima attenzione alla privacy dei cittadini: il wallet infatti consentirà agli utenti di condividere solo e unicamente le informazioni necessarie ad accedere al servizio. Un nuovo paradigma nella gestione della privacy, che supera di gran lunga l’esperienza di ogni use case attuale e che si avvicina al modello della Self Sovereign Identity.

Tema quindi assolutamente prioritario, anche vista l’esperienza di SPID in Italia, è legato alla sostenibilità economica del modello. In particolare, andrà compreso quali opportunità il legislatore vorrà dare per la remunerazione/costo per i vari attori collegati al wallet (Wallet provider, PID, QTSP, Attribute Authorities e Relying parties) e le relative regole di accounting/convenzionamento anche considerando i vincoli dettati dalla privacy e dal rispetto della confidenzialità delle informazioni scambiate tra le parti.

Insomma, la certezza è che si verificherà un grande cambiamento nella gestione delle identità digitali: per gli erogatori di servizi privati è tempo di avviare investimenti e strategie per l’adozione di questo strumento.

You might be interested

Iscriviti alla newsletter

Novità, iniziative ed eventi dal mondo della trasformazione digitale.

Voglio essere informato su prodotti, servizi e offerte di INTESA.
Ho letto e accetto l'informativa sulla privacy.

È possibile ritirare il proprio consenso in qualsiasi momento inviando una e-mail al seguente indirizzo: privacy_mktg@intesa.it. Oppure, se non si desidera ricevere più le e-mail di marketing, è possibile annullare la sottoscrizione facendo clic sul relativo link di annullamento sottoscrizione, in qualsiasi e-mail.
Per confermare l'iscrizione, controlla la tua email!
Condividi