Home » Normativa » eIDAS 2.0: cosa dice, quali sono le novità e qual è la roadmap
Normativa
16.03.2025
| Tempo di lettura: 11 min

eIDAS 2.0: cosa dice, quali sono le novità e qual è la roadmap

16 Marzo 2025

La revisione del regolamento procede velocemente. Ecco dove è arrivata e i punti ancora da chiarire.

Anche l’Unione Europea deve fare i conti con un mercato e un tessuto socio-economico in costante trasformazione, rivedendo i suoi obiettivi e le sue direttive alla luce di queste trasformazioni.

In questo articolo scoprirai:

Nel 2014, quando è stato istituito il regolamento europeo eIDAS (electronic IDentification, Authentic and trust Services), uno degli obiettivi dell’UE era quello dare accesso a tutti i cittadini a servizi fiduciari digitali altamente sicuri, ma anche a identità digitali da poter spendere in tutta Europa.

Un obiettivo raggiunto, ma in modo molto disomogeneo: nonostante l’Italia sia tra i paesi “virtuosi”, in cui l’identità digitale è più diffusa tra la popolazione, nel resto d’Europa sono solo 14 gli stati membri che hanno notificato almeno un sistema di identità digitale alla Commissione, e solo il 59% dei cittadini europei è oggi in possesso di una digital ID. Inoltre, restando sempre in ambito europeo, ad oggi vi è poca interoperabilità o coerenza sia nelle modalità di accreditamento dei Qualified Trust Service Provider che nelle modalità di erogazione dei servizi. 

La revisione eIDAS: perché?

Su larga scala l’obiettivo della revisione eIDAS è però molto più ampio: oltre a unificare il panorama delle identità digitali in termini di diffusione, ux e sicurezza, il nuovo regolamento eIDAS ha anche l’obiettivo di riportare la sovranità dei dati personali nelle mani dei cittadini –  in linea con la GDPR e in contrasto con la gestione delle informazioni da parte delle big tech – ma anche garantire parità di condizione nell’utilizzo dei servizi fiduciari all’interno dell’UE: l’Italia infatti è il paese più avanzato per presenza di Qualified Trust Service Provider, ma in altri paesi il numero è molto limitato.

Insomma, lo scopo ultimo della revisione di eIDAS è quello di aumentare l’interoperabilità e integrabilità dei servizi fiduciari all’interno dell’UE, facendo un ulteriore passo avanti nell’unificazione dei paesi e porre le basi per creare l’european digital market.

La roadmap di eIDAS 2.0: a che punto siamo

Per questi motivi, a giugno 2021, la Commissione ha annunciato la revisione del regolamento eIDAS, le cui novità più attese e discusse si trovano nell’implementazione dell’European Digital Identity Wallet e nell’inserimento della conservazione a norma tra i servizi fiduciari qualificati. Dall’annuncio di giugno la revisione ha fatto veloci passi avanti: a inizio febbraio 2022 al Parlamento Europeo si è tenuta un’audizione pubblica sul tema, mentre il 22 febbraio dello stesso anno è stata aperta dall’Unione una call for proposals per l’implementazione dell’European Digital Identity Framework.

Il 29 febbraio 2024 la revisione è stata ufficialmente approvata dal Parlamento Europeo ed è stata pubblicata nella Gazzetta Ufficiale il 30 aprile 2024.

Il 4 dicembre dello stesso anno sono stati pubblicati i primi cinque Implementing Acts, che definiscono gli standard, le specifiche tecniche e i protocolli per la creazione degli EUDI Wallet. Questi documenti stabiliscono i criteri di sicurezza, affidabilità e interoperabilità, nonché il sistema di notifica e certificazione dei wallet. La pubblicazione della seconda tranche è prevista entro il 21 maggio 2025.

Leggi anche: Gli Implementing Acts di eIDAS 2.0: a che punto siamo e cosa cambia per le aziende

L’innovazione più attesa: l’EUDI Wallet

L’European Digital Identity Wallet, come si è detto, è l’innovazione più attesa e “discussa” di questo regolamento, o per lo meno quella che avrà un impatto più diffuso sulla vita dei cittadini e non limitato agli operatori di settore. Sarà un’identità digitale a tutti gli effetti, proprio come SPID, ma sarà valida obbligatoriamente in tutta l’UE e avrà la struttura di un “portafoglio” digitale in cui potranno essere raccolte certificazioni e documenti verificabili e verificati – i cosiddetti “attributi” – quali estremi di passaporto, certificato di nascita, patente e tessera elettorale.

Inoltre, adottando un modello simile a quello della Self Sovereign Identity basata su Blockchain, l’EUDI Wallet migliorerà la privacy e la protezione dei dati personali, restituendo agli utenti il controllo sulla propria identità e sulle informazioni condivise.

Leggi anche: Che cos’è l’European Digital Identity (EUDI) Wallet e quando verrà rilasciato

In arrivo il “qualified e-archiving”

La seconda “grande novità” di eIDAS 2.0 coinvolge maggiormente i fornitori di servizi digitali e i Qualified Trust Service Provider. Viene infatti inserita tra i servizi fiduciari la conservazione digitale (o “conservazione a norma”). Una scelta che certamente promuoverà l’interoperabilità tra i paesi, superando le normative nazionali, ma che aprirà anche un nuovo mercato nei servizi fiduciari.

Da quanto pubblicato fino ad ora, comunque, pare che siano molti i punti di contatto tra eIDAS 2.0 e la normativa CAD sulla conservazione digitale a cui i conservatori qualificati si devono attenere. Un vantaggio competitivo non indifferente per tutte i service provider italiani in possesso di questa certificazione.

Leggi anche: Qualified e-Archiving: guida alla nuova conservazione digitale qualificata

Le altre novità

Come si è detto, per raggiungere l’obiettivo di digitalizzazione comunitaria la revisione eIDAS non interviene su quanto già in essere, ma anche aggiunge a quelli già regolamentati nella prima versione (firma elettronica, sigillo elettronico, timestamp, website authentication certificate) altri servizi fiduciari e attori nell’ecosistema:

  • la gestione degli apparati di firma e degli HSM, che diventerà un servizio fiduciario a sé stante;
  • la possibilità di registrazione e storing dei dati su electronic ledger (blockchain), apparsa nella prima versione;
  • i “verificatori” di certificati, firme elettroniche, sigilli e attestazioni diventeranno veri e propri servizi qualificati;
  • l’emissione di attributi e attestazioni elettroniche (che potranno poi essere spesi con il digital wallet).

Il nuovo regolamento, inoltre, obbligherà tutti i paesi europei a mettere a disposizione delle banche dati nazionali per ottenere informazioni significative sui cittadini, in Italia attualmente carenti o poco attendibili. 

L’ “elefante nella stanza”: il ruolo di SPID nel Digital Wallet

Ciò che più fa discutere sui tavoli di lavoro della revisione eIDAS, però, è la questione legata ai livelli di sicurezza (il Level of Assurance, LoA) delle identità digitali attualmente in uso nei paesi europei (comprese SPID e CIE) per l’accesso dei cittadini al digital wallet europeo. SPID, infatti, può essere utilizzato con tutti e tre i livelli di sicurezza previsti (Low, Substantial e High), ma la maggior parte degli SPID attualmente in uso in Italia si limita al livello 2 di substantial. Alcuni paesi europei diversi dall’Italia, tuttavia, richiedono che l’accesso al wallet sia limitato alle identità digitali con livello high, già raggiunto invece da CIE. Un recente decreto, inoltre, apporterà delle modifiche alla UX di CIE, rendendola molto più simile a SPID. Insomma, il timore è che con la revisione eIDAS gran parte delle utenze SPID diffuse oggi in Italia non sarebbero accettate per accedere al digital wallet, decisione che potrebbe limitare molto il futuro di SPID e quindi dissipare parte degli investimenti – anche privati – di questi anni.

Marco Broggio, Chief Solutions Officer di Intesa, afferma: «SPID è ancora oggi il sistema di identità digitale di gran lunga più utilizzato, ma la sua diffusione soffre di alcuni peccati originali tra cui l’assenza di un modello di business sostenibile per i provider privati e alcune altre caratteristiche di base ormai non più superabili. Questo non significa che SPID sia destinato a sparire o a essere sostituito dalla CIE nel brevissimo: anche se il numero delle CIE in circolazione ha superato quello di SPID, infatti, oggi è sempre SPID a contare il maggior numero di accessi e ad essere utilizzato.».

L’EuDI wallet, comunque, si configura già come una grande innovazione nell’ambito delle identità digitali, non solo per i numerosi ambiti e use case a cui si potrà applicare, ma anche per l’altissima attenzione alla privacy dei cittadini: il wallet infatti consentirà agli utenti di condividere solo e unicamente le informazioni necessarie ad accedere al servizio. Un nuovo paradigma nella gestione della privacy, che supera di gran lunga l’esperienza di ogni use case attuale e che si avvicina al modello della Self Sovereign Identity.

Tema quindi assolutamente prioritario, anche vista l’esperienza di SPID in Italia, è legato alla sostenibilità economica del modello. In particolare, andrà compreso quali opportunità il legislatore vorrà dare per la remunerazione/costo per i vari attori collegati al wallet (Wallet provider, PID, QTSP, Attribute Authorities e Relying parties) e le relative regole di accounting/convenzionamento anche considerando i vincoli dettati dalla privacy e dal rispetto della confidenzialità delle informazioni scambiate tra le parti.

Insomma, la certezza è che si verificherà un grande cambiamento nella gestione delle identità digitali: per gli erogatori di servizi privati è tempo di avviare investimenti e strategie per l’adozione di questo strumento.

Leggi anche:  IT Wallet o EUDI Wallet? Cosa succederà con le identità digitali in Italia

La revisione eIDAS: perché?

Su larga scala l’obiettivo della revisione eIDAS è però molto più ampio: oltre a unificare il panorama delle identità digitali in termini di diffusione, ux e sicurezza, il nuovo regolamento eIDAS ha anche l’obiettivo di riportare la sovranità dei dati personali nelle mani dei cittadini –  in linea con la GDPR e in contrasto con la gestione delle informazioni da parte delle big tech – ma anche garantire parità di condizione nell’utilizzo dei servizi fiduciari all’interno dell’UE: l’Italia infatti è il paese più avanzato per presenza di Qualified Trust Service Provider, ma in altri paesi il numero è molto limitato.

Insomma, lo scopo ultimo della revisione di eIDAS è quello di aumentare l’interoperabilità e integrabilità dei servizi fiduciari all’interno dell’UE, facendo un ulteriore passo avanti nell’unificazione dei paesi e porre le basi per creare l’european digital market.

Scopri le soluzioni per la trasformazione digitale della tua azienda:

Potrebbero interessarti

Storie di successo: le esperienze digitali raccontate dalle aziende.

Le nuove linee guida avranno un impatto su tutte le realtà che utilizzano il video-riconoscimento con operatore.

La fatturazione elettronica è un tassello della digitalizzazione dei processi aziendali.

Donna che si copre gli occhi

La GDPR ha ridato il controllo dei propri dati personali ai cittadini. Un’attenzione in più dev’essere data alla conservazione dei “dati particolari”, ossia i dati che la normativa precedente definiva “dati sensibili”.

Voglio essere informato su prodotti, servizi e offerte di INTESA.
Ho letto e accetto l'informativa sulla privacy.

È possibile ritirare il proprio consenso in qualsiasi momento inviando una e-mail al seguente indirizzo: privacy_mktg@intesa.it. Oppure, se non si desidera ricevere più le e-mail di marketing, è possibile annullare la sottoscrizione facendo clic sul relativo link di annullamento sottoscrizione, in qualsiasi e-mail.
Per confermare l'iscrizione, controlla la tua email!
Condividi
La tua azienda è pronta per eIDAS 2.0?

Scarica la checklist gratuita

Scarica