eIDAS 2.0: cosa dice, quali sono le novità e qual è la roadmap
La revisione del regolamento procede velocemente. Ecco dove è arrivata e i punti ancora da chiarire.
Anche l’Unione Europea deve fare i conti con un mercato e un tessuto socio-economico in costante trasformazione, rivedendo i suoi obiettivi e le sue direttive alla luce di queste trasformazioni.
In questo articolo scoprirai:
Nel 2014, quando è stato istituito il regolamento europeo eIDAS (electronic IDentification, Authentic and trust Services), uno degli obiettivi dell’UE era quello dare accesso a tutti i cittadini a servizi fiduciari digitali altamente sicuri, ma anche a identità digitali da poter spendere in tutta Europa.
Un obiettivo raggiunto, ma in modo molto disomogeneo: nonostante l’Italia sia tra i paesi “virtuosi”, in cui l’identità digitale è più diffusa tra la popolazione, nel resto d’Europa sono solo 14 gli stati membri che hanno notificato almeno un sistema di identità digitale alla Commissione, e solo il 59% dei cittadini europei è oggi in possesso di una digital ID. Inoltre, restando sempre in ambito europeo, ad oggi vi è poca interoperabilità o coerenza sia nelle modalità di accreditamento dei Qualified Trust Service Provider che nelle modalità di erogazione dei servizi.
La revisione eIDAS: perché?
Su larga scala l’obiettivo della revisione eIDAS è però molto più ampio: oltre a unificare il panorama delle identità digitali in termini di diffusione, ux e sicurezza, il nuovo regolamento eIDAS ha anche l’obiettivo di riportare la sovranità dei dati personali nelle mani dei cittadini – in linea con la GDPR e in contrasto con la gestione delle informazioni da parte delle big tech – ma anche garantire parità di condizione nell’utilizzo dei servizi fiduciari all’interno dell’UE: l’Italia infatti è il paese più avanzato per presenza di Qualified Trust Service Provider, ma in altri paesi il numero è molto limitato.
Insomma, lo scopo ultimo della revisione di eIDAS è quello di aumentare l’interoperabilità e integrabilità dei servizi fiduciari all’interno dell’UE, facendo un ulteriore passo avanti nell’unificazione dei paesi e porre le basi per creare l’european digital market.
La roadmap di eIDAS 2.0: a che punto siamo
Per questi motivi, a giugno 2021, la Commissione ha annunciato la revisione del regolamento eIDAS, le cui novità più attese e discusse si trovano nell’implementazione dell’European Digital Identity Wallet e nell’inserimento della conservazione a norma tra i servizi fiduciari qualificati. Dall’annuncio di giugno la revisione ha fatto veloci passi avanti: a inizio febbraio 2022 al Parlamento Europeo si è tenuta un’audizione pubblica sul tema, mentre il 22 febbraio dello stesso anno è stata aperta dall’Unione una call for proposals per l’implementazione dell’European Digital Identity Framework.
Il 29 febbraio 2024 la revisione è stata ufficialmente approvata dal Parlamento Europeo ed è stata pubblicata nella Gazzetta Ufficiale il 30 aprile 2024.
Successivamente, entro 12/24 mesi, dovranno essere pubblicati i cosiddetti “Implementing Acts” e il nuovo regolamento eIDAS entrerà ufficialmente in vigore.
L’innovazione più attesa: l’EUDI Wallet
L’European Digital Identity Wallet, come si è detto, è l’innovazione più attesa e “discussa” di questo regolamento, o per lo meno quella che avrà un impatto più diffuso sulla vita dei cittadini e non limitato agli operatori di settore. Sarà un’identità digitale a tutti gli effetti, proprio come SPID, ma sarà valida obbligatoriamente in tutta l’UE e avrà la struttura di un “portafoglio” digitale in cui potranno essere raccolte certificazioni e documenti verificabili e verificati – i cosiddetti “attributi” – quali estremi di passaporto, certificato di nascita, patente e tessera elettorale.
Inoltre, adottando un modello simile a quello della Self Sovereign Identity basata su Blockchain, l’EUDI Wallet migliorerà la privacy e la protezione dei dati personali, restituendo agli utenti il controllo sulla propria identità e sulle informazioni condivise.
Leggi anche: Che cos’è l’European Digital Identity (EUDI) Wallet e quando verrà rilasciato
In arrivo il “qualified e-archiving”
La seconda “grande novità” di eIDAS 2.0 coinvolge maggiormente i fornitori di servizi digitali e i Qualified Trust Service Provider. Viene infatti inserita tra i servizi fiduciari la conservazione digitale (o “conservazione a norma”). Una scelta che certamente promuoverà l’interoperabilità tra i paesi, superando le normative nazionali, ma che aprirà anche un nuovo mercato nei servizi fiduciari.
Da quanto pubblicato fino ad ora, comunque, pare che siano molti i punti di contatto tra eIDAS 2.0 e la normativa CAD sulla conservazione digitale a cui i conservatori qualificati si devono attenere. Un vantaggio competitivo non indifferente per tutte i service provider italiani in possesso di questa certificazione.
Leggi anche: La conservazione digitale: gli impatti di eIDAS 2.0
Le altre novità
Come si è detto, per raggiungere l’obiettivo di digitalizzazione comunitaria la revisione eIDAS non interviene su quanto già in essere, ma anche aggiunge a quelli già regolamentati nella prima versione (firma elettronica, sigillo elettronico, timestamp, website authentication certificate) altri servizi fiduciari e attori nell’ecosistema:
- la gestione degli apparati di firma e degli HSM, che diventerà un servizio fiduciario a sé stante;
- la possibilità di registrazione e storing dei dati su electronic ledger (blockchain), apparsa nella prima versione;
- i “verificatori” di certificati, firme elettroniche, sigilli e attestazioni diventeranno veri e propri servizi qualificati;
- l’emissione di attributi e attestazioni elettroniche (che potranno poi essere spesi con il digital wallet).
Il nuovo regolamento, inoltre, obbligherà tutti i paesi europei a mettere a disposizione delle banche dati nazionali per ottenere informazioni significative sui cittadini, in Italia attualmente carenti o poco attendibili.
L’ “elefante nella stanza”: il ruolo di SPID nel Digital Wallet
Ciò che più fa discutere sui tavoli di lavoro della revisione eIDAS, però, è la questione legata ai livelli di sicurezza (il Level of Assurance, LoA) delle identità digitali attualmente in uso nei paesi europei (comprese SPID e CIE) per l’accesso dei cittadini al digital wallet europeo. SPID, infatti, può essere utilizzato con tutti e tre i livelli di sicurezza previsti (Low, Substantial e High), ma la maggior parte degli SPID attualmente in uso in Italia si limita al livello 2 di substantial. Alcuni paesi europei diversi dall’Italia, tuttavia, richiedono che l’accesso al wallet sia limitato alle identità digitali con livello high, già raggiunto invece da CIE. Un recente decreto, inoltre, apporterà delle modifiche alla UX di CIE, rendendola molto più simile a SPID. Insomma, il timore è che con la revisione eIDAS gran parte delle utenze SPID diffuse oggi in Italia non sarebbero accettate per accedere al digital wallet, decisione che potrebbe limitare molto il futuro di SPID e quindi dissipare parte degli investimenti – anche privati – di questi anni.
In un recente articolo per Agenda Digitale, Matteo Panfilo, Chief Solutions Officer di Intesa, auspica che venga finalmente definito un modello italiano per le identità digitali e che l’esperienza italiana venga adeguatamente valorizzata.
«L’iter legislativo si concluderà nel 2023 e – volenti o nolenti – potrebbe avere impatti ragguardevoli per il nostro Paese che, per quanto costruito in questi anni, auspichiamo possa continuare ad essere un punto di riferimento europeo anche in futuro».
L’EuDI wallet, comunque, si configura già come una grande innovazione nell’ambito delle identità digitali, non solo per i numerosi ambiti e use case a cui si potrà applicare, ma anche per l’altissima attenzione alla privacy dei cittadini: il wallet infatti consentirà agli utenti di condividere solo e unicamente le informazioni necessarie ad accedere al servizio. Un nuovo paradigma nella gestione della privacy, che supera di gran lunga l’esperienza di ogni use case attuale e che si avvicina al modello della Self Sovereign Identity.
Tema quindi assolutamente prioritario, anche vista l’esperienza di SPID in Italia, è legato alla sostenibilità economica del modello. In particolare, andrà compreso quali opportunità il legislatore vorrà dare per la remunerazione/costo per i vari attori collegati al wallet (Wallet provider, PID, QTSP, Attribute Authorities e Relying parties) e le relative regole di accounting/convenzionamento anche considerando i vincoli dettati dalla privacy e dal rispetto della confidenzialità delle informazioni scambiate tra le parti.
Insomma, la certezza è che si verificherà un grande cambiamento nella gestione delle identità digitali: per gli erogatori di servizi privati è tempo di avviare investimenti e strategie per l’adozione di questo strumento.
La revisione eIDAS: perché?
Su larga scala l’obiettivo della revisione eIDAS è però molto più ampio: oltre a unificare il panorama delle identità digitali in termini di diffusione, ux e sicurezza, il nuovo regolamento eIDAS ha anche l’obiettivo di riportare la sovranità dei dati personali nelle mani dei cittadini – in linea con la GDPR e in contrasto con la gestione delle informazioni da parte delle big tech – ma anche garantire parità di condizione nell’utilizzo dei servizi fiduciari all’interno dell’UE: l’Italia infatti è il paese più avanzato per presenza di Qualified Trust Service Provider, ma in altri paesi il numero è molto limitato.
Insomma, lo scopo ultimo della revisione di eIDAS è quello di aumentare l’interoperabilità e integrabilità dei servizi fiduciari all’interno dell’UE, facendo un ulteriore passo avanti nell’unificazione dei paesi e porre le basi per creare l’european digital market.