elDAS 2 e identità digitale europea: cosa cambia

Identità digitale, EDIW, eIDAS e IT Wallet

Il 20 maggio scorso è entrato in vigore il regolamento eIDAS 2 (electronic IDentification, Authentication and trust Services) che apporta delle modifiche rilevanti alla gestione dell’identità digitale e ai servizi fiduciari all’interno di tutta l’Unione europea.

Ma andiamo per gradi: seppure termini come Identità digitale, EUDI, eIDAS, IT Wallet sono ormai entrati nel linguaggio quotidiano, spesso possono generare un po’ di confusione. Partiamo, allora, proprio con il chiederci cos’è l’identità digitale, in cosa consiste l’identità digitale europea, qual ‘è il ruolo dell’eIDAS 2 in questo contesto e quali novità sono state messe in cantiere?

Identità digitale e identità digitale europea

L’identità digitale è l’insieme dei dati e delle informazioni che forniscono la rappresentazione virtuale dell’identità reale di un soggetto. Essa è, in pratica, una chiave unica che consente l’accesso a tutti i servizi della Pubblica Amministrazione e a quelli di molte aziende private che utilizzano tale sistema di riconoscimento. In Italia ci sono due strumenti principali di identità digitale e sono lo SPID (Sistema Pubblico di Identità Digitale) e la CIE (Carta d’Identità Elettronica).

L’identità digitale europea è un tipo di identità che tutti i cittadini dell’Unione europea, ma anche imprese dell’Ue, possono utilizzare. Oltre a questo, si tratta di un sistema totalmente online, che serve non solo per identificare un individuo, ma anche per confermarne determinati dati. In altre parole essa è un’identità digitale riconosciuta ovunque nell’UE.

I punti principali del Regolamento eIDAS

Nel 2014 l’Europa ha emanato il regolamento eIDAS (regolamento UE 910/2014) che disciplina l’identificazione elettronica e i servizi fiduciari per gli Stati membri dell’Unione Europea.

In particolare il regolamento:

• fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime di identificazione elettronica notificato all’UE da un altro Stato membro;
• stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche;
• istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.

Dopo circa 10 anni dalla sua entrata in vigore, il regolamento eIDAS non è riuscito a raggiungere pienamente i suoi obiettivi: in molti paesi dell’Ue, a differenza di quanto è avvenuto in Italia, non si è avuta una diffusione adeguata dell’identità digitale, della PEC o della firma digitale.

eIDAS 2: l’evoluzione di eIDAS

Il regolamento eIDAS 2 (regolamento europeo 2024/1183) costituisce un importante passo avanti nella creazione di un’identità digitale sicura e affidabile per tutti i cittadini europei e si pone come obiettivo quello di uniformare il panorama delle identità digitali nei vari Stati membri sia dal punto di vista della diffusione che della sicurezza, ma anche di garantire che i cittadini abbiamo il pieno controllo dei propri dati personali, così come vuole il GDPR.

Una delle principali novità del nuovo regolamento è l’European Digital Identity Wallet (EUDI wallet o EDIW), cioè un portafoglio di identità digitale valido in tutta Europa, che conterrà i documenti di identità e potrà includere altre informazioni relative al cittadino (dette attributi) come lo stato civile, la composizione del nucleo familiare, la nazionalità o la cittadinanza, i titoli e le licenze di studio e altre ancora.

Le regole di funzionamento dell’EUDI wallet dovranno essere le stesse in tutti e 27 gli Stati membri dell’Ue, e in tutti gli altri Paesi che vorranno, liberamente, adottare dei provvedimenti simili. Gli Stati membri dovranno:

• riconoscere obbligatoriamente l’identity wallet degli altri Stati dell’Ue;
• usare tecnologie e standard comuni.

In questo modo potrà essere realizzata l’interoperabilità dei sistemi.

La versione definitiva del portafoglio digitale si dovrebbe avere nel 2026, mentre il suo uso obbligatorio dovrebbe arrivare l’anno successivo.

eIDAS 2: le principali novità 

Se il portafoglio di identità digitale rappresenta la novità centrale del regolamento eIDAS 2, a esso se ne aggiungono altre, in particolare la presenza di nuovi servizi fiduciari e una nuova impostazione per quelli già previsti in eIDAS 1.

I nuovi servizi fiduciari sono:

• l’attestazione elettronica degli attributi. Gli attributi rilasciati da una fonte autentica del settore pubblico, cioè da un archivio o un sistema, tenuto sotto la responsabilità di un organismo del settore pubblico o di un soggetto privato, che contiene e fornisce gli attributi relativi a una persona fisica o giuridica e che è considerato una fonte primaria di tali informazioni o la cui autenticità è riconosciuta conformemente al diritto dell’Unione o nazionale, inclusa la prassi amministrativa devono avere gli stessi effetti delle attestazioni legalmente rilasciate in formato cartaceo. Gli attributi così rilasciati sono validi in tutti gli Stati membri. In pratica, disporre di attributi qualificati permetterà al cittadino, ad esempio, di usare una patente di guida con un valore legale transnazionale;
• la gestione di dispositivi qualificati per la creazione di una firma elettronica o di un sigillo elettronico a distanza. Le disposizioni contenute nel regolamento eIDAS 2 si riferiscono all’uso e al ciclo di vita di tali dispositivi, nel caso in cui si richieda la loro qualifica. Le nuove norme si applicano agli HSM  (Hardware Security Module) e prevedono che le imprese che usano tali dispositivi si debbano adeguare entro il 21 maggio 2026;
• l’archiviazione elettronica, ovvero un servizio che garantisce la ricezione, la conservazione, il reperimento e cancellazione dei dati e dei documenti informatici al fine di garantirne la durabilità e la leggibilità nonché preservarne l’integrità, riservatezza e prova dell’origine durante tutto il periodo di conservazione. Vengono riconosciuti gli effetti giuridici e l’ammissibilità come prova in giudizio dei documenti elettronici conservati mediante un servizio di archiviazione elettronica, questo anche nel caso di documenti analogici trasformati in digitale mediante scansione;
• i registri elettronici, in altre parole una sequenza di registrazioni di dati elettronici che ne garantisce l’integrità e l’ordine cronologico.

Tra i servizi già presenti nel precedente regolamento eIDAS vi è quello di autenticazione di un sito web che è stato modificato per migliorarne la sicurezza cibernetica.

IT Wallet: il portafoglio digitale italiano

Anticipando i tempi stabiliti dall’Unione europea, l’Italia sta lavorando per la realizzazione di un IT Wallet ,che consentirà di raccogliere in un unico luogo virtuale tutta la documentazione personale di ogni singolo cittadino.

L’IT Wallet dovrebbe essere rilasciato, in via sperimentale, entro settembre 2024, per poi andare a regime all’inizio del 2025 attraverso l’App IO, per il cui accesso sono necessari SPID o CIE.

Namirial e i servizi fiduciari eIDAS

Namirial, QTSP qualificato AgID, è tra i principali provider di servizi fiduciari a livello mondiale.

Scopri come ottenere vantaggi competitivi dai servizi fiduciari Namirial conformi al nuovo regolamento eIDAS 2:

• introduci la firma elettronica nei processi della tua azienda

• innova il tuo customer onboarding con la verifica di accessi e identità

• assicurati una conservazione documentale efficiente e con sistemi di sicurezza avanzati

• rendi più efficiente la comunicazione aziendale con il servizio di recapito certificato qualificato