Anche se possono sembrare simili, identificazione e autenticazione elettronica sono due concetti differenti.
L’identificazione elettronica consente a un soggetto (fisico o giuridico) di essere riconosciuto da un sistema, generalmente per poter accedere a servizi online. Semplificando, l’identificazione è il momento in cui si chiede all’utente di dire chi è. Ciò avviene generalmente inserendo una username scelta o un indirizzo email fornito in fase di registrazione al servizio.
L’autenticazione elettronica è il momento immediatamente successivo all’identificazione. Essa rappresenta quel processo con cui si conferma la veridicità dell’identità appena fornita. L’autenticazione è il momento in cui si chiede all’utente di dimostrare di essere davvero la persona che dice di essere. La conferma avviene, ad esempio, tramite l’inserimento di una password o di un PIN che soltanto lui conosce.
I processi di identificazione e autenticazione elettronica sono disciplinati dal Regolamento UE 910/2014, noto come eIDAS (acronimo di electronic IDentification, Authentication and trust Services) che è il regolamento europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Identificazione elettronica: vale il riconoscimento reciproco dei regimi nazionali
Il regolamento eIDAS ha stabilito il cosiddetto principio di riconoscimento reciproco. In base a questo ogni Stato membro riconosce i mezzi di identificazione elettronica di un altro Stato membro. Ciò ai fini dell’autenticazione transfrontaliera per l’accesso ai servizi pubblici online.
Facciamo l’esempio di un cittadino italiano che voglia accedere ai servizi online di un’università francese ed è richiesta la sua identificazione elettronica. In questo caso l’università francese è tenuta a riconoscere SPID (sistema italiano) come sistema per l’accesso online al proprio servizio pubblico.
Affinché ci sia riconoscimento reciproco è necessario che:
- i mezzi di identificazione rientrino in un regime di identificazione elettronica notificato alla Commissione e inserito da quest’ultima in un elenco di regimi pubblico;
- il livello di garanzia del mezzo di identificazione elettronica transfrontaliera proveniente da un primo Stato membro sia pari o superiore a quello del secondo Stato membro coinvolto nello scambio;
- l’organismo che eroga un servizio pubblico usi per l’accesso un livello di garanzia significativo o elevato.
Continuiamo con l’esempio. SPID è riconosciuto dagli altri Stati membri perché l’Italia lo ha notificato alla Commissione. Quest’ultima lo ha ritenuto conforme al regolamento eIDAS, inserendolo in un apposito elenco pubblico. Inoltre, SPID viene accettato perché ha un livello di garanzia almeno pari a quello degli altri mezzi di identificazione degli altri Stati membri.
La notifica dei regimi di identificazione
Il regolamento eIDAS prevede una serie di condizioni da rispettare per poter notificare un regime di identificazione elettronica. Tra queste, è necessario che i mezzi di identificazione elettronica siano rilasciati dallo Stato membro notificante o su suo incarico, oppure che venga rilasciato da un organismo indipendente, ma abbia ottenuto il riconoscimento dello Stato notificante.
I regimi di identificazione notificati devono specificare il loro livello di garanzia, che può essere basso, significativo ed elevato. La classificazione avviene in base a delle specifiche e caratteristiche tecniche fissate dalla Commissione, in base all’affidabilità e alla qualità di una serie di elementi quali la procedura di controllo dell’identità delle persone, la procedura di rilascio dei mezzi di identificazione elettronica, il meccanismo di autenticazione, l’entità che rilascia i mezzi di autenticazione o qualsiasi altro organismo implicato nella procedura di rilascio.
Lo Stato notificante garantisce, inoltre, la disponibilità dell’autenticazione online, per consentire alle parti stabilite in un altro Stato membro di confermare i dati di identificazione personale che hanno ricevuto in forma elettronica
In cosa consiste l’azione di notifica?
Con essa lo Stato notificante trasmette alla Commissione tutta una serie di informazioni relative al regime di identificazione elettronica oggetto della notifica, partendo da una descrizione del regime, con l’indicazione dei livelli di garanzia e dell’entità che rilascia i mezzi di identificazione elettronica. Inoltre lo Stato deve fornire informazioni sul regime di vigilanza e sulle autorità responsabili del regime di identificazione. Infine, lo Stato notificante deve fornire anche informazioni sulle disposizioni per la sospensione o revoca del regime di identificazione notificato.
