Identità digitale europea, cosa prevede il nuovo regolamento eIDAS 2.0

I primi “esperimenti” sull’identità digitale europea

Nell’era digitale, la nostra identità online è diventata la chiave d’accesso a una moltitudine di servizi, dai portali governativi allo shopping online. Garantire la sicurezza e l’affidabilità di queste identità digitali è quindi di fondamentale importanza.

In Europa, il Regolamento eIDAS (electronic IDentification Authentication and Signature) ha svolto un ruolo cruciale in questo senso fin dal 2016. Ora, con l’avvicinarsi dell’eIDAS 2.0, è tempo di fare il punto sulla situazione e comprendere come questo nuovo regolamento cambierà il panorama dell’identità digitale in Europa.

Il dubbio è lecito per chi, come me, ha iniziato a occuparsi di Identità Digitale nel 2003, con la prima CIE, seguita dalla CNS (Carta Nazionale dei Servizi) e poi da SPID.

I primi “esperimenti” sull’identità digitale europea si concretizzarono in due progetti di tipo LSP (Large Scale Pilot) denominati STORK (2008-2011, 36 partner di 18 paesi) e STORK 2.0 (2012-2015, 58 partner di 19 paesi) a cui ebbi il piacere di partecipare.

STORK2 giunse a produrre l’architettura di base del sistema di interoperabilità europeo che divenne realtà quando fu emanato il regolamento eIDAS e soprattutto sperimentò l’utilizzo dell’identità digitale nel mondo dei servizi privati, come quelli bancari.

Ma veniamo ai Regolamenti.

eIDAS, un ponte verso l’identità digitale europea

Emanato nel 2014, il Regolamento eIDAS ha introdotto un quadro normativo comune per l’utilizzo di mezzi di identificazione elettronica e servizi fiduciari negli Stati membri dell’UE. L’obiettivo principale era duplice.

• Incrementare la fiducia nelle transazioni elettroniche. eIDAS aveva l’obiettivo di favorire l’adozione diffusa di sistemi di identificazione elettronica sicuri e standardizzati, come SPID e la Carta d’Identità Elettronica (CIE) in Italia, permettendo ai cittadini di accedere a servizi online privati e pubblici in modo semplice e sicuro, indipendentemente dal loro Stato membro.
• Stimolare il mercato digitale unico. Eliminare le barriere all’utilizzo transfrontaliero di strumenti di identità digitale e servizi fiduciari: eIDAS voleva favorire la crescita del commercio elettronico e dei servizi digitali all’interno dell’UE, creando un terreno fertile per l’innovazione e la competitività.

eIDAS ha inoltre stabilito requisiti rigorosi per i fornitori di servizi fiduciari, al fine di garantire la sicurezza e l’affidabilità dei loro servizi.

Se per i servizi fiduciari (firme elettroniche, sigilli, marche temporali) si può affermare che le promesse sono state mantenute e oggi c’è piena circolarità di questi strumenti e servizi, lo stesso non si può dire dell’identità digitale.

I sistemi di identificazione elettronica realizzati dai diversi Paesi europei e notificati all’UE possono garantire pari livelli di sicurezza ed omogeneità nei criteri ai quali rispondono, ma il “Login eIDAS” non ha raggiunto i risultati sperati.

La ragione non è tecnica, il sistema funziona e con il mio SPID posso autenticarmi a un servizio erogato da una pubblica amministrazione di un altro Paese, e viceversa un altro cittadino dell’UE può autenticarsi rispetto a un sito di una PA italiana.

La ragione è a monte ed è più strutturale e complessa da risolvere. La scelta allora fu quella di non convergere su un unico sistema, ma di far parlare tra di loro i diversi sistemi in uso o in corso di sviluppo nei vari Paesi. Di per sé avrebbe potuto funzionare, perché l’interoperabilità tra sistemi diversi è possibile dal punto di vista tecnico.

Quello che non è stato risolto e resta un limite al suo utilizzo è il tema del “identificativo unico”. Ogni Paese ha il suo. In Italia abbiamo il Codice Fiscale, ma negli altri paesi esistono altri identificativi. Per esempio in Francia esiste il NIRPP (Numero d’Iscrizione al Registro delle Persone Fisiche). L’effetto pratico è che l’identificativo utilizzato in un Paese è sconosciuto, a priori, al servizio del Paese a cui la persona vuole accedere e questo lo rende semplicemente inutilizzabile.

La seconda criticità di eIDAS sul fronte dell’identità digitale consiste nella mancata estensione ai servizi privati (banche, assicurazioni, utilities, e-commerce, etc.) che sono peraltro servizi utilizzati dai cittadini con maggior frequenza rispetto a quelli delle PA.

eIDAS 2.0, l’evoluzione verso un futuro digitale più sicuro e inclusivo

L’aumento delle minacce informatiche, la crescente domanda di servizi digitali e la necessità di una maggiore interoperabilità tra i diversi sistemi di identità digitale hanno reso evidente la necessità di un aggiornamento del Regolamento eIDAS.

Ecco perché nel 2021 la Commissione Europea ha proposto il Regolamento eIDAS 2.0, che mira a rafforzare il quadro normativo per l’identità digitale in Europa e a superare i limiti del suo predecessore. Il Regolamento è stato approvato dal Parlamento Europeo il 27 marzo 2024 e se ne attende la pubblicazione nella Gazzetta ufficiale dell’Unione europea il 30 aprile.

Le principali novità di eIDAS 2.0.

• Un’identità digitale più inclusiva: eIDAS 2.0 punta a rendere l’identità digitale accessibile a un numero maggiore di cittadini, anche a quelli che attualmente ne sono esclusi, come le persone con disabilità o i cittadini di Paesi terzi.
• Maggior sicurezza e resilienza: il nuovo Regolamento introduce misure più stringenti per la sicurezza dei sistemi di identità digitale, in linea con le più recenti minacce informatiche.
• Un ecosistema digitale più interoperabile: eIDAS 2.0 promuove l’interoperabilità tra i diversi sistemi di identità digitale nell’UE, facilitando l’utilizzo di strumenti di identità in Stati membri diversi da quello di residenza.
• Un ruolo più centrale per i cittadini: il Regolamento rafforza il controllo dei cittadini sui propri dati personali, garantendo loro maggiore trasparenza e autonomia nella gestione della propria identità digitale.

Il Portafoglio Europeo di Identità Digitale (EU Digital Identity Wallet) è senza dubbio il protagonista assoluto del nuovo regolamento europeo, che viene così definito:

Un mezzo di identificazione elettronica, che consente all’utente di conservare, gestire e convalidare in modo sicuro dati di identità personale e attestati elettronici di attributi, al fine di fornirli alle parti facenti affidamento sulla certificazione e agli altri utenti dei portafogli europei di identità digitale, e di firmare mediante firme elettroniche qualificate o apporre sigilli mediante sigilli elettronici qualificati.

Non si tratta di un’identità digitale come la conosciamo oggi, ma un “portafoglio” in cui andranno a confluire i cosiddetti “attributi verificabili”, qualificati o meno (per esempio gli estremi del passaporto, del certificato di nascita, della patente, della tessera elettorale), e che permetterà quindi una digitalizzazione più diffusa dei documenti solitamente in possesso del cittadino.

In secondo luogo, con la revisione del regolamento eIDAS gli Stati membri saranno obbligati ad accettare le identità digitali e l’EUDI Wallet degli altri Paesi, inoltre sarà definito a livello comunitario chi e quanti saranno i gestori di wallet che dovranno offrire un’interfaccia comune per tutti gli utenti in ordine all’autenticazione per la fruizione dei servizi.

Sarà quindi possibile, almeno in linea di principio, non solo accedere ai servizi pubblici con la propria identità digitale in ogni Paese UE, ma anche aprire un conto in banca, noleggiare una macchina, dimostrare la propria età o accedere a servizi pubblici.

L’entrata in vigore di eIDAS 2.0, prevista per il 2026, promette quindi di portare con sé importanti benefici per tutti gli attori coinvolti:

• per i cittadini un accesso più semplice e sicuro ai servizi online, sia pubblici sia privati, con la possibilità di utilizzare la propria identità digitale in tutta l’UE.
• per le imprese un mercato digitale unico più efficiente e sicuro, con minori costi e barriere amministrative per le transazioni online.
• per le pubbliche amministrazioni servizi digitali più efficienti e inclusivi per i cittadini, con la possibilità di offrire una maggiore sicurezza e trasparenza nei processi amministrativi.

Non ci resta che aspettare e sperare in un cambio di passo effettivo.

Occorre aspettare perché “ciascuno Stato membro fornisce almeno un Portafoglio Europeo di identità digitale entro 24 mesi dalla data di entrata in vigore degli atti di esecuzione”, ovvero dell’emanazione delle regole tecniche.

Nel frattempo sono attivi da maggio 2023 ben quattro Large Scale Pilot che hanno iniziato a sperimentare l’EUDI Wallet. In uno di questo (consorzio NOBID)  sono presenti il Dipartimento per la trasformazione digitale, l’Istituto Poligrafico e Zecca dello Stato e PagoPA spa.

L’Italia, con il Dipartimento della trasformazione digitale e l’AgID sono in prima fila e promettono addirittura di anticipare i tempi con l’istituzione di un IT Wallet (basato su APP IO e realizzato da PagoPA spa). L’istituzione dell’IT Wallet è contenuta nel Decreto legge 02/03/2024, n. 19 convertito in legge dal Senato il 23/04/2024.