Il 29 giugno Consiglio e Parlamento europeo hanno raggiunto un primo accordo sul nuovo schema di regolamento eIDAS 2, chiave di volta normativa per lo sviluppo dei servizi fiduciari e dell’identità digitale europea.
Il testo, profondamente rivisto rispetto alla versione di eIDAS attualmente vigente, costituisce un notevole cambiamento di paradigma per l’identità digitale in Europa, con l’obiettivo di costruire un modello paneuropeo che consenta a cittadini e imprese dell’Unione l’accesso a identificazione e autenticazione elettronica sicure e affidabili tramite un portafoglio digitale personale mobile-first. Il portafoglio, in quanto mezzo di identificazione elettronica rilasciato in base a schemi nazionali, rappresenterebbe un’autonoma entità eID.
Il lavoro tecnico dovrà comunque proseguire per integrare il testo della norma in conformità con l’accordo politico. Una volta finalizzato, il testo sarà sottoposto ai rappresentanti degli Stati membri per l’approvazione; il regolamento dovrà poi essere formalmente adottato dal Parlamento e dal Consiglio prima di essere pubblicato nella Gazzetta Ufficiale dell’UE e di entrare quindi in vigore.
Il contesto
Nel giugno 2021, la Commissione Europea aveva avanzato una proposta innovativa per un quadro di identità digitale europea, accessibile a tutti i cittadini dell’UE, residenti e imprese, attraverso l’utilizzo di un portafoglio di identità digitale europea. Il nuovo quadro proposto rappresenta un significativo passo avanti rispetto al regolamento del 2014 sull’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno, noto come regolamento eIDAS, il cui ruolo era stato comunque fondamentale nel gettare le basi per un accesso sicuro ai servizi pubblici e la realizzazione di transazioni online e transfrontaliere in Europa, contribuendo a creare un ambiente digitale più sicuro e affidabile.
La proposta della Commissione richiede agli Stati membri di emettere un portafoglio digitale basato su uno schema eID notificato, su standard tecnici comuni e su una certificazione obbligatoria che ne assicuri la sua sicurezza e affidabilità. Per facilitare l’implementazione e per guidare gli Stati membri, la Commissione ha proposto la creazione di un toolbox che definisca le specifiche tecniche del portafoglio digitale. L’obiettivo, evidentemente, è accelerare l’attuazione del nuovo testo, fornendo una chiara direzione agli Stati e minimizzando la frammentazione per garantire un’implementazione uniforme e coerente in tutta l’Unione.
Un approccio armonizzato con la normativa in materia di cybersicurezza
L’aggiornamento di eIDAS introduce un approccio omogeneo alla sicurezza, essenziale per i cittadini che si affidano a un’identità digitale europea per rappresentare sé stessi in un contesto digitale. Questo approccio garantisce che i fornitori di servizi online possano contare su soluzioni di identità digitale basata su un’architettura tecnica condivisa, un quadro di riferimento comune e la definizione di standard unificati, che saranno sviluppati in collaborazione con gli Stati membri. Di conseguenza, gli utenti avranno la possibilità di fare affidamento su un ecosistema di identità elettronica e di servizi fiduciari potenziato, riconosciuto e accettato in tutta l’Unione.
La bozza di eIDAS 2 mira a sfruttare e a fare leva sugli schemi di certificazione esistenti, attraverso l’obbligo di utilizzare tali schemi per certificare la conformità dei portafogli digitali ai requisiti di sicurezza cibernetica applicabili. Al fine di garantire la coerenza tra la regolamentazione eID aggiornata e la legislazione vigente sulla cybersecurity (in particolare la Direttiva NIS 2), gli Stati membri individueranno enti pubblici e privati accreditati incaricati di certificare il portafoglio digitale.
Fiducia e affidabilità nell’era digitale
Un elemento fondamentale nella gestione dell’identità digitale è evidentemente la fiducia. I livelli di garanzia definiti da eIDAS 2 saranno determinanti per stabilire il grado di fiducia associato a ciascun mezzo di identificazione elettronica: ne scaturisce la certezza che il soggetto che rivendica una specifica identità sia effettivamente l’individuo a cui quell’identità è attribuita.
In questa prospettiva, il portafoglio digitale sarà rilasciato all’interno di un sistema di identificazione elettronica che risponde a un livello di garanzia elevato (LoA High, ossia il più alto disponibile, che in Italia è raggiunto tramite CIE e SPID di livello 3). Questo dettaglio, evidenziato nell’accordo provvisorio, garantisce l’adozione di misure di sicurezza efficaci per la protezione dell’identità digitale delle persone fisiche. Inoltre, il documento ribadisce che le fasi di emissione, autenticazione e revoca dei portafogli dovrebbero essere gratuite per i cittadini dell’Unione, contribuendo a rendere il processo accessibile a tutti.
Per mantenere il passo con la costante evoluzione dei mercati e con l’innovazione tecnologica, il nuovo testo prevede inoltre l’espansione della lista dei servizi fiduciari, ad esempio attraverso l’inclusione dei registri degli strumenti per la firma elettronica.
Attestazione elettronica degli attributi qualificati e trasformazione digitale degli ordini professionali
Un punto di grande interesse è il recepimento nel testo dell’accordo provvisorio dell’emissione di attestazioni elettroniche di attributi qualificati, come certificati medici o status professionali, già presente nel draft della Commissione. In questo modo si garantisce un riconoscimento pan-europeo di tali credenziali in formato elettronico e si consente agli utenti di limitare la condivisione dei dati di identità a ciò che è strettamente necessario per la fornitura di un servizio, in ossequio al principio della minimizzazione del trattamento.
In un momento di profondo ripensamento degli aspetti informativi e organizzativi degli ordini professionali, in particolare in ambito sanitario (è all’attenzione dell’Ufficio legislativo del Ministero della Salute lo schema di regolamento attuativo ex articolo 4, comma 5, della legge 11 gennaio 2018 n. 3), eIDAS 2 si pone così comeoccasione di riprogettazione e riqualificazione dei flussi informativi, in particolare attraverso l’attribuzione di valore probatorio agli attributi qualificati attestanti gli status giuridici corrispondenti all’abilitazione all’esercizio delle professioni regolamentate.
In uno scenario di gestione federata degli attributi qualificati emerge poi con maggiore incisività il ruolo delle Federazioni e dei Consigli, soggetti ai quali il legislatore ha inteso affidare la tenuta degli albi unici nazionali non come espressione di un ruolo meramente ricognitivo, bensì riconoscendo che essi sono i soli in grado di garantire la tenuta dell’albo in quanto fonte di livello nazionale che attesti la regolarità dello status dell’iscritto e l’abilitazione all’esercizio della professione, a garanzia del rilevante interesse pubblico connesso alla qualità del dato, ossia all’uniformità, univocità e completezza delle banche dati che implementano gli albi e gli elenchi degli ordini territoriali.
Curando l’esattezza e la coerenza dei dati che formano l’albo unico nazionale, ove necessario ponendo in essere adeguate misure organizzative e tecniche, anche automatizzate, di coordinamento e verifica centralizzata, le Federazioni e i Consigli informano la tenuta dell’albo a criteri generali di buon andamento della pubblica amministrazione, di certezza dell’azione amministrativa, di trasparenza ed efficienza, ribadendo così la piena appartenenza degli ordini professionali al tessuto istituzionale della Repubblica attraverso l’adesione a un comune “sistema operativo dello Stato”.
Sullo stesso tema la redazione consiglia:
L’IT Wallet (con CIE e SPID) che funzionerà anche offline. Le interviste a chi lo sta realizzando
IT Wallet, la sperimentazione dei primi use case nella provincia autonoma di Trento
