Regolamento eIDAS 2.0, la guida: tutto ciò che bisogna sapere

Regolamento eIDAS 2.0, a che punto siamo

Il regolamento eIDAS 2.0, cioè il numero 1183 del 2024, è entrato in vigore il 20 maggio 2024 e altro non è se non la revisione dell’originario regolamento eIDAS, il numero 910 del 2014. Arrivare alla pubblicazione del regolamento revisionato ha richiesto un lungo percorso legislativo e normativo: basti pensare che l’iniziale proposta da parte della Commissione europea risale al 2021. Il nuovo regolamento eIDAS 2.0 prevede la realizzazione di un quadro comune a tutti i Paesi membri relativamente all’identità digitale dei propri cittadini. L’iniziativa, riconducibile all’acronimo EUDIW – European digital identity wallet, cioè portafoglio europeo di identità digitale, mira a un abbattimento delle barriere tecnologiche nell’accesso ai servizi privati e pubblici in tutta l’Unione e a un’elevazione degli standard di sicurezza e protezione dei dati, attraverso la definizione di un unico framework tecnico e normativo legato all’identità digitale. Per lo stesso motivo, il regolamento introduce anche cinque nuovi servizi fiduciari.

La normativa come detto è in vigore ormai da nove mesi, ma per concretizzarla e dunque creare le necessarie infrastrutture e soluzioni tecnologiche per attuare i principi del regolamento sono necessari ulteriori provvedimenti, cioè gli implementing acts.

Gli implementing acts del regolamento eIDAS 2.0

Gli implementing acts, cioè i provvedimenti attuativi o meglio, nel gergo tecnico, regolamenti di esecuzione, di eIDAS 2.0 stabiliscono le regole tecniche per applicare sul piano pratico il nuovo regolamento: la pubblicazione di tutti gli atti è prevista entro il 21 maggio 2025. Gli implementing acts, come riportato dal sito dell’associazione go.eIDAS, che svolge un’iniziativa online di diffusione di consapevolezza sul regolamento e le sue novità, sono suddivisi in quattro categorie:

• EUDIW (European digital Identity wallet) prevede 10 implementing acts, che la Commissione Ue ha dovuto gestire entro il 21 novembre 2024.
• Framework di interoperabilità, che ne contempla due e che dovranno essere realizzati rispettivamente entro il 18 marzo e il 18 settembre 2025.
• Trust services, cui sono dedicati ventiquattro implementing acts che la Commissione dovrà indicare entro il 21 maggio 2025.
• Important dates, reviews and delegated acts per cui sono previsti otto implementing acts, alcuni dei quali previsti anche negli altri raggruppamenti.

In particolare, nella Gazzetta Ufficiale dell’Unione Europea del 4 dicembre 2024 sono stati pubblicati i primi regolamenti di esecuzione relativi all’European digital identity wallet.

Riportandone i titoli esattamente come sono presenti nella pubblicazione comunitaria, questi sono:

• 2024/2977 – Intitolato “Regolamento di esecuzione (UE) 2024/2977 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi rilasciati ai portafogli europei di identità digitale”.
• 2024/2979 – Chiamato “Regolamento di esecuzione (UE) 2024/2979 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda l’integrità e le funzionalità di base dei portafogli europei di identità digitale”.
• 2024/2980 – Cioè il “Regolamento di esecuzione (UE) 2024/2980 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le notifiche alla Commissione in relazione all’ecosistema dei portafogli europei di identità digitale”.
• 2024/2981 – Il quale si intitola “Regolamento di esecuzione (UE) 2024/2981 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la certificazione dei portafogli europei di identità digitale”.
• 2024/2982 – Indicato come “Regolamento di esecuzione (UE) 2024/2982 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i protocolli e le interfacce che devono essere supportati dal quadro europeo di identità digitale”.

Questi regolamenti esecutivi, solo una parte dei tanti implementing acts previsti dalla normativa e in fase di gestione da parte della Commissione Europea, permettono di volgere un primo sguardo tecnico alla realizzazione del portafoglio europeo di identità digitale, puntando alla realizzazione di un’infrastruttura interoperabile e protocolli e modelli condivisi dai Paesi membri.

Eudiw, verso l’identità digitale unica europea

Generalizzando, tali primi implementing acts pubblicati in Gazzetta Ufficiale UE riguardano proprio le misure tecniche e gli standard da rispettare per concretizzare la visione normativa dei portafogli europei di identità digitale. L’EUDIW è in effetti una delle più importanti novità introdotte dalla revisione dell’originario regolamento eIDAS del 2014 e punta a un unico framework di identità digitale per tutti i cittadini europei. Gli obiettivi sono l’interoperabilità e dunque una maggiore semplificazione dei rapporti tra persone, imprese e pubbliche amministrazioni, ma anche un innalzamento dei livelli di cybersecurity e data protection. Con un unico portafoglio di identità digitale valido in tutta Europa non solo si può pensare di gestire in digitale i propri documenti personali mantenendone inalterato il valore, ma anche di accedere con comodità a servizi online e fisici in tutti i Paesi membri, permettendo l’accertamento sicuro della propria identità.

Ogni Paese membro deve predisporre il proprio portafogli, la deadline è il 2026. In Italia il decreto legge numero 19 del 2024 ha introdotto l’IT wallet, il sistema del portafoglio digitale italiano, che configura una nuova modalità di gestione dell’identità digitale attraverso non solo l’acquisizione ma la piena validità legale dei documenti digitali. Tuttavia, allo stato attuale restano da risolvere alcuni aspetti normativi, come quelli legati agli elementi tecnici di questo sistema e all’accreditamento dei fornitori privati della soluzione.

I cinque nuovi trust services del regolamento eIDAS 2.0

Si attendono con interesse anche i regolamenti esecutivi relativi ai cinque nuovi servizi fiduciari che il regolamento eIDAS 2.0 introduce. Questi implementing acts, infatti, saranno particolarmente importanti per i trust services provider che potranno così capire come adeguarsi alla normativa dal punto di vista tecnico. Ricordiamo infatti che eIDAS 2.0 prevede cinque nuovi trust services:

• E-archiving, per garantire l’autenticità e l’integrità dei documenti digitali che vengono archiviati e assicurare la loro veridicità in caso di necessità probatoria,
• certificati di autenticazione dei siti web,
• servizio fiduciario dei registri elettronici, riconducibile concettualmente alla blockchain
• attestazione elettronica degli attributi,
• gestione di dispositivi qualificati per la creazione di una firma elettronica, che riguarda l’applicazione degli Hardware security module e richiedono ai provider l’adeguamento tecnico entro il 21 maggio 2026.

L’obiettivo dell’introduzione di questi nuovi trust service è aumentare il livello di sicurezza e garanzie relativamente alla gestione di dati e documenti digitali.

Lo scenario futuro del regolamento eIDAS 2.0

È evidente come il framework normativo proposto dal regolamento eIDAS 2.0 debba necessariamente essere supportato dalla pubblicazione dei regolamenti esecutivi, gli implementing acts, per poter fornire ai fornitori di servizi fiduciari, alle pubbliche amministrazioni e ai legislatori nazionali tutti gli strumenti tecnici necessari per adeguarsi al nuovo quadro europeo che va delineandosi.

Districarsi in una selva di norme complesse e regolamenti tecnici estremamente specifici può però facilmente condurre alla confusione anche i provider più esperti. Intesa (Kyndryl Company), società che si occupa di accompagnare le imprese nel percorso di trasformazione digitale dei propri processi, ha organizzato, insieme a Nextwork360, per il 27 febbraio alle ore 11:30, un webinar, intitolato “eIDAS 2.0 Implementing Acts: a che punto siamo? Analisi e prospettive del percorso normativo”, proprio per far chiarezza sulle novità legate sia al regolamento eIDAS 2.0 sia, nello specifico, agli implementing acts, con particolare riferimento a quelli già pubblicati in Gazzetta Ufficiale. L’obiettivo è cercare di capire come evolverà lo scenario europeo dell’identità digitale unica e dei servizi fiduciari, a garanzia dei diritti dei cittadini e della democrazia, e quale ruolo potranno svolgere le imprese nel nuovo contesto normativo.

Articolo realizzato in partnership con Intesa