Regolamento eIDAS 2: le novità per i sistemi di identità elettronica

La pubblicazione avvenuta il 30 aprile 2024 del Regolamento (EU) 2024/1183 (di seguito eIDAS II), che modifica il Regolamento (UE) 2014/910 (di seguito “eIDAS”), introduce rilevanti novità sul regime dei sistemi di identità elettronica europei e sulla disciplina delle firme elettroniche e degli altri servizi fiduciari prestati in Unione Europea.

In particolare, con riferimento ai sistemi di identità digitale gestiti nei vari Stati membri, viene introdotta una rilevante innovazione relativa al cd. EUDI Wallet (European Digital Identity Wallet), ossia il “Portafoglio europeo di identità digitale” che cambierà notevolmente le modalità con cui i cittadini degli Stati membri possono identificarsi online verso le pubbliche amministrazioni, e non solo, nonché certificare proprie caratteristiche, qualità, diritti o particolari autorizzazioni.

Questo contributo, che esamina proprio la nuova disciplina dell'EUDI Wallet, è il primo di una serie in cui si cercherà di enucleare quelle che sono le novità introdotte dal Regolamento (EU) 2024/1183.

Il framework di interoperabilità esistente e le sue criticità

Ai fini di una disamina più approfondita sul tema, appare utile riprendere brevemente il sistema di identità digitale introdotto con il Regolamento n. 2014/910 eIDAS, che sostituiva la precedente Direttiva 93/1999/CE in materia di firme elettroniche. Obiettivo di eIDAS relativamente ai sistemi di identità digitale era quello di creare un framework di interoperabilità fra i sistemi di identificazione nazionali ed i servizi pubblici di tutti gli Stati Membri, cercando quindi di “mettere ordine” rispetto ai singoli strumenti di identità nel frattempo introdotti nei singoli Stati membri (ad esempio in Italia la Carta Nazionale dei Servizi, o in Estonia la ID Card).

Il Regolamento, quindi, definiva un sistema di adesione volontaria in cui ogni Stato membro avrebbe dovuto notificare alla Commissione Europea i sistemi di identità digitale nazionali. Tali sistemi dovevano poi convergere in un gateway europeo che avrebbe consentito ad ogni cittadino di ciascuno Stato membro di utilizzare la propria identità digitale “nazionale” per autenticarsi ai servizi rilasciati da pubbliche amministrazioni di altri Stati membri.

Con il passare del tempo sono emerse delle criticità di tale impostazione; vi sono stati, infatti, alcuni problemi di compatibilità dei singoli sistemi rispetto al gateway sopra citato, che in alcuni casi hanno impedito di utilizzare in via continuativa le identità di alcuni Paesi membri, dovuti anche alla possibile coesistenza per un singolo Stato di più sistemi di identificazione diversi, ciò che ha reso più complessa l'interazione fra gli stessi.

L'European Digital Identity Wallet

Le problematiche sopra esposte, unitamente ad una digitalizzazione dei servizi sempre più diffusa conducevano alla proposta di introdurre all'interno del Regolamento eIDAS il un “EUDI Wallet”, con l'obiettivo di avere un unico sistema di identità digitale europeo valevole in tutti gli stati membri e funzionale alla creazione di un mercato digitale integrato tra gli stati membri. È bene evidenziare che la soluzione del wallet europeo per l'identità digitale prende spunto anche da recenti innovazioni tecnologiche introdotte sia nell'ambito della cd. direttiva PSD2 per i sistemi dei pagamenti, sia ad innovazioni introdotte dalle Big Tech nei propri dispositivi, che possono gestire dei wallet di carte di pagamento, nonché da alcune soluzioni abilitate dalla tecnologia blockchain, come le Self Sovereign Identity (tanto che, nelle proposte iniziali della Commissione, era emersa la possibilità che il wallet europeo venisse gestito tramite l'EBSI (European Blockchain Services Infrastructure).

Il primo paragrafo dell'art. 5 bis del nuovo Regolamento eIDAS2 impone, quindi, agli Stati Membri di fornire “almeno un portafoglio europeo di identità digitale entro 24 mesi” dall'entrata in vigore degli atti di esecuzione, “al fine di garantire che tutte le persone fisiche e giuridiche nell'Unione abbiano un accesso transfrontaliero sicuro, affidabile e senza soluzione di continuità a servizi pubblici e privati, mantenendo nel contempo il pieno controllo dei loro dati”. Il wallet può essere realizzato da uno Stato direttamente, su incarico dello stesso o indipendentemente purché poi riconosciuto dallo Stato.

Si sostanzierà in un'applicazione da installare sui sui propri device con cui dovrà essere possibile richiedere, ottenere, selezionare, combinare, conservare, cancellare, condividere e presentare in modo sicuro “dati di identificazione personale” (quindi, in sostanza, i dati relativi all'identità di un soggetto).

L'EUDI Wallet però non sarà limitato alla conservazione delle identità digitali strettamente intese, ma potrà contenere anche attestati elettronici di attributi della persona, intesi come permessi, licenze, caratteristiche ed altri dati inerenti al soggetto rilasciati da soggetti pubblici e privati (si pensi alla patente di guida, all'appartenenza a un Ordine professionale, etc.).

Una particolare novità è quella della possibilità di autenticare direttamente tra gli utenti i dati presenti nel wallet potendo anche condividerli in modo sicuro tra i due wallet.

Infine, il wallet dovrà anche consentire all'utente di apporre firme elettroniche qualificate o sigilli elettronici qualificati, nonché assicurare l'esercizio del diritto alla portabilità dei dati in esso contenuti.

In tal senso l'EUDI Wallet si presenta come una soluzione modulare: a livello base esso è destinato a contenere i dati strettamente inerenti all'identità personale del suo titolare (nome, cognome, data di nascita, codice univoco di identificazione. A tali dati potranno essere aggiunte ulteriori informazioni facoltative, nonché quelle derivanti dagli attestati elettronici di attributi.

The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework

Per comprendere meglio il funzionamento dell'EUDI Wallet è possibile esaminare il risultato del lavoro del gruppo di esperti (eIDAS Expert Group) a cui è stato dato l'incarico, con Raccomandazione (EU) C(2021) 3968 della Commissione Europea, di produrre un Toolbox che definisse l'architettura tecnica ed il quadro di riferimento (di seguito ARF) per gli EUDI Wallet nonché una serie di standard comuni, linee guida e best practices.

Tale documento è stato approvato nel febbraio del 2023 con il nome di The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework - T he European Digital Identity Wallet Architecture and Reference Framework.

In esso sono contenuti una serie di indicazioni utili a comprendere in che modo dovranno essere implementati i sistemi dei wallet, ed infatti, tale documento si rivolge principalmente ai primi sviluppatori del portafoglio digitale. Nello specifico il documento stabilisce che le procedure che sono alla base delle funzioni del software verranno compilate dagli sviluppatori in modalità open source, in modo tale che potranno essere fornite alle relying parties ed agli Stati Membri affinché possano procedere allo sviluppo del proprio wallet.

Il Toolbox descrive quello che sarà l'ecosistema dell'EUDI Wallet in cui saranno necessarie una serie di interazioni fra i vari soggetti coinvolti, dato che il wallet dovrà contenere servizi di vari soggetti: i provider dei servizi fiduciari, i soggetti che forniscono le identità digitali, i soggetti che emettono attestati elettronici di attributi, e tutte le relyng parties che devono accedere a tali informazioni.

Il documento descrive inoltre il ciclo di vita del Wallet e la sua architettura indicando, infine, gli standard di riferimento.

I Progetti Pilota per l'attuazione

Dopo l'incarico per il Toolbox conferito al gruppo di esperti eIDAS, la Commissione Europea nel febbraio 2022 ha lanciato una “call for proposals” nell'ambito del Programma per l'Europa Digitale per il cofinanziamento di Large Scale Pilots, ossia dei progetti pilota per l'implementazione dell'EUDI Wallet in specifici casi d'uso.

Il cofinanziamento riguardava quattro progetti pilota ed è stato assegnato a quattro consorzi, uno per ogni progetto, in diversi settori; sono stati individuati undici casi d'uso in cui sperimentare la nuova soluzione digitale, tra i quali l'accesso sicuro ai pubblici servizi per il pagamento delle tasse o per il rinnovo dei documenti, l'apertura di conti bancari online, le certificazioni dell'istruzione o la richiesta di prescrizioni mediche.

Le informazioni ricavate dalla sperimentazione servono a rendere più uniforme il percorso di implementazione, e potranno essere tenute in considerazione allo scopo di aggiornare il Toolbox e dettare le regole tecniche a cui dovranno attenersi i vari attori dell'EUDI Wallet.

Il progetto Italiano - IT Wallet

Con il D.L. 2 marzo 2024 n. 19, il cd. decreto PNRR, l'Italia ha intrapreso il percorso di adesione all'EUDI Wallet che, in riferimento al contesto nazionale, si declinerà nel tentativo di armonizzare le funzioni degli strumenti di identità digitale già presenti (CIE, CNS e SPID).

Nel dettaglio, il decreto PNRR prevede l'interpolazione dell'art. 64 quater nel Codice dell'Amministrazione Digitale con cui, appunto, viene istituito l'IT Wallet che, a norma del secondo comma, potrà essere offerto sia in una soluzione pubblica, tramite l'app IO, sia in soluzioni private da soggetti accreditati da AGID.

Il terzo comma dell'articolo citato stabilisce inoltre che entro 60 giorni dall'entrata in vigore della disposizione dovranno essere approvate le linee guida per l'implementazione del Sistema IT Wallet le quali dovranno definire:

a) le caratteristiche tecniche e le modalità di adozione dell'IT-Wallet pubblico e delle soluzioni di IT-Wallet privato da parte di cittadini e imprese, nonché la tipologia di servizi resi disponibili dalle soluzioni IT-Wallet;

b) le modalità di accreditamento presso l'AgID dei soggetti privati fornitori delle soluzioni IT Wallet privato;

c) i servizi resi disponibili alle pubbliche amministrazioni e ai soggetti privati accreditati, sia in qualità di erogatori di servizi, sia in qualità di erogatori di attestazioni elettroniche relative a prerogative, caratteristiche, licenze o qualità di persone fisiche e giuridiche, per il tramite della piattaforma di cui all'art. 50-ter (Piattaforma Digitale Nazionale Dati, PDND);

d) gli standard tecnici adottati per garantire interoperabilità del Sistema IT-Wallet con le banche dati e i sistemi informativi della pubblica amministrazione e dei soggetti privati accreditati, inclusa la piattaforma PDND, anche al fine di garantire la compatibilità dell'IT Wallet pubblico e delle soluzioni di IT-Wallet privato con precedenti sistemi di identità digitale e con i relativi sistemi di autenticazione per l'accesso in rete già predisposti;

e) le misure da adottare sul piano tecnico e organizzativo per assicurare livelli di affidabilità, disponibilità e sicurezza adeguati al Sistema IT-Wallet;

f) le modalità per la messa a disposizione del codice sorgente di tutte le componenti dell'IT Wallet pubblico e delle soluzioni di IT-Wallet privato.

Per quanto riguarda la creazione e la gestione dell'infrastruttura digitale, il comma 4 dell'art. 64 quater designa PagoPA S.p.a. e l'Istituto Poligrafico e Zecca dello Stato quali società incaricate, tuttavia, compiti e funzioni di queste saranno definiti con ulteriore decreto da pubblicarsi alla data in cui la soluzione pubblica dell'IT Wallet sarà resa disponibile.

Conclusioni

La creazione di un mercato digitale europeo passa necessariamente anche per una semplificazione delle procedure di autenticazione, per cui l'implementazione di soluzioni come l'EUDI Wallet che garantiscano l'accesso ad una pluralità di servizi pubblici e privati in modo rapido e sicuro appare fondamentale per raggiungimento di questo obiettivo. In tal senso saranno cruciali i prossimi passi che la Commissione europea muoverà, mediante gli atti di esecuzione di eIDAS II, per proseguire verso il risultato sperato di diffusione di uno strumento che sia realmente utilizzabile in tutti gli Stati membri da parte di ogni cittadino europeo.