eIDAS 2: cos’è e cosa implica per l’identità digitale

A cura di:
Diletta Villa – Analista, Osservatorio Digital Identity
Clarissa Falcone – Ricercatrice, Osservatorio Digital Identity

Cos’è eIDAS 2

Il Regolamento eIDAS 2 (acronimo di electronic IDentification, Authentication and trust Services 2), o Regolamento (UE) 2024/1183, è la revisione normativa di eIDAS, o Regolamento UE n. 910/2014. Di recente, eIDAS 2 ha raggiunto un importante traguardo con la pubblicazione in Gazzetta Ufficiale. La nuova normativa è entrato in vigore il 20 maggio 2024, sebbene manchino ancora gli atti di esecuzione.

Cosa prevede eIDAS 2 per l’identità digitale

eIDAS 2, come è noto, prevede nell’ambito dell’identità digitale l’offerta di European Digital Identity (EUDI) Wallet per i cittadini di ogni Stato europeo. Tuttavia, seppur la spinta normativa giochi un ruolo importante, rimangono ancora molti punti aperti per il mercato. Questi riguardano sia le specifiche dei wallet che verranno offerti, sia le modalità di partecipazione agli ecosistemi che si stanno formando. Questi dubbi verranno risolti in parte con la pubblicazione degli atti implementativi (attesi a novembre 2024 e a maggio 2025), ma saranno rilevanti anche le decisioni prese dai governi nazionali.
Vediamo insieme quali sono attualmente i punti aperti.

eIDAS 2 e la fornitura del wallet

Secondo eIDAS 2, ciascuno Stato membro ha l’obbligo di fornire ai propri cittadini almeno un digital identity wallet. Ciò potrà essere realizzato seguendo diverse strategie:

• direttamente dallo Stato, offrendo la soluzione tramite enti pubblici specializzati;
• su incarico di uno Stato, ad esempio selezionando un’azienda per la fornitura del wallet tramite un bando pubblico;
• riconoscendo una soluzione sviluppata in modo indipendente da un’azienda privata, sia nazionale sia estera, che sia conforme ai requisiti della normativa.

eIDAS 2 richiede la fornitura di almeno un wallet, ma quante soluzioni saranno disponibili per i cittadini di un dato Paese rimane una questione aperta. Ad ogni modo, per essere riconosciute come EUDI Wallet, le soluzioni offerte o selezionate dallo Stato Membro dovranno essere sottoposte a certificazione di conformità e adottate ufficialmente dalla Stato membro stesso.

Il livello di garanzia (Level of Assurance, LoA) in eIDAS 2

eIDAS 2 prevede che gli EUDI Wallet siano forniti “nell’ambito di un regime di identificazione elettronica il cui livello di garanzia è elevato” (LoA high). Sarà possibile per gli utenti inizializzare il proprio wallet con un sistema di identità digitale a livello di garanzia significativo (LoA substantial), come SPID, solo combinandolo con altri elementi di verifica dell’identità che consentano di soddisfare il livello di garanzia elevato. Tuttavia, non è ancora chiaro quali saranno le modalità di combinazione dei diversi strumenti (che possono includere ulteriori sistemi di identità o fattori di riconoscimento) che consentiranno di ottenere questo livello di garanzia.
Questo punto è di estrema rilevanza in Italia, dove il sistema di identità digitale maggiormente utilizzato e diffuso tra i cittadini, SPID, ha un livello di garanzia significativo e, quindi, non sufficiente da solo per inizializzare il nuovo wallet. Per definire un processo di transizione adeguato occorre tenere conto degli interessi di tutti gli stakeholder attualmente coinvolti, dalle aziende private che hanno investito nel sistema, ai cittadini che sono ormai abituati a utilizzarlo.

La firma elettronica per eIDAS 2

In eIDAS 2, sempre parlando del modello di business, è anche previsto che gli utenti possano utilizzare una firma elettronica qualificata gratuitamente, se per fini non professionali. Sarà quindi compito dei singoli Stati definire come offrire questo servizio all’interno del proprio EUDI Wallet e come remunerare il prestatore del servizio.
Ancora una volta, questo punto risulta di particolare interesse per l’Italia, dove il mercato della firma elettronica è particolarmente ricco, con circa una ventina di attori attualmente accreditati come prestatori di servizi fiduciari qualificati.

Nuovi e vecchi attori coinvolti da eIDAS 2

Ultimo punto di eIDAS 2 a cui prestare attenzione è il fatto che il nuovo testo normativo richiede che alcuni attori debbano accettare il wallet come strumento di riconoscimento e agiscano quindi come verifier. Tra questi attori troviamo:

• le amministrazioni pubbliche per l’accesso ai servizi online;
• le Very Large Online Platform (tra cui Amazon, Apple, Facebook, Google, Instagram, TikTok e Twitter, sulla base del DSA);
• le aziende private sottoposte all’obbligo di autenticazione forte del cliente (tra cui i settori bancario, dei trasporti, utility, telecomunicazione e quello sanitario).

Questi obblighi previsti da eIDAS 2 avranno sicuramente un effetto positivo sull’adozione da parte degli utenti, ampliando la rosa di servizi accessibili con il wallet. Tuttavia, genereranno costi di adeguamento importanti per gli attori coinvolti, che saranno sia economici (per diventare e rimanere conformi alla normativa), ma anche in termini di ripensamento della gestione dei dati degli utenti.

Nonostante la transizione verso il modello del digital identity wallet sia ormai un processo in atto, rimane ancora un’incognita quale forma prenderà il mercato al termine della trasformazione in corso. Risulta però evidente che solo tramite una forte collaborazione tra il mondo pubblico e quello privato sarà possibile raggiungere una soluzione adeguata per tutti i partecipanti all’ecosistema nascente.