Il Regolamento Europeo eIDAS: obiettivi, principi chiave e novità

28 febbraio 2023 / Di Paola Olivares / 0 Comments

Il Regolamento eIDAS (acronimo di electronic IDentification, Authentication and trust Services), ufficialmente Regolamento UE n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014, rappresenta la disposizione comunitaria di riferimento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche. Il 3 giugno 2021, la Commissione europea ha presentato una proposta per il nuovo regolamento eIDAS, che introduce cambiamenti nella disciplina dei servizi fiduciari: in particolare, in materia di identità digitale europea. Prima di approfondire le ultime novità del Regolamento europeo, in questo articolo entreremo nel merito del tema, cercando di carpire gli obiettivi, i punti chiave e gli elementi principali contenuti nel testo legislativo.

Regolamento eIDAS: cos'è e cosa prevede

Il Regolamento, in vigore dal 1° luglio 2016, ha lo scopo principale di realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione Europea degli strumenti elettronici di identificazione, autenticazione e firma. A giugno 2021 è stata proposta una sua versione revisionata, attualmente in discussione tra i diversi stakeholder pubblici e privati coinvolti.

In sostanza, il regolamento eIDAS è uno strumento di uniformazione del diritto europeo che ha lo scopo di rafforzare la fiducia del mercato per potenziare il commercio elettronico. Rispetto alla normativa precedente (la direttiva 1999/93/CE del Parlamento europeo e del consiglio del 13 dicembre 1999, relativa a un quadro comunitario per le firme elettroniche) è opportuno sottolineare che lo strumento giuridico utilizzato per normare la materia è il regolamento e non la direttiva. Esso è dunque direttamente applicabile in tutti gli Stati membri dell’Unione Europea senza la necessità di atti di recepimento nei singoli Stati.

Come molti altri atti normativi europei in questo settore, con esso si intende rafforzare la fiducia nelle transazioni elettroniche nel mercato interno e garantire il reciproco riconoscimento dell’identificazione elettronica, dell’autenticazione, delle firme e di altri servizi fiduciari oltre confine, aumentando così l’efficacia dei servizi on line pubblici e privati nell'intero sistema.

Vuoi scoprire lo stato di diffusione e l'utilizzo dei sistemi di identità digitale?

Rivivi il Convegno

I principi dell'eIDAS in Italia e in Europa

Il Regolamento è suddiviso in quattro parti: la prima reca le definizioni; la seconda ha ad oggetto l’identificazione e l’autenticazione elettronica; la terza concerne le firme elettroniche; la quarta riguarda i cosiddetti «servizi fiduciari» o trust services.

L'identificazione elettronica

L’identificazione elettronica è il processo secondo il quale cui si usano i dati di autenticazione personale in forma elettronica per identificare univocamente una persona fisica e una persona giuridica. In relazione ai sistemi di identificazione, è bene precisare che ogni Stato può continuare a utilizzare gli strumenti di identificazione online già in uso e che in nessun modo il regolamento impone l’adozione di uno strumento di identificazione online comune europeo.

Gli Stati membri possono notificare alla commissione i sistemi di identificazione elettronica adottati (il regolamento stabilisce le condizioni affinché i sistemi di identificazione elettronica possano essere notificati) e questa pubblica una lista. Se lo schema di identificazione notificato dallo Stato membro è pubblicato, ogni cittadino può usare il proprio sistema di identificazione elettronica negli altri Stati, attuando così il principio del riconoscimento reciproco dell’identificazione in materia di servizi online.

In materia di autenticazione elettronica, in Italia è stato avviato e realizzato il progetto Sistema Pubblico di Identità Digitale (SPID) che nasce con ambizioni europee ai fini del mutuo riconoscimento dei sistemi di autenticazione comunitari.

Le firme elettroniche

La parte del regolamento dedicata alle firme elettroniche non comporta invece significative modifiche rispetto al quadro normativo previgente. È confermato il principio del non disconoscimento del documento informatico e delle firme elettroniche, secondo cui non può essere negata dignità e rilevanza giuridica ad una firma elettronica, solo in ragione della sua forma appunto elettronica.

Non presentano connotati innovativi rispetto al dato normativo italiano le definizioni di firma elettronica avanzata e di firma elettronica qualificata. In relazione alla definizione di firma elettronica avanzata è confermato il principio di neutralità tecnologica: la norma elenca una serie di condizioni, senza, tuttavia, imporre le modalità attraverso cui garantire il soddisfacimento di dette condizioni. Sotto il profilo dell’efficacia probatoria, è prevista un’automatica equiparazione, sotto gli effetti giuridici, della firma elettronica qualificata alla firma autografa.

Viene inoltre introdotto il sigillo elettronico, che è un insieme di dati in forma elettronica acclusi o connessi tramite associazione logica, ad altri dati in forma elettronica, per garantirne la provenienza e l’integrità. 

Servizi fiduciari

L’ultima parte del regolamento è quella relativa ai trust services. La definizione di servizio fiduciario è molto ampia e comprende molti dei servizi informatici offerti dal mercato. Si tratta, secondo il Regolamento, di un servizio elettronico, fornito di norma a pagamento, consistente nella:

  • creazione, verifica e convalida delle firme elettroniche, dei sigilli elettronici o validazioni temporali elettroniche, dei servizi elettronici di recapito certificato e dei certificati relativi a tali servizi;
  • creazione, verifica e convalida dei certificati per l’autenticazione dei siti web;
  • conservazione delle firme elettroniche, sigilli o certificati relativi a tali servizi.

Infine, il Regolamento eIDAS introduce anche la cosiddetta «validazione temporale elettronica». Si tratta di un insieme di dati in forma elettronica che associano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento. La validazione temporale non attesta che il documento informatico è stato creato in quel preciso momento, ma semplicemente che esisteva in quella data e a quell’ora.

Il nuovo Regolamento eIDAS

A inizio giugno 2021 la Commissione Europea ha proposto un'importante modifica al regolamento eIDAS con l'obiettivo di istituire un quadro di riferimento per un’identità digitale europea, basata sul nuovo paradigma del wallet.

L’identità digitale europea

L'European Digital Identity wallet consiste in un prodotto o servizio che consente all’utente di conservare dati di identificazione, credenziali e attributi associati alla sua identità, al fine di esibirlo alle parti richiedenti o di utilizzarlo come strumento di autenticazione (online e offline) per accedere a servizi, creare firme e sigilli elettronici qualificati.

Date le sue caratteristiche, il progetto prende in grande considerazione il tema della tutela dei dati personali e perciò, salvo consenso dell’interessato, è vietato raccogliere o condividere le sue informazioni. Per quanto riguarda l'erogazione del servizio di wallet, il compito di erogare ai cittadini il servizio di wallet – in forma gratuita – spetta a ciascun Stato membro, che potrà rilasciarlo direttamente o delegando il compito a soggetti terzi.

Nonostante si tratti solo di una prima proposta da parte della Commissione, quindi soggetta a possibili modifiche, questo tentativo di modificare il Regolamento eIDAS è un chiaro segnale di come l’UE stia cercando di spingere verso una maggiore digitalizzazione dei servizi pubblici e privati, ampliandone la diffusione e l’adozione a livello comunitario.

Archiviazione elettronica e firma remota

Tra le altre novità introdotte assieme all'identità digitale europea, segnaliamo quelle in materia di archiviazione elettronica, che può anche essere qualificata, i registri elettronici che già nelle definizioni mostrano una chiara analogia con la tecnologia dei registri distribuiti e della blockchain.

Vengono inoltre esplicitati i concetti relativi ai dispositivi per la creazione di firme e sigilli elettronici qualificati in modalità remota.

Vuoi approfondire le opportunità e le potenzialità dei sistemi di Identità Digitale?

Scopri il Programma

  • Autore

Direttrice dell'Osservatorio Digital B2b e dell'Osservatorio Droni e Mobilità Aerea Avanzata