Pubblicato nella Gazzetta Ufficiale dell’Unione Europea del 30 aprile 2024, il Regolamento (UE) 2024/1183 (c.d. Regolamento eIDAS2), che introduce un nuovo quadro per un’identità digitale europea (e-ID) e che a tal fine modifica il Regolamento (UE) n. 910/2014.
Il Regolamento sull’e-ID è volto a garantire che le persone e le imprese abbiano accesso universale a un’identificazione e un’autenticazione elettronica sicura ed affidabile.
Il Regolamento eIDAS2, più nel dettaglio (art. 1):
- fissa le condizioni alle quali gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche, che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro e forniscono e riconoscono i portafogli europei di identità digitale
- stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche
- istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato, i servizi relativi ai certificati di autenticazione di siti web, l’archiviazione elettronica, gli attestati elettronici di attributi, i dispositivi per la creazione di una firma elettronica, i dispositivi per la creazione di sigilli elettronici e i registri elettronici.
A norma del Regolamento eIDAS2, gli Stati membri offriranno quindi a cittadini e imprese dei c.d. “portafogli digitali”, in grado di collegare le loro identità digitali nazionali alla prova di altri attributi personali (ad esempio patente di guida, qualifiche, conto bancario).
I cittadini potranno pertanto dimostrare la propria identità e condividere documenti elettronici dal proprio portafoglio digitale in modo semplice, utilizzando il loro cellulare: i nuovi portafogli europei di identità digitale consentiranno a tutti i cittadini di accedere a servizi online mediante la loro identificazione digitale nazionale, che sarà riconosciuta in tutta l’UE, senza dover utilizzare metodi di identificazione privati o condividere inutilmente dati personali.
Il controllo degli utenti garantirà che siano condivise solo le informazioni che è necessario condividere.
Gli elementi principali del Regolamento possono essere così sintetizzati:
- entro il 2026 ciascuno Stato membro dovrà mettere a disposizione dei cittadini un portafoglio di identità digitale e accettare portafogli europei di identità digitale di altri Stati membri
- sono state previste garanzie sufficienti per evitare la discriminazione di chi scelga di non ricorrere al portafoglio, il cui utilizzo rimarrà sempre volontario
- l’emissione, l’uso e la revoca del portafoglio digitale saranno gratuiti per tutte le persone fisiche
- gli Stati membri dovranno fornire meccanismi di convalida degli attestati elettronici degli attributi gratuiti solo per verificare l’autenticità e la validità del portafoglio e dell’identità delle parti facenti affidamento sulla certificazione
- i componenti software per le applicazioni dei portafogli saranno open source, ma agli Stati membri è concesso un margine di manovra affinché, per motivi giustificati, non sia necessario divulgare componenti specifici diversi da quelli installati sui dispositivi dell’utente
- è stata garantita la coerenza tra il portafoglio come mezzo di identificazione elettronica e il sistema nell’ambito del quale è stato emesso
- viene chiarito l’ambito di applicazione dei certificati qualificati di autenticazione di siti web, garantendo che gli utenti possano verificare chi è l’amministratore di un determinato sito web, preservando nel contempo le norme e gli standard di sicurezza ben consolidati vigenti nel settore.
Il Regolamento eIDAS2 prevede delle misure transitorie progressive, ovvero:
- I dispositivi per la creazione di una firma sicura la cui conformità sia stata determinata conformemente all’art. 3, paragrafo 4, della Direttiva 1999/93/CE continueranno a essere considerati dispositivi qualificati per la creazione di una firma elettronica a norma del presente Regolamento fino al 21 maggio 2027
- I certificati qualificati rilasciati a persone fisiche a norma della Direttiva 1999/93/CE continueranno a essere considerati certificati qualificati di firme elettroniche a norma del presente regolamento fino al 21 maggio 2026
- La gestione di dispositivi qualificati per la creazione di una firma elettronica e di sigilli elettronici a distanza, da parte di prestatori di servizi fiduciari qualificati diversi da quelli che forniscono servizi fiduciari qualificati conformemente agli artt. 29 bis e 39 bis, potrà essere effettuata senza necessità di ottenere la qualifica per la prestazione di tali servizi di gestione fino al 21 maggio 2026
- I prestatori di servizi fiduciari qualificati cui è stata assegnata la qualifica a norma del presente regolamento prima del 20 maggio 2024, presenteranno all’organismo di vigilanza una relazione di valutazione della conformità che attesti il rispetto dell’art. 24, paragrafi 1, 1 bis e 1 ter, quanto prima, e comunque entro il 21 maggio 2026.
Il Regolamento sull’e-ID entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea.