di Giovanni Manca
Il regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea è stato approvato dal trilogo (il gruppo negoziale composto dalla Commissione, il Consiglio e il Parlamento) e per la definitiva pubblicazione nella Gazzetta Ufficiale comunitaria mancano solo due passi formali. La ratifica nella commissione parlamentare ITRE e poi quella finale del Parlamento.
Il percorso di questa cruciale norma era iniziato il 3 giugno 2021 con la pubblicazione della proposta iniziale della Commissione che, prima della sopra citata approvazione ha percorso sentieri complessi e accidentati.
Il titolo del regolamento è già chiara indicazione dell’obbiettivo primario, un’identità digitale europea. La modalità mediante la quale si raggiunge questo obbiettivo è il Portafoglio Europeo di Identità Digitale (European Digital Identity Wallet – EDIW).
Il EDIW è definito come “un mezzo di identificazione elettronica che consente all’utente di conservare, gestire e convalidare in modo sicuro i dati di identità e le attestazioni elettroniche degli attributi, per fornirli alle parti facenti affidamento e ad altri utenti dei Portafogli Europei di Identità Digitale, e per firmare mediante firme elettroniche qualificate o per sigillare mediante sigilli elettronici qualificati”.
La messa in opera del Portafoglio Europeo consente di utilizzare un’unica identità digitale in tutta l’Unione per tutti i servizi in rete o, come definito nel regolamento, fuori rete.
La maggior parte del tempo nella discussione è stata impiegata per la definizione di regole primarie per la sicurezza del sistema e per la protezione dei dati degli utenti. Più volte nell’articolato di eIDAS 2 troviamo riferimenti alla direttiva NIS2 e al regolamento GDPR.
Un altro elemento importante è quello della trasparenza del Portafoglio Europeo. Il codice sorgente utilizzato per esso è aperto e sarà pubblicato per consentire attività di verifica e revisione. L’utente disporrà di un cruscotto mediante il quale potrà avere il controllo della circolazione dei propri dati con l’opzione di verifica dell’uso corretto degli stessi da parte del mondo esterno degli altri Portafogli o dei servizi offerti agli stessi.
Al Portafoglio è strettamente associata una nuova tipologia di servizio fiduciario (trust service), quella denominata “attestazione elettronica degli attributi” essendo l’attributo definito come “una prerogativa, caratteristica o qualità di una persona fisica o giuridica o di una entità”.
Come si vede dalla definizione, l’entità diventa parte del sistema dell’identità digitale; questa può essere un sistema di intelligenza artificiale, un robot o un meccanismo dell’Internet delle Cose.
Gli attributi sono gestiti da soggetti pubblici o privati mediante le “fonti autentiche” definite nel testo. Queste fonti sono sorgente primaria riconosciuta dalle norme dell’Unione o da quelle nazionali.
Il Portafoglio Europeo deve consentire all’utente (persona fisica) la sottoscrizione qualificata in modo gratuito. Questa regola ha sollevato numerose perplessità negli Stati dove le firme qualificate sono diffuse in un mercato importante.
Nel trilogo si è concordato di limitare l’uso a scopi non professionali della firma.
Lo scopo rimane quello di diffondere la sottoscrizione dei documenti presso il comune cittadino al fine di ampliare in questa parte della società la digitalizzazione dei servizi.
Il singolo Stato membro ha l’obbligo di emettere almeno un Portafoglio e ha l’opzione di riconoscere il Portafoglio emesso da un altro Stato. La criticità è per la possibile proliferazione di Portafogli emessi da soggetti privati, anche se questi devono essere autorizzati dagli Stati.
In Italia si è definito un percorso di convergenza dell’APP IO verso il Portafoglio Europeo passando attraverso il Portafoglio Pubblico Italiano di Identità Digitale referenziato in modo sintetico come IT Wallet.
È stata annunciata una sperimentazione del Portafoglio Europeo nella Provincia Autonoma di Trento nell’ambito del Progetto Pilota europeo denominato Potential.
Il nuovo regolamento eIDAS non ha solo la novità del Portafoglio; infatti, vengono introdotti nuovi servizi fiduciari di base oltre agli attestati elettronici degli attributi.
Questi sono:
la gestione di dispositivi per la creazione remota di firme elettroniche qualificate o di dispositivi per la creazione remota di sigilli elettronici qualificati;
l’archiviazione elettronica di dati;
la registrazione di dati in un registro elettronico.
Il servizio sulla gestione dei dispositivi remoti di firma e sigillo rappresenta un successo per i servizi del genere proposti in Italia da oltre 12 anni e solo accennati nell’eIDAS vigente.
L’archiviazione elettronica dei dati è una importante novità, perché si introduce un servizio fiduciario specifico, diverso da quello vigente (che comunque viene modificato con la parola custodia rispetto ad archiviazione) per firme, sigilli e i certificati da essi utilizzati.
Il servizio vigente ha lo scopo di gestire la scadenza dei certificati, mentre l’archiviazione elettronica dei dati viene definita come:
“un servizio che assicura la ricezione, la memorizzazione, il recupero e la cancellazione di dati e documenti elettronici allo scopo di garantire la loro durevolezza e leggibilità così come di custodire la loro integrità, riservatezza e prova dell’origine per tutto il periodo di custodia”.
Questo servizio fiduciario, che come tale può anche essere qualificato, ha un impatto sulla conservazione nazionale dei documenti informatici che deve essere gestita opportunamente, anche aggiornando le norme nazionali, per evitare disparità tra soggetti nazionali e comunitari (si pensi ai 5 milioni di euro di capitale sociale richiesti per ottenere la qualifica in Italia che rappresentano una barriera di ingresso rispetto ai soggetti qualificati nell’Unione), ma anche per mantenere l’equilibrio tra norme nazionali, che hanno scopi specifici per il patrimonio documentale pubblico ed europee.
Queste, di rango normativo superiore sono a rischio sul tema della applicabilità di norme nazionali non conformi a quelle comunitarie e quindi abrogate de jure.
Un utile approfondimento sull’argomento è nel seguente articolo:
Un’altra novità nei servizi fiduciari è la registrazione elettronica di dati elettronici.
Questa è definita come:
“una sequenza di record di dati, che assicurano la loro integrità e l’accuratezza del loro ordine cronologico”.
La definizione, anche se nei limiti della neutralità tecnologica e del principio di non discriminazione tipici nella normativa comunitaria, esplicita i concetti base della blockchain. Questo aspetto è ancora più evidente nello specifico articolato di eIDAS 2.
I registri elettronici hanno avuto vicende alterne all’interno del testo. Ad un certo punto del dibattito sono stati anche eliminati, ma nel compromesso finale sono stati reinseriti perché ritenuti importanti da molti Stati.
Trattandosi di un servizio fiduciario, è qualificabile e sarà interessante analizzare le regole che verranno stabilite per registri elettronici distribuiti permissionless.
Le criticità sono per il perimetro di qualifica, la vigilanza e l’applicabilità delle sanzioni. Questi temi non si applicano a registri distribuiti permissioned.
Per concludere questa sintetica carrellata su eIDAS 2 è utile ricordare che l’uso del Portafoglio Europeo non è obbligatorio; quindi, in Italia ci sarà l’IT Wallet che deve conservare le sue funzionalità per coloro i quali non vogliono avvalersi dell’opzione comunitaria.
Un altro tema molto dibattuto è quello della protezione dei dati personali nel Portafoglio comunitario. Le regole sono molto precise e stringenti ma complesse da applicare già per i Portafogli istituzionali obbligatori.
I Garanti nazionali dovranno attrezzarsi per essere adeguati controllori ma anche entità proattive continentali, allo scopo di evitare squilibri e conseguenti disomogeneità tra Stati con posizioni governative.
Un elemento fondamentale è la consapevolezza dell’utente, la sua formazione sulla sicurezza cibernetica e sulla protezione dei dati. Il regolamento stabilisce regole specifiche in varie parti del testo.
Alla fine, il Portafoglio sarà una buona cosa se il cittadino avrà servizi funzionanti, facili da usare, sarà accompagnato nell’uso con regole chiare e supporto tecnico e informativo adeguato.
Ci vorranno un paio di anni per partire con il Portafoglio Europeo e i quattro progetti pilota in corso stanno dimostrando la loro utilità con le funzionalità provate “sul campo” con il conseguente adattamento delle regole tecniche.
Auguriamo buona fortuna al Portafoglio Europeo di Identità Digitale passo cruciale per un’Europa unita anche nel mondo digitale.