La digital identity aziendale diventa un requisito centrale per le transazioni B2B certificate. Il quadro europeo intreccia eIDAS 2, GDPR, AI Act, NIS 2 e DORA, definendo strumenti, obblighi e standard tecnici per identità, sigilli elettronici, wallet digitali, audit trail e governance Responsabile Protezione dei Dati – DPO Consulente Privacy La digitalizzazione dei rapporti interaziendali ha trasformato la fiducia da valore intangibile arequisito tecnico-giuridico misurabile. In un ecosistema B2B in cui contratti, ordini di acquisto, certificati di conformità, procure e rendiconti finanziari vengono scambiati in forma elettronica tra soggetti geograficamente distribuiti, la certezza sull’identità della controparte non può più fondarsi esclusivamente su meccanismi relazionali o documentali analogici. La nozione di“corporate digital identity”si è progressivamente strutturata attorno a un corpus normativo europeo che, muovendo dall’originario Regolamento eIDAS del 2014 (Reg. UE n. 910/2014), ha subito una profonda revisione con l’adozione del Regolamento (UE) 2024/1183, entrato in vigore il 20 maggio 2024. Quest’ultimo delinea un framework unitario che abbraccia identificazione elettronica, servizi fiduciari qualificati, portafoglio europeo diidentità digitale(EUDI Wallet) e nuove attestazioni degli attributi, ridisegnando i paradigmi operativi delle transazioni elettroniche sia nel settore pubblico sia in quello privato. Il tema interseca la disciplina del trattamento dei dati personali di cui alReg. UE 679/2016 (GDPR), le norme disicurezza informaticaderivanti dalla Direttiva (UE) 2022/2555 (NIS 2), recepita in Italia con D.Lgs. 138/2024, i requisiti di resilienza operativa digitale previsti dal Regolamento (UE) 2022/2554 (DORA) per i soggetti dei mercati finanziari, e i vincoli del Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act), che introduce obblighi specifici per i sistemi di IA utilizzati in processi di verifica identitaria e decisione automatizzata. IlRegolamento (UE) 2024/1183, adottato l’11 aprile 2024, costituisce la risposta del legislatore europeo a tali criticità. La revisione persegue tre obiettivi strategici: La struttura implementativa del nuovo regolamento si articola attraversoatti di esecuzioneche la Commissione Europea adotta secondo tempistiche differenziate: In tale ambito, il Regolamento (UE) 2024/2977, pubblicato nella Gazzetta Ufficiale del 4 dicembre 2024, ha definito le prime modalità applicative del wallet. Sul piano della corporate digital identity, il Regolamento eIDAS individua nelsigillo elettronico qualificato (QeSeal)lo strumento specificamente dedicato alle persone giuridiche. A differenza della firma elettronica qualificata, che attesta la volontà di una persona fisica, il sigillo elettronico qualificato certifica l’origine e l’integrità dei dati associandoli all’ente come tale, indipendentemente dall’identità del soggetto fisico che lo ha concretamente generato. Ai sensi dell’art. 35 del Regolamento eIDAS, ilsigillo elettronico qualificatogode di una presunzione legale di integrità dei dati e di correttezza dell’origine a cui è associato, con effetti giuridici riconosciuti in tutti gli Stati membri. In Italia, il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005, CAD) non disciplina espressamente il sigillo elettronico, sicché il rinvio diretto al Regolamento europeo gerarchicamente sovraordinato alla legge nazionale assume rilievo interpretativo centrale. Il sigillo elettronico qualificato si articola tecnicamente sullacrittografia a chiave pubblica: il certificato qualificato lega in modo univoco il sigillo all’identità della persona giuridica (denominazione, partita IVA o codice fiscale). L’applicazione del sigillo avviene in modo automatizzato, rendendolo particolarmente idoneo a supportare flussi documentali massivi: Il Regolamento 2024/1183 arricchisce il catalogo deiservizi fiduciari qualificaticon impatto diretto sull’ecosistema B2B. Le novità di maggior rilievo per le persone giuridiche sono le seguenti: L’identità digitale aziendale si colloca in uno spazio normativo composito in cui la disciplina dei dati personali interseca inevitabilmente quella deiservizi fiduciari. Sebbene il soggetto nominale dei processi di corporate digital identity sia la persona giuridica, il loro funzionamento presuppone e genera trattamenti di dati personali di persone fisiche: Il GDPR si applica ogniqualvolta il processo di identificazione o di attestazione degli attributi comporti il trattamento di dati riferibili apersone fisiche identificate o identificabili, ai sensi dell’art. 4, par. 1. I QTSP, in quanto titolari o responsabili del trattamento, devono rispettare i principi di cui all’art. 5 GDPR: Il Regolamento 2024/1183 recepisce esplicitamente tale intersezione normativa:l’Allegato VIelenca gli attributi minimi contenibili nell’EUDI Wallet, precisando che tutti i dati restano sotto il controllo esclusivo del titolare, che ne autorizza la diffusione in maniera commisurata alle specifiche transazioni, nel pieno rispetto dei principi GDPR. Tale impostazione concretizza il principio di data minimization in un’architettura di selective disclosure. La qualificazione della base giuridica applicabile al trattamento dei dati nei processi di verifica dell’identità digitale aziendale richiede un’analisi contestuale. Nell’ambito delle relazioni B2B, le principali basi giuridiche rilevanti ai sensi dell’art. 6 GDPRsono: È opportuno sottolineare che il ricorso alconsenso(art. 6, par. 1, lett. a) risulta, nelle relazioni B2B strutturate, la base giuridica meno appropriata: il contesto contrattuale e il rapporto di forza tra le parti possono compromettere la libertà e specificità del consenso, come evidenziato nelle linee guida dell’EDPB in materia. L’implementazione di sistemi di corporate digital identity configura un’ipotesi ad alto rischio ai sensi dell’art. 35 GDPR, con conseguente obbligo di svolgere una Valutazione d’Impatto sulla Protezione dei Dati (DPIA). Il trattamento sistematico di dati identificativi nell’ambito di servizi QTSP, la gestione di attributi certificati tramite EAA, l’utilizzo di registri elettronici con audit trail continuo, e i processi automatizzati di onboarding B2B rientrano tipicamente nell’elenco delle tipologie di trattamenti soggetti a DPIA emanato dal Garante per la protezione dei dati personali italiano (Provvedimento dell’11 ottobre 2018). La DPIA deve: Il Regolamento (UE) 2024/1689 (AI Act), entrato in vigore il 1° agosto 2024 con applicazione progressiva fino al 2027, introduce una classificazione risk-based dei sistemi diintelligenza artificialeche si sovrappone significativamente ai processi di digital identity aziendale. L’Allegato III del Regolamento individua, tra i sistemi di IA ad alto rischio, quelli impiegati in“infrastrutture critiche”(punto 2) e nei “processi di identificazione biometrica remota” (punto 1). I considerando 55–57 del Regolamento specificano la ratio di tali esclusioni, distinguendo i sistemi di identificazione biometrica remota in tempo reale da quelli di verifica One-to-One nei contesti aziendali, ammessi ma soggetti a stringenti requisiti di conformità. I sistemi che associano tecniche di riconoscimento facciale, analisi vocale o comportamentale ai processi di autenticazione aziendale rientrano pertanto nella categoria ad alto rischio, con obbligo di: Va evidenziata la tensione strutturale tra l’automatizzazione dei processi identitari e il principio disupervisione umanaimposto dall’AI Act per i sistemi ad alto rischio. Tale tensione richiede soluzioni architetturali ibride, in cui i sistemi di IA gestiscono il flusso ordinario di verifica identitaria, riservando all’intervento umano le casistiche anomale o ad alto impatto decisionale. L’art. 86 dell’AI Act sancisce il diritto degli individui a ricevere spiegazioni sulle decisioni adottate da sistemi di IA ad alto rischio che li riguardino. Nell’ambito dei processi B2B, tale disposizione acquista rilievo nei contesti in cui la decisione automatizzata determina l’esito di un processo di qualificazione, di attribuzione di un punteggio di affidabilità (trust score), o di concessione/revoca dell’accesso a piattaforme commerciali. Il raccordo con il GDPR impone una progettazione trasparente dell’architettura AI impiegata nella verifica identitaria: La sicurezza delle transazioni B2B certificate si fonda su unostack tecnologico stratificatoche integra standard crittografici, formati di firma elettronica e protocolli di comunicazione sicura. Il Regolamento eIDAS e gli atti delegati della Commissione Europea identificano come formati obbligatori per la conservazione e la trasmissione di firme e sigilli elettronici qualificati: Sul versante dei protocolli di autenticazione, il frameworkSAML 2.0 (Security Assertion Markup Language)e i protocolli OpenID Connect e OAuth 2.0 costituiscono le fondamenta delle architetture federative su cui si basa l’interoperabilità degli EUDI Wallet tra diversi contesti nazionali e settoriali. L’Identity Assurance Framework (IAF) definito da eIDAS stabilisce tre livelli di garanzia che corrispondono a diversi gradi di affidabilità del processo di identificazione e autenticazione. I Qualified Trust Service Providers (QTSP) costituiscono l’infrastruttura fiduciaria su cui poggia l’intero sistema di identità digitale aziendale. In Italia, AgID mantiene la Trust List nazionale in conformità all’art. 22 del Regolamento eIDAS, elencando i QTSP autorizzati all’erogazione di servizi di firma elettronica qualificata, sigillo elettronico qualificato, validazione temporale qualificata, recapito certificato qualificato e autenticazione di siti web. La scelta delQTSP di riferimentoassume rilevanza strategica per le imprese che strutturano processi B2B certificati: i criteri di selezione dovrebbero includere: La validazione temporale elettronica qualificata (marca temporale) svolge una funzione probatoria essenziale nelle transazioni commerciali com