Il portafoglio europeo di identità digitale si avvicina alla fase decisiva prevista dal regolamento eIDAS. Entro il 24 dicembre 2026 ogni Stato membro dovrà fornire almeno un wallet conforme, in un quadro ancora segnato da specifiche tecniche, certificazioni e criticità applicative.
Obiettivo comune entro il 2026
La data chiave, stabilita in modo inequivocabile dall’art. 5 bis, par. 1 del regolamento eIDAS, è il 24 dicembre 2026. In questa data “ciascuno Stato membro fornisce almeno un portafoglio europeo di identità digitale”. La Commissione Europea, ENISA, gli Stati e gli enti di standardizzazione (CEN, ETSI, ecc.) stanno lavorando alacremente su specifiche tecniche, regole di certificazione e standard armonizzati.
L’enorme volume di informazioni che giunge anche dai social porta alla necessità di una sintesi di ciò che è stato fatto a livello comunitario e nazionale, delle peculiarità del nuovo ecosistema che si viene a creare con il EUDIW, ma anche delle criticità che si stanno affrontando.
Modifiche e introduzioni di rilievo
Il Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell’11 aprile 2024, pubblicato nella Gazzetta ufficiale dell’Unione europea il 30 aprile 2024 ed entrato in vigore il 20 maggio 2024, ha modificato il Regolamento (UE) n. 910/2014 (ampiamente citato come “regolamento eIDAS”).
Il nuovo regolamento ha inserito una nuova Sezione 1 dedicata al European Digital Identity Wallet (EUDI Wallet) (di seguito EUDIW) composta dagli articoli da 5 bis a 5 septies.
- Articolo 5 bis: emette i requisiti tecnici e funzionali del wallet.
- Articolo 5 ter: regola la registrazione e gli obblighi dei “relying party”.
- Articolo 5 quater: disciplina la certificazione dei wallet.
- Articolo 5 quinquies: prevede la pubblicazione dell’elenco dei wallet certificati.
- Articolo 5 sexies: gestione delle violazioni di sicurezza.
- Articolo 5 septies: disciplina l’affidamento transfrontaliero dei wallet.
Dettaglio sulle linee guida
Il nuovo portafoglio si basa su principi moderni come l’unicità e interoperabilità a livello comunitario, cybersecurity all’avanguardia e protezione dei dati personali. L’obiettivo è raggiunto richiedendo un livello di garanzia elevata (high) ai sensi dell’Art. 8 del Regolamento.
Security-by-design and Privacy-by-design
L’articolo 5 bis, par. 12 richiede un approccio security-by-design, che affianca senza sovrapporsi al principio di privacy-by-design. L'utente deve avere controllo completo su dati e uso del wallet.
L’Articolo 5 bis, punto 14, riconosce all’utente il controllo assoluto sull’uso dei dati nel proprio wallet. Viene vietato al fornitore di raccogliere informazioni sull’utilizzo del portafoglio non necessarie al servizio fornito, né di combinare i dati della persona con dati personali provenienti da servizi propri o di terzi, salvo esplicita richiesta dell’utente.
La posizione di chi si affida al wallet
Per la prima volta nel sistema eIDAS, con l’Articolo 5 ter viene introdotto un regime organico per le parti che si affidano alla certificazione, chiamate relying party. Questi soggetti (pubblici o privati) devono registrarsi presso lo stato membro in cui operano.
- L’Utente ha la possibilità di verificare l'autenticità della relying party.
- La relying party non può richiedere dati diversi da quelli dichiarati in fase di registrazione.
La certificazione e l’organizzazione logica
Per essere conformi ai requisiti tecnici e all’art. 5 bis, i wallet devono essere certificati da organismi designati dagli Stati membri. Per le questioni di cybersecurity la certificazione deve seguire l’approccio definito dal “Cybersecurity Act”.
L’elenco completo dei wallet certificati, con i relativi rapporti di valutazione, deve essere pubblico e notificato alla Commissione.
Accessibilità, gratuità e accesso per le persone con disabilità
L’EUDIW deve essere gratuito per tutte le persone fisiche (Art. 5 bis, par. 13). L’accessibilità non è trascurata, anzi, il Regolamento richiede che il sistema sia reso accessibile anche alle persone con disabilità, in accordo con la Direttiva (UE) 2019/882.
Standard di esecuzione e regolamenti tecnici
I regolamenti tecnici per il formato, i protocolli, e i criteri di certificazione non sono definiti direttamente dal regolamento eIDAS, ma sono demandati a Regolamenti di Esecuzione della Commissione. Fino ad oggi, sono stati emessi 31 regolamenti di esecuzione associati a oltre 200 specifiche tecnico-standardizzatrici.
I cambiamenti frequenti di questi regolamenti creano criticità per la stabilità del quadro in cui gli Stati membri devono sviluppare infrastrutture nazionali conformi.
Architettura Reference Framework e criticità tecniche
L’ARF (Architecture Reference Framework) non è ancora nella versione definitiva, anche se non presenta bloccaggi per l’implementazione del EUDIW. Il modello distribuisce le responsabilità su diverse entità: Stato membro, fornitore del wallet, enti di certificazione e le stesse relying party.
Il Regolamento non prevede, però, un regime unitario di responsabilità civile per l’insieme della catena. Il rischio è che, soprattutto nell’ambito dell’utilizzo da parte di fornitori privati, si generino interpretazioni non uniformi.