Identità digitale europea (eID): il Consiglio fa progressi verso il portafoglio digitale dell'UE, un cambiamento di paradigma per l'identità digitale in Europa
View 8.4K
words 1.4K read in 6 minutes, 49 Seconds
Il Consiglio ha adottato la sua posizione comune ("orientamento generale") sulla proposta legislativa relativa al quadro per un'identità digitale europea (eID). Il regolamento riveduto mira a garantire l'accesso universale per le persone e le imprese a un'identificazione e un'autenticazione elettronica sicure e affidabili mediante un portafoglio digitale personale su un telefono cellulare.
Le tecnologie digitali possono semplificarci la vita. Sono convinto che un portafoglio di identità digitale europeo sia indispensabile per i nostri cittadini e le nostre imprese. Stiamo assistendo a un enorme progresso nel modo in cui le persone utilizzano la propria identità e credenziali nel contatto quotidiano con entità pubbliche e private e nel modo in cui utilizzano i servizi digitali. Il tutto mantenendo saldamente il controllo sui propri dati. Ivan Bartos, vice primo ministro ceco per la digitalizzazione e ministro dello sviluppo regionale
Nel giugno 2021 la Commissione ha proposto un quadro per un'identità digitale europea che sarebbe disponibile per tutti i cittadini, i residenti e le imprese dell'UE tramite un portafoglio di identità digitale europeo .
Il nuovo quadro proposto modifica il regolamento del 2014 sull'identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno ( regolamento eIDAS ), che ha gettato le basi per l'accesso sicuro ai servizi pubblici e l'esecuzione di transazioni online e transfrontaliere nell'UE.
La proposta richiede agli Stati membri di emettere un portafoglio digitale nell'ambito di uno schema di identificazione elettronica notificato, costruito su standard tecnici comuni , previa certificazione obbligatoria . Per creare l'architettura tecnica necessaria, accelerare l'attuazione del regolamento rivisto, fornire orientamenti agli Stati membri ed evitare la frammentazione, la proposta è stata accompagnata da una raccomandazione per lo sviluppo di un pacchetto di strumenti dell'Unione che definisca le specifiche tecniche del portafoglio.
Il portafoglio di identità digitale europeo
Uno dei principali obiettivi strategici della proposta è fornire ai cittadini e agli altri residenti, quali definiti dal diritto nazionale, strumenti armonizzati di identità digitale europea basati sul concetto di portafoglio europeo di identità digitale.
In quanto mezzo di identificazione elettronica ("mezzi di identificazione elettronica") rilasciato nell'ambito di regimi nazionali con livello di garanzia "alto", il portafoglio sarebbe un mezzo di identificazione elettronica a sé stante basato sull'emissione di dati di identificazione personale e portafoglio da parte degli Stati membri. Il testo dell'orientamento generale del Consiglio sviluppa pertanto ulteriormente il concetto di portafoglio e la sua interazione con i mezzi nazionali di identificazione elettronica.
Livelli di garanzia
I livelli di garanzia dovrebbero caratterizzare il grado di fiducia nei mezzi di identificazione elettronica, fornendo così la garanzia che la persona che rivendica una particolare identità sia effettivamente la persona a cui tale identità è assegnata. A questo proposito, il portafoglio deve essere emesso all'interno di un sistema di identificazione elettronica che soddisfi il livello di garanzia "alto".
Inoltre, è stata aggiunta una disposizione specifica sull'onboarding degli utenti per rispondere alle preoccupazioni degli Stati membri in cui è già stato emesso un numero significativo di mezzi nazionali di identificazione elettronica a livello di garanzia "sostanziale" .
La disposizione consente a un utente di utilizzare i propri mezzi di identificazione elettronica nazionali in combinazione con ulteriori procedure di onboarding remoto per rendere possibile la verifica dell'identità a livello di garanzia "alto" e, in ultima analisi, ottenere un portafoglio.
Poiché il progetto di regolamento sull'identità elettronica si basa su schemi di certificazione della sicurezza informatica che dovrebbero portare un livello armonizzato di fiducia nella sicurezza dei portafogli, si prevede che anche l' archiviazione sicura del materiale crittografico sarà soggetta alla certificazione della sicurezza informatica.
Il testo contiene pertanto un nuovo considerando che affronta queste precondizioni tecniche per il raggiungimento del livello di garanzia "alto" e consente un processo di follow-up nell'ambito dell'attuazione dei portafogli europei di identità digitale.
Notifica alle parti affidate
È stata riformulata la parte della proposta relativa alla notifica delle parti fondanti. Di norma, il processo di notifica mediante il quale la relying party comunica la propria intenzione di fare affidamento sul portafoglio dovrebbe essere conveniente, proporzionato al rischio e garantire che la relying party fornisca almeno le informazioni necessarie per l'autenticazione al portafoglio .
Per impostazione predefinita, sono richieste solo informazioni minime e la notifica dovrebbe consentire l'uso di procedure automatizzate o semplici di autosegnalazione.
Un regime specifico può tuttavia essere necessario a causa di requisiti settoriali, come quelli applicabili al trattamento di categorie speciali di dati personali. È stata pertanto introdotta una disposizione volta a coprire i casi in cui è richiesta una procedura di registrazione o autorizzazione più rigorosa.
Al contrario, laddove il diritto dell'Unione o nazionale non preveda requisiti specifici per l'accesso alle informazioni fornite tramite il portafoglio, gli Stati membri possono esentare tali parti dall'obbligo di notificare la loro intenzione di fare affidamento sui portafogli.
Certificazione
Il regolamento dovrebbe sfruttare, fare affidamento e imporre l'uso di schemi di certificazione del Cybersecurity Act pertinenti ed esistenti , o parti di essi, per certificare la conformità dei portafogli, o parti di essi, ai requisiti di sicurezza informatica applicabili.
Di conseguenza, il quadro della legge sulla cibersicurezza si applica pienamente, compreso il meccanismo di revisione tra pari tra le autorità nazionali di certificazione della cibersicurezza previsto dalla legge sulla cibersicurezza.
Per allineare il più possibile il regolamento eID e il Cybersecurity Act, gli Stati membri designeranno enti pubblici e privati accreditati per certificare il portafoglio come previsto dal Cybersecurity Act.
Periodo di attuazione per la fornitura del portafoglio e delle commissioni
Sulla base degli orientamenti degli Stati membri, il testo del Consiglio propone che il periodo di attuazione di 24 mesi sia calcolato dall'adozione degli atti di esecuzione.
Il testo chiarisce inoltre che l'emissione, l'uso per l'autenticazione e la revoca dei portafogli dovrebbero essere gratuiti per le persone fisiche.
Tuttavia, quando i portafogli vengono utilizzati per l'autenticazione , i servizi che si basano sull'uso del portafoglio possono comportare dei costi, ad esempio l'emissione delle attestazioni elettroniche degli attributi al portafoglio.
Accesso alle funzionalità hardware e software
Il testo prevede un'articolazione esplicita con la legislazione esistente, che garantisce l'accesso alle funzionalità hardware e software nell'ambito dei servizi di base della piattaforma forniti dai gatekeeper.
Una nuova disposizione chiarisce che i fornitori di portafogli e gli emittenti di mezzi di identificazione elettronica notificati che agiscono a titolo commerciale o professionale sono utenti commerciali di gatekeeper ai sensi della definizione contenuta nella legge sui mercati digitali (DMA).
È stata inoltre aggiunta una formulazione per delineare le implicazioni dell'interconnessione con il DMA , vale a dire che i gatekeeper dovrebbero essere tenuti a garantire, gratuitamente, l'effettiva interoperabilità con e l'accesso ai fini dell'interoperabilità allo stesso sistema operativo, hardware o software caratteristiche che sono disponibili o utilizzate nella fornitura dei propri servizi complementari e di supporto.
Possibilità alternative per il rilascio dell'attestazione elettronica degli attributi da parte di enti pubblici
L'emissione di attestati elettronici qualificati di attributi da parte di fornitori qualificati è stata mantenuta, compreso l'obbligo per gli Stati membri di garantire che gli attributi possano essere verificati rispetto a una fonte autentica all'interno del settore pubblico.
Inoltre, è stata introdotta la possibilità che l'attestazione elettronica degli attributi con gli stessi effetti giuridici dell'attestazione elettronica qualificata degli attributi sia rilasciata al portafoglio direttamente dall'ente pubblico responsabile della fonte autentica o dall'ente pubblico designato per conto di un ente pubblico responsabile di una fonte autentica, a condizione che siano soddisfatti i requisiti necessari.
Corrispondenza record
Per quanto riguarda la corrispondenza dei record, per i portafogli è stato mantenuto il concetto di identificatore univoco e persistente . La definizione pertinente chiarisce che l'identificatore può consistere in una combinazione di diversi identificatori nazionali e settoriali se serve al suo scopo.
Si afferma esplicitamente che la corrispondenza dei record può essere facilitata da un'attestazione elettronica qualificata degli attributi. Inoltre, è stata aggiunta una disposizione di salvaguardia, in base alla quale gli Stati membri devono garantire la protezione dei dati personali e prevenire la profilazione degli utenti. Infine, gli Stati membri, nella loro qualità di parti fondanti, devono garantire la corrispondenza dei record.
Prossimi passi
L'adozione dell'orientamento generale consentirà al Consiglio di avviare negoziati con il Parlamento europeo ("triloghi") una volta che quest'ultimo avrà adottato la propria posizione al fine di raggiungere un accordo sul regolamento proposto.
Il testo finale dell'"orientamento generale" sarà disponibile in una fase successiva.
- Commission proposal
- Digital Identity for all Europeans (European Commission information)
- A digital future for Europe (background information)
