Indice dei contenuti
Identità digitale, EDIW, eIDAS ed IT Wallet
Il 20 maggio scorso è entrato in vigore il regolamento eIDAS 2 (elettronic IDentification, Authentic and trust Services) che apporta delle modifiche rilevanti alla gestione dell’identità digitale e ai servizi fiduciari all’interno di tutta l’Unione europea.
Ma andiamo per gradi: seppure termini come Identità digitale, EUDI, eIDAS, IT Wallet sono ormai entrati nel linguaggio quotidiano, spesso possono generare un po’ di confusione. Partiamo, allora, proprio con il chiederci cos’è l’identità digitale, in cosa consiste l’identità digitale europea, qual ‘è il ruolo dell’eIDAS 2 in questo contesto e quali novità sono state messe in cantiere?
Identità digitale ed identità digitale europea
L’identità digitale è l’insieme dei dati e delle informazioni che forniscono la rappresentazione virtuale dell’identità reale di un soggetto. Essa è, in pratica, una chiave unica che consente l’accesso a tutti i servizi della Pubblica Amministrazione e a quelli di molte aziende private che utilizzano tale sistema di riconoscimento. In Italia ci sono due strumenti principali di identità digitale e sono lo SPID (Sistema Pubblico di Identità Digitale) e la CIE (Carta d’Identità Elettronica).
L’identità digitale europea è un tipo di identità che tutti i cittadini dell’Unione europea, ma anche imprese dell’Ue, possono utilizzare. Oltre a questo, si tratta di un sistema totalmente online, che serve non solo per identificare un individuo, ma anche per confermarne determinati dati. In altre parole essa è un’identità digitale riconosciuta ovunque nell’UE.
Le principali caratteristiche del Regolamento eIDAS
Nel 2014 l’Europa ha emanato il regolamento eIDAS (regolamento UE 910/2014) che disciplina l’identificazione elettronica e i servizi fiduciari per gli Stati membri dell’Unione Europea.
In particolare il regolamento:
- fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro;
- stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche;
- istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.
Dopo circa 10 anni dalla sua entrata in vigore, il regolamento eIDAS non è riuscito a raggiungere pienamente i suoi obiettivi: in molti paesi dell’Ue, a differenza di quanto è avvenuto in Italia, non si è avuta una diffusione adeguata dell’identità digitale, della PEC o della firma digitale.
eIDAS 2: l’evoluzione di eIDAS
Il regolamento eIDAS 2 (regolamento europeo 2024/1183) costituisce un importante passo avanti nella creazione di un’identità digitale sicura ed affidabile per tutti i cittadini europei e si pone come obiettivo quello di unificare il panorama delle identità digitali nei vari Stati membri sia dal punto di vista della diffusione che della sicurezza, ma anche di garantire che i cittadini abbiamo il pieno controllo dei propri dati personali così come vuole il GDPR.
Una delle principali novità del nuovo regolamento è l’European Digital Identity Wallet (EUDI wallet o EDIW), cioè la creazione di un portafoglio di identità digitale valido in tutta Europa che conterrà i documenti di identità e potrà includere altre informazioni relative al cittadino (dette attributi) come lo stato civile, la composizione del nucleo familiare, la nazionalità o la cittadinanza, i titoli e le licenze di studio ed altre ancora.
Le regole di funzionamento dell’EUDI wallet dovranno essere le stesse in tutti e 27 gli Stati membri dell’Ue, e in tutti gli altri Paesi che vorranno, liberamente, adottare dei provvedimenti simili. Gli Stati membri dovranno:
- da una parte riconoscere obbligatoriamente l’identity wallet degli altri Stati dell’Ue;
- e dall’altra dovranno usare tecnologie e standard comuni.
In questo modo potrà essere realizzata l’interoperabilità dei sistemi.
La versione definitiva del portafoglio digitale si dovrebbe avere nel 2026, mentre il suo uso obbligatorio dovrebbe arrivare l’anno successivo.
eIDAS 2: le principali novità
Se il portafoglio di identità digitale rappresenta la novità centrale del regolamento eIDAS 2, ad esso se ne aggiungono altre, in particolare la presenza di nuovi servizi fiduciari e una nuova impostazione per quelli già previsti nella precedente versione del regolamento.
I nuovi servizi fiduciari sono:
- l’attestazione elettronica degli attributi. Gli attributi rilasciati da una fonte autentica del settore pubblico, cioè da un archivio o un sistema, tenuto sotto la responsabilità di un organismo del settore pubblico o di un soggetto privato, che contiene e fornisce gli attributi relativi a una persona fisica o giuridica e che è considerato una fonte primaria di tali informazioni o la cui autenticità è riconosciuta conformemente al diritto dell’Unione o nazionale, inclusa la prassi amministrativa devono avere gli stessi effetti delle attestazioni legalmente rilasciate in formato cartaceo. Gli attributi così rilasciati sono validi in tutti gli Stati membri. In pratica, disporre di attributi qualificati permetterà al cittadino, ad esempio, di utilizzare una patente di guida con un valore legale transnazionale;
- la gestione di dispositivi qualificati per la creazione di una firma elettronica o di un sigillo elettronico a distanza. Le disposizioni contenute nel regolamento eIDAS 2 si riferiscono all’utilizzo e al ciclo di vita di tali dispositivi nel caso in cui si richieda la loro qualifica. Le nuove norme si applicano agli HSM (Hardware Security Module) e prevedono che le imprese che utilizzano tali dispositivi si debbano adeguare entro il 21 maggio 2026;
- l’archiviazione elettronica ovvero un servizio che garantisce la ricezione, la conservazione, il reperimento e cancellazione dei dati e dei documenti informatici al fine di garantirne la durabilità e la leggibilità nonché preservarne l’integrità, riservatezza e prova dell’origine durante tutto il periodo di conservazione. Vengono riconosciuti gli effetti giuridici e l’ammissibilità come prova in giudizio dei documenti elettronici conservati mediante un servizio di archiviazione elettronica, questo anche nel caso di documenti analogici trasformati in digitale mediante scansione;
- i registri elettronici, in altre parole una sequenza di registrazioni di dati elettronici che ne garantisce l’integrità e l’ordine cronologico.
Tra i servizi già presenti nel precedente regolamento eIDAS vi è quello di autenticazione di sito web che è stato modificato per migliorarne la sicurezza cibernetica.
IT Wallet: il portafoglio digitale italiano
Anticipando i tempi stabiliti dall’Unione europea, l’Italia sta lavorando per la realizzazione di un IT Wallet che consentirà di raccogliere in un unico luogo virtuale tutta la documentazione personale di ogni singolo cittadino.
L’IT Wallet dovrebbe essere rilasciato, in via sperimentale, entro settembre 2024, per poi andare a regime all’inizio del 2025 attraverso l’App IO per il cui accesso sono necessari SPID o CIE.
Namirial SPID, la chiave di accesso all’identità digitale
Lo SPID è dunque la chiave di accesso dei cittadini al digital wallet europeo.
Namirial, identity provider accreditato per il rilascio dell’identità digitale SPID, permette di ottenere le credenziali SPID in modo facile e veloce: bastano un PC, o in alternativa uno smartphone, e una connessione Internet.
Namirial ID è un set di credenziali– username, password ed eventuale OTP– generate da Namirial, che corrispondono all’identità digitale di un utente e servono per accedere ai servizi delle Pubbliche Amministrazioni e dei privati che aderiscono al Sistema Pubblico d’Identità Digitale.
Vediamo insieme quali sono le caratteristiche e i costi delle soluzioni offerte da Namirial:
- SPID Personale: è possibile attivare SPID Personale gratuitamente se hai CIE/CNS con PIN e lettore smart card o un certificato di firma digitale;
- SPID Personale con Video Identificazione: è possibile attivare SPID 24 ore su 24, anche sabato e domenica. È sufficiente una connessione a Internet, lo smartphone o una webcam, un documento di riconoscimento e la tessera sanitaria. Il costo del servizio di video identificazione è di 19,90 € + IVA (solo una volta).
Inoltre, con Namirial è possibile attivare anche lo SPID Professionale, una particolare tipologia (Tipo 3) di Sistema Pubblico di Identità Digitale pensata per permettere a professionisti e aziende di accedere ai servizi della Pubblica Amministrazione e dei privati che aderiscono al circuito.
Lo SPID Professionale, oltre ai dati dello SPID Personale (Tipo 1), racchiude gli attributi aggiuntivi che caratterizzano la professione del titolare e ha la durata di uno o due anni dall’attivazione, a seconda del numero di anni che si sceglie di acquistare.
Alla scadenza, se l’utente decide di non rinnovarlo, SPID Professionale tornerà a essere uno SPID Personale di Tipo 1. Il prezzo annuale per lo SPID Professionale Namirial è di 35,00 €, mentre per due anni il prezzo è di 70,00 € + IVA.
Questo servizio può essere acquistato sia da chi è già in possesso di uno SPID Personale Namirial, sia da chi non lo è, oppure ha uno SPID rilasciato da un altro Identity Provider: in tutti i casi la procedura di attivazione permette all’utente di attivare il proprio SPID Professionale (Video Identificazione inclusa nel prezzo) o di aggiornare uno SPID Personale attivato in precedenza con Namirial.
