Le sfide dell’identità digitale nella revisione del Regolamento eIDAS. L’analisi di Davide Maniscalco, capo delle Relazioni Istituzionali di Swascan – Tinexta Group
Il Regolamento UE n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato (Regolamento eIDAS), costituisce un importante package legislativo che ben si innesta nel percorso di costruzione del mercato unico digitale.
D’altro canto, un mercato unico dei servizi digitali ben funzionante consente l’innovazione e garantisce la competitività dell’industria europea.
Per tale ragione, la capacità di identificare in modo sicuro le persone fisiche, le aziende e i dispositivi in ambiente digitale è una condizione fondamentale per un mercato unico affidabile.
Indubbiamente, il Regolamento ha aperto nuovi orizzonti a livello globale, introducendo un primo quadro transfrontaliero per identità digitali affidabili e i cosiddetti servizi fiduciari, garantendo altresì un’interazione elettronica sicura e continua tra cittadini, imprese e autorità pubbliche, nel rispetto del principio di neutralità tecnologica.
E in effetti, il Regolamento eIDAS ha risposto in modo concreto a una delle principali esigenze per il corretto funzionamento della società dell’informazione, vale a dire la promozione e l’adozione di servizi di sicurezza legittimati da una base giuridica comune e condivisa nel mercato interno.
In tale ottica, l’agenda politica e legislativa dell’Unione europea si è molto concentrata negli ultimi anni proprio sull’obiettivo di riconoscere piena efficacia giuridica ai sistemi di identità digitale e firma elettronica.
Più precisamente, lo strumento normativo ha introdotto: un quadro comune di interoperabilità e riconoscimento reciproco nel mercato interno (obbligatorio dal 2018) che consente alle persone e le imprese di utilizzare i propri schemi nazionali di identificazione elettronica (eID) per l’autenticazione quando si accede a servizi pubblici in altri Stati membri dell’Ue; un quadro normativo comune per lo sviluppo dei servizi fiduciari (firme elettroniche, sigilli elettronici, timestamp, servizi di consegna elettronica e autenticazione del sito web).
Inoltre, nella sua comunicazione su “Shaping Europe’s Digital Future”, pubblicata il 19 febbraio 2020, la Commissione europea ha ulteriormente affermato che l’identità elettronica pubblica, universalmente accettata, unica, affidabile e sicura, è indispensabile affinché gli utenti del digital single market abbiano accesso ai propri dati e utilizzino in modo sicuro i prodotti e i servizi che desiderano, senza utilizzare piattaforme non correlate e, soprattutto, senza la necessità di condividere i propri dati personali con terzi.
A ciò si aggiunga una recente escalation di scenario che ha condotto a un significativo aumento dell’uso di nuove tecnologie, come soluzioni basate su registro distribuito, Internet of Things, intelligenza artificiale e biometria, cambiamenti nella struttura del mercato in cui il controllo dell’identità digitale si va sempre più concentrando nella mani di pochi attori, cambiamenti nel comportamento degli utenti con la crescente domanda di identificazione immediata ed infine una evoluzione della legislazione dell’UE sulla protezione dei dati.
In tale direzione va certamente la revisione del regolamento, che punta ad un duplice obiettivo: fornire un quadro normativo per supportare a livello Ue un sistema semplice, affidabile e sicuro di gestione delle identità nello spazio digitale, coprendo l’identificazione, l’autenticazione e la fornitura di attributi, credenziali e attestazioni; creare un ID digitale unico, paneuropeo e universale.
La consultazione pubblica avviata sulla revisione del regolamento mira, da un lato, a raccogliere feedback sui fattori trainanti ed elementi di forza del provvedimento e anche sugli ostacoli allo sviluppo e all’adozione di eID e servizi fiduciari in Europa; dall’altro, alla valutazione di una serie di potenziali impatti degli scenari che si andranno a configurare nella promozione di un’identità digitale dell’Ue, tenendo in debito conto, ai fini di una sua possibile implementazione, l’esperienza applicativa, nonché gli ultimi sviluppi tecnologici, di mercato e legislativi.
Le attività di consultazione hanno evidentemente incluso anche un focus sulle forme più decentralizzate di servizi fiduciari (Distributed Ledger Technologies, come blockchain) e sui diversi mezzi tecnologici per implementare una soluzione di ID digitale, dall’hardware (smart card) alle soluzioni mobili, con aspetti correlati come l’uso della biometria e gli aspetti relativi alla sicurezza e alla convenienza.
Va detto infatti che la convergenza e l’aumento delle attività nell’ecosistema digitale, spinti anche dalla crisi pandemica da Covid-19, hanno determinato la crescita della corrispondente esigenza circa l’identificazione a distanza per cui, in cui in molti casi, si è resa imprescindibile la capacità di verifica dell’identità remota per le transazioni elettroniche in piena garanzia.
Pertanto, in tale mutato scenario, la verifica dell’identità remota costituisce una soluzione digitale sempre più strategica come elemento cruciale, ove affidabile e sicura, per creare fiducia nei servizi digitali.
E in tal senso, la revisione del Regolamento, potrebbe condurre all’estensione dell’ambito di applicazione del regolamento eID, nel perimetro eIDAS, anche al settore privato.
