A quattro mesi dall’entrata in vigore del Regolamento UE 2024/1183, che modifica il Regolamento UE 910/2014 sui servizi di identificazione elettronica e fiducia (eIDAS), introducendo un quadro per l’Identità Digitale Europea (EUDI) e i corrispondenti portafogli di identità digitale, due eventi a Heraklion, in Grecia, hanno offerto una panoramica dettagliata delle sfide legali, tecniche, operative e comunicative in questo ambito.
Il Forum sui Servizi Fiduciari e eID, tenutosi il 25 settembre, seguito dal CA-Day il giorno successivo, ha fornito preziosi insight sul panorama in rapida evoluzione dell’identità digitale e dei servizi fiduciari in Europa. Questa edizione del Forum rappresenta il decimo incontro di una serie di eventi annuali organizzati dall’Agenzia dell’Unione Europea per la Cyber Sicurezza (ENISA), con il supporto della Commissione Europea, mentre il CA-Day ha raggiunto la sua sedicesima edizione. La scelta di Heraklion come sede è significativa, poiché ENISA è stata fondata in questa città nel 2004.
Circa 250 partecipanti si sono riuniti di persona, mentre molte centinaia di ulteriori partecipanti si sono collegati online. Il pubblico era composto da una vasta gamma di esperti, leader del settore, rappresentanti politici, nonché membri di organizzazioni per la protezione dei dati, associazioni per la tutela dei consumatori, autorità di vigilanza e organismi di valutazione della conformità. Namirial ha apportato un contributo significativo, con esperti in conformità, tecnologia e sviluppo commerciale presenti sul posto per impegnarsi attivamente in numerosi scambi di idee e fornire approfondimenti su come l’intelligenza artificiale possa essere utilizzata responsabilmente in sinergia con i servizi fiduciari digitali. L’obiettivo è quello di sviluppare servizi fiduciari intelligenti e affidabili, capaci di soddisfare le esigenze attuali del mercato.
Durante l’evento, Namirial ha condiviso importanti informazioni sui casi d’uso dell’intelligenza artificiale nella prevenzione delle frodi migliorando l’esperienza dell’utente e riducendo i costi operativi.
Una panoramica del mercato: la dashboard eIDAS
La dashboard eIDAS propone una piattaforma centralizzata che consente alle parti interessate e agli attori del Mercato Unico Digitale di accedere facilmente e in modo trasparente a informazioni e strumenti per i servizi fiduciari e l’identificazione elettronica. La dashboard elenca 247 fornitori di servizi fiduciari qualificati attivi in 29 paesi a partire dal 7 ottobre 2024. Viene continuamente migliorata con l’aggiunta di nuovi servizi.
Nei prossimi mesi ci si aspetta che il browser della Lista di Fiducia UE/SEE mostri, ad esempio, elenchi di fornitori di servizi fiduciari per le Attestazioni Elettroniche di Attributo Qualificato (QEEA).
L’UE come modello globale per i servizi fiduciari
Alcuni relatori e partecipanti ai due eventi sono arrivati dalle Americhe, dall’Asia, dall’Africa e dal Medio Oriente, poiché questi eventi hanno dimostrato come l’Europa stia stabilendo lo standard per i servizi fiduciari sulla scena globale. Mentre altre regioni guardano sempre più al modello dell’UE per l’identità digitale e i quadri fiduciari, i fornitori europei stanno trovando opportunità per espandersi oltre il continente. I mercati in Africa, Asia e Americhe stanno iniziando ad adottare quadri simili, creando un terreno fertile per i fornitori di servizi fiduciari qualificati europei per entrare e affermarsi.
EUDI-Wallet: un cambiamento radicale a determinate condizioni
L’EUDI-Wallet (ovvero il Portafoglio di Identità Digitale Europea) è destinato a trasformare il modo in cui cittadini e aziende interagiscono con i servizi digitali, fornendo accesso sicuro e transfrontaliero. Nonostante il suo enorme potenziale, l’attuale panorama è caratterizzato da incertezze, con dibattiti in corso sul ritmo di attuazione e sull’impatto a lungo termine.
Uno sviluppo significativo è la creazione del Gruppo di Cooperazione per l’Identità Digitale Europea (EIDIC), che sostituirà l’attuale gruppo di esperti eIDAS, svolgendo un ruolo fondamentale nella gestione della transizione verso l’EUDI-Wallet. Tuttavia, affinché l’EUDI-Wallet possa davvero prosperare, deve essere accolto non solo dalle aziende private, ma anche dagli utenti individuali. La chiave per un’adozione diffusa sarà se l’EUDI-Wallet offrirà benefici chiari e si dimostrerà sia utile che user-friendly. Senza affrontare queste esigenze del mondo reale, la sua adozione potrebbe rallentare, limitando la piena realizzazione del suo potenziale trasformativo in tutta Europa.
Il business è globale, la fiducia è locale
Un tema importante emerso dalle presentazioni e dalle discussioni nei panel è stato il delicato equilibrio tra opportunità di business globali e la natura locale della fiducia. Mentre l’Europa si sta posizionando come leader globale negli standard di identità digitale, la fiducia rimane profondamente legata ai quadri nazionali. Questa dicotomia continua a plasmare il futuro dell’eIDAS e dell’EUDI-Wallet mentre gli stati membri si adattano ai nuovi requisiti.
Atti di attuazione: gli standard restano indietro
L’attuazione del Regolamento UE 2024/1183 (a volte riferito come “eIDAS2”), in particolare il primo insieme di atti di attuazione previsti per il 21 novembre 2024, continua a presentare sfide, come evidenziato dai numerosi commenti ricevuti durante il periodo di consultazione che si è concluso il 9 settembre. Uno dei problemi chiave è la mancanza di standard disponibili, il che significa che questi atti non porteranno ancora a un quadro completamente standardizzato. Di conseguenza, i partecipanti al forum e al CA-Day hanno raccomandato di massimizzare l’uso di strumenti già creati sotto il Regolamento UE 910/2014, come i sigilli elettronici qualificati, per colmare il divario mentre gli standard vengono sviluppati. Namirial ha contribuito con commenti a bozze sugli Atti di Attuazione relativi alla Certificazione, ai Protocolli e alle Interfacce, ai Dati di Identificazione delle Persone (PID) e all’Attestazione Elettronica degli Attributi (EAA), all’Integrità e alle Funzionalità Core. Namirial ha recentemente partecipato al Workshop ETSI / CEN sugli Standard del Quadro di Identità Digitale dell’UE a Sophia Antipolis a metà settembre 2024.
Certificazione EUDI-Wallet: differenze nazionali previste
L’annuncio di ENISA di preparare lo schema di certificazione per l’EUDI-Wallet è stato visto come un passo positivo verso l’assicurazione della fiducia e della sicurezza. Questo schema dovrebbe armonizzare gli standard di certificazione per l’EUDI-Wallet, consentendo agli Stati Membri dell’UE di adottare un quadro standardizzato per i loro sistemi di identità digitale nazionali. Si prevede che venga presto pubblicato un invito per esperti a contribuire a questo gruppo di lavoro, aprendo la strada alla collaborazione su questa iniziativa importante. Tuttavia, l’applicazione nazionale di queste certificazioni potrebbe variare, risultando in regole e approcci diversi tra gli Stati Membri. Ciò potrebbe rappresentare una barriera significativa per l’interoperabilità transfrontaliera e l’accettazione da parte degli utenti.
L’attestazione elettronica degli attributi potrebbe diventare un nuovo motore di entrate
L’attestazione degli attributi, nota anche come credenziali verificabili, potrebbe diventare un importante motore di entrate nei prossimi anni, ridefinendo ulteriormente il panorama commerciale dell’identità digitale. Diversi sondaggi di mercato sui fornitori di servizi fiduciari qualificati hanno mostrato che questo è uno dei segmenti su cui molti scommettono. Tuttavia, ci sono alcune incognite nella creazione di casi aziendali sostenibili, come l’accesso a fonti autentiche, che saranno regolate su base nazionale, consentendo approcci protezionistici in alcuni paesi. Altri ostacoli in questo segmento potrebbero essere la mancanza di digitalizzazione di tali fonti e responsabilità granulate in alcuni paesi dell’UE con un forte focus sul federalismo.
Sicurezza dell’EUDI-Wallet: il phishing è il vero problema?
Le preoccupazioni per la sicurezza riguardanti l’EUDI-Wallet sono state ampiamente discusse, ma un’importante conclusione è emersa dalle esperienze delle attuali app di eID come itsme in Belgio e MitID in Danimarca. Il rappresentante dei sistemi nazionali di identificazione elettronica ha affermato che le loro app si sono dimostrate sicure, con il maggior rischio derivante dagli attacchi di phishing mirati agli utenti finali, piuttosto che da difetti nella sicurezza hardware o delle app. Ciò solleva interrogativi sul fatto che un’eccessiva attenzione alla sicurezza hardware possa ostacolare l’adozione del mercato senza affrontare le minacce reali, che risiedono nel comportamento degli utenti. Una maggiore educazione, guida e protezione degli utenti sono considerate fondamentali per affrontare questi rischi. In Germania, il progetto Smart-eID, che si concentrava fortemente su un elemento sicuro negli smartphone, è stato interrotto alla fine del 2023. Le lezioni apprese da quel progetto vengono trasferite nel Pilota su Larga Scala Potenziale.
I piloti su larga scala forniscono prove di prontezza
Namirial è coinvolta nel Potenziale Pilota su Larga Scala. Una settimana prima degli eventi a Heraklion, gli esperti di firma digitale di Namirial hanno partecipato a un hackathon all’Aia per lavorare sul caso d’uso riguardante le firme elettroniche qualificate, dove i partecipanti hanno dimostrato con successo che l’attuale mercato delle Firme Elettroniche Qualificate e dei Dispositivi di Creazione di Firme Qualificate è pronto a supportare eIDAS 2.0 sia per uso non professionale che professionale.
Centralizzazione vs. decentralizzazione dei dati: un rischio per gli utenti finali?
Un altro dibattito cruciale ha riguardato dove dovrebbero essere archiviati i dati sensibili. Con il rischio più elevato di furto d’identità legato al comportamento dell’utente finale, alcuni esperti si sono chiesti se abbia senso consentire agli utenti di archiviare i propri dati di identificazione sensibili sui propri dispositivi. Lo stoccaggio decentralizzato potrebbe aumentare i rischi, soprattutto se gli utenti vengono ingannati nel consegnare le proprie credenziali. Questa questione rimane irrisolta, ma mette in evidenza il delicato equilibrio tra comodità per l’utente e sicurezza.
Sfruttare la sinergia: la collaborazione tra governo e settore privato per un ecosistema digitale più forte
Un tema chiave sollevato è stato il potenziale per le istituzioni governative di collaborare con, piuttosto che competere contro, i servizi del settore privato. Ad esempio, la recente decisione della Germania di aprire il mercato ai fornitori privati di portafogli digitali dimostra come i governi possano promuovere l’innovazione garantendo al contempo sicurezza e conformità. Man mano che più nazioni sviluppano i propri ambienti di infrastruttura a chiave pubblica (PKI), c’è un’opportunità entusiasmante di completare le offerte private, creando un ecosistema di eSignature più robusto e sicuro. Con le eSignature nell’EUDI-Wallet potenzialmente fornite da istituzioni nazionali, l’obiettivo dovrebbe essere quello di sfruttare le iniziative guidate dallo stato per promuovere l’innovazione del settore privato, garantendo che la concorrenza e l’innovazione prosperino sotto una visione condivisa.
Chiarire le direzioni future per maggiori opportunità
La discussione ha evidenziato anche la necessità di definizioni più chiare, in particolare riguardo alle “eSignature per uso non commerciale”. Affrontando queste ambiguità, le parti interessate possono garantire che aziende, governi e individui traggano vantaggio dai progressi stabiliti nel Regolamento UE 2024/1183. Ciò rappresenta un’eccellente opportunità per plasmare un futuro coeso e inclusivo per il business delle eSignature in tutta Europa.
Interoperabilità transfrontaliera: le sfide all’orizzonte
Un tema ricorrente è stata la sfida dell’interoperabilità transfrontaliera, che rimane cruciale per il successo di eIDAS2 e dell’EUDI-Wallet. Sebbene rendere eID e QES disponibili in tutta Europa sia un primo passo essenziale, ci si aspetta che gli stati membri applichino regole diverse sul loro utilizzo, in particolare in settori come le risorse umane. Ciò potrebbe limitare il potenziale dell’EUDI-Wallet di servire come una vera soluzione paneuropea.
Prospettive future: cittadinanza duale, integrazione degli ID esteri e onboarding
Sono emerse diverse questioni complesse riguardo alle pratiche di utilizzo dell’EUDI-Wallet. Ad esempio, come gestiranno i portafogli le cittadinanze duali? I cittadini stranieri saranno autorizzati a utilizzare i propri portafogli nazionali mentre risiedono in altri Stati Membri dell’UE, o saranno costretti a integrare i propri ID esteri in portafogli locali? Inoltre, il processo di onboarding remoto rimane una questione critica, con alcuni Stati Membri che probabilmente richiederanno un’amministrazione di persona, mentre altri potrebbero optare per soluzioni più flessibili.
Differenze regionali: sia una sfida che un’opportunità
Gli Stati Membri dell’UE e dello SEE continueranno a operare in ambienti normativi diversi con diverse offerte di servizi. Questa eterogeneità crea un panorama complesso in cui una soluzione “taglia unica” potrebbe non essere fattibile. Tuttavia, queste differenze creano anche opportunità per l’innovazione e soluzioni personalizzate – come nel caso del Regolamento UE 910/2014, dove una solida comprensione del complesso panorama normativo in diversi paesi ha consentito a molte organizzazioni di beneficiare della possibilità di scegliere tra fornitori di servizi fiduciari qualificati in tutta l’UE e nello SEE, e di beneficiare di soluzioni che consentono una conformità semplice e offrono vantaggi competitivi significativi.
In conclusione: opportunità e incertezze
L’eIDAS2 presenta senza dubbio una ricchezza di nuove opportunità, ma dettagli chiave devono ancora essere chiariti per garantire la sua adozione più ampia. Le preoccupazioni riguardanti la certificazione della sicurezza hardware, l’accesso poco chiaro a fonti governative autentiche e le regole nazionali variabili minacciano tutti di rallentare la sua attuazione. Queste sfide devono essere affrontate affinché l’Europa possa effettuare con successo la transizione verso l’EUDI-Wallet e sbloccare il pieno potenziale dei servizi fiduciari in tutto il continente. Come dimostrato dal forum, la collaborazione tra i settori pubblico e privato sarà essenziale per navigare in questo panorama complesso. Namirial è pienamente impegnata a partecipare a tale collaborazione e stiamo lavorando in tal senso.