Un passo avanti nel progetto del Decennio Digitale. Il nuovo Portafoglio Europeo di Identità Digitale

In data 28 giugno 2023 è stato raggiunto l’accordo politico provvisorio^{^[1]} tra Parlamento Europeo e Consiglio dell’Unione Europea sugli elementi chiave della proposta di Regolamento per un quadro giuridico sull'identità digitale europea^{^[2]} in attuazione del mandato politico del Consiglio europeo^{^[3]} e della presidente della Commissione europea^{^[4]}.

La proposta interviene sul Regolamento eIDAS^{^[5]} implementando il c.d. European Digital Identity Wallet (Portafoglio Europeo di Identità Digitale) nell’ambito del più ampio processo europeo di digitalizzazione e dematerializzazione con focus sull’identificazione degli utenti (c.d. relying parties^{^[6]}) già avviato in alcuni Stati membri dal settembre 2018 (data di entrata in vigore del Regolamento eIDAS).

In estrema sintesi, la relazione di accompagnamento alla proposta evidenzia come questo strumento si renda necessario per risolvere alcune criticità del modello eIDAS di identificazione/autenticazione degli utenti, e per introdurre nuove funzionalità; ossia tre nuovi servizi fiduciari qualificati, la prestazione di servizi di archiviazione elettronica, i registri elettronici e la gestione di dispositivi per la creazione di firme e sigilli elettronici a distanza.

In pratica, oltre al miglioramento della funzione di riconoscimento dell’utente che vi abbia interesse, il sistema dovrebbe permettere di gestire buona parte della documentazione rilevante nel contesto europeo^{^[7]}, tanto nel settore privato quanto in quello pubblico (e.g. atto di nascita, diploma di laurea, patente di guida, dichiarazione dei redditi).

Inoltre, da un punto di vista operativo, l’architettura del sistema avrebbe il pregio di snellire alcuni procedimenti burocratici (e.g., l’apertura di un conto in banca, l’iscrizione ad un’università, la presentazione di dichiarazioni fiscali^{^[8]}, la emissione e conservazione di documenti di carattere sanitario^{^[9]}).

Per quanto attiene più precisamente alla esigenza di evolvere il modello eIDAS, la proposta agisce significativamente sui livelli di sicurezza e affidabilità, sulla fruibilità e sulla interoperabilità unionale dei servizi per gli utenti.

A tali fini, in sintesi la proposta di Regolamento dispone che:

il wallet possa essere emesso da soggetti delegati o riconosciuti dagli Stati membri secondo una rigorosa procedura comune;
il soggetto emittente il wallet raccolga unicamente le informazioni necessarie per l’erogazione dei servizi, senza possibilità di elaborare i dati personali anche archiviati nel wallet inclusi quelli relativi all’utilizzo del servizio stesso o altri servizi, salvo consenso espresso dall’utente^{^[10]}. Verrebbe così assicurata maggiore tutela nella condivisione dei dati relativi all’identità dell’utente che rimarrebbero sotto il suo controllo esclusivo, in ossequio al principio di minimizzazione^{^[11]} ;
l’emissione del wallet avvenga, entro 12 mesi dall’entrata in vigore dei relativi atti di esecuzione dagli Stati membri^{^[12]}, nell’ambito di un regime nazionale di identificazione elettronica notificato, a seguito di una valutazione obbligatoria della conformità e di una certificazione volontaria nel contesto del quadro europeo di certificazione della cybersicurezza, per garantire un elevato livello di protezione dei dati^{^[13]};
la conformità in termini di cybersecurity dei requisiti e delle tecniche previste per il portafoglio debbano essere certificate da specifici organismi di valutazione, accreditati ai sensi del Cybersecurity Act^{^[14]} e designati dagli Stati membri. Sulla base delle informazioni provenienti da questi ultimi, la Commissione redige, pubblica e aggiorna un elenco dei wallet certificati.

Al fine poi di prevenire frodi e assicurare l'autenticazione dei dati di identificazione personale e degli attestati elettronici di attributi del wallet, la proposta prescrive in capo alle parti facenti affidamento sulla certificazione un obbligo di comunicare^{^[15]} l’intenzione di volersi avvalere dei wallet attribuendo ad esse la responsabilità dell'esecuzione della procedura di autenticazione dei dati di identificazione^{^[16]}.

In merito all’utilizzo transfrontaliero del portafoglio, la proposta dispone che le relying parties private che forniscono servizi, ad eccezione delle piccole imprese, accettino anche il wallet, esclusivamente su richiesta volontaria dell’utente, nei casi in cui la normativa dell’Unione, nazionale o gli obblighi contrattuali impongano un’autenticazione forte dell’utente per l’identificazione online^{^[17]}. Questa previsione interessa principalmente i servizi nei settori dei trasporti, energia, banche, servizi finanziari, sicurezza sociale, sanità, acqua potabile, servizi postali, infrastruttura digitale, istruzione e telecomunicazioni. Inoltre, viene previsto che nei casi di piattaforme online di dimensioni significative^{^[18]} richiedenti l’autenticazione per accedere ai relativi servizi, le stesse debbano accettare anche l’uso del wallet per l’autenticazione, esclusivamente su richiesta volontaria dell’utente e nel rispetto dei dati minimi necessari per lo specifico servizio per cui è richiesta l’autenticazione^{^[19]}.

In definitiva, il wallet dovrebbe consentire il riconoscimento e la raccolta di informazioni e di documenti di cittadini, residenti e imprese dell'Unione, assicurando la fruizione online e offline di servizi digitali pubblici e privati^{^[20]} in Europa, e garantendo elevati standard di sicurezza.

Sono dunque diversi i profili di potenziale interesse del sistema informatico d’identità digitale in via di implementazione, tra cui assumono particolare rilievo l’ampiezza di funzionalità e il valore giuridico delle informazioni e dei documenti gestiti.

Al di là delle tempistiche di emissione del wallet che paiono mal conciliarsi con l’idea stessa di sistema digitalizzato, soprattutto online, complessivamente è da accogliere con favore l’accordo politico del 28 giugno 2023 sulla proposta di regolamento.

I portafogli si pongono quale ulteriore e importante tassello nel complesso processo di deburocratizzazione e omogeneizzazione dei sistemi di pubblica amministrazione attraverso la transizione al digitale e specificamente alla digitalizzazione dei principali servizi pubblici nel più ampio e ambizioso programma politico del Decennio Digitale 2030^{^[21]}.

L’importanza si coglie appieno se si considerano alcuni fattori.

Tra questi vi è anzitutto il fatto che gli Stati membri hanno tutto l’interesse alla digitalizzazione della pubblica amministrazione, nello specifico ad azioni per favorire l’adozione dell’identità digitale, intanto perché essa rappresenta una delle misure degli investimenti del PNRR.

Inoltre, l’accordo politico e la proposta di Regolamento dovrebbero poter rappresentare una cartina di tornasole per sciogliere i nodi sulla centralità che la gestione dei dati personali e della loro sicurezza rivestono nell’attuale contesto internazionale; ove peraltro resta dibattuto il tema della conformità su base volontaria oppure obbligatoria del wallet al GDPR, nonché quello sulla monetizzazione di alcune funzionalità del portafoglio e sui “certificati qualificati di autenticazione dei siti web” (Qualified website authentication certificates, QWAC)^{^[22]}.

Un primo concreto segnale di interesse all’attuazione della proposta si ricava dallo stanziamento di 46 milioni di euro nel programma “Europa Digitale”^{^[23]}. Difatti, la Commissione dovrebbe destinare tali fondi all’interno di quattro progetti pilota su vasta scala per testare il portafoglio dell'Unione in una serie di casi d'uso quotidiani, tra cui la patente di guida, la sanità elettronica, i pagamenti, i titoli di istruzione e le qualifiche professionali. I progetti, avviati il 1º aprile 2023, contribuiranno a migliorare le specifiche tecniche del portafoglio. Nello stesso senso, al fine di garantire che gli Stati membri siano pronti all’emissione del portafoglio entro il termine stabilito dal Regolamento, la Commissione sta lavorando con gli stessi su un Toolbox di aspetti tecnici per costruire il prototipo dell’app del portafoglio. La prima versione del Toolbox, pubblicata nel febbraio 2023, continuerà ad essere aggiornata^{^[24]} e diverrà uno strumento obbligatorio una volta concluso il processo legislativo sul quadro europeo dell’identità digitale.

Sia consentito da ultimo rammentare che l’Italia, grazie - tra gli altri - ai sistemi di identificazione/autenticazione SPID^{^[25]}, di firme digitali CadeS e PAdes^{^[26]}, di marcature temporali, di e-mail PEC, risulta tra gli Stati membri leader nella implementazione di un modello informatico conforme alla proposta in discorso.

Register now for your free, tailored, daily legal newsfeed service.

Un passo avanti nel progetto del Decennio Digitale. Il nuovo Portafoglio Europeo di Identità Digitale

Filed under

Topics

Organisations

Laws

Popular articles from this firm

AI Act e dintorni: le novità più rilevanti sulla corsa alla governance *

Second-hand vehicles. The Court of Justice rules on the application of different tax rates depending on the date of registration of a vehicle *

Prezzi eccessivi ed abuso di posizione dominante nel mercato dei medicinali orfani. Altroconsumo denuncia la Biogen all’AGCM *

La Corte di Giustizia si pronuncia sulla nozione di “provvedimenti adottati per quanto concerne un determinato servizio della società dell’informazione” *

Termine decadenziale e procedimenti antitrust. Il rinvio del TAR Lazio alla Corte di Giustizia *

Related practical resources PRO

Related research hubs