Il Consiglio dell’Ue sulle Tlc ha adottato la sua posizione comune (“approccio generale”) sulla proposta legislativa relativa al quadro per un’identità digitale europea (eID), uno Spid europeo disponibile per tutti i cittadini, i residenti e le imprese dell’Unione.
Il regolamento rivisto mira a garantire l’accesso universale per le persone e le imprese all’identificazione e all’autenticazione elettronica sicure e affidabili mediante un portafoglio digitale personale su un telefono cellulare.
Il digital wallet europeo
Uno dei principali obiettivi politici della proposta è quello di fornire ai cittadini e agli altri residenti, come definito dal diritto nazionale, un mezzo di identità digitale europeo armonizzato basato sul concetto di wallet di identità digitale europeo.
Come mezzo di identificazione elettronica (“significato eID”) emesso nell’ambito di regimi nazionali a livello di garanzia “alto”, il portafoglio sarebbe un mezzo eID a sé stante basato sul rilascio di dati di identificazione personale e sul portafoglio da parte degli Stati membri. Il testo dell’approccio generale del Consiglio sviluppa quindi ulteriormente il concetto di portafoglio e la sua interazione con i mezzi nazionali di identificazione elettronica.
Le specifiche tecniche
Nel giugno 2021,la Commissione ha proposto un quadro per un’identità digitale europea che sarebbe disponibile per tutti i cittadini, i residenti e le imprese dell’Ur, tramite un portafoglio europeo di identità digitale.
Il nuovo quadro proposto modifica il regolamento del 2014 sui servizi di identificazione elettronica e fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS).
La proposta richiede agli Stati membri di emettere un portafoglio digitale nell’ambito di uno schema eID notificato, basato su standard tecnici comuni, a seguito della certificazione obbligatoria. Per istituire l’architettura tecnica necessaria, accelerare l’attuazione del regolamento riveduto, fornire orientamenti agli Stati membri ed evitare la frammentazione, la proposta è stata accompagnata da una raccomandazione per lo sviluppo di una cassetta degli attrezzi dell’Unione che definisca le specifiche tecniche del portafoglio.
Il Consiglio Ue sottolinea che il digital wallet personale deve essere emesso all’interno di un sistema di identificazione elettronica che soddisfi il livello di garanzia “alto”.
Le raccomandazioni del Consiglio
Inoltre, è stata aggiunta una disposizione specifica sull’iscrizione degli utenti per affrontare le preoccupazioni degli Stati membri in cui è già stato emesso un numero significativo di mezzi nazionali eID a livello di garanzia “sostanziali”.
La disposizione consente a un utente di utilizzare i propri mezzi eID nazionali in combinazione con ulteriori procedure di on-boarding remoto per rendere possibile la prova dell’identità con un livello di garanzia “alto” e, in definitiva, per ottenere un portafoglio.
Poiché il progetto di regolamento eID si basa su schemi di certificazione della sicurezza informatica che dovrebbero portare un livello armonizzato di fiducia nella sicurezza dei portafogli, anche l’archiviazione sicura del materiale crittografico sarà soggetta alla certificazione di sicurezza informatica.
Il testo contiene quindi un nuova parte che affronta queste condizioni tecniche per raggiungere un livello di garanzia “alto” e consentire un processo di follow-up nell’ambito dell’attuazione dei portafogli europei di identità digitale.
La sicurezza informatica
Il Consiglio fa anche sapere che il nuovo regolamento sull’eID dovrebbe usare gli schemi di certificazione pertinenti inclusi nella legge sulla sicurezza informatica (Cybersecurity Act) per certificare la conformità dei portafogli, o di parti di essi, ai requisiti di sicurezza informatica applicabili.
Di conseguenza, il quadro della legge sulla sicurezza informatica si applica pienamente. Per allineare il regolamento eID e la legge sulla sicurezza informatica il più possibile gli Stati membri designeranno organismi pubblici e privati accreditati per certificare il wallet.
Periodo di attuazione
Sulla base degli orientamenti degli Stati membri, il testo del Consiglio propone che il periodo di attuazione di 24 mesi sia conteggiato dall’adozione degli atti di esecuzione.
Il testo chiarisce inoltre che l’emissione, l’uso per l’autenticazione e la revoca dei portafogli dovrebbero essere gratuiti per le persone fisiche.
Tuttavia, quando i portafogli vengono utilizzati per l’autenticazione, i servizi che si basano sull’uso del portafoglio possono comportare costi, ad esempio l’emissione delle attestazioni elettroniche degli attributi al portafoglio.
Interconnessioni col Dma
La proposta legislativa include disposizioni specifiche per garantisce l’accesso alle funzionalità hardware e software. Una nuova disposizione aggiunta dal Consiglio chiarisce che i fornitori di portafogli e gli emittenti di mezzi di identificazione elettronica notificati che agiscono a titolo commerciale o professionale sono utenti commerciali dei gatekeeper ai sensi della definizione nel Digital markets act (Dma).
Sono state inoltre aggiunte indicazioni per specificare le interconnessioni con il Dma: i gatekeeper dovrebbero essere tenuti a garantire, gratuitamente, un’interoperabilità effettiva con, e l’accesso ai fini dell’interoperabilità, allo stesso sistema operativo, alle caratteristiche hardware o software disponibili o utilizzate nella fornitura dei propri servizi complementari e di supporto.
Protezione dei dati personali
Il Consiglio ha mantenuto il concetto di identificatore univoco e persistente per i portafogli per quel che riguarda l’attività di record-matching. L’identificatore può consistere in una combinazione di diversi identificatori nazionali e settoriali se serve al suo scopo.
È stata aggiunta una disposizione di salvaguardia, in base alla quale gli Stati membri devono garantire la protezione dei dati personali e impedire la profilazione degli utei. Infine, gli Stati membri, nella loro qualità di parti di affidamento, devono garantire la corrispondenza dei record.
Passaggi successivi
L’adozione dell’approccio generale consentirà al Consiglio di avviare negoziati con il Parlamento europeo (“triloghi”) una volta che quest’ultimo avrà adottato la propria posizione al fine di raggiungere un accordo sul regolamento proposto.