• Privacy - Aspetti generali -Tecnologie dell'informazione e della comunicazione (ICT)

21 maggio 2024

Nuovo eIDAS: quali novità per l’identità digitale nell’Unione Europea?

di Lorenzo Baudino Bessone e Alice Dal Bello

In un mondo in cui l’identità digitale ha un peso equiparabile all’identità fisica, sempre maggiore è l’interesse del legislatore sovranazionale nel dettare regole che tutelino gli interessati ma che stimolino, al contempo, lo sviluppo e implementazione delle tecnologie sottese. Con l’intento di favorire l’introduzione di un portafoglio europeo di identità digitale e, contemporaneamente, adempire al programma strategico per il decennio digitale 2030, è stato adottato il Regolamento (UE) 2024/1183


Lo scorso 11 aprile, il Parlamento europeo, d’intesa col Consiglio, ha adottato il Regolamento (UE) 2024/1183, che modifica il Regolamento (UE) 910/2014 (cd. “Regolamento eIDAS”) al fine di armonizzare le disposizioni nazioni in tema di identificazioni elettronica. Le modifiche più rilevanti riguardano la creazione del Portafoglio Europeo di Identità Digitale che ha lo scopo (come esposto nel Considerando (4) del regolamento) “di soddisfare il diritto di ogni persona di avere accesso a tecnologie, prodotti e servizi digitali che siano sicuri e protetti e tutelino la vita privata fin dalla progettazione. Ciò include la garanzia che a tutte le persone che vivono nell’Unione sia offerta un’identità digitale accessibile, sicura e affidabile che dia accesso a un’ampia gamma di servizi online e offline, protetti contro i rischi di cibersicurezza e la criminalità informatica, anche per quanto riguarda le violazioni dei dati e i furti o le manipolazioni dell’identità”.

I portafogli europei di identità digitale consentiranno dunque agli utenti di identificarsi e autentificarsi elettronicamente in modalità online e offline a livello transfrontaliero per accedere ad un’ampia gamma di servizi pubblici e privati.

In ogni caso, i portafogli europei di identità digitale dovranno essere pensati per prevenire ogni forma di intrusione nella sfera privata dei soggetti e violazione, oltre che della disciplina contenuta nel Regolamento (UE) 2016/679, dei diritti fondamentali alla riservatezza e alla tutela dei dati personali. In particolare, viene sottolineata l’importanza sottesa all’utilizzo dei mezzi crittografici e al rispetto delle indicazioni di cybersicurezza indicate dall’ENISA, dal Comitato europeo per la protezione dei dati e dalle autorità di controllo nazionali.

La nuova disciplina introdotta prevede altresì un meccanismo di certificazione della conformità dei portafogli europei di identità digitale e dei regimi di identificazione elettronica, fondati sul rispetto di requisiti inerenti al livello di riservatezza e di accuratezza garantito dagli strumenti tecnologici utilizzati. Le verifiche circa il rispetto dei requisiti per la certificazione verranno condotte da organismi di valutazione della conformità designati dagli Stati membri. In caso di esito positivo, la procedura di certificazione culmina con la pubblicazione, per opera della Commissione, in Gazzetta Ufficiale dell’Unione europea dell’elenco di portafogli europei di identità digitale certificati.

Tuttavia, è opportuno ricordare che l’effetto della certificazione non è illimitato, bensì perdura per una durata massima di cinque anni, salvo venga effettuata ogni due anni una valutazione delle vulnerabilità. Qualora dall’esame emergano elementi di vulnerabilità non ovviati entro tre mesi, la certificazione non ha più alcun valore.

Dalla lettura del testo del Regolamento emerge inoltre come il legislatore europeo voglia valorizzare le potenzialità ancora nascoste degli strumenti di identificazione digitale. Infatti, le opportunità connesse all’identità digitale non si arrestano ai servizi offerti agli interessati, ma si possono essere estendere a esigenze di natura istituzionale delle pubbliche amministrazioni, relative all’attività di organizzazioni internazionali e delle istituzioni, degli organi e organismi dell’Unione.

Un’ulteriore funzione che può essere agevolmente ricondotta ai software di identificazione digitale è la possibilità di apporre firme elettroniche qualificate che semplificherebbe e abbatterebbe i costi sostenuti da persone fisiche e giuridiche in tutta l’Unione. Anche in questo caso, per garantire la coerenza delle pratiche di certificazione in tutte l’Unione, la Commissione dovrebbe farsi promotrice dell’emanazione di orientamenti in materia di certificazione e ricertificazione dei dispositivi qualificati per la creazione di una firma elettronica e dei dispositivi qualificati per la creazione di un sigillo elettronico, anche per quanto riguarda la loro validità e le relative limitazioni temporali.

Per verificare il corretto adempimento delle prescrizioni previste dal Regolamento (UE) 2024/1183, entro il 21 maggio 2023, e successivamente ogni quattro anni, la Commissione fornirà al Parlamento europeo e al Consiglio un prospetto dei progressi compiuti nella realizzazione degli obiettivi del Regolamento.
 


Avv. Lorenzo Baudino Bessone e Dott.ssa Alice Dal Bello
Studio Previti
Associazione Professionale