Il Consiglio Europeo ha adottato la sua posizione comune (“orientamento generale”) sulla proposta legislativa relativa al quadro per un’identità digitale europea (e-ID). Il regolamento riveduto è inteso a garantire alle persone e alle imprese l’accesso universale all’identificazione e all’autenticazione elettroniche sicure e affidabili mediante un portafoglio digitale personale sul telefono cellulare.
Ecco cosa dicono
Le tecnologie digitali possono davvero semplificarci la vita. Sono convinto che un portafoglio europeo di identità digitale sia indispensabile per i nostri cittadini e le nostre imprese. Si tratta di un enorme progresso nel modo in cui le persone utilizzano la propria identità e le proprie credenziali nei contatti quotidiani con soggetti sia pubblici che privati e nel modo in cui utilizzano i servizi digitali. Il tutto mantenendo saldamente il controllo dei propri dati.
Nel giugno 2021 la Commissione ha proposto un quadro per un’identità digitale europea che sarebbe messo a disposizione di tutti i cittadini, i residenti e le imprese dell’UE mediante un portafoglio europeo di identità digitale.
Il nuovo quadro proposto modifica il regolamento del 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS), che ha gettato le basi per un sistema che consente di accedere a servizi ed effettuare transazioni online e transfrontaliere nell’UE in modo sicuro.
La proposta dispone che gli Stati membri emettano un portafoglio digitale nel quadro di un regime di identificazione elettronica notificato, fondato su norme tecniche comuni, a seguito di una certificazione obbligatoria. Al fine di definire l’architettura tecnica necessaria, accelerare l’attuazione del regolamento riveduto, fornire orientamenti agli Stati membri ed evitare la frammentazione, la proposta era accompagnata da una raccomandazione relativa allo sviluppo di un pacchetto di strumenti dell’Unione in cui sono definite le specifiche tecniche del portafoglio.
Portafoglio europeo di identità digitale
Uno dei principali obiettivi strategici della proposta è fornire ai cittadini e agli altri residenti, quali definiti dalle legislazioni nazionali, uno strumento europeo di identità digitale armonizzato, basato sul concetto di un portafoglio europeo di identità digitale.
In quanto mezzo di identificazione elettronica emesso nell’ambito di regimi nazionali a un livello di garanzia “elevato”, il portafoglio sarebbe un mezzo di identificazione elettronica a sé stante basato sul rilascio dei dati di identificazione personale e del portafoglio da parte degli Stati membri. Il testo dell’orientamento generale del Consiglio sviluppa pertanto ulteriormente il concetto di portafoglio e la sua interazione con i mezzi nazionali di identificazione elettronica.
Livelli di garanzia
I livelli di garanzia dovrebbero caratterizzare il grado di sicurezza dei mezzi di identificazione elettronica, fornendo così la garanzia che la persona che sostiene di avere una determinata identità è effettivamente la persona cui tale identità è stata assegnata. A tal fine il portafoglio deve essere emesso nell’ambito di un sistema di identificazione elettronica che soddisfi i requisiti del livello di garanzia “elevato”.
Inoltre è stata aggiunta una specifica disposizione sulle procedure di onboarding degli utenti per rispondere alle preoccupazioni degli Stati membri in cui è già stato emesso un numero significativo di mezzi nazionali di identificazione elettronica con livello di garanzia “significativo”.
La disposizione consente all’utente di utilizzare i propri mezzi nazionali di identificazione elettronica in combinazione con ulteriori procedure di onboarding a distanza al fine di rendere possibile il controllo dell’identità a un livello di garanzia “elevato” e, in definitiva, ottenere un portafoglio.
Poiché il progetto di regolamento sull’identificazione elettronica si basa su sistemi di certificazione della cibersicurezza che dovrebbero portare a un livello armonizzato di fiducia nella sicurezza dei portafogli, si prevede che anche la conservazione sicura del materiale crittografico sarà soggetta a certificazione della cibersicurezza.
Il testo contiene pertanto un nuovo considerando che affronta tali presupposti tecnici per conseguire un livello di garanzia “elevato” e consente un processo di follow-up nell’ambito dell’attuazione dei portafogli europei di identità digitale.
Notifica delle parti facenti affidamento sulla certificazione
La parte della proposta relativa alla notifica delle parti facenti affidamento sulla certificazione è stata riformulata. Come regola, il processo di notifica mediante il quale la parte facente affidamento sulla certificazione comunica la propria intenzione di avvalersi del portafoglio dovrebbe essere efficace sotto il profilo dei costi, proporzionato al rischio e dovrebbe garantire che la parte facente affidamento sulla certificazione fornisca almeno le informazioni necessarie per autenticarsi nel portafoglio.
Per impostazione predefinita sono richieste solo informazioni minime e la notifica dovrebbe consentire l’uso di procedure di autodichiarazione automatizzate o semplici.
Può essere tuttavia necessario un regime specifico a causa di requisiti settoriali, come quelli applicabili al trattamento di categorie particolari di dati personali. È stata pertanto introdotta una disposizione che mira a disciplinare i casi in cui è necessaria una procedura di registrazione o di autorizzazione più rigorosa.
Per contro, qualora il diritto dell’Unione o nazionale non stabilisca requisiti specifici per accedere alle informazioni fornite mediante il portafoglio, gli Stati membri possono esonerare tali parti facenti affidamento sulla certificazione dall’obbligo di notificare la loro intenzione di avvalersi dei portafogli.
Certificazione
Il regolamento dovrebbe servirsi, avvalersi e imporre l’uso di sistemi di certificazione pertinenti ed esistenti nell’ambito del regolamento sulla cibersicurezza, o di parti di essi, per certificare la conformità dei portafogli, o di parti di essi, ai requisiti applicabili in materia di cibersicurezza.
Di conseguenza, il quadro del regolamento sulla cibersicurezza si applica pienamente, compreso il meccanismo di valutazione tra pari tra le autorità nazionali di certificazione della cibersicurezza previsto da tale regolamento.
Al fine di allineare il più possibile il regolamento sull’identificazione elettronica e il regolamento sulla cibersicurezza, gli Stati membri designeranno organismi pubblici e privati accreditati per certificare il portafoglio come previsto dal regolamento sulla cibersicurezza.
Periodo di attuazione per la fornitura del portafoglio e costi
Sulla base degli orientamenti forniti dagli Stati membri, il testo del Consiglio propone che il periodo di attuazione di 24 mesi decorra dall’adozione degli atti di esecuzione.
Il testo chiarisce anche che l’emissione, l’uso per l’autenticazione e la revoca dei portafogli dovrebbero essere gratuiti per le persone fisiche.
Quando i portafogli sono utilizzati per l’autenticazione, i servizi che si basano sull’uso del portafoglio possono tuttavia comportare costi, ad esempio per il rilascio degli attestati elettronici di attributi al portafoglio.
Accesso a componenti hardware e software
Il testo prevede un collegamento esplicito con la normativa esistente, che garantisce l’accesso alle componenti hardware e software nell’ambito dei servizi di piattaforma di base forniti dai gatekeeper.
Una nuova disposizione chiarisce che i fornitori di portafogli e gli emittenti di mezzi di identificazione elettronica notificati che agiscono a titolo commerciale o professionale sono utenti commerciali dei gatekeeper ai sensi della rispettiva definizione nella normativa sui mercati digitali.
È stata aggiunta una formulazione per illustrare le implicazioni dell’interconnessione con la normativa sui mercati digitali, vale a dire che i gatekeeper dovrebbero essere tenuti a garantire, a titolo gratuito, l’effettiva interoperabilità con lo stesso sistema operativo e le stesse componenti hardware o software disponibili o utilizzati nella fornitura dei suoi servizi complementari e di supporto, come pure a garantirne l’accesso ai fini dell’interoperabilità.
Possibilità alternative di rilasciare attestati elettronici di attributi da parte di organismi del settore pubblico
È stato mantenuto il rilascio di attestati elettronici di attributi qualificati da parte di fornitori qualificati, compreso l’obbligo per gli Stati membri di garantire che gli attributi possano essere verificati rispetto a una fonte autentica all’interno del settore pubblico.
Inoltre, è stata introdotta la possibilità che un attestato elettronico di attributi con gli stessi effetti giuridici degli attestati elettronici di attributi qualificati possa essere rilasciato al portafoglio direttamente dall’organismo del settore pubblico responsabile della fonte autentica o da un organismo del settore pubblico designato, per conto di un organismo del settore pubblico responsabile di una fonte autentica, purché siano soddisfatti i requisiti necessari.
Abbinamento delle registrazioni
Per quanto riguarda l’abbinamento delle registrazioni, il concetto di identificatore unico e persistente è stato mantenuto per i portafogli. La relativa definizione chiarisce che l’identificatore può consistere in una combinazione di diversi dati di identificazione nazionali o settoriali, se ciò risponde al suo scopo.
È esplicitamente indicato che l’abbinamento delle registrazioni può essere agevolato da attestati elettronici di attributi qualificati. Inoltre, è stata inserita una disposizione di salvaguardia secondo cui gli Stati membri devono garantire la protezione dei dati personali e impedire la profilazione degli utenti. Infine, gli Stati membri, in qualità di parti facenti affidamento sulla certificazione, devono garantire l’abbinamento delle registrazioni.
Prossime tappe
L’adozione dell’orientamento generale consentirà al Consiglio di avviare negoziati con il Parlamento europeo (“triloghi”) una volta che quest’ultimo avrà adottato la propria posizione al fine di raggiungere un accordo sulla proposta di regolamento.
Orientamento generale del Consiglio
Leggi le ultime notizie su www.presskit.it
Può interessarti anche: Da green pass a passaporto digitale permanente sempre …”per favorire la libera circolazione”
Seguici su Facebook https://www.facebook.com/presskit.it
Seguici su Telegram https://t.me/presskit
