Passa al contenuto principale
Immagine
motivo esagonale viola

The Electronic Identification, Authentication, and Trust Services (eIDAS) regulation is one of the most impactful and comprehensive laws in the European Union (EU). Under eIDAS, any EU citizen can use their country’s national electronic identification scheme and generate electronic signatures in any EU country without complication.

Ma cos'è esattamente l'eIDAS? Come funzionano?E, soprattutto, cosa può fare la tua organizzazione per gestirlo?

Prosegui la lettura per apprendere le nozioni di base di eIDAS, cosa comporta e come garantire la conformità a prova di futuro con soluzioni certificate e sicure.

Che cos'è il regolamento eIDAS?

L'eIDAS è un regolamento dell'UE che ha istituito un quadro giuridico per garantire che le transazioni elettroniche siano più sicure, veloci ed efficienti, indipendentemente dal paese europeo in cui avvengono. L'obiettivo del regolamento eIDAS è incoraggiare la creazione di un mercato unico europeo per il commercio elettronico sicuro.

Per contesto, l'eIDAS non è il primo regolamento UE sulle transazioni elettroniche. La Direttiva sulle firme elettroniche del 1999 aveva uno scopo ben diverso, ovvero quello di dichiarare formalmente che una firma elettronica è l'equivalente legale di una firma autografa in tutti gli Stati membri.

Tuttavia, la direttiva ha anche conferito a ogni Paese dell'UE la libertà di decidere le proprie regole in materia di sicurezza delle transazioni elettroniche. Ogni Paese aveva i propri requisiti legali, le proprie politiche di gestione dei dati e la propria infrastruttura di servizi fiduciari, ma la maggior parte di essi non funzionava a livello transfrontaliero.

Ad esempio, un documento elettronico firmato in un Paese potrebbe non avere gli stessi effetti legali in un altro. Problemi di questo tipo hanno creato un panorama sconnesso in tutta la regione e confusione sulla legalità e la validità dell'identificazione elettronica. Ancor peggio, ha reso estremamente difficile il commercio transfrontaliero.

L'UE ha deciso di risolvere questo problema nel 2014, quando ha emanato l'eIDAS. La legislazione ha avuto pieno effetto giuridico nel 2016, momento in cui tutti gli Stati membri dell'UE hanno dovuto sottostare a standard coerenti per le identità, l'autenticazione e le firme elettroniche.

In definitiva, il quadro eIDAS:

  1. Garantisce che le persone e le imprese possano utilizzare il proprio schema nazionale di identità elettronica per accedere ai servizi pubblici online.
  2. Crea un mercato unico europeo per i servizi fiduciari garantendo che tutti i sistemi di identità funzionino a livello transfrontaliero, con lo stesso status legale di una firma autografa tradizionale.

Chi e cosa è interessato dal regolamento eIDAS?

In generale, questi sono gli effetti dell'eIDAS:

  • Cittadini dei paesi dell'UE.
  • Organizzazioni con sede nell'UE o che hanno rapporti con altre organizzazioni e/o cittadini dell'UE. prestatore di servizi fiduciari.
  • I prestatori di servizi fiduciari (TSP) dell'UE proteggono le transazioni europee su una rete pubblica, in particolare quelle che si riferiscono a questioni commerciali o legali in cui l'autenticazione dell'identità digitale è importante. Un TSP comprende qualsiasi entità coinvolta nella creazione, convalida e conservazione di identità, firme e sigilli elettronici o certificati digitali.

Ecco un elenco non esaustivo delle transazioni digitali coperte dall'eIDAS:

  • Transazioni relative ai viaggi.
  • Fatturazione elettronica business to business.
  • Servizi governativi, come elezioni o dichiarazione dei redditi.
  • Contratti, investimenti e prestiti bancari.
  • Autenticazione del sito web.
  • Servizi di pagamento di terze parti.

Il regolamento eIDAS richiede inoltre che i servizi governativi, commerciali e pubblici riconoscano i formati di firma standard e le identità intereuropee. In altre parole, l'identità elettronica di un cittadino deve essere riconosciuta come altrettanto valida in qualsiasi Stato membro dell'UE. In particolare, l'onere della conformità ricade direttamente sui TSP, non sui consumatori stessi.

Quali sono i vantaggi dell'eIDAS?

L'introduzione dell'identificazione elettronica e dei servizi fiduciari può presentare numerosi vantaggi. Secondo la Commissione europea, questi vantaggi includono:

  1. Migliore esperienza utente: I tipi di servizi di autenticazione abilitati dall'eIDAS garantiscono una consegna senza problemi dei prodotti ai consumatori. Ma soprattutto, aumentano la fiducia e la soddisfazione dei clienti, fornendo loro un livello superiore di garanzia durante il processo di transazione.
  2. Maggiore sicurezza: eIDAS consente alle persone di accedere comodamente a un'ampia gamma di servizi online senza compromettere le proprie informazioni. Le aziende sono soggette a requisiti più rigorosi in materia di protezione dei dati, per garantire il trattamento dei dati personali dei consumatori con la massima attenzione e nel rispetto dei loro obblighi legali.
  3. Semplificare l'efficienza transfrontaliera: Con l'eIDAS non è più necessario che le aziende si spostino in schemi complessi e vari che differiscono a seconda della località. Argomento che in passato rappresentava un punto critico comune per il commercio elettronico internazionale. Ora, le aziende possono effettuare transazioni indipendentemente dallo Stato membro dell'UE nel quale si trovano.

Ovviamente, l'eIDAS ha generato anche un impatto socioeconomico positivo. Il regolamento promuove la crescita economica digitale eliminando le barriere al commercio elettronico che altrimenti complicherebbero i servizi online.

Che cos'è l'identità elettronica?

Un'identificazione elettronica, o "eID", è un mezzo elettronico per verificare l'identità digitale di qualcuno. Secondo la Commissione Europea, un'identità elettronica sicura è essenziale per la vita quotidiana nel mondo digitale.

Si può utilizzare per controllare la posta elettronica, fare acquisti online, sbloccare dispositivi e molte altre attività routinarie. L'identificazione elettronica può inoltre garantire l'identificazione univoca di una persona, assicurando che il giusto servizio venga erogato a chi ne ha effettivamente diritto. A loro volta, gli eID sono un aspetto vitale dell'online banking e di altre transazioni digitali sensibili.

Livelli di garanzia dell'eIDAS

Il termine "livello di garanzia" si riferisce alla certezza che un provider di servizi possa essere sicuro che l'identità dichiarata da una persona sia accurata. In altre parole, è il grado di sicurezza che si ha nel fatto che una persona sia chi dice di essere quando utilizza un eID per accedere a un servizio online.

Secondo l'eIDAS, uno schema eID si deve classificare in base a tre livelli di garanzia:

  1. Lieve: Lo schema eID utilizza un'autenticazione semplice, come le password, con pochi controlli sull'identità durante il processo di registrazione.
  2. Significativo: lo schema utilizza l'autenticazione a due fattori con controlli aggiuntivi durante il processo di registrazione.
  3. Elevato: il livello più elevato di garanzia utilizza sofisticati meccanismi di autenticazione multifattoriale con controlli di identità completi.

Tutti e tre i livelli fanno molto affidamento sull'autenticazione, che è essenzialmente il processo di verifica di un'identificazione elettronica. Ciò comporta la raccolta di dati di identità rilevanti, ovvero informazioni su una persona o un'entità che solo la persona reale può condividere. In genere, i metodi di autenticazione utilizzano tre fattori di verifica dell'identità:

  1. Autenticazione basata sulle conoscenze: il firmatario fornisce un elemento che solo lui conosce, ad esempio una password o un codice.
  2. Autenticazione basata sul possesso: il firmatario fornisce qualcosa che solo lui può avere, come un documento d'identità o una smart card.
  3. Autenticazione basata sulla biometria: l'identificazione del firmatario avviene sulla base alle sue caratteristiche fisiche, ad esempio tramite l'impronta digitale o il riconoscimento facciale.

In particolare, il regolamento eIDAS non specifica quali tecnologie o metodi di autenticazione siano necessari per soddisfare ciascun livello di garanzia. Questo è il motivo per cui i paesi dell'UE sviluppano i propri sistemi di identificazione elettronica. Sebbene si basino sui principi dell'eIDAS, ogni Stato è libero di progettare il proprio sistema in modo da riflettere il proprio panorama tecnologico specifico.

Uno studio del 2022 spiega come gli Stati membri dell'UE creano i loro programmi. Secondo i risultati:

  • Gli schemi di identificazione elettronica di 25 Paesi supportano un livello di alta garanzia.
  • 20 supportano una garanzia significativa.
  • 12 ne supportano una bassa.

Come si può notare, l'UE propende per una maggiore sicurezza, sottolineando l'importanza di un'identificazione elettronica sicura.

Cosa sono i servizi fiduciari eIDAS?

I servizi fiduciari si riferiscono a un’ampia gamma di attività di autenticazione e firma per proteggere le transazioni elettroniche. Alcuni fra i servizi fiduciari più comuni includono:

  • Certificati: Un metodo per garantire l'identità di una persona è che un'autorità terza rilasci un certificato digitale. In breve, un certificato è un file che dimostra l'autenticità di un dispositivo, di un server, di un utente o di un'entità attraverso la crittografia a chiave pubblica. Funziona contenendo una copia di una chiave pubblica del titolare del certificato, che si deve abbinare a una chiave privata corrispondente per verificarne la veridicità.
  • Marcatura temporale elettronica: la marcatura temporale è un processo in cui una data e un'ora sono legate elettronicamente e crittograficamente a un documento, alla sua firma e ad altre informazioni, certificando così la sua esistenza in un determinato momento. La precisione della data e dell'ora è garantita dal fornitore di servizi fiduciari e non può essere compromessa da terzi. Questo può essere importante dal punto di vista legale per molte ragioni, ma è particolarmente utile quando gli accordi contrattuali sono in discussione.
  • Firma e sigillo elettronici: la firma elettronica, come la sua controparte autografa, rappresenta un metodo per certificare l'autenticità di un documento legale e stabilire l'intenzione di essere vincolati ai termini in esso contenuti. Un sigillo elettronico, invece, rappresenta un'intera organizzazione e non una sola persona.
  • Digital Signature: La Digital Signature è un tipo di firma elettronica creata utilizzando un certificato digitale e una chiave di firma privata. Poiché le Digital Signature sono a prova di manomissione, garantiscono che un documento non sia stato alterato dopo la firma.

Ogni organizzazione che agevoli una qualsiasi di queste operazioni è considerata un fornitore di servizi fiduciari ed è quindi soggetta alla conformità eIDAS.

Tipi di firme elettroniche dell'eIDAS

eIDAS defines three types of electronic signatures that a service provider can offer:

1. Firma elettronica semplice

La Commissione Europea considera la firma elettronica semplice come la più basilare delle tre. È definita come "dati in forma elettronica allegati o logicamente associati ad altri dati in forma elettronica e utilizzati dal firmatario per firmare". In sostanza, un scarabocchio elementare del proprio nome su un documento elettronico potrebbe costituire una semplice firma elettronica.

2. Firma elettronica avanzata

Una firma elettronica avanzata ha requisiti più precisi. Ad esempio, deve essere:

 

  • Collegata in modo univoco e in grado di identificare il firmatario
  • Creata in modo da consentire al firmatario di mantenere il controllo
  • Collegata al documento in modo che ogni modifica successiva venga rilevata

Normalmente, una firma elettronica avanzata si crea utilizzando certificati digitali e chiavi crittografiche, il che significa che si può considerare anche una firma digitale. Tuttavia, può utilizzare anche dati biometrici, codici di accesso e altri mezzi elettronici.

 

3. Firma elettronica qualificata

La firma elettronica qualificata, essendo la più sofisticata delle tre, offre il livello di sicurezza massimo. Ci sono però altri due requisiti da valutare:

  1. Una firma elettronica qualificata può essere creata solo utilizzando un Qualified Signature Creation Device (QSCD). Un QSCD è un tipo di hardware crittografico, ad esempio un modulo di sicurezza hardware (HSM), che è stato sottoposto a un processo di certificazione eIDAS.
  2. Una Qualified Signature deve basarsi anche su un Qualified Certificate. Con eIDAS, un Qualified Certificate segue requisiti più rigorosi di un certificato digitale standard. Inoltre, può essere emesso solo da un prestatore di servizi fiduciari qualificato (QSTP), come Entrust. I QSTP sono organizzazioni che sono state sottoposte ad audit e che hanno ottenuto uno status qualificato da un'autorità nazionale competente, come risulta dall'elenco dei fornitori affidabili dell'UE.

Potenzia il tuo allineamento eIDAS con le soluzioni Entrust

Noi di Entrust sappiamo bene che non è facile rispettare la conformità alle normative, e il regolamento eIDAS non è da meno. Che tu sia un'organizzazione dell'UE o un prestatore di servizi fiduciari, desideri offrire ai consumatori un'esperienza di transazione sicura e senza interruzioni, indipendentemente da quando e dove avviene.

Organizzazioni dell'UE: Genera firme e sigilli avanzati e qualificati con Entrust

Entrust è membro fondatore del Cloud Signature Consortium, Certificate Authority affidabile a livello globale, membro dell'Adobe Approved Trust List e prestatore di servizi fiduciari qualificato eIDAS per la UE. Possiamo aiutarti a configurare servizi di firma elettronica basati sulle nostre firme qualificate e avanzate eIDAS.

Consulta il nostro portale di firma e provalo gratuitamente su signhost.com.

Prestatori di servizi fiduciari: Realizza un servizio fiduciario eIDAS

Per gestire i tuoi servizi fiduciari è necessaria una solida root of trust. Entrust può aiutarti a implementare un Qualified Signature Creation Device con certificazione eIDAS con gli HSM nShield combinati con il modulo di attivazione della firma di Entrust.

I nostri HSM consentono ai TSP di ottimizzare la fiducia e consentire transazioni giuridicamente vincolanti oltre confine, il tutto rafforzando la sicurezza. I provider di servizi possono utilizzare gli HSM nShield Entrust per emettere certificati digitali, marcature temporali o Digital Signature come parte di soluzioni conformi a eIDAS.

Entrust può anche fornire motori di Digital Signature per generare Digital Signature allineate all'eIDAS. In combinazione con le soluzioni Entrust PKI e le soluzioni Gestione di accessi e identità Entrust , avrai tutto il necessario per configurare il tuo servizio di firma.

Vuoi avere maggiori informazioni sulla conformità eIDAS? Scarica il nostro eBook oggi.