eIDAS 2: Tutto quello che devi sapere

L'identificazione elettronica (eID) è un metodo digitale per dimostrare l'identità di una persona. Consente alle persone di accedere ai servizi online, effettuare transazioni elettroniche e interagire con le piattaforme governative in sicurezza. Un sistema di identificazione elettronica garantisce che la persona che utilizza i servizi sia effettivamente chi dichiara di essere, riducendo così il rischio di furto di identità e frode.

Come forma di verifica dell'identità digitale, le eID si basano in larga misura su vari autenticatori. In breve, l'autenticazione è il processo che garantisce la validità dell'identità dichiarata di un utente o di un dispositivo.

In genere, la verifica dell'identità digitale utilizza una combinazione di un massimo di tre fattori di autenticazione:

1. Autenticazione basata sulle conoscenze: L'utente fornisce un elemento che solo lui conosce, ad esempio una password o un codice.
2. Autenticazione basata sul possesso: L'utente fornisce qualcosa che solo lui può avere, come un documento elettronico, il passaporto o una smart card.
3. Autenticazione biometrica: Le caratteristiche fisiche dell'utente vengono verificate tramite impronte digitali o riconoscimento facciale.

Una volta verificata, alla persona viene concesso l'accesso ai servizi online desiderati e la sua identità digitale può essere utilizzata per verifiche successive.

Questo è notevolmente più efficiente rispetto ai tradizionali processi cartacei. Invece di eseguire controlli manuali o di persona, le organizzazioni possono semplificare il flusso di lavoro ed eliminare l'errore umano. Questo non solo crea un'esperienza utente più pratica, ma supporta anche la gestione dei rischi e la protezione dei dati su larga scala.

Casi d'uso dell'identificazione elettronica

Innumerevoli settori stanno sfruttando l'identificazione digitale per autenticare rapidamente e senza problemi clienti, cittadini e dipendenti.

• Online banking: I sistemi eID consentono agli istituti finanziari di garantire che solo le persone autorizzate possano accedere ai conti, proteggendo così gli utenti da potenziali frodi.
• Settore pubblico: I servizi di identità digitale consentono ai cittadini di accedere online a servizi essenziali dell'amministrazione pubblica, come la dichiarazione dei redditi, la richiesta di prestazioni sociali e l'accesso ai dati personali. In questo modo si elimina la necessità di recarsi fisicamente negli uffici pubblici, riducendo gli oneri amministrativi e migliorando l'erogazione complessiva dei servizi.
• Servizi professionali: Avvocati, commercialisti e altri professionisti possono utilizzare l'eID per verificare l'identità dei clienti da remoto, garantendo la conformità ai requisiti legali e normativi.Questo processo di verifica sicuro semplifica l'inserimento dei clienti, la firma dei documenti e la fornitura di servizi riservati, rafforzando la fiducia nei rapporti professionali.
• Vendita al dettaglio online: L'eID, verificando l'identità dei clienti durante le transazioni digitali, garantisce che gli acquisti siano autorizzati. Semplifica inoltre le procedure di pagamento, consentendo ai clienti di completare le transazioni in modo rapido e sicuro, senza dover immettere ripetutamente i propri dati personali. Questa migliore esperienza utente può portare a una maggiore soddisfazione e fidelizzazione dei clienti.

eIDAS (electronic IDentification, Authentication and Trust Services) è l'acronimo di "identificazione elettronica, autenticazione e servizi fiduciari". In quanto regolamento UE completo, unifica tutti i servizi europei di identificazione elettronica e di fiducia in un quadro giuridico comune.

Prima di eIDAS, non esisteva un approccio coerente alla verifica delle identità elettroniche. Ogni Stato membro dell'UE era dotato di propri requisiti legali e infrastrutture di servizi fiduciari, che però non funzionavano in altre giurisdizioni. Questo panorama frammentato ha reso difficile la protezione delle transazioni transfrontaliere, ostacolando l'efficacia dei servizi e delle piattaforme di e-commerce online.

La Commissione Europea ha approvato il Regolamento eIDAS nel 2014, stabilendo tre principi unificanti:

1. Riconoscimento reciproco: Con l'eIDAS, tutti i paesi della UE sono tenuti per legge a riconoscere reciprocamente i propri sistemi di identificazione elettronica. Ciò significa che un'eID nazionale o un servizio fiduciario rilasciato in uno Stato membro dell'UE deve essere accettato in tutti gli altri.
2. Interoperabilità: eIDAS garantisce inoltre la compatibilità tra diverse soluzioni di identificazione elettronica. Persone singole e organizzazioni possono utilizzare agevolmente la stessa identità digitale su diverse piattaforme e servizi.
3. Sicurezza: Il regolamento garantisce inoltre che le identità digitali e le transazioni elettroniche siano tutelate da frodi e minacce informatiche, garantendo un ambiente sicuro e affidabile in tutta l'UE.

Questo regolamento dell'UE si applica a tutti i 27 Stati membri. La conformità è obbligatoria anche per le organizzazioni dell'UE con offerte digitali che richiedono un'identificazione sicura, come i servizi bancari o l'e-commerce. Allo stesso modo, si applica a qualsiasi fornitore di servizi fiduciari (TSP) che opera nell'Unione Europea, che deve ottenere la certificazione da un organismo di controllo designato, a conferma che i servizi dell'organizzazione soddisfano gli standard eIDAS.

Che cosa è un Trust Service Provider (provider di servizi di fiducia)?

Un fornitore di servizi fiduciari è una persona o ente giuridico che crea, verifica e conserva firme elettroniche, sigilli e certificati. I TSP garantiscono inoltre la riservatezza e la Non-Repudiation delle informazioni e autenticano i siti web o i firmatari.

I loro servizi forniscono i meccanismi necessari per verificare l'autenticità e l'integrità di un documento, di un'identità o di una comunicazione elettronica. Sono una componente fondamentale del regolamento eIDAS, che garantisce che le interazioni online siano sicure e affidabili tanto quanto le loro controparti cartacee.

Di conseguenza, i servizi fiduciari eIDAS possono includere:

1. Firme elettroniche
   Una firma elettronica opera allo stesso modo di una autografa. Viene utilizzata per firmare documenti digitalmente, fornendo un modo sicuro e verificabile per garantire che il firmatario sia chi dichiara di essere e che il documento non sia stato alterato da quando è stata apposta la firma. eIDAS classifica queste firme in tre livelli:

   • Firma elettronica semplice: Offre sicurezza di base adatta per applicazioni a basso rischio.
   • Firma elettronica avanzata: Fornisce un livello di sicurezza più elevato collegando la firma in modo univoco al firmatario e consentendo il rilevamento di eventuali modifiche apportate ai dati firmati.
   • Firma elettronica qualificata: Garantisce il massimo livello di sicurezza ed è giuridicamente equivalente a una firma autografa. Deve essere creato utilizzanda un Qualified Signature Creation Device e si deve basare su un certificato digitale qualificato.

   Un QSCD è un tipo di hardware crittografico, ad esempio un modulo di sicurezza hardware (HSM), che è stato sottoposto a un processo di certificazione eIDAS.
    

2. Sigilli elettronici
   Un sigillo elettronico è simile a una firma elettronica, ma è utilizzato da enti giuridici (ad esempio aziende) e non da singole persone. Garantisce l'origine e l'integrità di un documento, verificando che sia stato emesso da un'entità specifica e che non sia stato alterato.
3. Marca temporale
   Una marca temporale dimostra che un documento elettronico specifico o un dato esisteva in un determinato momento. È un modo sicuro per stabilire l'origine della creazione, dell'invio o della ricezione di un documento, aggiungendo un ulteriore livello di integrità e affidabilità.
4. Certificati digitali
   In breve, un certificato è un file che dimostra l'autenticità di un dispositivo, di un server, di un utente o di un'entità attraverso la crittografia a chiave pubblica. Contiene una copia di una chiave pubblica del titolare del certificato, che si deve abbinare a una chiave privata corrispondente per verificarne la provenienza.

Il regolamento europeo sull'identità digitale, noto anche come eIDAS 2, è una versione aggiornata della legislazione eIDAS originale. È stato pubblicato nella Gazzetta ufficiale dell'Unione Europea nell'aprile 2024 ed è entrato in vigore il mese dopo.

Sebbene la prima iterazione abbia avuto successo sotto molti aspetti, c'era ancora molto da fare. In particolare, il quadro di identità digitale originale aveva diversi livelli di adozione in ciascuno Stato membro dell'UE, il che ha portato a incoerenze e difficoltà nell'uso delle eID e dei servizi fiduciari Nel 2021, solo il 59% dei residenti dell'UE poteva utilizzare un'eID affidabile oltre confine.

eIDAS 2 affronta queste carenze introducendo una serie di modifiche significative.

Il portafoglio europeo dell'identità digitale (EUDI Wallet)

In precedenza, i paesi dell'UE potevano notificare volontariamente i sistemi nazionali di identificazione elettronica, che le altre nazioni erano obbligate a riconoscere. Tuttavia, non ha obbligato nessun Paese a creare un sistema di identificazione elettronica se non ne aveva già uno, da qui i diversi tassi di adozione.

Ora tutti gli Stati membri devono offrire alle aziende e ai cittadini un portafoglio digitale sicuro, che possa collegare le loro carte d'identità elettroniche nazionali con la prova di altri dati personali, come patenti di guida, diplomi e conti bancari. Ciò consente la creazione di un portafoglio universale di identità digitale dell'UE, che permette alle persone di archiviare, gestire e condividere selettivamente dati personali, credenziali e attributi.

L'obiettivo è consentire agli europei il pieno controllo sui propri dati quando utilizzano i servizi online, riducendo la condivisione non necessaria di dati. I fornitori di servizi che verificano l'identità dei clienti devono accettare questi portafogli per l'autenticazione.

In particolare, il portafoglio di identità digitale dell'UE presenta tre caratteristiche fondamentali:

1. Sicurezza: L'aggiornamento è in linea con le leggi vigenti in materia di sicurezza informatica, come il Regolamento europeo in materia di protezione generale dei dati (GDPR), che richiede la conformità a questi standard. Consente inoltre agli enti pubblici di rilasciare certificazioni elettroniche, aiutando le organizzazioni a riconoscere le credenziali in tutta Europa e dando priorità alla riservatezza dei dati.
2. Maggiore comodità: Grazie all'EUDI Wallet, i cittadini possono accedere più facilmente ai servizi pubblici, candidarsi per un lavoro o viaggiare in tutta Europa. Possono utilizzare questo strumento per condividere i dati identificativi con le organizzazioni a fini di autenticazione, semplificando l'accesso alle attività transfrontaliere essenziali.
3. Interoperabilità: Il regolamento promuove inoltre un approccio unificato, facilitando l'accettazione diffusa delle identità digitali in tutta l'UE. Fornisce una struttura tecnica e standard comuni per i cittadini e i fornitori di servizi online. Questa armonizzazione garantisce che le soluzioni di identità digitale siano riconosciute e affidabili in tutta l'UE.

Entro il 2026 gli Stati membri dovranno mettere a disposizione dei cittadini un portafoglio nazionale di identità digitale.

un ambito ampliato

Il Regolamento sull'identità digitale europea potenzia significativamente il quadro normativo per i prestatori di servizi fiduciari qualificati (QTSP), ovvero entità certificate per offrire servizi fiduciari sicuri e affidabili. I QTSP devono rispettare rigorosi standard normativi, tra cui l'obbligo di implementare protocolli di sicurezza, sottoporsi a regolari controlli e ottenere la certificazione da un organismo di vigilanza designato.

Inoltre, eIDAS 2 ha ampliato l'ambito di applicazione della norma per includere tre nuovi servizi fiduciari qualificati:

1. Servizi di archiviazione elettronica: L'archiviazione garantisce la conservazione sicura di documenti e dati elettronici. Questi servizi garantiscono che i dati archiviati rimangano autentici e inalterati nel tempo. I servizi di archiviazione elettronica qualificati, introdotti da eIDAS 2, devono rispettare standard rigorosi per preservare l'integrità e il valore legale dei documenti elettronici per tutto il loro periodo di conservazione.
2. Registri elettronici: Questo servizio sfrutta la tecnologia blockchain per fornire una registrazione sicura e immutabile delle transazioni e dei dati. Ciò garantisce che i dati elettronici possano essere tracciati e verificati in modo affidabile, supportando varie applicazioni e casi d'uso quali transazioni finanziarie, gestione della catena di fornitura e altro ancora.
3. Gestione dei dispositivi di creazione di firme e sigilli elettronici a distanza: Questo servizio fiduciario consente ai fornitori di firme elettroniche di gestire i processi di firma e sigillatura da remoto, in modo sicuro, e garantisce che i firmatari mantengano il pieno controllo del processo di firma anche se non lo stanno eseguendo fisicamente.

La conformità eIDAS funzionerà in modo diverso a seconda che tu sia un'organizzazione dell'UE o un fornitore di servizi fiduciari. Ecco gli strumenti essenziali che entrambe le parti possono utilizzare per semplificare i requisiti normativi:

Imprese nell'UE

Le organizzazioni con servizi che richiedono la verifica dell'identità devono implementare uno schema di autenticazione affidabile. In particolare per le aziende europee, che si concentrino su una particolare soluzione locale o su una strategia regionale o su un approccio globale, il panorama normativo dell'UE sta cambiando rapidamente, con l'armonizzazione come obiettivo finale. Ciò comporta l'utilizzo di certificati eIDAS e firme elettroniche qualificate, che sono attestazioni che confermano l'identità e verificano l'autenticità. I processi di verifica digitale devono essere integrati nelle operazioni aziendali per semplificare l'onboarding e l'autenticazione delle transazioni, garantendo che solo le persone autorizzate possano accedere a servizi e a dati sensibili.

Prestatori di servizi fiduciari:

I TSP devono utilizzare i QSCD per creare firme elettroniche qualificate. Questi dispositivi garantiscono che i dati per la creazione della firma (come le chiavi private) vengano generati, gestiti e archiviati in un ambiente sicuro, impedendo l'accesso non autorizzato.

I fornitori di servizi devono inoltre implementare una solida infrastruttura a chiave pubblica (PKI) per gestire i certificati digitali e le chiavi crittografiche. La PKI consente l'emissione, la distribuzione e la verifica sicure dei certificati digitali, garantendo l'affidabilità delle firme elettroniche e di altri servizi. I TSP devono garantire che le loro operazioni di PKI siano conformi ai requisiti eIDAS, incluso il mantenimento di pratiche di gestione delle chiavi sicure.

I sistemi di gestione di accessi e identità (IAM) sono inoltre essenziali ai TSP per gestire le identità degli utenti e controllare l'accesso ai propri servizi. Questi sistemi devono integrare metodi di autenticazione avanzati, come l'autenticazione multifattoriale (MFA), per verificare l'identità degli utenti. Le soluzioni IAM possono anche garantire che solo le persone autorizzate possano eseguire operazioni sensibili, come l'emissione di certificati o la creazione di firme elettroniche.

Entrust, in qualità di membro fondatore del Cloud Signature Consortium e fornitore di soluzioni infrastrutturali per l'implementazione di servizi fiduciari, è qui per aiutarti a raggiungere la conformità eIDAS. Le nostre soluzioni ti consentono di generare firme qualificate e di creare servizi fiduciari conformi, basati su una base solida e sicura.