Scopri e impara

Che cos'è il regolamento eIDAS 2? Tutto quello che devi sapere

L'Unione Europea (UE) è uno dei contesti normativi più complessi e ambiziosi. Con l'entrata in vigore della seconda versione del regolamento sull'identificazione elettronica, l'autenticazione e i servizi fiduciari (eIDAS), le aziende dell'UE devono affrontare i cambiamenti e adattarsi a una delle trasformazioni più significative nella regione in materia di identità digitale, autenticazione e infrastruttura fiduciaria dal 2016.

Insieme allo standard tecnico correlato, eIDAS 2 stabilisce una base giuridica e tecnica unificata per le modalità di autenticazione degli individui, di condivisione dei dati di identità e di funzionamento dei servizi fiduciari oltre confine. Ridefinisci l'ecosistema europeo dell'identità digitale, rendendolo più interoperabile, più rispettoso della privacy e più resiliente alle nuove frodi e minacce alla sicurezza.

Allo stesso tempo, questi cambiamenti avvengono in un contesto di convergenza globale in materia di verifica dell'identità, poiché le autorità di regolamentazione di tutto il mondo rafforzano le aspettative in materia di sicurezza, danno priorità alla prevenzione delle frodi e convergono sempre più i requisiti di verifica dell'identità a distanza e di onboarding dei servizi finanziari. L'eIDAS 2 fa ora parte di un più ampio cambiamento internazionale nell'ambito dell'identità digitale ad alta sicurezza.

Di seguito analizziamo il regolamento eIDAS 2 e forniamo tutte le informazioni necessarie per garantire la conformità ai requisiti normativi. Tratteremo i seguenti argomenti:

  • Che cos'è il regolamento eIDAS?
  • Che cos'è il regolamento eIDAS 2?
  • Verifica dell'identità secondo eIDAS 2 ed ETSI v2
  • Chi è un Trust Service Provider (provider di servizi di fiducia)?
  • Come raggiungere la conformità eIDAS 2
  • Semplifica la conformità con le soluzioni Entrust

Che cos'è il regolamento eIDAS?

eIDAS, acronimo di electronic Identification, Authentication, and Trust Services, è il regolamento completo dell'UE che ha introdotto il primo quadro giuridico armonizzato per l'identificazione elettronica e i servizi fiduciari in tutti gli Stati membri dell'UE.

Prima della sua adozione, l'UE si basava su un mosaico di leggi nazionali, la Signaturgesetz tedesca, la legge francese sulle firme elettroniche, il Codice dell'Amministrazione Digitale italiano, la legge spagnola 59/2003 e altre, ciascuna con regole, requisiti di sicurezza e formati distinti. Di conseguenza, l'approccio all'esecuzione dell'identificazione elettronica e della verifica dell'identità a distanza variava notevolmente da uno Stato membro all'altro.

Questa frammentazione ha complicato le interazioni digitali transfrontaliere.Una firma elettronica o una credenziale di identità valida in uno Stato membro potrebbe non essere riconosciuta in un altro, costringendo le organizzazioni a mantenere processi paralleli e minando la fiducia nelle transazioni elettroniche.L'assenza di un quadro comune ha inoltre limitato l'espansione dei servizi online sicuri e ostacolato lo sviluppo del commercio elettronico transfrontaliero.

Il primo regolamento eIDAS (UE n. 910/2014) ha cercato di affrontare tali questioni istituendo un quadro armonizzato a livello dell'UE.Adottato nel 2014 e pienamente applicato dal 2016 in poi, fonda su tre principi fondamentali:

  • Riconoscimento reciproco:Tutti gli Stati membri erano tenuti per legge a riconoscere reciprocamente i sistemi nazionali di identificazione elettronica notificati.
  • Interoperabilità: Il regolamento ha garantito la compatibilità tra le diverse soluzioni di identificazione elettronica e i servizi fiduciari in tutta l'UE.
  • Sicurezza: eIDAS ha introdotto rigorosi requisiti di sicurezza per le firme elettroniche, i sigilli, le marcature atemporali e i certificati.

Ha inoltre formalizzato il ruolo dei fornitori di servizi fiduciari (TSP), che devono essere accreditati e sottoposti a supervisione prima di poter fornire servizi qualificati.

È importante sottolineare che l'eIDAS si applica non solo agli enti pubblici, ma anche alle organizzazioni del settore privato che si avvalgono dell'identificazione elettronica o dei servizi fiduciari, compresi i servizi finanziari, assicurativi, sanitari e di commercio elettronico. Funge quindi da infrastruttura digitale unificata per tutte le interazioni elettroniche transfrontaliere all'interno dell'UE.

Sebbene il regolamento abbia migliorato significativamente il panorama della fiducia digitale in Europa, permangono diverse limitazioni. Nel 2021, l'uso delle carte d'identità elettroniche nazionali oltre confine rimaneva limitato, l'adozione da parte del settore privato era disomogenea e l'ambito di applicazione del quadro normativo non rifletteva più le modalità di utilizzo dei servizi di identità digitale e di fiducia. Tali lacune hanno portato infine allo sviluppo di un emendamento al regolamento: l'eIDAS 2. 

Che cos'è il regolamento eIDAS 2?

eIDAS 2, formalmente Regolamento europeo sull'identità digitale (Regolamento (UE) 2024/1183), è la versione aggiornata e ampliata del framework eIDAS originale.È stato pubblicato nella Gazzetta ufficiale dell'Unione europea nell'aprile 2024 ed è entrato gradualmente in vigore il 20 maggio 2024.

La revisione è stata motivata dalle persistenti limitazioni del primo regolamento. Nel 2021 l'uso dei sistemi nazionali di identificazione elettronica transfrontaliera rimaneva limitato, l'adozione da parte delle parti affidabili del settore privato era incoerente ed esistevano divergenze significative tra gli Stati membri nelle modalità di attuazione dei servizi di garanzia dell'identità e di fiducia a distanza. Queste incongruenze hanno creato attriti per le imprese che operano in più giurisdizioni, con solo il 59% dei residenti nell'UE in grado di utilizzare un documento di identità elettronico affidabile al di fuori del proprio Paese di residenza.

eIDAS 2 rappresenta un'evoluzione strutturale del quadro europeo in materia di identità digitale e servizi fiduciari Affronta i limiti del quadro normativo originale, amplia l'elenco dei servizi fiduciari regolamentati, rafforza i requisiti di sicurezza e governance e, in particolare, introduce il wallet europeo di identità digitale (EUDI) come componente obbligatorio degli ecosistemi nazionali di identità digitale.

Mentre il regolamento originale ha gettato le basi per la fiducia transfrontaliera, eIDAS 2 fornisce il modello per un sistema di identità digitale più avanzato, interoperabile, altamente sicuro e controllato dall'utente in tutta l'Unione Europea.

Un ambito normativo ampliato

Il regolamento eIDAS originale (2016) ha gettato le basi per l'identificazione elettronica e i servizi fiduciari nell'UE, ma il suo ambito di applicazione è rimasto relativamente limitato; non prevedeva l'ampiezza delle interazioni digitali che ora si basano su meccanismi di identità e fiducia ad alta garanzia. Sebbene il quadro normativo garantisse la certezza giuridica per le firme elettroniche, i sigilli, le marcature temporali e i certificati qualificati, esso non comprendeva diverse funzionalità dei servizi fiduciari che da allora sono diventate fondamentali per i modelli di business digitali e l'interoperabilità transfrontaliera.

eIDAS 2 amplia notevolmente questo ambito.Il regolamento aggiornato rafforza il ruolo dei fornitori di servizi fiduciari qualificati (QTSP) – entità certificate per offrire servizi fiduciari sicuri e affidabili – che ora devono conformarsi a requisiti di vigilanza armonizzati e allineati alla normativa UE in materia di sicurezza informatica. Ciò include linee guida obbligatorie in materia di sicurezza, audit periodici, segnalazione formale degli incidenti e requisiti coerenti per la gestione delle chiavi e la resilienza operativa in tutta l'Unione.

Inoltre, l'eIDAS 2 ha ampliato l'ambito di applicazione della norma per includere quattro nuovi servizi fiduciari qualificati:

  1. Servizi di archiviazione elettronica:Questi servizi garantiscono l'archiviazione sicura e a lungo termine di documenti e dati elettronici. Questi servizi garantiscono che i dati e i documenti archiviati rimangano autentici e inalterati per tutto il periodo di conservazione, preservandone così l'integrità e il valore legale.Questa capacità è essenziale per settori quali quello sanitario, finanziario e pubblico, dove la conformità normativa richiede una conservazione affidabile dei dati e dei documenti sensibili con integrità garantita nel tempo.
  2. Registri elettronici:Questo servizio fornisce una registrazione sicura e immutabile delle transazioni e dei dati. Ciò garantisce che i dati elettronici possano essere tracciati e verificati in modo affidabile, supportando varie applicazioni e casi d'uso quali transazioni finanziarie, gestione della catena di fornitura e altro ancora.
  3. Gestione dei dispositivi remoti per la creazione di firme e sigilli elettronici (QSCD): Questo servizio fiduciario consente ai fornitori di firme elettroniche di gestire i processi di firma e sigillatura da remoto, preservando al contempo i rigorosi requisiti di sicurezza associati al QSCD. Consente la firma e la sigillatura sicure basate su cloud, supporta il lavoro a distanza e le transazioni transfrontaliere ed espande l'usabilità delle firme qualificate senza compromettere il controllo esclusivo del firmatario sulle proprie chiavi di firma.
  4. Rilascio di attestazioni elettroniche qualificate degli attributi: l'eIDAS 2 introduce le attestazioni elettroniche qualificate degli attributi (QEAA), che consentono alle autorità di fiducia di certificare l'accuratezza di attributi specifici relativi a una persona, un'organizzazione o un dispositivo.Questi possono includere età, licenze professionali, titoli di studio o identificativi dell'account. Un QEAA assume la forma di un attestato firmato digitalmente che può essere archiviato e utilizzato all'interno di un wallet di identità digitale dell'UE, facilitando la condivisione degli attributi nel rispetto della privacy e consentendo uno scambio di attributi di identità altamente sicuro in tutta l'UE.

Ampliando il catalogo dei servizi fiduciari, il regolamento rafforza l'integrità, la sicurezza e l'interoperabilità complessive dell'ecosistema dell'identità digitale e della fiducia dell'UE.

L'eIDAS 2 introduce anche nuovi obblighi per alcune parti facenti affidamento sul settore privato. Le banche, gli operatori di telecomunicazioni e altri fornitori di servizi di alto valore saranno tenuti ad accettare il wallet dell'UE per casi d'uso definiti a partire dal 2027. Il regolamento integra i principi del controllo esclusivo dell'utente e della privacy by design, consentendo agli individui di divulgare solo il set minimo di attributi necessari per una determinata transazione.

Infine, questa estensione risolve le incongruenze di lunga data osservate nell'ambito dell'eIDAS 1.0, in cui le autorità di vigilanza nazionali interpretavano in modo diverso i requisiti di verifica dell'identità a distanza. Alcuni Stati membri richiedevano l'onboarding basato su QES (ad esempio la Francia), altri si affidavano a videochiamate in diretta (ad esempio la Germania), mentre altri ancora accettavano l'IDV remoto conforme all'ETSI (ad esempio l'Italia e la Romania). eIDAS 2 armonizza queste interpretazioni e fornisce un quadro coerente e transfrontaliero per la verifica dell'identità ad alta sicurezza e l'utilizzo di servizi fiduciari in tutta l'UE.

Il portafoglio europeo dell'identità digitale (EUDI Wallet)

Ai sensi del regolamento eIDAS originale (2016), gli Stati membri potevano notificare volontariamente i propri sistemi di identificazione elettronica nazionali, rendendoli legalmente riconoscibili in tutta l'UE. Questo modello volontario presentava un limite fondamentale:I Paesi che non avevano un sistema di identificazione elettronica non avevano alcun obbligo di crearne uno.Di conseguenza, i tassi di adozione variavano in modo significativo da uno Stato all'altro e l'interoperabilità transfrontaliera rimaneva disomogenea.

eIDAS 2 sostituisce questo approccio con un quadro obbligatorio e armonizzato. Entro la fine del 2026, ogni Stato membro dovrà rilasciare almeno un wallet dell'UE (EUDI Wallet). Questo wallet consentirà a privati e aziende di archiviare e gestire i propri documenti d'identità elettronici nazionali insieme ad attributi e credenziali verificati, come patenti di guida, diplomi, qualifiche professionali o informazioni sui conti bancari, e di condividerli in modo sicuro e selettivo.Questo crea un'identità digitale universale e portatile in tutta Europa.

L'obiettivo è quello di garantire agli europei il pieno controllo della propria identità digitale quando interagiscono online, consentendo loro di divulgare solo le informazioni strettamente necessarie e riducendo la dipendenza da sistemi di accesso frammentati o da ripetuti controlli di identità. Per i casi d'uso definiti nel settore pubblico e privato, le parti affidatarie saranno tenute ad accettare il wallet per l'autenticazione, garantendo un'esperienza coerente e affidabile in tutta l'UE.

Il wallet EUDI si basa su tre pilastri fondamentali:

  1. Sicurezza: Il wallet è conforme alla legislazione vigente dell'UE in materia di protezione dei dati e sicurezza informatica, compresi il Regolamento europeo in materia di protezione generale dei dati (GDPR) e la direttiva NIS2, e integra i principi di privacy by design e solide garanzie tecniche.
  2. Maggiore comodità:Il wallet facilita l'accesso dei cittadini e dei residenti ai servizi pubblici, alla ricerca di lavoro, all'apertura di conti bancari o allo svolgimento di altre attività transfrontaliere. Possono utilizzare questo strumento per condividere i dettagli dell'identità con le organizzazioni a fini di autenticazione. Unifica le informazioni sull'identità in un unico strumento riutilizzabile, eliminando la necessità di più accessi o ripetuti passaggi di verifica.
  3. Interoperabilità: Il regolamento stabilisce un quadro tecnico comune e norme armonizzate per garantire che le credenziali di identità digitale memorizzate nel wallet siano accettate in tutta l'UE. Definendo specifiche comuni per i wallet, i fornitori di servizi e le autorità pubbliche, garantisce l'interoperabilità tra i sistemi nazionali.Questa armonizzazione promuove un approccio unificato e transfrontaliero all'identità digitale, favorendo la fiducia e il riconoscimento delle credenziali sia per i cittadini sia per le aziende.

In base a eIDAS 2, ogni Stato membro dovrà mettere a disposizione dei cittadini e dei residenti almeno un wallet EUDI entro dicembre 2026, segnando un passo importante verso un panorama di identità digitale pienamente interoperabile in Europa.

Cronologia eIDAS 2
ZonaeIDAS (2016)eIDAS 2 (2024)
AmbitoQuadro armonizzato per i sistemi di identificazione elettronica notificati e una serie definita di servizi fiduciari (firme, sigilli, marcature temporali, certificati).Amplia l'ambito di applicazione per includere i wallet di identità digitale dell'UE (EUDI), i QEAA, l'archiviazione elettronica qualificata, i registri elettronici qualificati e la gestione remota QSCD, con norme più dettagliate per l'affidabilità delle parti e l'adozione da parte del settore privato.
Riconoscimento eID Le carte d'identità elettroniche nazionali sono riconosciute solo se notificate volontariamente dallo Stato membro emittente.Richiede a ogni Stato membro di emettere almeno un wallet EUDI e di accettare wallet da altri Stati membri per casi d'uso definiti.
Architettura dell'identità digitaleSi basava su sistemi nazionali di eID, con interoperabilità limitata.Introduce il framework del wallet di identità digitale dell'UE (EUDI) per cittadini, residenti e, in alcuni casi, aziende, consentendo un utilizzo transfrontaliero coerente.
Trust Services (servizi fiduciari) Firme elettroniche definite e regolamentate, sigilli, marche temporali e certificati di autenticazione dei siti web.Estensione all'archiviazione elettronica, al registro elettronico qualificato, ai QEAA e alla gestione remota QSCD, con aggiornamento delle norme relative ai servizi esistenti.
Obblighi della parte affidatariaI servizi fiduciari potevano essere utilizzati dal settore pubblico e privato, ma non esistevano obblighi a livello UE che imponessero alle parti private di accettare specifici mezzi di identificazione elettronica.   Introduce obblighi di accettazione del wallet elettronico per determinati servizi privati di alto valore (come servizi bancari e telecomunicazioni) entro il 2027.
Controllo utente e privacyControllo limitato da parte dell'utente sugli attributi di identità; dipende principalmente dai quadri normativi nazionali e dalle specificità del servizio.Integra il "controllo esclusivo dell'utente" e la divulgazione selettiva nel modello di wallet, consentendo agli utenti di scegliere quali attributi condividere per una determinata transazione.
Cronologia delle implementazioneAdottato nel 2014 ed entrato in vigore nel luglio 2016.Entrato in vigore nel maggio 2024, con atti di attuazione integrativi adottati tra la sua entrata in vigore e il 2026, emissione obbligatoria del wallet entro dicembre 2026 e accettazione obbligatoria da parte delle principali parti facenti affidamento nel settore privato a partire dal 2027.

Nel loro insieme, questi cambiamenti trasformano l'eIDAS da un quadro frammentato in materia di identità digitale a un approccio paneuropeo armonizzato, incentrato sull'utente e obbligatorio, con norme comuni relative alle modalità di rilascio, verifica e accettazione delle identità digitali e dei servizi fiduciari in tutta l'UE.  

Il rapporto tra eIDAS 2 ed ETSI

L'Istituto europeo per le norme di telecomunicazione (ETSI) è un organismo indipendente senza scopo di lucro responsabile dello sviluppo di specifiche riconosciute a livello mondiale per le tecnologie dell'informazione e della comunicazione. Nell'ambito dell'eIDAS, l'ETSI svolge un ruolo fondamentale: traduce gli obblighi giuridici di alto livello del regolamento in requisiti tecnici precisi e verificabili. Questo lavoro si riflette in standard quali ETSI TS 119 461 e la più ampia serie ETSI EN 319, che definiscono come devono funzionare nella pratica i servizi fiduciari e la verifica dell'identità.

Con l'introduzione dell'eIDAS 2, il wallet di identità digitale dell'UE e nuovi servizi fiduciari qualificati come i QEAA, l'ETSI ha aggiornato e ampliato i propri standard per definire la sicurezza, l'interoperabilità e i controlli tecnici richiesti per la conformità. Questi standard costituiscono la struttura tecnica che garantisce che gli Stati membri e i fornitori di servizi fiduciari implementino l'eIDAS 2 in modo coerente e sicuro.

Verifica dell'identità ai sensi dell'eIDAS 2 e dell'ETSI TS 119-461 v2 

La verifica remota dell'identità è una componente centrale dell'ecosistema eIDAS 2. Per garantire l'uniformità in tutta l'UE, il regolamento è accompagnato da uno standard operativo dedicato, ETSI TS 119 461 v2.1.1.

Il rapporto tra i due strumenti è fondamentale:

  • eIDAS 2 stabilisce i requisiti legali per la verifica dell'identità.
  • ETSI v2 definisce come tali requisiti devono essere soddisfatti nella pratica, attraverso controlli tecnici specifici e verificabili.

Il ruolo di ETSI 119 461 v2: La struttura tecnica

ETSI v2 definisce i requisiti dettagliati per la verifica dell'identità remota e automatizzata, tra cui:

  • Come devono essere convalidati e verificati i documenti di identità, compresa la coerenza della zona a caratteri magnetici (MRZ) e della zona visibile e la verifica delle caratteristiche di sicurezza
  • Come devono essere acquisiti, analizzati e protetti i dati biometrici contro spoofing, deepfake e attacchi di presentazione
  • Come gli attributi identitari e le prove devono essere confrontati tra le diverse fonti
  • Quali prove devono essere conservate a sostegno delle verifiche normative e della supervisione di vigilanza?
  • Come deve essere eseguito l'onboarding ad alta sicurezza nell'ambito del livello esteso di verifica dell'identità (LoIP)

Garantisce che la verifica dell'identità in tutta l'UE non solo sia uniforme, ma anche tecnicamente rigorosa e resistente ai moderni modelli di frode.Il regolamento eIDAS è già citato nelle linee guida dell'Autorità bancaria europea (EBA) per l'onboarding a distanza, nelle direttive sul riciclaggio di denaro attuali e in quelle future. Rientra inoltre nelle aspettative e nei requisiti di vigilanza previsti dalla PSD2 e dai relativi quadri normativi in materia di criminalità finanziaria.

Questo allineamento normativo ha implicazioni significative. ETSI v2 è diventato il punto di riferimento operativo per la verifica dell'identità a distanza in tutta Europa, in particolare nei servizi finanziari. Un processo di verifica dell'identità progettato in conformità con ETSI v2 soddisferà, in linea di principio, contemporaneamente gli obblighi eIDAS 2, antiriciclaggio di denaro/adeguata verifica della clientela e le aspettative di vigilanza. Per gli istituti finanziari, questa convergenza riduce la frammentazione e fornisce un quadro chiaro e armonizzato per l'onboarding transfrontaliero.

Impatto sui servizi finanziari

L'UE sta procedendo verso una convergenza normativa tra i quadri normativi eIDAS 2 e antiriciclaggio (AML), creando un approccio unificato alla verifica dell'identità a distanza (IDV). Questo allineamento rende l'onboarding certificato ETSI lo standard di riferimento, garantendo certezza giuridica e interoperabilità in tutti gli Stati membri dell'UE.

Per gli istituti finanziari, quali banche, fornitori di servizi di pagamento e istituti finanziari regolamentati, l'introduzione dell'eIDAS 2 comporta quindi l'adozione di un quadro normativo armonizzato per l'acquisizione di clienti a livello transfrontaliero. La convergenza offre:

  • Costi di conformità inferiori:Un unico processo IDV certificato ETSI consente ai fornitori di servizi finanziari di adempiere agli obblighi derivanti da diversi quadri normativi (eIDAS, AMLD6, PSD2), riducendo le duplicazioni e semplificando la preparazione degli audit.
  • Interoperabilità transfrontaliera:I processi di onboarding conformi all'ETSI sono riconosciuti in tutti gli Stati membri dell'UE, di conseguenza è possibile onboarding coerente ed espansione semplificata in nuovi mercati.
  • Prevenzione delle frodi e sicurezza migliorate:ETSI v2 introduce rigorosi controlli di integrità biometrica e antispoofing, mitigando i rischi associati ai deepfake e agli attacchi di presentazione sofisticati, ormai critici negli ambienti di transazione ad alto rischio.

In questo contesto, gli istituti finanziari devono prepararsi a una conformità graduale: 

Cronologia eIDAS 2

Che cos'è un Trust Service Provider (provider di servizi di fiducia)? 

Un fornitore di servizi fiduciari (TSP) è una persona giuridica o fisica che fornisce uno o più servizi fiduciari ai sensi dell'eIDAS ed è soggetta alla supervisione di un'autorità nazionale.Il suo ruolo è garantire che le interazioni digitali, dalla firma e sigillatura dei documenti alla marcatura temporale dei dati o alla trasmissione di informazioni sensibili, siano sicure, autentiche e legalmente affidabili.I TSP garantiscono inoltre la riservatezza e la non ripudiabilità delle informazioni e consentono l'autenticazione dei siti web o dei firmatari.

I loro servizi forniscono i meccanismi per verificare l'autenticità e l'integrità dei documenti elettronici, delle identità e delle comunicazioni. Sono una componente centrale del quadro normativo eIDAS  2 e garantiscono che le interazioni online e digitali raggiungano gli stessi livelli di sicurezza e efficacia giuridica dei tradizionali processi cartacei. Quando un fornitore soddisfa i requisiti più rigorosi e ottiene l'accreditamento formale, diventa un fornitore di servizi fiduciari qualificati (QTSP) e può fornire servizi fiduciari qualificati che hanno effetti giuridici specifici in tutta l'UE.

Ai sensi del regolamento eIDAS 2, i servizi fiduciari comprendono sia quelli stabiliti dal Regolamento eIDAS originale sia una serie di nuovi servizi progettati per rispondere alle esigenze in evoluzione dell'identità digitale.Queste includono:

  1. Firme elettroniche per privati

    Una firma elettronica consente alle persone di firmare documenti in formato digitale con garanzie di integrità e autenticità, ovvero fornendo un metodo sicuro e verificabile per garantire che il firmatario sia chi dichiara di essere e che il documento non sia stato alterato dopo l'apposizione della firma. Il regolamento classifica queste firme in tre livelli: Firma elettronica semplice: Offre una sicurezza di base adatta a casi d'uso a basso rischio. Firma elettronica avanzata: Fornisce un livello di sicurezza più elevato collegando la firma in modo univoco al firmatario e consentendo il rilevamento di eventuali modifiche apportate ai dati firmati. Firma elettronica qualificata (QES): Garantisce il massimo livello di sicurezza e ha lo stesso valore legale di una firma autografa. Deve essere creato utilizzando un dispositivo di creazione di firme qualificato (Qualified Signature Creation Device, QSCD) e supportato da un certificato qualificato emesso da un fornitore di servizi fiduciari qualificato (QTSP).I QSCD si basano in genere su hardware crittografico sicuro, come un modulo di sicurezza hardware (HSM), che ha superato un processo di certificazione eIDAS.

     

  2. Sigilli elettronici (ESeals)

    I sigilli elettronici funzionano in modo simile alle firme, ma sono utilizzati da persone giuridiche (ad esempio, società) piuttosto che da persone fisiche.  Sono ampiamente utilizzati per fatture, comunicazioni ufficiali e documentazione di conformità. Ai sensi dell'eIDAS 2, i sigilli confermano l'origine e l'integrità di un documento, verificando che sia stato emesso da un ente specifico e che non sia stato alterato. Similmente alle firme elettroniche, possono essere semplici, avanzate o qualificate.

     

  3. Marcatura temporale elettronica:

    Una marcatura temporale dimostra che un determinato documento elettronico o dato esisteva in un determinato momento e non è stato modificato da allora. Si tratta di un modo sicuro per stabilire l'origine della creazione, dell'invio o della ricezione di un documento, aggiungendo un ulteriore livello di integrità e affidabilità. eIDAS 2 rafforza i requisiti relativi alla marcatura temporale per supportare prove verificabili e a lungo termine dell'esistenza dei dati in un momento specifico, preservandone l'integrità. Viene utilizzato principalmente in settori quali la finanza, la sanità e i servizi legali.Le marche temporali possono essere qualificate o non qualificate.

     

  4. Qualified Website Authentication Certificate

    In breve, un QWAC è un file che dimostra l'autenticità di un dispositivo, server, utente o entità utilizzando la crittografia a chiave pubblica. Contiene una copia di una chiave pubblica del titolare del certificato, che si deve abbinare a una chiave privata corrispondente per verificarne la provenienza. È l'equivalente europeo di un certificato TLS/SSL pubblico. IQWAC, ai sensi dell'eIDAS 2, rimangono fondamentali per creare fiducia tra gli utenti e i servizi online, in particolare gli istituti finanziari e i portali governativi.

     

  5. Servizio di recapito elettronico qualificato (ERDS)

    Un ERDS garantisce la trasmissione elettronica sicura dei dati con prova di invio e ricezione, offrendo una certezza giuridica simile a quella della posta raccomandata. È fondamentale per comunicazioni sensibili quali contratti, documenti normativi e comunicazioni ufficiali. eIDAS 2 migliora l'interoperabilità ERDS attraverso gli standard ETSI, armonizzando gli approcci normativi per la messaggistica sicura transfrontaliera.

     

  6. Attestazione elettronica qualificata degli attributi (QEAA)

    Un QEAA consente la verifica attendibile di attributi personali o organizzativi, come nome, età, qualifiche professionali o licenze. Questo servizio supporta i processi di verifica dell'identità e i processi di adeguata verifica della clientela senza esporre dati personali non necessari, grazie alla divulgazione selettiva. Certifica gli attributi di identità per le interazioni basate sul portafoglio e, in quanto tale, è un elemento fondamentale per la tutela della privacy dell'identità digitale nell'ecosistema EUDI Wallet.

     

  7. Archiviazione elettronica dei documenti digitali

    Questo servizio garantisce la conservazione a lungo termine dei documenti elettronici con garanzie di integrità e autenticità. Risponde alla crescente esigenza di archiviazione digitale sicura in settori soggetti a rigide normative di conformità come quello sanitario, finanziario e governativo. L'archiviazione secondo lo standard eIDAS 2 richiede l'utilizzo di metodi crittografici per mantenere la fiducia nel tempo.

     

  8. Servizi di registri elettronici:

    I registri elettronici garantiscono una tenuta dei registri immutabile utilizzando la blockchain o tecnologie simili. Consentono audit trail trasparenti e a prova di manomissione per le transazioni finanziarie, la gestione della catena di approvvigionamento e la rendicontazione normativa. Con l'introduzione di questo servizio, eIDAS 2 supporta modelli di fiducia decentralizzati e quadri di conformità a prova di futuro.

     

  9. Gestione remota dei QSCD

    La gestione remota QSCD consente il controllo remoto sicuro dei dispositivi di creazione delle firme, rendendo possibili firme elettroniche qualificate (QES) e sigilli senza presenza fisica. Questa innovazione supporta il lavoro remoto e la trasformazione digitale mantenendo i più elevati standard di sicurezza. È particolarmente rilevante per le operazioni commerciali transfrontaliere e le soluzioni di firma basate su cloud.

Come raggiungere la conformità eIDAS 2 

L'introduzione dell'eIDAS 2 segna un cambiamento significativo nel modo in cui funzionano i servizi di identità digitale e di fiducia in tutta l'UE. Entro il 2026, tutti gli Stati membri dovranno supportare il wallet EUDI e le organizzazioni dei settori regolamentati, tra cui i servizi finanziari, le telecomunicazioni e la sanità, dovranno conformarsi ai nuovi requisiti in materia di verifica dell'identità e servizi fiduciari.

I percorsi di conformità variano a seconda del ruolo di un'organizzazione nell'ecosistema dell'identità digitale. I requisiti variano tra le parti affidatarie (imprese dell'UE che utilizzano servizi di verifica dell'identità e servizi fiduciari) e i fornitori di servizi fiduciari (TSP), che erogano tali servizi sotto la supervisione normativa.

Imprese nell'UE

Per le aziende dell'UE che utilizzano la verifica dell'identità come parte dei loro flussi di onboarding o di transazione, la conformità richiederà sempre più l'allineamento con ETSI TS 119 461 v2 e con il modello di autenticazione basato su wallet introdotto da eIDAS 2. In pratica, questo il significato:

  • Implementazione di solidi processi di verifica dell'identità remota con integrità biometrica, resilienza allo spoofing e controlli di autenticità dei documenti
  • Integrazione di firme elettroniche qualificate o di certificati ove richiesto dalla legge
  • Preparazione dei sistemi per accettare l'autenticazione basata su EUDI Wallet e le attestazioni elettroniche qualificate degli attributi (QEAA)

Queste modifiche garantiscono che le parti affidabili supportino un modello di verifica coerente e altamente affidabile in tutta l'UE.

Prestatori di servizi fiduciari:

Per i fornitori di servizi fiduciari, la conformità richiede la gestione di QSCD, infrastrutture PKI e piattaforme di servizi fiduciari in conformità con i requisiti tecnici e di vigilanza definiti nell'ambito dell'eIDAS e delle pertinenti norme ETSI.

Questo comprende:

  • Generazione e archiviazione sicure delle chiavi di firma all'interno dei QSCD
  • Accesso strettamente controllato alle funzionalità di firma e sigillatura
  • Registrazione, conservazione e archiviazione affidabili delle prove
  • Un quadro organizzativo e di sicurezza in grado di superare gli audit di supervisione e soddisfare gli obblighi di segnalazione degli incidenti.

I TSP devono utilizzare QSCD certificati per creare firme elettroniche qualificate. Questi dispositivi garantiscono che i dati di creazione della firma, come le chiavi private, siano generati, gestiti e archiviati in un ambiente sicuro, impedendo accessi non autorizzati.

I fornitori di servizi devono inoltre implementare una solida infrastruttura a chiave pubblica (PKI) per gestire i certificati digitali e le chiavi crittografiche. La PKI è alla base dell'emissione, della distribuzione e della verifica sicure dei certificati digitali, garantendo l'affidabilità delle firme elettroniche e di altri servizi fiduciari.I TSP devono quindi mantenere pratiche di gestione delle chiavi conformi, controlli sicuri del ciclo di vita e l'allineamento con tutti i requisiti eIDAS applicabili.

I sistemi di gestione di accessi e identità (IAM) sono ugualmente essenziali ai TSP per gestire le identità degli utenti e controllare l'accesso ai propri servizi. Questi sistemi devono integrare metodi di autenticazione avanzati, come l'autenticazione multifattoriale (MFA), per verificare l'identità degli utenti. Le soluzioni IAM possono anche garantire che solo le persone e gli operatori autorizzati possano eseguire operazioni sensibili, come l'emissione di certificati o la creazione di firme elettroniche.

In entrambi i casi, il cambiamento introdotto da eIDAS 2 non riguarda solo gli strumenti utilizzati dalle organizzazioni, ma anche il modo in cui tali strumenti vengono governati, testati e dimostrati agli enti regolatori. L'allineamento con ETSI TS 119 461 v2 e con gli standard ETSI più ampi fornisce il percorso più chiaro e verificabile per dimostrare che la verifica dell'identità e le operazioni di servizi fiduciari soddisfano il nuovo livello di garanzia armonizzato previsto in tutta l'UE.

Come Entrust può aiutarti a rimanere conforme  

In qualità di membro fondatore del Cloud Signature Consortium e leader di lunga data in PKI, infrastrutture di trust e sicurezza informatica, Entrust aiuta le organizzazioni a soddisfare i requisiti in continua evoluzione di eIDAS 2.

Le nostre soluzioni si integrano perfettamente con i flussi di lavoro di onboarding KYC e AML e supportano le solide pratiche di verifica dell'identità incentrate sulla privacy previste dalle normative eIDAS 2 e del settore finanziario.

Entrust offre una verifica dell'identità allineata con ETSI che combina la verifica dei documenti, i controlli biometrici e l'intelligenza dei dispositivi all'interno di un flusso di lavoro efficiente e automatizzato. Queste funzionalità consentono un processo di onboarding remoto sicuro e affidabile senza necessità di videochiamate o di elaborazione manuale, mantenendo al contempo l'allineamento con i requisiti GDPR ed ETSI. Supportano inoltre l'interoperabilità transfrontaliera, consentendo alle organizzazioni di operare in modo coerente in tutti gli Stati membri dell'UE.

Inoltre, la leadership di Entrust nell'infrastruttura PKI e trust aiuta i clienti a creare e gestire servizi di trust digitale conformi su una base sicura e scalabile. La nostra tecnologia supporta le organizzazioni che desiderano implementare flussi di lavoro di firma digitale o altre architetture di servizi fiduciari in modi che siano in linea con le aspettative tecniche riflesse in IDAS 2. Con Entrust, le organizzazioni possono entrare con sicurezza nell'era eIDAS 2, supportate da funzionalità di verifica dell'identità e di infrastrutture di trust affidabili, interoperabili e pronte per il futuro.

Esplora le sezioni

Esplora le sezioni

Preparati a eIDAS 2 con soluzioni di identità affidabili.
Esplora le soluzioni eIDAS

Soluzioni eIDAS

QSCD PER LA FIRMA REMOTA

Ottieni un Qualified Signature Creation Device conforme eIDAS con un HSM nShield e il modulo di attivazione delle firme Entrust.

Esplora QSCD

Motori di firma digitale

Soluzioni di firma digitale per governi e fornitori di servizi fiduciari.

Esplora i motori per la firma digitale

Certificati QWAC eIDAS

I Qualified Website Authentication Certificate (QWAC), conformi a eIDAS, ti aiutano a rispettare le linee guida di eIDAS.

Esplora i QWAC

Soluzioni di conformità per la verifica dell'identità

Soddisfa le complesse esigenze normative locali e integra i clienti da remoto con una soluzione di onboarding semplice, fluida e conforme allo standard eIDAS.

Esplora la conformità IDV