L’importanza dell’eIDAS nel contesto normativo europeo
L’eIDAS (electronic IDentification Authentication and Signature) è un regolamento emanato il 23 luglio 2014 dalla Commissione Europea ed è entrato a regime dal 1 luglio del 2016. La normativa fornisce una
base comune per interazioni elettroniche sicure fra cittadini, imprese e PA.
A sostegno dell'iniziativa del mercato unico digitale (DSM) della Commissione Europea, l’eIDAS mira a facilitare il flusso del commercio nell'UE attraverso l'
armonizzazione del diritto, la
trasparenza, la
sicurezza, la
neutralità tecnica, la
cooperazione e l'
interoperabilità. Perseguendo questi valori, il quadro di riferimento standardizza l'uso dell'identificazione elettronica (eID) e definisce una nuova classe di “servizi fiduciari elettronici” (eTS). Inoltre, chiarisce e garantisce la
validità legale delle firme elettroniche e crea un mercato interno europeo per i
servizi fiduciari elettronici.
Da un punto di vista strettamente giuridico, il regolamento eIDAS garantisce a persone e organizzazioni all'interno di uno Stato membro di
utilizzare i propri mezzi eID per accedere ai servizi pubblici di altri Stati membri, a condizione che tali servizi pubblici offrano un’autenticazione sicura.
Così, ad una studentessa francese che desidera frequentare l'università a Milano non sarà impedito di accedere e completare il processo di registrazione online se non dispone di uno Spid. Sotto eIDAS, il suo eID FrenchConnect sarà altrettanto valido.
Vale la pena fare un passo indietro con le terminologie: cos’è un eID?
Cos’è l’identificazione elettronica (eID)
L'
identificazione elettronica o eID può riferirsi ad un
metodo elettronico che garantisce
l'identificazione univoca di una persona, ai dati di identità di un individuo archiviati elettronicamente, l'equivalente digitale della loro carta d'identità fisica tradizionale, oppure alle operazioni di
autenticazione in un ambiente digitale. Fornendo un quadro giuridico a livello di Unione Europea, un sistema
eID nazionale, e certificato, può essere integrato all’interno del più ampio schema dell’
eIDAS comunitario.
Al fine di garantire legalmente l'interoperabilità tra gli Stati membri, il regolamento eIDAS definisce gli
standard che uno schema eID deve soddisfare. Sono
tre i livelli di garanzia richiesti dall’eIDAS, basati sullo standard ISO/IEC 2915, che è fondamento di molti quadri di garanzia in tutto il mondo.
Due fattori chiave aiutano a determinare il grado di confidenza offerto da ciascun livello:
garanzia dell'identità al momento della registrazione (quanto è stato rigoroso il processo di identificazione della persona o entità quando ha richiesto la sua eID) e
garanzia di autenticazione (forza dei metodi utilizzati al momento dell'autenticazione).
Utilizzando questo framework, i legislatori possono specificare quale livello di
garanzia deve avere un eID per un determinato tipo di transazione.
Le aziende private possono, a loro discrezione, richiedere un livello di garanzia ancora più elevato di quello domandato dalla legge se decidono che il proprio rischio aziendale lo giustifica. I
vantaggi di una maggiore
sicurezza, ovviamente, devono essere valutati rispetto alla qualità dell'
esperienza del cliente e ai
costi di transazione aggiuntivi per l'azienda.
Per consentire l'
interoperabilità dei sistemi eID di diversi Stati membri è necessario un metodo per la gestione e l'esecuzione dell'autenticazione transfrontaliera, nonché un processo per formalizzare i sistemi eID approvati eIDAS.
Il processo di approvazione formale di uno schema eID è noto come "notifica". Ciascuno Stato membro è responsabile della notifica dei propri schemi eID, garantendo che soddisfino tutti i requisiti di sicurezza e qualità. L'infrastruttura tecnica che collega i vari schemi e mezzi eID è nota come rete eIDAS.
Questa si basa su una serie di nodi (eIDAS-Nodes), che sono implementati a livello di Stato membro. Nel contesto di una singola transazione, ogni nodo può sia richiedere che fornire l'autenticazione transfrontaliera.
Il mercato unico digitale europeo
Il regolamento eIDAS costituisce un importante passo avanti verso la realizzazione di un
mercato unico digitale nell'UE, favorendo e accelerando la
trasformazione nei settori pubblico e privato. Agisce istituendo un
quadro giuridico per le
firme elettroniche, i
sigilli elettronici, le
validazioni temporali elettroniche, i
documenti elettronici, i
servizi elettronici di recapito certificato e i servizi relativi ai
certificati di autenticazione di siti web.
I fornitori di servizi fiduciari qualificati sono coloro che caratterizzano il servizio offerto attraverso l’uso del marchio di fiducia UE per i servizi fiduciari qualificati.
L’
eIDAS costituisce, quindi, il
marchio di fiducia di alcuni trust services, come la firma elettronica.
Per approfondire l’argomento,
scarica l’e-guide “Dai servizi di certificazione ai trust services” .