eIDAS 2.0: tutte le novità
Il nuovo regolamento europeo del Parlamento e del Consiglio che modifica il regolamento eIDAS del 2014 sull’identità digitale contiene numerose novità che riguardano la presenza di nuovi servizi fiduciari e una nuova impostazione per quelli già presenti nella versione precedente del regolamento. I nuovi servizi fiduciari sono l’attestazione elettronica degli attributi, il certificato di autenticazione di sito web, la gestione di dispositivi qualificati per la creazione di una firma elettronica (o un sigillo elettronico) a distanza, l’archiviazione elettronica e i registri elettronici. Esaminiamo sinteticamente i singoli servizi
31 Luglio 2024
Giovanni Manca
Consulente ICT (Transizione Digitale)
- 1 Il rilascio di attestati elettronici di attributi
- 2 Il rilascio e la convalida di certificati di autenticazione di siti web
- 3 La gestione dei dispositivi qualificati per la creazione di firme e sigilli a distanza
- 4 La convalida dei dati trasmessi tramite servizi elettronici di recapito certificato e relative prove
- 5 L’archiviazione elettronica di dati elettronici e di documenti elettronici
- 6 La registrazione di dati elettronici in un registro elettronico
- 7 Conclusioni
Questo articolo, pubblicato il 14 marzo, è stato aggiornato a seguito dell’entrata in vigore del nuovo regolamento eIDAS 2 (20 maggio 2024).
Il Portafoglio Europeo di Identità Digitale è senza dubbio il protagonista assoluto del nuovo regolamento europeo del Parlamento e del Consiglio “che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea” entrato in vigore il 20 maggio 2024 come regolamento (UE) 2024/1183.
Questo regolamento introduce ulteriori e numerose novità che è sono, anch’esse descritte nel seguito. Queste novità riguardano la presenza di nuovi servizi fiduciari ma anche una nuova impostazione su quelli che erano già presenti nella versione precedente del regolamento.
I nuovi servizi fiduciari il rilascio di attestati elettronici di attributi, la convalida di attestati elettronici di attributi, il rilascio di certificati di autenticazione di siti web e la loro convalida (sono due servizi fiduciari differenti), la gestione di dispositivi qualificati per la creazione di una firma elettronica (o un sigillo elettronico) a distanza, la convalida dei dati trasmessi tramite servizi elettronici di recapito certificato e relative prove, l’archiviazione elettronica di dati elettronici e di documenti elettronici, la registrazione di dati elettronici in un registro elettronico.
Il servizio relativo ai certificati di autenticazione dei siti web era presente anche nella prima versione del regolamento ma è stato modificato per adeguarlo ai nuovi scenari di sicurezza cibernetica e aderente al modello di governance comunitario.
I nuovi servizi fiduciari sono, in qualche modo, conseguenza dell’introduzione del Portafoglio Europeo, in quanto necessari per uno sviluppo omnicomprensivo dell’identità digitale.
Nel seguito esaminiamo sinteticamente i singoli servizi.
Il rilascio di attestati elettronici di attributi
La centralità dell’attestazione elettronica degli attributi è strettamente collegata all’identità digitale. La stessa persona fisica o giuridica agisce in rete o fuori rete con le varie istanze possibili associate alla propria identità digitale che è, ovviamente, univocamente connessa alla persona fisica. A quest’ultima associa si associano gli attestati elettronici degli attributi.
L’attributo e l’attestato (risultato dell’attestazione) sono definiti nei punti seguenti dell’articolo 3 di eIDAS 2.0:
43) “attributo”, la caratteristica, la qualità, il diritto o l’autorizzazione di una persona fisica o giuridica o di un oggetto;
44) “attestato elettronico di attributi”, un attestato in forma elettronica che consente l’autenticazione di attributi;
45) “attestato elettronico di attributi qualificato”, un attestato elettronico di attributi che è rilasciato da un prestatore di servizi fiduciari qualificato e soddisfa i requisiti di cui all’allegato V.
Come si vede l’attributo può essere relativo anche ad un oggetto come accade nel cosiddetto Internet delle cose. L’attestazione elettronica può essere anche qualificata visto che si tratta di un servizio fiduciario. La definizione specifica l’abbiamo appena indicata in precedenza.
Nell’ambito operativo è importante anche la fonte autentica definita come di seguito:
46) “fonte autentica”, un archivio o un sistema, tenuto sotto la responsabilità di un organismo del settore pubblico o di un soggetto privato, che contiene e fornisce gli attributi relativi a una persona fisica o giuridica e che è considerato una fonte primaria di tali informazioni o la cui autenticità è riconosciuta conformemente al diritto dell’Unione o nazionale, inclusa la prassi amministrativa.
Per rilasciare attestati elettronici di attributo è indispensabile disporre di fonti autentiche a maggior ragione se queste sono di natura pubblica. La normativa operativa sull’attestazione elettronica di attributi è ampia e ad essa è dedicata l’intera sezione 9. Gli articoli presenti in questa sezione sono sette, dal 45-ter al 45-nonies. A questi dobbiamo aggiungere gli allegati V, VI e VII.
Considerando la lunghezza dell’articolato, in questa sede ci concentriamo sul commento ai principali aspetti dell’attestazione di attributi.
Gli effetti giuridici e l’efficacia probatoria stabiliti nell’articolo 45-ter sono i tradizionali delle norme comunitarie, il formato elettronico è ammesso e la qualifica dell’attributo non è indispensabile in azioni giuridiche.
Gli attributi rilasciati da una fonte autentica del settore pubblico o per suo conto devono avere gli stessi effetti delle attestazioni legalmente rilasciate in formato cartaceo.
Gli attributi così rilasciati sono validi in tutti gli Stati membri.
L’articolo 45 quater è dedicato all’attestazione elettronica di attributi nel settore pubblico. I dati degli attributi non sostituiscono i dati identificativi. Questo è importante nell’uso del Portafoglio Europeo di Identità Digitale.
L’articolo 45 quinquies stabilisce le norme per i requisiti per l’attestazione elettronica di attributi. I requisiti sono nell’allegato V e le regole tecniche devono essere coordinate con quelle del Portafoglio Europeo di Identità Digitale.
L’articolo 45 sexies tratta della verifica degli attributi rispetto alle fonti autentiche. Sono qui stabilite le tempistiche di rilascio (24 mesi dall’entrata in vigore degli atti di esecuzione) per l’utilizzo da parte dei prestatori di servizi qualificati di attestazione elettronica degli attributi delle fonti autentiche pubbliche. Anche in questo caso, gli atti di esecuzione devono essere coordinati rispetto al contesto del Portafoglio e degli attributi elettronici.
L’articolo 45 septies stabilisce i requisiti per l’attestazione elettronica di attributi da o per conto di un organismo del settore pubblico responsabile di una fonte autentica.
Questi soggetti dovranno garantire elevate caratteristiche di sicurezza e dovranno possedere adeguate caratteristiche di conformità alle regole comunitarie, in maniera analoga ai soggetti qualificati.
Questo articolo prosegue con le solite norme per l’emissione di regole tecniche e si conclude con l’obbligo per i citati organismi del settore pubblico di fornire un’interfaccia con il Portafoglio Europeo di Identità Digitale, a conferma dello stretto legame tra di esso e gli attributi.
Sul piano pratico disporre di attributi qualificati significa utilizzare una patente di guida con valore legale transnazionale, un attestato di studi, una certificazione sullo stato di salute, caratteristiche della persona o la conferma legale della professione in tutta l’area di applicazione di eIDAS 2.0.
L’esattezza dei dati sarà cruciale anche per le operazioni di autocertificazione che potranno essere firmate dai cittadini con il Portafoglio, in modo gratuito.
In questo scenario si colloca, al fianco del rilascio, il servizio fiduciario di convalida di attestati elettronici di attributi la cui crucialità è già stata evidenziata in precedenza.
Il rilascio e la convalida di certificati di autenticazione di siti web
Come già detto questi certificati erano già presenti nella prima versione del regolamento eIDAS ma il servizio fiduciario che li riguarda è stato aggiornato per renderlo adeguato al modello di governance comunitario e per imporne l’utilizzo ai browser. Questa cosa ha scatenato significative proteste oltre oceano compresa una lettera alla Commissione europea per la richiesta di modifiche al testo.
I servizi fiduciari di rilascio e convalida sono indipendenti e come tali sono due servizi.
Il certificato di autenticazione di sito web è definito come:
“un attestato elettronico che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato”.
A questo punto invitiamo il lettore alla lettura del testo completo di eIDAS 2.0 su questo servizio fiduciario, al fine di acquisire direttamente le nuove regole e avere una sua opinione diretta sulla fondatezza delle critiche citate nella parte iniziale di questo articolo.
In questa sede ci limitiamo a qualche doveroso commento.
Il primo è sulla messa in discussione da parte dei critici del modello di trust stabilito in eIDAS 2. Il modello è molto complesso ed è già vigente con le regole della Sezione III del testo. Il tutto è consolidato dalla piena applicazione del precedente regolamento; regole di qualifica dei servizi fiduciari, responsabilità degli Stati membri, vigilanza nazionale e transnazionale, collaborazione con le autorità nazionali per la protezione dei dati personali, ecc.
Riassumendo, l’attuale regolamento eIDAS segue l’approccio di un’identità digitale centralizzata di fatto rilasciata dallo Stato membro o sotto il suo controllo. Ciò significa che eIDAS agisce sul presupposto di un aggancio fiduciario per ogni identità digitale, in modo che sia sempre necessaria una terza parte affidabile che rilasci l’identità digitale. Quest’ultima, senza questo supporto governativo, non è conforme al regolamento.
Quanto esposto non significa che gli Stati membri hanno il controllo sulle transazioni effettuate dal titolare di una specifica identità ma solo che lo Stato ha la responsabilità sugli operatori pubblici e privati che applicano eIDAS 2.0.
Introdurre regole europee non imposte dai Governi ma sotto la loro responsabilità con conformità a standard operativi e di sicurezza gestiti con certificazioni e meccanismi analoghi è più rischioso delle regole totalmente private del CA/Browser Forum dove il controllato e il controllore sono la stessa cosa?
Naturalmente i giuristi potrebbero anche evidenziare (a ragione) le differenze tra Common Law e Civil Law che porta a valutazioni differenti nelle analisi di “trust” sui due mondi (USA e Regno Unito ed Europa).
La considerazione finale è sulla fiducia che deve essere riposta per il “Governo Europeo”, alla quale segue una domanda cruciale: la governance privata di Google, Mozilla e altri è migliore di quella europea?
La gestione dei dispositivi qualificati per la creazione di firme e sigilli a distanza
L’introduzione di questo servizio fiduciario (anche se, in questo caso, i servizi sono due, per firme e sigilli) è la conferma dell’importanza comunitaria della firma remota, già introdotta con successo in Italia da oltre 14 anni. L’obbligo di disporre gratuitamente di una firma elettronica qualificata sul Portafoglio Europeo (solo se lo Stato legifera in tal senso e per le persone fisiche e a scopi esclusivamente non professionali) ha reso necessario una regolamentazione aggiornata ed esplicita sul tema.
I dispositivi in esame sono quelli per la creazione di firme e sigilli alla pari di smart card e token crittografici, ma le regole di sicurezza ad essi relative non si sono mai assestate a livello comunitario e l’atto di esecuzione previsto in eIDAS 1.0 (Decisione di esecuzione 2016/650) non è mai stato aggiornato per includere i dispositivi “a distanza” ovvero i cosiddetti HSM (Hardware Security Module).
Questa nuova versione del regolamento introduce regole analoghe alle precedenti, ma più stringenti, soprattutto stabilendo in modo chiaro che la certificazione di sicurezza di questi dispositivi deve essere aggiornata in modo coordinato a quanto stabilito nella direttiva NIS 2.
Il più significativo è quello della durata della certificazione, che non deve superare i cinque anni, “a condizione che ogni due anni siano effettuate valutazioni della vulnerabilità”. In seguito a valutazioni negative e senza rimedio, la certificazione è annullata.
La convalida dei dati trasmessi tramite servizi elettronici di recapito certificato e relative prove
Questo nuovo servizio fiduciario è da affiancare a quello già presente nella prima versione del regolamento, la prestazione di servizi elettronici di recapito certificato.
I servizi di convalida sono presenti solo nell’elenco dei servizi fiduciari, nel testo del regolamento non sono più citati e per essi non sono previsti atti di esecuzione, specifiche e procedure applicabili. Le modalità attuative per questo servizio saranno probabilmente associate ad aggiornamenti relativi ai servizi elettronici di recapito certificato anche se l’assenza della convalida come norma primaria ne limita l’azione giuridica a livello comunitario. Le prove citate nel testo sono la citazione, tecnologicamente neutra, delle ricevute dell’invio e della ricezione che abbiamo nel nostro ordinamento con la Posta Elettronica certificata.
L’archiviazione elettronica di dati elettronici e di documenti elettronici
In questo paragrafo si descrive il nuovo servizio fiduciario dell’archiviazione elettronica di dati e documenti elettronici (e-archiving), che si affianca alla conservazione qualificata delle firme e dei sigilli qualificati, già normata negli articoli 34 e 40 del primo regolamento eIDAS.
In Italia l’argomento archiviazione elettronica è trattato nell’ambito della formazione, gestione e conservazione dei documenti informatici ed è molto importante, sia per la pubblica amministrazione che per i cittadini e le imprese.
Il testo del regolamento eIDAS 2.0 introduce il tema con il Considerando (66), riportato di seguito:
“(66) Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono un’archiviazione elettronica sicura e affidabile al fine di consentire la conservazione a lungo termine di dati elettronici e documenti elettronici, nonché per i servizi fiduciari associati. Al fine di garantire la certezza giuridica, la fiducia e l’armonizzazione in tutti gli Stati membri, è opportuno istituire un quadro giuridico per i servizi di archiviazione elettronica qualificati, ispirato al quadro per gli altri servizi fiduciari di cui al presente regolamento. Il quadro giuridico per i servizi di archiviazione elettronica qualificati dovrebbe offrire ai prestatori di servizi fiduciari e agli utenti un pacchetto di strumenti efficiente che comprenda requisiti funzionali per il servizio di archiviazione elettronica, nonché chiari effetti giuridici in caso di utilizzo di un servizio di archiviazione elettronica qualificato. Tali disposizioni dovrebbero applicarsi ai documenti creati in formato digitale e ai documenti cartacei che sono stati scannerizzati e digitalizzati. Ove necessario, tali disposizioni dovrebbero consentire che i dati elettronici e i documenti elettronici conservati siano trasferiti su supporti o formati diversi al fine di estenderne la durabilità e la leggibilità oltre il periodo di validità tecnologica, evitando nel contempo, nella misura del possibile, le perdite e le alterazioni. Quando i dati elettronici e i documenti elettronici trasmessi al servizio di archiviazione elettronica contengono una o più firme elettroniche qualificate ovvero uno o più sigilli elettronici qualificati, il servizio dovrebbe utilizzare procedure e tecnologie in grado di estendere la loro affidabilità per il periodo di conservazione di tali dati, eventualmente ricorrendo all’uso di altri servizi fiduciari qualificati istituiti dal presente regolamento. Per la creazione delle prove di conservazione in caso di utilizzo di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, è opportuno utilizzare servizi fiduciari qualificati. Poiché i servizi di archiviazione elettronica non sono armonizzati dal presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni nazionali, in conformità del diritto dell’Unione, relative a tali servizi, quali disposizioni specifiche per i servizi integrati in un’organizzazione e utilizzati esclusivamente per gli “archivi interni” di tale organizzazione. Il presente regolamento non dovrebbe distinguere tra documenti creati in formato digitale e documenti fisici che sono stati digitalizzati”.
Il testo è chiaro nella descrizione dello scenario comunitario e nell’evidenziare la necessità di armonizzazione con altri servizi fiduciari qualificati. Per valutare eventuali regole comuni tra Europa e Italia è indispensabile comprendere quanto stabilito nel testo di eIDAS 2.0.
Le definizioni sono le seguenti:
“47) “archiviazione elettronica”: un servizio che garantisce la ricezione, la conservazione, il reperimento e cancellazione dei dati e dei documenti informatici al fine di garantirne la durabilità e la leggibilità nonché preservarne l’integrità, riservatezza e prova dell’origine durante tutto il periodo di conservazione;
48) “servizio di archiviazione elettronica qualificato”, un servizio elettronico che soddisfa i requisiti di cui all’articolo 45 undecies”.
La normativa operativa è la seguente:
“Articolo 45 decies.
Effetti giuridici dei servizi di archiviazione elettronica
- Ai dati e ai documenti informatici conservati mediante un servizio di archiviazione elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in giudizio per il solo motivo che sono in formato elettronico o non sono conservati mediante un servizio di archiviazione elettronica qualificato.
- I dati informatici e i documenti informatici conservati mediante un servizio di archiviazione elettronica qualificato godono della presunzione di integrità e di provenienza per tutta la durata del periodo di conservazione da parte del prestatore di servizi fiduciari qualificato.
Articolo 45 undecies
Requisiti per i servizi di archiviazione elettronica qualificata
1. I servizi di archiviazione elettronica qualificati soddisfano i seguenti requisiti:
a) Sono forniti da prestatori di servizi fiduciari qualificati; b) Utilizzano procedure e tecnologie atte a garantire la durabilità e la leggibilità dei dati elettronici oltre il periodo di validità tecnologica e almeno per tutto il periodo di conservazione legale o contrattuale, preservandone l’integrità e l’accuratezza della loro origine; c) Garantiscono che i dati elettronici siano conservati in modo tale da essere salvaguardati contro la perdita e l’alterazione, ad eccezione dei cambiamenti riguardanti il loro supporto o formato elettronico; d) Consentono alle parti autorizzate di ricevere un rapporto in modo automatizzato che confermi che un dato elettronico recuperato da un archivio elettronico qualificato gode della presunzione di integrità dei dati dall’inizio del periodo di conservazione fino al momento del recupero. Tale rapporto deve essere fornito in modo affidabile ed efficiente e reca la firma elettronica qualificata o il sigillo elettronico qualificato del fornitore del servizio di archiviazione elettronica qualificata. |
2. Entro … [12 mesi dalla data di entrata in vigore del presente regolamento modificativo], la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, ove necessario, stabilisce specifiche e procedure per i servizi di archiviazione elettronica qualificati. Il rispetto dei requisiti per i servizi di archivio elettronico qualificato si presume quando un servizio di archivio elettronico qualificato soddisfa tali standard, specifiche e procedure. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.”.
La lettura del testo comunitario evidenzia l’uso della definizione di archiviazione elettronica in modo analogo a quella di conservazione.
Sul sito internet dell’Agenzia per l’Italia Digitale si descrive la conservazione come “l’attività volta a proteggere e custodire nel tempo gli archivi di documenti e dati informatici”.
Il medesimo sito prosegue la descrizione come segue:
“Il sistema di conservazione, come previsto dall’art.44 del CAD, garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici”.
L’approccio comunitario e quello nazionale hanno componenti operative sovrapposte, quindi è indispensabile definire regole chiare per evitare contraddizioni tra norme comunitarie e nazionali.
In questo scenario diventa indispensabile definire in sede di organismo di standardizzazione le regole tecniche armonizzate con quelle nazionali.
L’obiettivo finale deve essere quello di conservare, per quanto possibile, le regole nazionali mediante lo sviluppo di standard europei adeguati. L’obiettivo può essere raggiunto solo con un adeguato presidio di istituzioni e aziende sulle attività di standardizzazione.
La registrazione di dati elettronici in un registro elettronico
Un altro servizio fiduciario introdotto dal regolamento eIDAS 2.0 è quello relativo alla registrazione di dati elettronici in un registro elettronico.
Questo nuovo servizio ha vissuto vicende alterne, in alcuni testi intermedi era stato eliminato, per poi essere reintrodotto nelle fasi finali dell’approvazione del testo.
Si tratta di una importante innovazione perché, come vedremo nel seguito, eIDAS introduce le basi per i registri elettronici distribuiti cioè per la blockchain e gli smart contract.
Il testo approvato , a partire dalle definizioni, è mostrato di seguito:
“52) “registro elettronico”, un registro elettronico di dati a prova di manomissione, che garantisce l’autenticità e l’integrità dei dati che contiene, nonché l’accuratezza della data e l’ora e dell’ordine cronologico di tali dati.
53) “registro elettronico qualificato”, un registro elettronico di dati che soddisfa i requisiti stabiliti nell’Articolo 45 terdecies”.
SEZIONE 11
REGISTRI ELETTRONICI
Articolo 45 duodecies
Effetti giuridici dei registri elettronici
1. A un registro elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziari per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i registri elettronici qualificati.
2. Le registrazioni di dati contenute in un registro elettronico qualificato godono della presunzione del loro ordine cronologico sequenziale univoco e accurato e della loro integrità.
Articolo 45 terdecies
Requisiti per i registri elettronici qualificati
1. I registri elettronici qualificati soddisfano i requisiti seguenti:
a) sono creati e gestiti da uno o più prestatori di servizi fiduciari qualificati; b) stabiliscono l’origine delle registrazioni di dati nel registro; c) garantiscono l’ordine cronologico sequenziale univoco delle registrazioni di dati nel registro; d) registrano i dati in modo tale che sia possibile individuare immediatamente qualsiasi successiva modifica degli stessi, garantendone l’integrità nel tempo. |
2. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove un registro elettronico adempia le norme, le specifiche e le procedure di cui al paragrafo 3.
3. Entro … [12 mesi dalla data di entrata in vigore del presente regolamento modificativo] la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, se necessario, stabilisce specifiche e procedure applicabili ai requisiti di cui al paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.”.
L’articolo 45 duodecies stabilisce la validità legale del registro elettronico nel tipico stile della normativa comunitaria già applicato per le firme, i sigilli elettronici e le altre fattispecie trattate nel regolamento eIDAS vigente.
Nel secondo paragrafo dell’articolo si stabilisce che i record nel registro qualificato godono della presunzione di integrità e di ordinamente cronologico accurato ed unico. Questa regola è tipica anche nella blockchain o, in genere, nei registri elettronici distribuiti.
secondo paragrafo dell’articolo si stabilisce che i record nel registro qualificato godono della presunzione di integrità e di ordinamente cronologicio accurato ed unico. Questa regola è tipica anche nella blockchain o, in genere, nei registri elettronici dictribuiti.
L’articolo 45 terdecies stabilisce i requisiti per i registri elettronici qualificati e lo fa riprendendo e ampliando i concetti della definizione.
Naturalmente, trattandosi di un servizio qualificato deve essere creato e gestito da soggetti qualificati. I record sono ordinati cronologicamente nel registro ed è stabilita l’origine di tali record, quindi ci sono attività di tracciamento delle registrazioni.
Tutte le registrazioni dei dati sono tali da garantire la loro integrità nel tempo.
L’articolo 45 terdecies si conclude che la previsione dell’emissione da parte della Commisione di atti di esecuzione che sono di riferimento per la messa in opera dei registri elettronici.
Il tradizionale approccio comunitario, tecnologicamente neutro, non consente di inserire nel testo gli aspetti tecnici.
Le informazioni più ampie sui registri elettronici le possiamo trovare nel Considerando (68), per la lettura del quale si rinvia al testo di eIDAS 2.0.
Questo considerando contiene una serie di spunti molto interessanti.
Il primo è sul possibile utilizzo dei registri elettronici per il voto elettronico, ma anche su possibili applicazioni di tracciamento merci e scambio di titoli accademici. La particolare tipologia applicativa dei registri elettronici che consente di registrare eventi in rigoroso ordine cronologico viene richiamata con la raccomandazione di evitare usi impropri rispetto alla validazione temporale elettronica e ai servizi elettronici di recapito certificato come la nostra PEC o la sua evoluzione REM.
Un quadro normativo comunitario serve anche ad evitare che sui dati registrati vi siano utilizzi separati all’interno del singolo Stato membro. Viene ribadito il concetto di neutralità tecnologica delle soluzioni, di possibili registri centralizzati o decentralizzati. Molto importante è anche l’approccio ambientale da realizzare con indicatori di sostenibilità “relativi agli impatti negativi sul clima e ad altri impatti negativi legati all’ambiente”. Su questi temi si invita la Commissione alla stesura di atti di esecuzione adeguati ad affrontare queste tematiche.
In conclusione possiamo dire che l’introduzione nel regolamento eIDAS dei registri elettronici come servizio fiduciario è importante vista la diffusione dei registri centralizzati o distribuiti come la blockchain e gli smart contract.
Una sfida innovativa sarà quella di definire regole di qualifica per soggetti che sfuggono alla tipologia di impresa tradizionale tipo i miners cinesi o statunitensi. Naturalmente un salto di qualità ci sarà per applicazioni governative, fintech e anche utilizzi, come accade spesso nel caso dell’innovazione digitale, imprevedibili.
Conclusioni
Come abbiamo visto il nuovo regolamento eIDAS introduce molte novità, la più importante è il Portafoglio Europeo di Identità Digitale ma a questa se ne aggiungono le numerose altre qui descritte. Queste novità si coordinano con il Portafoglio Europeo e sono indispensabili per il suo funzionamento, come l’attestazione degli attributi ma anche la gestione dei dispositivi per la firma e i sigilli da remoto. Nel nostro ambito nazionale è di particolare importanza l’archiviazione elettronica, i registri elettronici saranno più chiari dopo gli atti di esecuzione comunitaria ma già possiamo dire che il loro impatto sulla gestione dei dati sarà importante.
Il regolamento 2024/1183 è di grossa rilevanza e la sua piena messa in opera non sarà breve e facile. Gli ambiziosi obiettivi, già previsti dal primo testo di questo nuovo regolamento che fu pubblicato nella Gazzetta Ufficiale comunitaria il 3 giugno 2021 saranno fondamentali per un’Europa con un’identità digitale sicura, rispettosa della protezione dei dati personali e soprattutto unica, interoperabile e coordinata nel mercato interno dell’Unione.
La parola adesso è agli enti di standardizzazione CEN, CENELEC ed ETSI che in tempi strettissimi dovranno produrre gli standard e le specifiche che la Commissione Europea utilizzerà per gli specifici Atti di Esecuzione. Questi sono stabiliti nel testo del regolamento e sono ben 42.