Regolamento eIDAS: cos'è e perché è connesso alla firma digitale

Portafoglio europeo dell’Identità Digitale e firma digitale: cosa prevede il nuovo Regolamento eIDAS

Il Regolamento eIDAS (UE n. 910/2014) è il testo di riferimento per tutto quello che riguarda l’identificazione elettronica dei cittadini e il funzionamento dei servizi fiduciari per le transazioni elettroniche nei Paesi dell’UE..

Il Regolamento è diviso in quattro sezioni principali, una delle quali è dedicata interamente alle disposizioni in materia di firma elettronica: al suo interno si trovano le definizioni e le norme che regolano le firme elettroniche, la PEC e i certificati di autenticazione dei siti web.

Di recente si è parlato di eIDAS e firma digitale soprattutto in riferimento alle ultime modifiche del Regolamento, che potrebbe introdurre alcune significative novità su SPID e firme elettroniche.

Nuovo Regolamento eIDAS e firma digitale

Poco prima che il Parlamento Europeo approvasse le modifiche al Regolamento eIDAS, il Cloud Signature Consortium - che rappresenta i maggiori prestatori di servizi fiduciari operanti in Europa - ha inviato una lettera aperta che esprimeva serie preoccupazioni per le modifiche in via d’approvazione.

Il pericolo denunciato dai prestatori di servizi (i soggetti autorizzati al rilascio di identità digitali e firme elettroniche) si riferisce alle modifiche apportate all’articolo 24, che sembrano mettere a rischio sia l’Identità Digitale SPID sia le firme digitali remote.

Infatti, mentre il testo originale della proposta prevedeva “la verifica dell’identità per il rilascio di una firma elettronica qualificata tramite uno schema con livello di sicurezza significativo o alto”, nell’ultima versione si prevede solo il livello di sicurezza alto. 

I metodi di identificazione con livello di sicurezza significativo, però, sono tra i più utilizzati dai cittadini europei: ne sono un buon esempio lo SPID italiano, che conta oltre 33 milioni di utilizzatori, e l’identità telematica France Connect (41 milioni di utenti attivi).

Questa modifica, spiega Giovanni Manca su ‘Agenda Digitale’, metterebbe fuori gioco non soltanto lo SPID, ma anche “la quasi totalità dei meccanismi utilizzati dalla pubblica amministrazione italiana e dai privati per l’utilizzo della FEQ apposta in modo remoto”. 

Come ricorda il CSC, il livello di sicurezza alto si basa su una card fisica che può essere letta soltanto con appositi lettori di smart card: le modifiche Regolamento potrebbero quindi segnare la fine delle firme digitali remote, che rappresentano oltre l’80% dei certificati qualificati di firma usati in ambito professionale. 

Regolamento eIDAS: cos’è e come cambia

Entrato in vigore il 1° luglio 2016, il Regolamento eIDAS attende una riforma dal 2021, anno in cui la Commissione ha presentato una proposta di modifica in materia di identità digitale e servizi fiduciari per i pagamenti elettronici.

La novità più rilevante riguarda l'introduzione dello European Digital Identity wallet, un prodotto che consentirà di conservare i dati di identificazione e le credenziali e potrà essere usato come strumento di identificazione online e offline.

Firme elettroniche: le definizioni dell’eIDAS

Per quanto riguarda le firme elettroniche, l’eIDAS conferma l’impianto originale, che le suddivide in:

• firme elettroniche semplici (FES): non hanno validità legale ma possono essere usate per identificare chi firma un documento o compie un’azione online (esempio: il login su un sito);
• firme elettroniche avanzate (FEA): in alcuni contratti (comma 13 dell’articolo 1350 del Codice Civile) può assumere la validità della firma autografa. Ne sono un esempio le firme remote usa e getta usate da banche e assicurazioni per la sottoscrizione dei contratti. 

In base alla definizione eIDAS, deve essere connessa univocamente al firmatario, usata sotto il suo esclusivo controllo e deve essere collegata ai dati sottoscritti in modo da “garantire l’identificazione di ogni successiva modifica dei dati” (Art. 26, Reg eIDAS). Deve inoltre garantire l’individuazione dell’azienda che rilascia il certificato, o ente certificatore;

• firme elettroniche qualificate (FEQ), comunemente note come firme digitali, che hanno piena validità legale  e sono giuridicamente equiparate alla firma autografa apposta in presenza. 

Questo tipo di firma si basa sull’utilizzo di un dispositivo sicuro, che può essere un token, una smart card oppure un’app certificata dal prestatore di servizi qualificato.

Come cambierà la firma digitale: il ruolo dell’eIDAS

Come anticipato, la principale novità nel Regolamento eIDAS riguarda l’introduzione del portafoglio dell’Identità Digitale europea, uno strumento che punta ad armonizzare le tecnologie già esistenti per favorire l’uso dell’identità digitale da parte dei cittadini europei.

L’obiettivo è quello di “consentire ad almeno l'80% dei cittadini di utilizzare un'identità digitale per accedere ai principali servizi pubblici all'interno dell'UE entro il 2030”, ovvero di potersi identificare online e poter accedere ai servizi di altri stati membri.

Il portafoglio europeo, che in Italia sarà integrato all’App IO, consentirà all’utente di conservare dati di identificazione, credenziali e attributi associati alla sua identità. Sarà valido per l’autenticazione online e offline, e permetterà di creare firme e sigilli elettronici qualificati.

Ciò significa che gli utenti che decideranno di attivare l’e-ID potranno autenticarsi e firmare digitalmente i propri documenti semplicemente usando il portafoglio dell’Identità Digitale europea.

Il wallet, che dovrebbe debuttare nel 2026, potrebbe quindi segnare non soltanto il graduale indebolimento dello SPID, a cui in Italia sarà preferita la CIE, ma promette anche di rivoluzionare la firma digitale per come la conosciamo.

Vuoi ottenere la Firma Digitale

in pochi secondi e senza file?

Scopri come fare su Firma Digitale

VEDI FIRME DIGITALI DISPONIBILI