eIDAS2: Wallet sì, ma non solo!

Se si parla di eIDAS2, la prima cosa che viene in mente è l’EUDI Wallet – il portafoglio digitale che consentirà ai cittadini di gestire in modo autonomo e sicuro i propri attributi digitali, dai dati anagrafici ai documenti identificativi quali patente e tessera sanitaria o, ancora, qualifiche come titoli di studio e certificazioni.

Ma eIDAS2 non è solo il Wallet.

Com’è noto, eIDAS2 è l’evoluzione del regolamento 910/2014 che punta a rafforzare il quadro dei servizi fiduciari qualificati nel suo insieme. E lo fa agendo su due piani: correggendo e innalzando i requisiti di conformità e responsabilità dei servizi qualificati già previsti da eIDAS, e, parallelamente, introducendo nuovi obblighi e strumenti a sostegno di un’identità digitale sempre più sicura e interoperabile.

È un cambiamento che indubbiamente rappresenta un’opportunità per creare maggiore coerenza nel sistema Europa, ma è anche una sfida per i Qualified Trust Service Provider (QTSP), chiamati ad agire contemporaneamente e rapidamente su più fronti.

Tra le novità introdotte da eIDAS2 c’è la regolamentazione della firma remota come servizio qualificato: a partire da maggio 2026, chiunque voglia offrire firme remote dovrà essere certificato come QTSP per quel servizio specifico.

Pertanto, oltre ai requisiti previsti per i dispositivi su cui vengono conservate le chiavi private – già introdotti da eIDAS e resi decisamente più stringenti da eIDAS2 – dovranno essere rispettati ulteriori e specifici requisiti a diversi livelli, ad esempio di governance, controlli operativi e misure di autenticazione degli utenti.

“È questa la direzione che abbiamo intrapreso in Intesi Group e in cui va collocato l’avvenuto ottenimento della certificazione di sicurezza Qualified Signature Creation Device (QSCD) per PkBox: è la nostra soluzione per la gestione delle firme digitali e della crittografia, che oggi risulta quindi conforme all’Allegato II del regolamento eIDAS e allo standard CEN 419 241-1/2, posizionandosi così tra le poche soluzioni già pronte per l’evoluzione prevista dal nuovo quadro normativo. Ma il nostro percorso è tutt’altro che concluso, proprio perché abbiamo l’obiettivo di qualificarci come gestore di dispositivi qualificati per la creazione di una firma elettronica a distanza (remota)”.

Un altro nodo chiave introdotto da eIDAS2 riguarda la definizione dei requisiti per i processi di identificazione certa delle persone. L’articolo 24 del regolamento 910/2014 già imponeva obblighi ai QTSP sulle procedure di identificazione di persone fisiche e giuridiche e su specifici requisiti tecnici. Con eIDAS2 questo quadro evolve: l’identificazione non è più basata su procedure interne del QTSP e approvate dall’organismo di vigilanza nazionale, ma diventa un processo fondato su standard comuni europei (ETSI TS 119 461 e CEN TS 18098) e su meccanismi interoperabili come l’EUDI Wallet.

“L’intenzione del legislatore, ancora una volta, è quella di alzare i livelli di sicurezza dei servizi qualificati. Certificare un’identità falsa significa infatti ‘permettere’ a quell’identità di compiere una molteplicità di azioni illecite. Per questa ragione eIDAS2 imporrà di utilizzare soluzioni di identificazione testate, ad esempio, contro i replay-attack, ossia tentativi di riutilizzare messaggi autentici per ottenere accessi o perpetrare azioni non autorizzate. Anche in questo caso, in Intesi Group abbiamo giocato d’anticipo: è, infatti, già attiva IG PERSONA, la nuova piattaforma di identity proofing supportata dall’Intelligenza Artificiale, che abbatte i rischi di frode e rende i processi più sicuri.”

Certamente, c’è poi la grande sfida dell’EUDI Wallet e dei tanti attributi qualificati che potrà contenere.

Attualmente la Commissione Europea ha coinvolto diversi enti – come ETSI, CEN, OpenID Foundation, nonché il Cloud Signature Consortium di cui Intesi Group fa parte – nella definizione di un set di standard per l’ecosistema Wallet.

Parallelamente, ha avviato anche una serie di Large Scale Pilot (LSP) per testare sul campo l’efficacia del Wallet in relazione a specifici casi d’uso cross border.

Intesi Group ha già preso parte a due progetti che sono ormai in via di conclusione: il NOBID Consortium e l’EU Digital Wallet Consortium (EWC), commissionati per testare il wallet in diversi scenari d’uso come, per esempio, la firma remota, l’autorizzazione dei pagamenti e l’utilizzo di credenziali digitali di viaggio negli Stati membri.

E oggi l’azienda è impegnata in un terzo LSP, il WEBUILD Consortium, focalizzato a sperimentare casi d’uso aziendali (Business Wallet) e svariati altri use cases.

“Siamo abituati ad essere in prima linea quando si tratta di mettere competenze ed esperienze a disposizione dell’innovazione. Inoltre, partecipare a iniziative di così ampio respiro in tema di EUDI Wallet ci consente di valutarne da vicino e con maggiore chiarezza il potenziale di sviluppo, sperimentandone gli utilizzi in settori trainanti, quali il banking, il finance o l’insurance, o prevederne le applicazioni in mercati come l’IT, il chimico-farmaceutico o l’automotive”.

In quest’ottica, Intesi Group ha già avviato diverse collaborazioni con i propri clienti, per ascoltare le loro esigenze e stabilire di conseguenza le priorità d’azione, a iniziare dall’individuazione degli attributi qualificati di maggiore interesse. Inoltre, proprio nell’ottica di uno sviluppo cross-border, ha anche siglato una partnership strategica con iGrant.io, fornitore svedese di infrastruttura per l’EUDI Wallet con cui è allo studio l’utilizzo del Wallet per l’abilitazione della firma di documenti e l’emissione e gestione di Qualified Electronic Attribute Attestations (QEAA).

Insomma: eIDAS2 ha dato il via a un percorso indubbiamente sfidante, ma anche pieno di opportunità che possono essere colte e trasformate in valore per i Clienti, soltanto da chi è in possesso di competenze, esperienze e capacità di visione.