Essere o non essere un Trust Service Provider?
L’eIDAS 2.0 e l’EUDI Wallet sono sotto i riflettori, con tanti politici e stakeholder fortemente coinvolti nel rendere l’identità digitale europea giusta, sicura e rispettosa della privacy. Mentre l’atto legislativo si sta avvicinando al traguardo (il trilogo per la forma finale del regolamento tra la Commissione europea, il Parlamento europeo e il Consiglio dell’Unione europea è iniziato il 21 marzo 2023), c’è una domanda ricorrente nella comunità dei fornitori di servizi: Essere o non essere Trust Service Provider secondo eIDAS 2.0?
Ecco alcuni casi di credenziali verificabili/attestati elettronici di attributi che possono essere rilasciati ai cittadini e utilizzati attraverso l’EUDI Wallet:
- Sono una banca o un’istituzione finanziaria in grado di fornire credenziali relative al mio cliente, come l’IBAN o il credit score
- Sono una compagnia assicurativa e posso fornire certificati di assicurazione
- Sono un’università e posso fornire titoli di studio
Come faccio a sapere se sono un Trust Service Provider o meno? Ci sono requisiti normativi che devo rispettare? Ho delle responsabilità?
Vediamo gli articoli più importanti di eIDAS 2.0:
Articolo 1:
Il presente regolamento mira a garantire il corretto funzionamento del mercato interno e a fornire un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari. A tal fine, il presente regolamento:
(a) stabilisce le condizioni alle quali gli Stati membri forniscono e riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime di identificazione elettronica notificato di un altro Stato membro;
(b) stabilisce norme per i servizi fiduciari, in particolare per le transazioni elettroniche;
(c) stabilisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le marche temporali elettroniche, i documenti elettronici, i servizi elettronici di consegna raccomandata, i servizi per l’autenticazione di siti web, l’archiviazione elettronica e l’attestazione elettronica di attributi, la gestione di dispositivi remoti per la creazione di firme e sigilli elettronici e i registri elettronici;
(d) stabilisce le condizioni per il rilascio degli European Digital Identity Wallet da parte degli Stati membri”;
Articolo 2:
Ambito di applicazione:
1. Il presente regolamento si applica ai regimi di identificazione elettronica notificati da uno Stato membro, agli European Digital Identity Wallet rilasciati dagli Stati membri e ai prestatori di servizi fiduciari stabiliti nell’Unione.
2. Il presente regolamento non si applica alla fornitura di servizi fiduciari utilizzati esclusivamente nell’ambito di sistemi chiusi derivanti dal diritto nazionale o da accordi tra un insieme definito di partecipanti.
3. Il presente regolamento non pregiudica il diritto nazionale o dell’Unione relativo alla conclusione e alla validità dei contratti o altri obblighi giuridici o procedurali relativi a requisiti specifici del settore per quanto riguarda la forma con effetti giuridici sottostanti.
(16) “trust service”: un servizio elettronico normalmente fornito a pagamento che consiste in:
(a) la creazione, la verifica e la convalida di firme elettroniche, sigilli elettronici o marche temporali, servizi elettronici di consegna raccomandata, attestazione elettronica di attributi e di timbri elettronici, servizi elettronici di consegna raccomandata, attestazione elettronica di attributi e certificati relativi a tali servizi.
(b) la creazione, la verifica e la convalida di certificati per l’autenticazione di siti web;
(c) la conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;
(d) l’archiviazione elettronica di documenti elettronici;
(e) la gestione di dispositivi remoti per la creazione di firme e sigilli elettronici;
(f) la registrazione di dati elettronici in un registro elettronico”.
La risposta è semplice: Solo i servizi forniti al pubblico che hanno effetti su terzi devono soddisfare i requisiti stabiliti dal regolamento, quindi tali servizi sono affidabili e devono essere conformi al regolamento eIDAS 2.0. Tutti gli altri servizi utilizzati all’interno di sistemi chiusi devono essere conformi al regolamento. Tutti gli altri servizi utilizzati all’interno di sistemi chiusi o che prevedono un riconoscimento tra emittente e verificatore sulla base di un accordo non rientrano nel campo di applicazione di eIDAS 2.0.
Qui si possono vedere le differenze tra servizi fiduciari qualificati (riconoscimento legale di default) e non qualificati:
TSP | QTSP | |
Requisiti normativi: eIDAS, GDPR, NIS2 | Si | Sì + requisiti aggiuntivi per lo status di qualificato |
Requisiti tecnici: ETSI, CEN, ISO, requisiti specifici del settore | Sì + soggetto a requisiti nazionali specifici | Sì + requisiti aggiuntivi per lo status di qualificato |
Audit | Sì, consigliato | Sì – da parte di un organismo di valutazione della conformità accreditato (CAB) |
Vigilanza (Organismo nazionale di vigilanza nel paese dell’UE in cui il TSP è incorporato) | Ex-post | Ex-ante |
Trust List (TL) | Dipende dalle regole nazionali del paese – può essere o non essere elencato | Sì è elencato |
Per ulteriori informazioni o chiarimenti su eIDAS 2.0, contattateci all’indirizzo: eidas2consulting@intesigroup.com.
by Viky Manaila