Essere o non essere un Trust Service Provider?

L’eIDAS 2.0 e l’EUDI Wallet sono sotto i riflettori, con tanti politici e stakeholder fortemente coinvolti nel rendere l’identità digitale europea giusta, sicura e rispettosa della privacy. Mentre l’atto legislativo si sta avvicinando al traguardo (il trilogo per la forma finale del regolamento tra la Commissione europea, il Parlamento europeo e il Consiglio dell’Unione europea è iniziato il 21 marzo 2023), c’è una domanda ricorrente nella comunità dei fornitori di servizi: Essere o non essere Trust Service Provider secondo eIDAS 2.0?

Ecco alcuni casi di credenziali verificabili/attestati elettronici di attributi che possono essere rilasciati ai cittadini e utilizzati attraverso l’EUDI Wallet:

  • Sono una banca o un’istituzione finanziaria in grado di fornire credenziali relative al mio cliente, come l’IBAN o il credit score
  • Sono una compagnia assicurativa e posso fornire certificati di assicurazione
  • Sono un’università e posso fornire titoli di studio

Come faccio a sapere se sono un Trust Service Provider o meno? Ci sono requisiti normativi che devo rispettare? Ho delle responsabilità?

Vediamo gli articoli più importanti di eIDAS 2.0:

Articolo 1:

Il presente regolamento mira a garantire il corretto funzionamento del mercato interno e a fornire un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari. A tal fine, il presente regolamento:

(a) stabilisce le condizioni alle quali gli Stati membri forniscono e riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime di identificazione elettronica notificato di un altro Stato membro;

(b) stabilisce norme per i servizi fiduciari, in particolare per le transazioni elettroniche;

(c) stabilisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le marche temporali elettroniche, i documenti elettronici, i servizi elettronici di consegna raccomandata, i servizi per l’autenticazione di siti web, l’archiviazione elettronica e l’attestazione elettronica di attributi, la gestione di dispositivi remoti per la creazione di firme e sigilli elettronici e i registri elettronici;

(d) stabilisce le condizioni per il rilascio degli European Digital Identity Wallet da parte degli Stati membri”;

Articolo 2:

Ambito di applicazione:

1.   Il presente regolamento si applica ai regimi di identificazione elettronica notificati da uno Stato membro, agli European Digital Identity Wallet rilasciati dagli Stati membri e ai prestatori di servizi fiduciari stabiliti nell’Unione.

2. Il presente regolamento non si applica alla fornitura di servizi fiduciari utilizzati esclusivamente nell’ambito di sistemi chiusi derivanti dal diritto nazionale o da accordi tra un insieme definito di partecipanti.

3. Il presente regolamento non pregiudica il diritto nazionale o dell’Unione relativo alla conclusione e alla validità dei contratti o altri obblighi giuridici o procedurali relativi a requisiti specifici del settore per quanto riguarda la forma con effetti giuridici sottostanti.

(16) “trust service”: un servizio elettronico normalmente fornito a pagamento che consiste in:          

(a) la creazione, la verifica e la convalida di firme elettroniche, sigilli elettronici o marche temporali, servizi elettronici di consegna raccomandata, attestazione elettronica di attributi e di timbri elettronici, servizi elettronici di consegna raccomandata, attestazione elettronica di attributi e certificati relativi a tali servizi.

(b) la creazione, la verifica e la convalida di certificati per l’autenticazione di siti web;

(c) la conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;

(d) l’archiviazione elettronica di documenti elettronici;

(e) la gestione di dispositivi remoti per la creazione di firme e sigilli elettronici;

(f) la registrazione di dati elettronici in un registro elettronico”.

La risposta è semplice: Solo i servizi forniti al pubblico che hanno effetti su terzi devono soddisfare i requisiti stabiliti dal regolamento, quindi tali servizi sono affidabili e devono essere conformi al regolamento eIDAS 2.0. Tutti gli altri servizi utilizzati all’interno di sistemi chiusi devono essere conformi al regolamento. Tutti gli altri servizi utilizzati all’interno di sistemi chiusi o che prevedono un riconoscimento tra emittente e verificatore sulla base di un accordo non rientrano nel campo di applicazione di eIDAS 2.0.

Qui si possono vedere le differenze tra servizi fiduciari qualificati (riconoscimento legale di default) e non qualificati:

TSP  QTSP
Requisiti normativi: eIDAS, GDPR, NIS2SiSì + requisiti aggiuntivi per lo status di qualificato
Requisiti tecnici: ETSI, CEN, ISO, requisiti specifici del settoreSì + soggetto a requisiti nazionali specificiSì + requisiti aggiuntivi per lo status di qualificato
AuditSì, consigliatoSì – da parte di un organismo di valutazione della conformità accreditato (CAB)
Vigilanza (Organismo nazionale di vigilanza nel paese dell’UE in cui il TSP è incorporato)Ex-postEx-ante
Trust List (TL)Dipende dalle regole nazionali del paese – può essere o non essere elencatoSì è elencato

Per ulteriori informazioni o chiarimenti su eIDAS 2.0, contattateci all’indirizzo: eidas2consulting@intesigroup.com.

by Viky Manaila