Tale evoluzione normativa – avviata inizialmente in Italia e progressivamente estesa all’intera Unione – si concretizza attraverso oltre venti regolamenti, parte di un ambizioso programma di digitalizzazione dell’ecosistema europeo: l’obiettivo è fornire una risposta strategica alle sfide poste da un contesto tecnologico sempre più interconnesso e vulnerabile a rischi di natura sistemica.
Guarda la registrazione video dell’intervento:
Castello ha evidenziato come negli ultimi anni la priorità dell’Unione Europea sia stata la creazione di un quadro regolatorio uniforme, partendo nel 2014 con eIDAS per la definizione di un framework di identità digitale passando poi nel 2016 con il GDPR per la protezione dei dati personali fino ad arrivare ad atti recenti come Dora il Cyber Resilience Act.
Questi regolamenti non sono esclusivamente volti alla definizione di standard tecnici: mirano infatti alla costruzione di un ecosistema digitale interoperabile a livello europeo, caratterizzato da una convergenza normativa che rafforza la fiducia nella sicurezza degli strumenti digitali. L’interazione tra i vari strumenti normativi tende perciò allo sviluppo di una struttura integrata che tuteli non solo la privacy degli utenti ma anche la sicurezza complessiva, nonché la resilienza e la continuità operativa del sistema.
L’attuale quadro normativo si estende ben oltre la mera sicurezza informatica, includendo ulteriori aspetti essenziali come la trasparenza contrattuale, la continuità operativa e l’accessibilità dei servizi digitali.
Particolare attenzione è rivolta alla continuità del servizio anche in condizioni di indisponibilità temporanea dei fornitori, per garantire che i cittadini possano continuare a fare affidamento su piattaforme digitali resilienti: ciò richiede l’adozione di standard rigorosi oltre all’integrazione di misure di backup e disaster recovery, tutti elementi imprescindibili per mantenere la fiducia nei servizi digitali.
L’evoluzione di eIDAS (electronic IDentification Authentication and Signature) rappresenta una pietra miliare nella creazione di un’infrastruttura unificata di identità digitale.
Dal suo lancio nel 2014 eIDAS ha infatti subito importanti trasformazioni, passando da un’iniziale focus su identità digitali e firme elettroniche ad una nuova versione – eIDAS 2.0 (Regolamento UE 1183/24), pubblicata nel maggio 2024 – che introduce il concetto del wallet digitale europeo. Destinato a diventare il principale strumento di gestione dell’identità digitale dei cittadini, questo wallet consentirà di amministrare in sicurezza un insieme di attributi verificabili, quali dati sanitari, titoli di studio e altre informazioni personali, così riducendo al minimo il rischio di furti di identità e altre forme di frode.
Il wallet digitale europeo consisterà, quindi, in una piattaforma unificata che consentirà ai cittadini di accedere a una vasta gamma di servizi pubblici e privati, autenticarsi in sicurezza e firmare digitalmente vari tipi di documenti, nonché di conservare attestati e certificati in modo protetto.
La riduzione della frammentazione delle credenziali e il consolidamento dell’identità digitale rappresentano elementi cardine per migliorare l’efficienza e la sicurezza complessiva del sistema; il relatore ha ribadito come l’adozione di questo strumento sia motivata dalla necessità di creare un ambiente di fiducia che faciliti l’interazione tra individui, istituzioni e aziende, promuovendo l’adozione su vasta scala dei servizi digitali nel contesto europeo.
Il processo di implementazione del framework eIDAS 2 seguirà una timeline articolata, che si estenderà fino al 2026.
Ripercorrendo le tappe fondamentali, Castello ha ricordato come il 18 ottobre 2024 sia entrato in vigore il regolamento NIS2, che integra i contenuti eIDAS relativamente alle misure di sicurezza; nei prossimi 6 mesi verranno definiti gli atti implementativi dedicati al wallet digitale, mentre entro un anno saranno specificate le regole per i servizi fiduciari e per il processo di accreditamento sulle certificazioni.
L’intero processo culminerà, a maggio 2026, nell’implementazione degli esperimenti di wallet e nella qualifica dei nuovi servizi. La gradualità di questa attuazione è essenziale per permettere la sperimentazione e la validazione del sistema prima della sua piena operatività, garantendo che tutte le parti coinvolte possano adattarsi alle nuove dinamiche previste.
Uno degli aspetti più complessi dell’implementazione di eIDAS 2 riguarda infatti la gestione del periodo di transizione, che comporta l’abbandono degli standard precedenti in favore delle nuove normative.
La Commissione Europea sta elaborando una serie di atti implementativi e linee guida per assicurare una transizione efficace e priva di discontinuità: la gestione di questo periodo transitorio richiede la collaborazione attiva dei fornitori di servizi, supportati da percorsi di adeguamento specifici e da risorse per la formazione, affinché possano garantire la loro conformità ai nuovi requisiti senza interruzioni significative dei servizi.
Nel settore dei servizi fiduciari eIDAS 2 introduce nuovi elementi accanto a quelli già consolidati, come la firma digitale, la marca temporale e i servizi di consegna certificata.
Tra i nuovi servizi si distingue l’archiving, finalizzato alla conservazione a lungo termine dei documenti digitali, garantendone riservatezza e integrità. Questo servizio di archiviazione non è semplicemente un deposito statico, ma rappresenta una soluzione dinamica che assicura la leggibilità e la disponibilità dei documenti nel corso del tempo, grazie all’adozione di tecnologie avanzate per la cifratura e la verifica dell’integrità. L’obiettivo è quello di creare un sistema uniforme di archiviazione digitale per tutti gli Stati membri, riducendo le differenze esistenti e migliorando la coerenza nella conservazione delle informazioni.
eIDAS 2 introduce anche il concetto di “attributi verificabili”, che possono essere utilizzati dai cittadini per dimostrare determinate caratteristiche personali nei contesti digitali.
Questi attributi – come il passaporto, i titoli di studio o altre certificazioni – saranno custoditi in sicurezza all’interno del wallet digitale e potranno essere condivisi solo previa autorizzazione dell’utente: un approccio che pone il titolare dei dati al centro del processo decisionale, assicurando un alto livello di sicurezza e un’adeguata protezione delle informazioni personali.
La capacità di gestire in modo sicuro e interoperabile questi attributi rappresenta un progresso significativo verso la costruzione di un mercato digitale unico, resiliente e sicuro.
Il processo di qualifica dei servizi fiduciari è piuttosto articolato e coinvolge molteplici attori. I Qualified Trust Service Provider (QTSP) devono infatti collaborare con le autorità nazionali e con gli enti di accreditamento, sottoponendosi ad audit che testimoniano l’aderenza agli standard normativi: questo approccio permette di mantenere il livello di sicurezza richiesto, rafforzando al contempo la fiducia dei cittadini nei servizi digitali.
Inoltre, la gestione della supply chain diventa fondamentale: è necessario assicurarsi che tutti i fornitori coinvolti nei processi rispettino gli standard di sicurezza definiti a livello europeo, minimizzando i rischi associati alla catena di approvvigionamento.
Integrazione tra eIDAS 2 e NIS 2
Una delle innovazioni più rilevanti di eIDAS 2 è l’integrazione con NIS 2, volta ad armonizzare i sistemi di supervisione e le procedure di notifica degli incidenti di sicurezza.
Tale integrazione prevede una mappatura precisa degli standard coinvolti, come B70001, B70002 e IT401, garantendo una maggiore coerenza nella gestione delle vulnerabilità e della supply chain.
La sinergia tra eIDAS e NIS 2 è essenziale per sviluppare un ecosistema che non si limiti a proteggere i dati, adottando anche un approccio proattivo nella gestione dei rischi informatici; questa strategia contribuirà a rendere il sistema digitale europeo più resiliente e capace di rispondere efficacemente agli incidenti di sicurezza.
L’intervento di Anna Conte si è focalizzato sul ruolo degli enti di certificazione, ricordando che essi giocano un ruolo fondamentale in questo panorama in evoluzione.
L’importanza di questi enti risiede anzitutto nella loro capacità di aiutare le organizzazioni a prepararsi alle nuove sfide normative, promuovendo un’implementazione adeguata e facilitando la piena conformità ai requisiti.
Il supporto degli enti di certificazione include poi l’analisi delle procedure aziendali (con l’individuazione di eventuali gap) e la definizione di piani di remediation, seguita dall’esecuzione di audit per verificare la postura di sicurezza. Possono anche essere previsti audit di seconda parte presso i fornitori, così da garantire l’affidabilità e la resilienza dell’intera supply chain.
Inoltre gli enti di certificazione offrono consulenza specialistica per l’adozione di tecnologie emergenti, come la crittografia avanzata o l’autenticazione multifattoriale, sempre più rilevanti per la protezione delle identità digitali.
Una particolare enfasi va posta sulla formazione e la qualificazione del personale – a partire dal top management – nonché sulla gestione della comunicazione interna, tutti elementi critici per garantire la sicurezza dell’ecosistema digitale.
Sostenibilità e Trasparenza nei Servizi Digitali
Accanto alla sicurezza dei servizi digitali, eIDAS 2 ne enfatizza anche la sostenibilità e la trasparenza.
La continuità operativa e la gestione delle crisi sono affrontate tramite standard rigorosi che mirano a garantire la disponibilità dei servizi anche in caso di eventi critici, rafforzando così la fiducia degli utenti.
La sostenibilità non riguarda solo l’infrastruttura tecnologica, estendendosi alla capacità delle istituzioni di adattarsi e innovare costantemente per garantire servizi che rispondano alle esigenze attuali e future dell’Unione Europea: tutti questi aspetti sono integrati nel quadro normativo per garantire che i servizi digitali siano non soltanto affidabili e sicuri, ma anche resilienti e sostenibili nel lungo periodo.
Come ricordato dalla relatrice, l’implementazione dei nuovi standard – oltre a garantire una piena conformità alla NIS 2 – consente alle organizzazioni di ottenere importanti certificazioni di settore, quali la ISO 27001 e la ISO 22301.
Tali certificazioni sono fondamentali per dimostrare la sicurezza delle operazioni digitali a livello internazionale: in particolare la ISO 27001 è cruciale per la protezione delle informazioni aziendali, mentre la ISO 22301 garantisce la continuità operativa anche in caso di crisi, offrendo così un significativo vantaggio competitivo sul mercato.
L’ottenimento di queste certificazioni non è pertanto una mera misura di compliance, rappresentando un’opportunità per rafforzare la fiducia dei clienti e dei partner nei confronti delle organizzazioni che operano nel settore digitale.
Conclusioni
In conclusione, la trasformazione normativa che vede in eIDAS 2 uno dei più recenti sviluppi costituisce un passo decisivo verso un’Europa digitalmente integrata nonché caratterizzata da servizi interoperabili, sicuri e resilienti.
Il successo di questa trasformazione dipenderà dalla capacità delle organizzazioni di adattarsi e implementare i nuovi standard; senza dimenticare il ruolo essenziale degli enti di certificazione, che da un lato supporteranno la formazione del personale e dall’altro garantiranno la conformità dell’intera supply chain alle regole normative.
Solo attraverso una collaborazione sinergica tra istituzioni europee, provider di servizi fiduciari e organizzazioni pubbliche e private sarà possibile costruire un sistema di identità digitale inclusivo e sicuro: la partecipazione attiva di tutti gli attori coinvolti – cittadini, imprese, enti pubblici e privati – sarà determinante per creare un ambiente digitale che sicuro e accessibile, contribuendo così alla crescita di un’economia digitale sostenibile e resiliente in tutta l’Unione Europea.
Esperta in Cybersecurity, ricopre il ruolo di Responsabile dello sviluppo servizi Digitali e Cybersecurity di CSQA, Organismo di Certificazione Accreditato sia a livello nazionale sia europeo. È Key Account Manager orientata ai Top Client. Si occupa dello sviluppo per tutti i mercati dell’Organismo di certificazione (Pubblica Amministrazione, Servizi Digitali, Finance, Sanità, Food) proponendo soluzioni orientate alla Sicurezza IT e OT con una visione olistica. Grazie al portafoglio dei servizi offerti dell’Ente, propone iniziative commerciali rivolte ai Top Client, coordinando il team di prevendita e nella selezione dei Partner Tecnologici da coinvolgere nei progetti. Ha maturato altresì esperienza nelle tematiche di Sicurezza delle informazioni e di consulenza organizzativa in ambito bancario, ICT e telecomunicazioni.
Responsabile di Schema Servizi Digitali, CSQA.
Laureato in Ingegneria Gestionale, è un professionista che opera nel settore dei Sistemi Informativi. Dal 2006 è impegnato come formatore e Auditor con focus sui Sistemi di Gestione (ISO 9001, ISO/IEC 20000, ISO/IEC 27001), Servizi fiduciari ai sensi del Regolamento eIDAS, Risk Analysis & Management e Privacy.
https://www.ictsecuritymagazine.com/articoli/eidas-2-identita-digitale/