“Identità senza frontiere” era lo slogan pronunciato dall’Unione Europea in riferimento al regolamento eIDAS, il quale (regolamento) ha come obiettivo instaurare la fiducia online per agevolare lo sviluppo economico e sociale. Cerchiamo adesso di comprendere perché questo regolamento è fondamentale da tenere in considerazione per sviluppare nuovi standard per l’identità digitale.
In questa prima parte comprendiamo il ruolo di eIDAS all’interno del mercato digitale europeo, mentre nella seconda parte, vedremo come il regolamento si sta necessariamente avvicinando al mondo della Self-Sovereign Identity, e viceversa.
La storia di Eidas
Eidas è il compimento di tantissime iniziative singole a livello europeo. Per esempio dal 1999, in Italia era in vigore regolamento Bassanini, all’interno del quale furono introdotte le prime regolamentazione riguardanti il telelavoro e quali autorità potessero certificare attività lavorative da remoto. Con Eidas, l’obiettivo è stato quello di creare una cornice internazionale per migliorare la validità e l’interoperabilità dei servizi cross-border. Eidas è stato concepito nel 2014, diventando però effettivo solo nel 2016. L’impatto nella vita reale è evidente: la carta d’identità elettronica o/e la spid, sono operative proprio grazie a questo regolamento europeo.
Riprendendo la sua descrizione formale:
”Il Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE n° 910/2014 sull’identitĂ digitale – ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i servizi di identificazione elettronica degli stati membri. Il regolamento eIDAS ha l’obiettivo di rafforzare la fiducia nelle transazioni nell’Unione Europea, fornendo una base normativa comune per interazione elettroniche sicure fra i cittadini, imprese e pubbliche amministrazioni.”
Il regolamento è nato
“con lo scopo di garantire il buon funzionamento del mercato interno perseguendo al contempo un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari: fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro stato membro, stabilire le norme relative ai servizi fiduciari, in particolare le transazione elettronici. Infine, Istituisce un quadro giuridico per le firme elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.”
L’idea è garantire una sorta di cittadinanza europea nel mondo del web. Gli obiettivi sono quindi quelli di eliminare gli ostacoli all’esercizio dei diritti dei cittadini europei, consentire ai cittadini di utilizzare la loro identificazione elettronica per autenticarsi in un altro Stato membro e realizzare una base comune per le interazione economiche sicure tra imprese, migliorando l’efficacia dei servizi elettronici per pubblici e privati.
Punti cordine di Eidas
I punti cardine del regolamento Eidas sono:
- Fissare le condizioni a cui gli stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro stato membro
- Stabilire le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche
- Istituire un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web
L’obiettivo è quindi quello di realizzare un mercato comune dell’identità digitale che possa facilitare le imprese, i cittadini e la pubblica amministrazione nei processi di digitalizzazione dei processi e nella dematerializzazione dei documenti e delle pratiche.
Entrando piĂą nel tecnico, il regolamento eIDAS crea delle linee guida per i seguenti scopi
- Delineare i diritti e i doveri di tutti i prestatori di servizi fiduciari, in funzione delle loro caratteristicheÂ
- Fornire un pieno riconoscimento della firma digitale all’interno del regimen normativo
- Individuare gli standard tecnici delle firme digitali europei
- Facilitare l’identificazione, l’autenticazione e l’autorizzazione quando un utente, azienda o pubblica amministrazione vuole operare all’interno del infosfera
Riportiamo qui in seguito una breve descrizione del regolamento riguardanti il ruolo dei Trust Service Provider (TSP). Ricordiamo, tuttavia, che al centro del regolamento è sempre il concetto di identità . La stessa idea di firma digitale, concettualmente, è un corollario dell’identità digitale.
Trust Service Provider (TSP)
Il regolamento eIDAS, così per come è stato pensato, è basato su una struttura centralizzata e quindi ha la necessità di avere delle terze parti fiduciarie che possono emettere servizi fiduciari all’interno del mercato digitale. Il ruolo del trust service provider (TSP) è proprio quello di essere l’anello di congiunzione tra il regolamento, l’identità digitale e il cittadino o l’impresa. Tra le tipologie di trust service provider, esiste un sottogruppo definito come Qualified Trust Service Provider (QTSP), i quali attori vengono certificati da delle Certification Authority Body, definite come CAB. Un TSP è un QTSP solo dopo che un CAB ha effettuato un audit.
La distinzione tra i ruoli all’interno del mercato può essere spiegata dal momento in cui vi si ha la necessità di avere diversi livelli di affidabilità verso una identità digitale. Cerchiamo di essere più chiari, la creazione di una identità digitale, quantomeno attualmente, può essere divisa su tre diversi di affidabilità : basso, significativo ed elevato. Facciamo un esempio: se devo comprare un biglietto del cinema online, o se devo iscrivermi in palestra online, o invece se devo fare una operazione finanziaria online, il livello di affidabilità tra il soggetto dichiarante e l’identità digitale dichiarante deve essere certificata in maniera completamente diversa. Ecco. un TSP o un QTSP diventano il servizio fiduciario fondamentale in alcune circostanze quando si vuole eliminare l’uso abusivo di una identità .
Conclusione
Comprare casa a Nizza, senza spostarsi da Roma, adesso è possibile grazie al regolamento eIDAS. Abbiamo quindi compreso come il ruolo dell’identità digitale entra tantissimo nella vita dei cittadini. E, forse, ancora di più all’interno del mondo delle aziende private con i grandi spostamenti di merci, ai grandi sistemi di import e export che possono muoversi agilmente grazie a dei sistemi di autenticazione che sono riconosciuti in tutta europa.
In questa prima parte abbiamo cercato di riassumere i concetti chiave riguardanti il regolamento eIDAS. Nella seconda parte, vi racconteremo come tale regolamento sta interagendo con la self-sovereign identity