Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

vademecum

Eidas 2.0, guida completa agli atti di esecuzione: ecco il primo lotto

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

Prima parte di una guida in due puntate con tutto ciò che bisogna sapere sui regolamenti di esecuzione di eIDAS 2.0, la normativa europea che introduce nuovi servizi fiduciari

Pubblicato il 7 ott 2025
Giovanni Manca

consulente, Anorc

AI nel portfolio management tech fluency; DAF; atti di esecuzione eidas 2.0 Golden Quarter

Il regolamento eIDAS 2.0 è tecnologicamente neutro in conformità alle regole comunitarie. La sua attuazione, come stabilito direttamente nel regolamento stesso, avviene attraverso regolamenti di esecuzione (implementing acts: nel testo di eIDAS in italiano, atti di esecuzione). L’elevato numero di regolamenti da gestire, sono 48 considerando anche quanto stabilito nell’originario 910/2014, sta impegnando la Commissione europea e gli Stati membri nella redazione, discussione, approvazione e pubblicazione dei regolamenti.

La Commissione ha suddiviso il lavoro in lotti, per un totale di 22 regolamenti.

Regolamento Serc, tutte le novità per la Pec: cosa cambia per provider e mittenti

Atti di esecuzione di eIDAS 2.0, quali contiene il primo lotto

Vediamo nel dettaglio i primi cinque regolamenti di esecuzione approvati nel primo lotto. Questi regolamenti stabiliscono le basi per le funzionalità del Portafoglio Europeo di Identità Digitale e per proprio per questo motivo sono stati i primi ad essere oggetto del processo di approvazione all’interno dell’eIDAS Committee.

Gli altri regolamenti saranno oggetto di successivi articoli, con gli aggiornamenti che, deriveranno dai lavori della Commissione e, ovviamente, dalla pubblicazione nella Gazzetta Ufficiale comunitaria. Per evitare ripetizioni per ogni regolamento, si ricorda che questi entrano in vigore 20 giorni dopo la pubblicazione sulla GUCE, eventuali proroghe dei termini di attuazione sono sempre stabiliti nel testo del singolo atto.

Dati di identificazione personale e gli attestati elettronici di attributi rilasciati ai portafogli europei di identità digitale

Nr. 2024/2977Regolamento di esecuzione (UE) 2024/2977 della Commissione del 28 novembre 2024 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi rilasciati ai portafogli europei di identità digitale
 
Questo documento ha lo scopo di stabilire regole comuni, specifiche tecniche e procedure per:

  • il rilascio sicuro e interoperabile dei dati di identificazione personale (PID);
  • l’emissione e la gestione degli attestati elettronici di attributi (EAA);
  • La protezione dei dati personali
  • l’interoperabilità tra gli Stati membri dell’Unione.

Obblighi generali

  • I portafogli devono consentire agli utenti di controllare, conservare, condividere e cancellare il PID (Personal Identification Data) e gli EAA (gli attestati elettronici di attributi).
  • Gli Stati membri devono garantire l’interoperabilità e la sicurezza delle soluzioni di portafoglio e dei certificati digitali per le funzionalità di sicurezza.
  • È richiesto un livello di garanzia elevato (LoA high) per il controllo dell’identità.

Rilascio dei dati di identificazione personale (Art. 3)

  • I fornitori devono emettere PID conformi a specifiche tecniche comuni.
  • I dati devono essere univoci per ciascun utente in ogni Stato membro e connessi alla relativa unità di portafoglio con metodi crittografici.
  • È obbligatoria l’autenticazione e la verifica dell’attestato di portafoglio prima del rilascio.

Rilascio degli attestati elettronici di attributi (Art. 4)

Si devono rispettare standard comunitari armonizzati e contenere le informazioni necessarie per autenticazione e validazione.

Revoca dei PID e degli EAA (Art. 5)

  • Revoca esclusiva solo da parte del fornitore che li ha emessi.
  • Comunicazione agli utenti entro 24 ore con motivazione chiara.
  • Obbligo di pubblicare lo stato di validità, garantendo la protezione dei dati personali.
  • In allegato sono riportate le specifiche tecniche di riferimento:
  • persone fisiche: dati obbligatori (nome, cognome, data/luogo di nascita, nazionalità) e facoltativi (indirizzo, sesso, contatti, foto, ecc.);
  • persone giuridiche: dati obbligatori (ragione sociale, identificatore univoco) e facoltativi (indirizzo, partita IVA, identificativi europei, ecc.);
  • metadati: data di scadenza, autorità emittente, paese di rilascio, ecc.;
  • formati obbligatori definiti in: ISO/IEC 18013-5:2021 (Personal identification — ISO-compliant driving licence, Part 5: Mobile driving licence (mDL) application ) e W3C Verifiable Credentials Data Model 1.1.

In sintesi, il regolamento crea una cornice tecnica e legale dettagliata per rendere i portafogli europei di identità digitale interoperabili, sicuri e affidabili in tutta l’UE, garantendo, come elemento ineluttabile e cruciale, una elevata protezione dei dati e procedure di rilascio e revoca trasparenti.

Integrità e funzionalità di base dei portafogli europei di identità digitale

Nr. 2024/2979 REGOLAMENTO DI ESECUZIONE (UE) 2024/2979 DELLA COMMISSIONE del 28 novembre 2024 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda l’integrità e le funzionalità di base dei portafogli europei di identità digitale

Questo documento ha lo scopo di stabilire le regole per l’integrità (il Portafoglio è certificato e quindi non può e non deve essere alterato) e gli elementi di base del Portafoglio che individuano anche le funzionalità di base.

In questo regolamento di esecuzione si definiscono gli elementi di riferimento generali che poi si ritrovano in tutti i documenti di riferimento:

  • soluzione di portafoglio: il sistema completo fornito dal provider;
  • unità di portafoglio: configurazione specifica per un singolo utente;
  • istanza di portafoglio: l’applicazione con cui l’utente interagisce direttamente.
  • I requisiti di integrità sono (Capo II):
  • le unità di portafoglio devono autenticare l’utente prima di eseguire qualsiasi funzionalità;
  • si utilizzano dispositivi crittografici sicuri per gestire le risorse critiche;
  • ogni unità deve avere attestati firmati digitalmente per garantire autenticità;
  • i fornitori garantiscono meccanismi di revoca degli attestati.
  • Le funzionalità di base sono (Capo III):
  • formato dei dati: supporto obbligatorio per standard ISO/IEC 18013-5:2021 e W3C Verifiable Credentials;
  • registrazione transazioni: tracciamento completo di tutte le operazioni;
  • firme elettroniche qualificate: integrazione con dispositivi certificati per le firme;
  • pseudonimi: possibilità di utilizzo per tutelare la protezione dei dati personali;
  • portabilità dei dati: possibilità di migrare i dati tra diversi portafogli.

Questo atto, come ampiamente stabilito nel regolamento eIDAS, enfatizza la “privacy by design” con:

  • la diffusione selettiva degli attributi (l’utente sceglie quali dati condividere);
  • le politiche di diffusione incorporate negli attestati;
  • la prevenzione del tracciamento tra diverse parti coinvolte nei flussi dei dati;
  • l’uso di pseudonimi per l’autenticazione quando non è richiesta l’identità completa.

Ecosistema portafogli europeo

Nr. 2024/2980 REGOLAMENTO DI ESECUZIONE (UE) 2024/2980 DELLA COMMISSIONE del 28 novembre 2024 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le notifiche alla Commissione in relazione all’ecosistema dei portafogli europei di identità digitale.

Questo  regolamento ha lo scopo di creare un sistema di notifiche che permetta di validare e autenticare tutti gli attori dell’ecosistema dell’identità digitale europea, garantendo trasparenza e affidabilità del sistema.

La Commissione deve mettere a disposizione entro 12 mesi un sistema elettronico sicuro per le notifiche che permette agli Stati membri di comunicare informazioni su:

Entità da notificare:

  • registri delle parti facenti affidamento (relying parties): con le banche dati delle organizzazioni che utilizzano i portafogli digitali;
  • fornitori dei portafogli: le aziende che sviluppano e forniscono le soluzioni di portafoglio;
  • fornitori di dati di identificazione personale: gli enti che rilasciano documenti digitali (in Italia è l’IPZS);
  • fornitori di certificati di accesso: le organizzazione che rilasciano certificati digitali.

Sono stabiliti i requisiti del sistema:

  • interfaccia in lingua inglese;
  • controlli di accesso appropriati;
  • supporto a formati per elaborazione automatica e manuale;
  • registro storico delle modifiche;
  • riutilizzo delle informazioni già trasmesse.

La pubblicazione degli elenchi in capo alla Commissione (articolo 5), che deve:

  • redigere e mantenere aggiornati gli elenchi pubblici delle entità notificate;
  • garantire l’accesso, sia in formato leggibile dall’uomo, che automatizzato;
  • utilizzare firme/sigilli elettronico per l’autenticità;
  • fornire accesso sicuro con tecniche crittografiche avanzate;
  • non richiedere la registrazione per accedere alle informazioni.
  • Per ogni categoria di fornitore, gli Stati membri devono notificare:
  • nome e dati identificativi;
  • stato membro di appartenenza;
  • contatti (email, telefono);
  • URL per informazioni aggiuntive;
  • politiche e termini di utilizzo;
  • certificati digitali per la verifica (conformi alla specifica pubblica RFC 3647 – Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices Framework).

Questo regolamento di esecuzione stabilisce anche regole chiave:

  • trasparenza: tutte le informazioni sono pubbliche;
  • Interoperabilità: standard comuni per tutta l’UE;
  • sicurezza: uso di crittografia e certificati digitali;
  • multilinguismo: notifiche almeno in inglese;
  • automazione: supporto per elaborazione automatica.

Questo regolamento stabilisce le regole per l’infrastruttura di governance che permette di verificare l’affidabilità di tutti gli attori nell’ecosistema dell’identità digitale europea, creando una “catena di fiducia – trust chain”, al fine di garantire l’autenticità delle transazioni digitali transfrontaliere.

Certificazione portafogli europei identità digitale

Nr. 2024/2981 REGOLAMENTO DI ESECUZIONE (UE) 2024/2981 DELLA COMMISSIONE del 28 novembre 2024 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la certificazione dei portafogli europei di identità digitale

Questo documento ha lo scopo di definire un quadro armonizzato nell’Unione per certificare i portafogli di identità digitale, assicurando requisiti elevati di sicurezza, protezione dei dati e interoperabilità.

Si applica al software, hardware, processi e servizi che compongono la soluzione di portafoglio, incluse le APP crittografiche sicure, dispositivi sicuri e piattaforme, quando forniti come parte del portafoglio.

I principi chiavi ai quali ci si dovrebbe attenere sono:

  • la conformità a requisiti funzionali, di cybersicurezza e di protezione dei dati;
  • l’allineamento con gli standard europei e internazionali, incluso il regolamento sulla cyber resilienza (Nr. 2024/2487) e i sistemi di certificazione della cybersicurezza (EUCC);
  • il livello di garanzia “elevato”  (LoA high) per l’intera soluzione;
  • l’uso esclusivo del marchio di fiducia UE per indicare la conformità.

I sistemi nazionali di certificazione prevedono che:

  • ogni Stato membro deve designare un titolare del sistema e sviluppare profili per ogni architettura di portafoglio;
  • includono: descrizione dell’architettura, controlli di sicurezza, piani di valutazione, mappatura dei rischi e minacce (registro dei rischi);
  • siano stabiliti processi per la gestione di incidenti e vulnerabilità con aggiornamenti e mantenimento.

Requisiti per fornitori e organismi di certificazione:

  • i fornitori devono dimostrare copertura adeguata dei rischi e adottare politiche per gestione di modifiche, vulnerabilità, risorse umane e ambiente operativo;
  • gli organismi di certificazione devono essere accreditati, possedere competenze tecniche specifiche, notificare il rilascio, la sospensione e l’annullamento dei certificati e svolgere vigilanza periodica.

Le attività di valutazione e certificazione:

  • adottano metodi conformi alla norma EN ISO/IEC 17065:2012;
  • effettuano attività di audit, prove funzionali, valutazioni delle vulnerabilità, analisi di dipendenza, verifica di conformità all’architettura di riferimento;
  • consentono metodi di campionamento in alcune prove;
  • prevedono procedure di reclamo e ricorso.

Il ciclo di certificazione:

  • prevede la sorveglianza annuale e la valutazione biennale delle vulnerabilità;
  • consente la ricertificazione prima della scadenza;
  • prevede conseguenze in caso di rilevazione di non conformità (correttivi, sospensione, annullamento del certificato).

Questo regolamento di esecuzione è molto importante perché crea regole uniformi in tutta l’Unioneper garantire che i portafogli digitalisiano sicuri, affidabili, interoperabili e oggetto di una certificazione rigorosa e costantemente aggiornata.

Protocolli e interfacce

Nr. 2024/2982 REGOLAMENTO DI ESECUZIONE (UE) 2024/2982 DELLA COMMISSIONE del 28 novembre 2024 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i protocolli e le interfacce che devono essere supportati dal quadro europeo di identità digitale.

Questo documento ha lo scopo di garantire interoperabilità, sicurezza e protezione dei dati personali nell’uso dei portafogli europei di identità digitale, sia per persone fisiche che giuridiche, in tutti gli Stati membri. In pratica, tratta il rilascio, la presentazione, la cancellazione e la segnalazione dei dati e attributi gestiti dai portafogli digitali.

Sovranità digitale, ecco le strategie europee con cloud e AI

I principi chiave sono i seguenti:

  • autenticazione e convalida reciproca tra portafogli e soggetti che vi fanno affidamento;
  • minimizzazione allo stretto necessario del trasferimento di dati, impedendo il collegamento tra transazioni diverse;
  • conformità con le norme UE sulla protezione dei dati (GDPR e direttiva e-privacy).
  • supporto a protocolli e interfacce comuni per garantire la compatibilità transfrontaliera.
  • Le definizioni dettagliate chiariscono i ruoli e le componenti dell’ecosistema (utente del portafoglio, fornitore, istanza, unità, dispositivi e applicazioni crittografiche, attestati, certificati, ecc.).

I requisiti tecnici principali sono:

  • il rilascio di dati e attestati: solo da fornitori con certificati validi; supporto a più formati; verifica dell’autenticità e della validità (art. 4);
  • la presentazione di attributi: protocolli per scenari a distanza e in prossimità; supporto a divulgazione selettiva; prove di possesso delle chiavi crittografiche (art. 5);
  • le richieste di cancellazione: possibilità per l’utente di chiedere la cancellazione dei dati alle parti coinvolte e visualizzare le richieste inviate;
  • le segnalazioni alle autorità di controllo: meccanismi per segnalare soggetti sospetti alle autorità nazionali di protezione dei dati, con la possibilità di allegare prove.

L’allegato elenca come standard di riferimento le norme tecniche ISO/IEC 18013-5:2021 e ISO/IEC TS 18013-7:2024 (Personal identification — ISO-compliant driving licencePart 7: Mobile driving licence (mDL) add-on functions). La versione 2024 non è più attiva, quindi si dovrebbe fare riferimento alla versione 2025.

In sintesi, questo regolamento stabilisce le “regole del gioco” per far sì che i portafogli digitali europei funzionino ovunque in UE in modo sicuro, interoperabile e rispettoso della protezione dei dati personali.

Lo scenario degli atti di esecuzione

Tutti questi documenti sono importanti ma il 2024/2981 è di particolare interesse perché riguarda la certificazione di sicurezza dei Portafogli. La complessità e la crucialità del tema, evidenziata anche dai contenuti del regolamento di esecuzione, lo pone come documento di riferimento per l’obiettivo di un Portafoglio Europeo di Identità Digitale conforme allo stato dell’arte di cybersecurity.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Giovanni Manca
consulente, Anorc
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Dark pattern e trasparenza della pubblicità online

  • La guida

    Digital Services Act: cos’è e cosa prevede la legge europea sui servizi digitali

    16 Apr 2025

    di Barbara Calderini

    Condividi
  • voucher cloud cybersecurity Malware ChatGPT

  • documenti e fisco

    Conservazione digitale dei libri e dei registri, perché serve una rivoluzione normativa

    29 Gen 2025

    di Salvatore De Benedictis

    Condividi
  • sovranita-digitale-agenda-digitale; implementing acts eidas 2.0

  • approfondimento

    Implementing acts di eIDAS 2.0, le novità del secondo lotto

    07 Ott 2025

    di Giovanni Manca

    Condividi