Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

approfondimento

Implementing acts di eIDAS 2.0, le novità del secondo lotto

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

Seconda parte della guida completa agli implementing acts di eIDAS 2.0, gli atti di esecuzione che permettono di definire le caratteristiche tecniche per la messa a terra delle nuove indicazioni normative su trust service e portafoglio europeo di identità digitale

Pubblicato il 7 ott 2025
Giovanni Manca

consulente, Anorc

sovranita-digitale-agenda-digitale; implementing acts eidas 2.0

Il secondo lotto degli implementi acts del regolamento eIDAS 2.0 fa riferimento alla realizzazione delle funzionalità del Portafoglio Europeo di Identità Digitale ed è composto, come il primo lotto,  da cinque documenti. Per motivi legati al processo di approvazione l’atto 2025/1569 è stato inserito e votato nel terzo lotto, da cui il numero fuori sequenza rispetto agli altri documenti del lotto.

Portafoglio europeo di identità digitale, ecco caratteristiche e usi

Regolamenti del secondo lotto di implementing acts di eIDAS 2.0

Come per il primo lotto di atti di esecuzione di eIDAS 2.0, i regolamenti sono entrati in vigore venti giorni dopo la pubblicazione sulla Gazzetta comunitaria con eccezioni specifiche stabilite nei testi normativi. Ecco di seguito il dettaglio.

Corrispondenza transfrontaliera di identità delle persone fisiche

Nr. 2025/846 REGOLAMENTO DI ESECUZIONE(UE) 2025/846 DELLA COMMISSIONE del 6 maggio 2025 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la corrispondenza dell’identità a livello transfrontaliero delle persone fisiche

Questo documento definisce come identificare in modo univoco le persone fisiche quando utilizzano servizi pubblici digitali transfrontalieri, attraverso i Portafogli Europeo di Identità o altri mezzi di identificazione elettronica notificati attraverso l’apposita procedura della Commissione ed è fondamentale per rendere operativo il sistema di identità digitale europea, permettendo ai cittadini di utilizzare la propria identità digitale per l’accesso ai servizi pubblici e privati in tutti i paesi UE.

La corrispondenza dell’identità a livello transfrontaliero agisce quando un cittadino accede per la prima volta a un servizio pubblico digitale di un altro Stato membro. Il sistema preposto deve verificare la sua identità confrontando i dati del portafoglio digitale con quelli già registrati.

Il processo di verifica è in capo deve essere agli organismi pubblici che forniscono i servizi specifici.

I dati da utilizzare sono:

  • per i portafogli digitali: dati di identificazione personale obbligatori definiti nel regolamento 2024/2977 (analizzato nell’articolo referenziato all’inizio di questo articolo);
  • per altri sistemi, gli attributi minimi definiti nel regolamento 2015/1501 (Regolamento di esecuzione (UE) 2015/1501 della Commissione, dell’8 settembre 2015, relativo al quadro di interoperabilità di cui all’articolo 12, paragrafo 8, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno).

Gli esisti della verifica possono essere:

  • esito positivo: l’utente viene informato dell’accesso concesso e delle opzioni per riutilizzare l’identificazione in futuro;
  • esito negativo: l’utente riceve spiegazioni chiare sui motivi del rifiuto e sulle alternative disponibili.

Le registrazioni del processo sono conservate per 6-12 mesi per gestire eventuali reclami e si richiede la piena applicazione del regolamento europeo per la protezione dei dati personali.

Violazioni della sicurezza dei portafogli europei di identità digitale

Nr. 2025/847 REGOLAMENTO DI ESECUZIONE(UE) 2025/847 DELLA COMMISSIONE del 6 maggio 2025 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le reazioni a violazioni della sicurezza dei portafogli europei di identità digitale

Questo regolamento definisce le procedure per gestire le violazioni della sicurezza che interessano:

  • i portafogli europei di identità digitale;
  • i meccanismi di convalida;
  • i regimi di identificazione elettronica.

Questo regolamento si pone nel contesto più generale della standardizzazione della gestione delle criticità di cybersecurity nell’ecosistema dell’identità digitale europea, garantendo risposte coordinate e tempestive per proteggere gli utenti e mantenere la fiducia nel sistema.

Il regolamento definisce entità di riferimento, come già fatto nel primo lotto:

  • soluzione di portafoglio: combinazione di software, hardware e servizi;
  • unità di portafoglio: configurazione unica per un singolo utente;
  • risorse critiche: elementi la cui compromissione avrebbe gravi effetti conseguenze;
  • attestato di unità di portafoglio: oggetto che descrive i componenti del portafoglio.

Il regolamento descrive le varie procedure di gestione delle violazioni:

Valutazione (Articolo 3):

  • gli Stati membri valutano se una violazione pregiudica l’affidabilità operativa;
  • i criteri di valutazione so dettagliati nell’Allegato I.

Sospensione (Articolo 4):

  • blocco immediato della fornitura e uso dei portafogli compromessi;
  • le misure di sicurezza sono attuate entro 24 ore dalla rilevazione;
  • possibile revoca degli attestati.

Comunicazione (Articolo 5):

  • Informazioni obbligatorie entro 24 ore a:
    • punti di contatto degli Stati membri;
    • la Commissione europea;
    • gli utenti interessati;
    • le parti facenti affidamento (relying parties).

Ripristino (Articoli 6-7):

  • sono definite le procedure per il ritorno in servizio dopo la risoluzione dei problemi;
  • se necessario sono rilasciati nuovi attestati.

Ritiro definitivo (Articoli 8-9):

  • nel caso di mancata risoluzione dei problemi di violazione entro 3 mesi;
  • si esegue la revoca permanente degli attestati.

Il regolamento stabilisce (in Allegato I) i criteri precisi per determinare la gravità di una violazione, tra cui:

  • impatto su salute/sicurezza delle persone;
  • accessi non autorizzati ai sistemi;
  • indisponibilità prolungata (oltre le 12 ore consecutive);
  • compromissione di dati personali;
  • perdite finanziarie superiori a 500.000 euro.

Gli scambi di informazioni avvengono mediante l’utilizzo del sistema CIRAS dell’ENISA con l’indispensabile coordinamento tra gli Stati membri e la Commissione europea. Come eccezione all’entrata in vigore dopo 20 giorni dalla pubblicazione nella Gazzetta comunitaria, l’articolo 10 (sistema informativo) si applica dal 7 maggio 2026.

Sicurezza dei servizi fiduciari: che dicono eIDAS 2.0 e Nis2

Registrazione delle parti

Nr. 2025/848 REGOLAMENTO DI ESECUZIONE(UE) 2025/848 DELLA COMMISSIONE del 6 maggio 2025 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la registrazione delle parti facenti affidamento sul portafoglio

Questo regolamento di esecuzione definisce le regole per la registrazione delle parti facenti affidamento sul portafoglio (relying parties) ovvero quelle organizzazioni (pubbliche o private) che intendono utilizzare i portafogli europei di identità digitale per fornire servizi digitali.

Queste regole sono strutturate su più azioni realizzative:

  • registri nazionali;
  • ogni Stato membro istituisce e mantiene registri nazionali delle parti registrate;
  • tali registri devono essere accessibili online sia in formato leggibile sia da persone che da sistemi automatici;
  • sono basati su interfacce applicative (API) comuni per garantire l’interoperabilità

Le parti forniscono informazioni dettagliate tra cui:

  • nome e identificativi ufficiali;
  • indirizzo e contatti;
  • tipologia dei servizi erogati;
  • qualifiche specifiche come, ad esempio,  quella di prestatore di servizi fiduciari qualificato;
  • descrizione dell’uso previsto dei dati in ottica protezione dei dati personali.

Le interazioni di sicurezza utilizzano certificati digitali per le funzionalità di:

  • certificati di accesso per autenticare le parti nell’uso dei portafogli;
  • certificati di registrazione: (opzionali) per permettere agli utenti di verificare che i dati richiesti siano conformi a quanto registrato in sicurezza.

Le procedure di controllo oltre che efficaci devono essere trasparenti prevedendo:

  • procedure di verifica automatizzate quando possibile;
  • possibilità di sospendere o cancellare registrazioni in caso di violazioni;
  • obbligo di conservare le informazioni per almeno 10 anni;
  • attività finalizzate alla protezione degli utenti per evitare l’eccessiva condivisione di dati.

Questa attività presenta cruciali criticità sulla autenticità delle informazioni registrate e sul controllo delle informazioni provenienti da tutti gli Stati membri e da una pluralità significativa di soggetti transnazionali e transettoriali.

Elenco portafogli europei di identità digitale certificati

Nr. 2025/849 REGOLAMENTO DI ESECUZIONE(UE) 2025/849 DELLA COMMISSIONE del 6 maggio 2025 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la trasmissione di informazioni alla Commissione e al gruppo di cooperazione in merito all’elenco dei portafogli europei di identità digitale certificati

Il regolamento stabilisce le modalità con cui gli Stati membri inviano informazioni alla Commissione Europea riguardo ai portafogli europei di identità digitale certificati. Il documento è di natura tecnico-amministrativo e standardizza le procedure di comunicazione per garantire trasparenza e fiducia nell’ecosistema europeo dell’identità digitale.

Anche in questo caso troviamo definizioni chiave già viste e altre contestuali: la soluzione di portafoglio, l’istanza di portafoglio, l’unità di portafoglio e il fornitore di portafoglio. Sono anche definiti i dispositivi e applicazioni crittografiche sicure come componenti resistenti alle manomissioni.

Gli Stati membri devono trasmettere alla Commissione:

  • la descrizione della soluzione di portafoglio (nome, identificativo, fornitore, caratteristiche tecniche),
  • la descrizione del regime di identificazione elettronica (autorità responsabili, fornitori di dati, procedure, ecc.);
  • le informazioni sui regimi di vigilanza e le relative responsabilità;
  • informazioni su certificati di sicurezza e relazioni di valutazione.

Le informazioni devono essere trasmesse almeno in lingua inglese attraverso un canale elettronico sicuro messo a disposizione dalla Commissione.

Attestati elettronici qualificati di attributi

Nr. 2025/1569 REGOLAMENTO DI ESECUZIONE(UE) 2025/1569 DELLA COMMISSIONE del 29 luglio 2025 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda gli attestati elettronici qualificati di attributi e gli attestati elettronici di attributi forniti da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto

Questo regolamento stabilisce le norme tecniche e procedurali per:

  • attestati elettronici qualificati di attributi;
  • attestati elettronici rilasciati da organismi del settore pubblico.

Questi attestati sono componenti essenziali dei portafogli europei di identità digitale e permettono agli utenti di condividere informazioni in modo sicuro e verificabile.

La Commissione europea deve creare e mantenere dei cataloghi digitali:

  • un catalogo degli attributi (archivio digitale degli attributi disponibili)
  • un catalogo dei regimi per gli attestati (norme applicabili ai diversi tipi di attestati)

Gli Stati membri devono notificare alla Commissione gli organismi pubblici autorizzati a rilasciare attestati, fornendo informazioni di contatto e relazioni di conformità.

Verifica degli attributi e fornitori

La verifica degli attributi, specialmente quelli contenenti informazioni istituzionali, è fondamentale. In tal senso gli Stati membri devono istituire meccanismi digitali che permettano ai prestatori di servizi qualificati di verificare gli attributi rispetto alle fonti autentiche nazionali.

I fornitori devono disporre di politiche pubbliche per la gestione della validità e revoca degli attestati, con particolare attenzione alla protezione dei dati personali. Tutto il sistema dovrebbe essere orientato a fondamentali regole di interoperabilità e di riuso delle componenti in attuazione dell’articolo 10 del regolamento di esecuzione.

I tempi degli implementing acts di eIDAS 2.0

Questo regolamento entra in vigore venti giorni dopo la pubblicazione sulla Gazzetta comunitaria, ma due articoli, che stabiliscono disposizioni per l’elenco degli organismi del settore pubblico e verifica degli attributi rispetto a fonti autentiche o intermediari designati (articoli 6 e 9), si applicano dal 19 agosto 2026 per consentire agli Stati membri di adeguarsi alle nuove regole e conseguenti procedure operative.

Il regolamento contiene anche tre importanti allegati che integrano le specifiche tecniche stabilite nell’articolato in materia di sicurezza del sistema (ETSI EN 319 401), specifiche tecniche per il rilascio di attestati elettronici qualificati di attributi e di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto di cui all’articolo 3 e le informazioni da notificare alla Commissione ai sensi dell’articolo 5.

Lo scenario degli implementing acts di eIDAS 2.0

In questo articolo abbiamo esaminato sinteticamente i cinque regolamenti di esecuzione facenti parte del secondo lotto stabilito dalla Commissione europea. Questi regolamenti completano le regole operative per il funzionamento del Portafoglio Europeo di Identità Digitale con attenzione a questioni organizzative ed amministrative. La registrazione delle parti facenti affidamento al Portafoglio è cruciale per la sicurezza dello scenario funzionale considerato che è con questi soggetti che il Portafoglio interagisce per i servizi digitali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Giovanni Manca
consulente, Anorc
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Dark pattern e trasparenza della pubblicità online

  • La guida

    Digital Services Act: cos’è e cosa prevede la legge europea sui servizi digitali

    16 Apr 2025

    di Barbara Calderini

    Condividi
  • voucher cloud cybersecurity Malware ChatGPT

  • documenti e fisco

    Conservazione digitale dei libri e dei registri, perché serve una rivoluzione normativa

    29 Gen 2025

    di Salvatore De Benedictis

    Condividi
  • identità digitale (2) (1) eudi wasllet; identità digitale svizzera

  • identità digitale europea

    Attributi digitali e wallet: così cambia l’accesso ai servizi in Europa

    16 Set 2025

    di Giorgia Dragoni e Diletta Villa

    Condividi