Redirecting you to
Post del blog apr 24, 2024

eIDAS 2.0: Benefici, controversie e futuro delle identità digitali

eIDAS 2.0 ottimizza le transazioni digitali nell'UE introducendo il portafoglio EUDI, rendendole più sicure e rapide. Tuttavia, desta preoccupazioni per rischi di centralizzazione, privacy e dipendenza dai browser. I certificati QWAC sollevano sfide per la sicurezza informatica. Mentre offre comodità, eIDAS 2.0 genera dibattiti sulle sue implicazioni per sicurezza e libertà.

Indice

eIDAS 2.0: Cos'è e le controversie che lo circondano

L'identificazione elettronica, l'autenticazione e i servizi fiduciari (eIDAS) è una normativa stabilita dai 27 Paesi dell'Unione Europea (UE), che rende più conveniente e sicura la conduzione di affari per via elettronica. Regolamenta i certificati digitali, le firme elettroniche e i sigilli elettronici e controlla i servizi che stabiliscono la fiducia tra due entità che effettuano una transazione elettronica nell'UE.

Il regolamento eIDAS 2.0 è stato progettato per rendere più facile l'autenticazione dei siti web, la firma dei documenti e l'esecuzione di una vasta gamma di transazioni online. Ad esempio, è possibile acquistare un veicolo, richiedere un prestito per l'acquisto di un'auto, ottenere l'assicurazione, immatricolare il veicolo e aggiungerlo alla polizza assicurativa senza dover mai firmare un pezzo di carta.

Ma eIDAS ha anche sollevato delle preoccupazioni. Molte parti interessate ritengono che possa esporre inutilmente i cittadini e le imprese a rischi dovuti alla sua natura centralizzata. Altri ritengono che eIDAS oltrepassi i limiti dettando i tipi di certificati digitali di cui i browser possono fidarsi, e alcuni pensano che eIDAS renda più facile per i Paesi membri dell'UE spiare i propri cittadini.

L'evoluzione da eIDAS a eIDAS 2.0

Sebbene eIDAS 1.0 abbia contribuito a rendere più sicuri gli spazi digitali, non ha fornito una protezione completa. Ad esempio, ogni Stato membro poteva scegliere come implementare eIDAS, con il risultato di politiche incoerenti da un Paese all'altro. Inoltre, i servizi fiduciari includevano solo firme elettroniche, sigilli e timestamp. Il regolamento non proteggeva gli utenti da siti falsi che cercavano di rubare l'identità.

eIDAS 2.0 cerca di porre rimedio a questi problemi introducendo il portafoglio dell'identità digitale dell'Unione Europea (EUDI), che dovrebbe rendere le transazioni digitali più coerenti tra individui e organizzazioni.

Gli utenti possono memorizzare nel portafoglio EUDI informazioni di identificazione, come nome, data di nascita, firma, luogo di residenza e numero di telefono. In questo modo, quando si richiede un prestito e l'istituto di credito chiede, ad esempio, i dati identificativi, gli utenti possono inviare i dati direttamente dal loro portafoglio. Non è necessario firmare i documenti, inviarli via fax o utilizzare software di firma elettronica di terze parti.

Inoltre, grazie all'introduzione di nuovi meccanismi e servizi di fiducia, eIDAS 2.0 copre una gamma più ampia di transazioni digitali. Una caratteristica degna di nota è il Qualified Website Authentication Certificate (QWAC), l'equivalente dei certificati digitali SSL utilizzati oggi per convalidare l'autenticità dei siti web. La versione 2.0 include anche l'archiviazione elettronica e i libri mastri, nonché i sistemi di gestione delle firme elettroniche remote.

Che cos'è eIDAS 2.0?

Gli obiettivi principali di eIDAS 2.0 comprendono:

  • ampliare il numero di servizi a cui si applica il regolamento, come ad esempio i certificati elettronici per l'autenticazione
  • Rendere più coerente l'attuazione delle transazioni elettroniche, in particolare attraverso l'EUDI Wallet
  • l'inclusione di transazioni elettroniche più sicure e convenienti in una più ampia gamma di attività quotidiane, come la compilazione di un contratto di affitto, la prenotazione di un volo o la domanda di lavoro.

Nell'ecosistema eIDAS esistono tre categorie principali di entità:

  • Emittente dell'identità: Ad esempio, un ente governativo può emettere dati di identificazione personale dal certificato di nascita di un utente, attestando il luogo di nascita, il nome, la data e i genitori dell'utente.
  • L'utente: È la persona o l'entità commerciale che riceve i dati di identificazione dall'emittente e può essere un cittadino o il proprietario di un sito web che riceve un QWAC.
  • La parte facente affidamento: La parte facente affidamento è l'entità che utilizza l'identificazione fornita dall'utente. Può trattarsi di una compagnia aerea che accetta una prenotazione di volo, di un ospedale che esegue procedure di accettazione o di un datore di lavoro che intervista un candidato.

Dopo che i colegislatori hanno raggiunto un accordo sui suoi contenuti il 29 giugno 2023, eIDAS è entrato pienamente in vigore nel settembre 2023.

Vantaggi di eIDAS 2.0 per i cittadini e le imprese dell'UE

Con eIDAS 2.0 le imprese e i cittadini dell'UE potranno sperimentare transazioni elettroniche più convenienti, più rapide e potenzialmente più sicure.

Per i cittadini, le transazioni sono molto più rapide. Ad esempio, per l'acquisto di una casa, non dovranno fornire copie del passaporto o farsi certificare da un giudice di pace o da un altro ente certificatore. È sufficiente presentare l'EUDI Wallet con i dati dell'identità digitale e scegliere i dati da condividere. Allo stesso modo, le aziende possono usufruire di transazioni più rapide, fluide e sicure. Hanno accesso immediato a una serie di informazioni di identificazione per verificare che i clienti siano quelli che dicono di essere.

Le transazioni online sono inoltre più sicure e convenienti sia per le aziende che per i clienti, anche per gli acquisti più importanti. I clienti possono condividere le informazioni di identificazione, pagamento e spedizione direttamente dal loro portafoglio, consentendo alle aziende che vendono online un flusso di entrate più fluido.

Anche le transazioni transfrontaliere ne traggono vantaggio. Storicamente, i Paesi avevano leggi proprie sulla protezione dei dati, che ostacolavano le transazioni che richiedevano la condivisione dei dati. eIDAS 2.0 opera in linea con i principi del GDPR, che si applicano a tutti i 27 Paesi.

Controversie di eIDAS 2.0

Un fornitore di servizi fiduciari qualificato (QTSP) è una persona fisica o giuridica che fornisce uno o più servizi fiduciari qualificati. Esistono centinaia di QTSP, molti dei quali sono specifici per ogni Paese. Garantire l'affidabilità e le misure di cybersecurity di ogni QTSP può essere impegnativo. Questo aspetto, insieme ad altre disposizioni di eIDAS 2.0, ha suscitato alcune controversie:

  • eIDAS potrebbe aprire la strada a un archivio centrale di certificati dei siti, con tutti i QWAC emessi da alcuni o tutti gli Stati membri. Ciò significa che un singolo hack potrebbe causare violazioni in migliaia di siti in tutta l'UE.
  • eIDAS limita la libertà dei produttori di browser costringendoli a lavorare con i QWAC di uno qualsiasi dei fornitori di servizi fiduciari approvati. Se uno sviluppatore di browser ha dubbi sulle pratiche di sicurezza informatica di un QTSP, deve comunque riconoscere i QWAC emessi da quel QTSP.
  • Se un governo europeo volesse iniziare a spiare i cittadini o le aziende, potrebbe ottenere informazioni sui certificati e sulle chiavi dai QTSP.
  • eIDAS specifica come i browser visualizzano le informazioni sulle organizzazioni. Le informazioni devono essere facili da identificare, comprendere e verificare per i consumatori. Alcune parti interessate ritengono che ciò ostacoli la capacità dei produttori di browser di progettare interfacce e prendere decisioni creative.

Tutto questo porta a un potenziale di iper-regolamentazione. In futuro, il governo potrebbe persino decidere di certificare i QTSP in base a criteri discutibili, come il numero di dipendenti o il Paese in cui opera.

Cosa succederà in futuro?

eIDAS 2.0 è ancora nelle sue fasi iniziali. L'EUDI Wallet ha iniziato i test pilota nell'aprile 2023, concentrandosi su diversi casi d'uso, tra cui:

  • Accesso ai servizi governativi
  • Apertura di un conto bancario
  • Registrazione di carte SIM
  • Memorizzazione delle informazioni sulla patente di guida
  • Firmare contratti
  • Richiedere prescrizioni mediche
  • Viaggiare attraverso le frontiere
  • Emissione di identità digitali organizzative
  • Accettare pagamenti
  • Certificare titoli di studio
  • Accesso alle prestazioni di sicurezza sociale

Man mano che funzionari, aziende e cittadini impareranno da questi test, il futuro di eIDAS diventerà più chiaro. È pronto a migliorare la fluidità e la sicurezza delle transazioni digitali e a eliminare i sistemi di verifica dell'identità cartacei e dispendiosi in termini di tempo.

Allo stesso tempo, alcune parti interessate ritengono che eIDAS 2.0 possa minacciare la sicurezza dei sistemi di autenticazione dei siti web e dei dati degli utenti. Potrebbe anche aprire la strada allo spionaggio e all'eccessiva regolamentazione da parte del governo.

Sectigo offre certificati digitali conformi a eIDAS che consentono a privati e aziende di proteggere i documenti e di utilizzare le firme digitali in modo più efficace. Per saperne di più, contattate Sectigo oggi stesso.

Scopri di più? Contattateci per prenotare una demo di Sectigo Certificate Manager!

Messaggi relativi:

Guida al regolamento eIDAS e alla conformità

Root Causes 343: La controversia EIDAS 2.0