Nel marzo 2024 è stato ufficialmente adottato il nuovo regolamento EIDAS 2.0, un passo fondamentale nella costruzione del mercato unico digitale europeo. Si tratta di una revisione profonda del primo regolamento EIDAS (2014), che mirava a garantire il mutuo riconoscimento delle identità digitali tra i Paesi dell’Unione Europea. Eppure, quel primo tentativo non ha mai pienamente realizzato il suo potenziale.

EIDAS 2.0 nasce per cambiare le regole del gioco. Non si limita a migliorare l’interoperabilità: ridisegna completamente il modo in cui cittadini e imprese europee interagiscono digitalmente con i servizi pubblici e privati, mettendo al centro il controllo dell’identità da parte dell’utente e creando i presupposti per un’infrastruttura condivisa e affidabile a livello europeo.

Identità digitale: da obbligo normativo a diritto universale

Uno dei limiti principali del vecchio impianto normativo era la sua frammentazione. Ogni Stato membro era libero di stabilire se offrire un’identità digitale ai propri cittadini e con quali caratteristiche. Alcuni Paesi (come l’Italia con SPID e CIE) hanno sviluppato soluzioni efficaci; altri si sono mossi più lentamente o con approcci non compatibili tra loro. Il risultato è che, ancora oggi, milioni di europei non dispongono di un’identità digitale riconosciuta e riutilizzabile al di fuori dei confini nazionali.

Con EIDAS 2.0, la Commissione europea cambia approccio: ogni Stato membro dovrà mettere a disposizione almeno un “portafoglio europeo di identità digitale”, il cosiddetto EUDI Wallet, e garantire che i cittadini possano usarlo per identificarsi, autenticarsi e firmare digitalmente in tutta l’UE. Si tratta di un’app per smartphone – distribuita e certificata dalle autorità nazionali – che consente all’utente di gestire in modo sicuro e trasparente la propria identità digitale e le proprie credenziali verificate.

Il cuore del cambiamento: il Wallet europeo

Il concetto di EUDI Wallet è centrale in EIDAS 2.0. Non si tratta solo di un mezzo per autenticarsi, come ad esempio lo SPID o la CIE, ma di un contenitore sicuro dove ogni cittadino può conservare e usare attributi certificati: un titolo di studio, una patente, una tessera sanitaria, un certificato professionale, una prova di età o di residenza.

Il Wallet consentirà all’utente di condividere solo i dati necessari per ogni specifico scopo, e nulla di più. Sarà inoltre possibile gestire in modo granulare i consensi forniti ai diversi servizi, accedendo a una “dashboard del consenso” per revocarli o modificarli in qualsiasi momento. È una visione decentralizzata e user-centric, in linea con il principio dell’identità digitale sovrana: l’utente è l’unico proprietario e controllore dei propri dati.

Cosa cambia per le imprese e le pubbliche amministrazioni

Uno degli elementi più innovativi di EIDAS 2.0 è che non riguarda solo le pubbliche amministrazioni. I fornitori di servizi privati che rientrano in determinati ambiti strategici (come banche, assicurazioni, trasporti, servizi sanitari o istruzione) saranno tenuti ad accettare il Wallet come mezzo di identificazione. Questo obbligo porterà con sé una trasformazione profonda nei sistemi di onboarding, autenticazione e gestione delle credenziali.

Per le aziende, questa transizione rappresenta una sfida significativa: sarà necessario aggiornare le proprie infrastrutture digitali, gestire flussi complessi di verifica dell’identità e delle credenziali, garantire la conformità ai nuovi standard europei e mantenere un alto livello di sicurezza. Allo stesso tempo, però, EIDAS 2.0 apre anche a nuove opportunità: servizi più fluidi, meno frodi, maggiore fiducia degli utenti, interoperabilità immediata a livello europeo.

Per la pubblica amministrazione, il Wallet offre uno strumento potente per digitalizzare i processi in modo più sicuro e inclusivo, riducendo le barriere d’accesso per i cittadini e potenziando l’efficacia dei servizi.

Tempistiche e attuazione

Il regolamento è già entrato in vigore e gli Stati membri hanno un orizzonte temporale preciso: entro il 2026 dovranno rendere disponibile il Wallet ai propri cittadini. Nel frattempo, sono già partiti numerosi progetti pilota su larga scala (Large Scale Pilots), che stanno testando l’integrazione del Wallet in scenari reali come l’iscrizione universitaria, il rilascio di certificati medici, l’accesso ai servizi bancari o il noleggio di veicoli.

Questa fase di sperimentazione sarà cruciale per definire le specifiche tecniche, i profili di sicurezza, i formati standard dei dati e gli strumenti di interoperabilità tra i diversi attori.

Il ruolo degli specialisti IAM

Per realizzare concretamente quanto previsto da EIDAS 2.0, sarà fondamentale disporre di una solida infrastruttura di Identity and Access Management (IAM). Gli attori pubblici e privati dovranno essere in grado di:

- integrare credenziali e dati personali certificati da diversi enti pubblici e privati;

- gestire i consensi, le abilitazioni e i flussi di autorizzazione;

- dialogare con il Wallet e con i fornitori di credenziali;

- garantire tracciabilità, sicurezza e rispetto della privacy.

Si tratta di una sfida non solo normativa, ma soprattutto tecnica. Ed è qui che entrano in gioco le aziende che da anni operano nel settore dell’IAM, fornendo soluzioni flessibili, interoperabili e sicure.

Tirasa e l’evoluzione dell’identità digitale

Tirasa, attiva da oltre dieci anni nel mondo dell’Identity Management, è oggi in una posizione privilegiata per accompagnare aziende e pubbliche amministrazioni nella transizione verso EIDAS 2.0. Attraverso strumenti come Apache Syncope, Apereo CAS e il proprio gateway SPID/CIE/eIDAS, Tirasa offre soluzioni già pronte per gestire identità, accessi e integrazione con le identità digitali nazionali ed europee.

L’approccio open source, unito a un’esperienza consolidata in ambito pubblico e privato, consente a Tirasa di progettare architetture IAM aderenti agli standard europei, scalabili, sostenibili nel tempo e senza costi di licenza.

Con EIDAS 2.0 in piena attuazione, l’identità digitale europea smette di essere una promessa e diventa un’infrastruttura concreta. Il momento di prepararsi è ora.