Skip to main content

Schede informative

Riprendiamo la rubrica di schede informative sulle attività dell'Unione europea, che sono state molto apprezzate, con riferimenti giuridici ma anche con riferimenti legati al dibattito politico e culturale, relative a temi di grande rilevanza sociale su cui l’Europa sta adottando scelte e scrivendo norme che delineeranno un orizzonte di scelte di standard che l‘ Europa auspica possano diventare di riferimento globale. Se volete ulteriori approfondimenti scrivetemi a: 

Regolamento su identità digitale affidabile e sicura per tutti gli europei - Parte seconda

Poiché, come spiegato nella scheda n. 1 sul nuovo quadro europeo sull’identità digitale, l’utilizzo di servizi pubblici (sanità, finanza, anagrafe) e anche di settori privati presuppone una identificazione e una presentazione di attributi e informazioni, si richiede un livello di sicurezza alto e la nuova normativa lo definisce “livello elevato” per la verifica, ma anche la produzione dei dati offerti.

Di fronte al volume crescente di tali attività e scambi di informazioni, la Commissione ha intravisto un rischio o comunque una possibile situazione critica, rappresentata dal fatto che molte realtà (come le banche o i fornitori di servizi di comunicazione elettronica) utilizzino le loro modalità e le loro procedure e, in qualche modo, si trasformino (o assumano i caratteri e le funzioni) di fornitori di identità, senza essere verificati o certificati.

Anche le piattaforme digitali di social media stanno fornendo servizi di identità digitale ai loro “clienti” o utilizzatori.

La possibilità per queste compagnie di servizi elettronici e di servizi di internet di collegare e memorizzare i dati degli utenti (anche sui dispositivi telefonici) è un servizio utile ed efficace, ma mette a rischio la protezione dei dati personali.

Infatti il cittadino-utente perde il controllo dei propri dati e l’ambiente digitale che si crea, senza una adeguata verifica dell’identità digitale, può aprire la strada ad abusi e frodi.

Per questo la Commissione ha proposto e il Parlamento sta esaminando il nuovo Regolamento eIDAS sulla base di quello del 2014.

I contenuti attengono a come disciplinare:

  • La identificazione elettronica transfrontaliera
  • L’autenticità
  • La certificazione dei siti web nell’UE

Lo scopo è quello di superare l’attuale situazione in cui ogni Stato membro può, se lo ritiene, avere un sistema di identità digitale nazionale senza preoccuparsi che sia interoperabile con quello degli altri paesi (basti pensare che sulla base di un recente studio è risultato che 14 paesi europei hanno 14 diversi sistemi di identificazione digitale).

Nel contempo si sono sviluppati molti sistemi di identificazione e autenticazione da parte delle compagnie private, ma spesso questi non sono regolamentati e vigilati e dunque hanno un basso livello di sicurezza e di protezione dei dati personali.

Occorre dunque prioritariamente:

  • Disporre di quadri di conformità per la verifica tecnica dell’identità digitale sul piano tecnico per la verifica dell’identità digitale
  • Normare il settore pubblico perché offra, con … di sicurezza per la identità digitale, una sempre più vasta gamma di servizi online
  • Normare le specifiche tecniche, i segmenti e le modalità perché i fornitori privati di identificazione e autenticazione digitale abbiano verifiche e certificazioni
  • Ottenere che le piattaforme abbiano un sistema di identità aperto, non monopolistico e su una base non proprietaria e accentrata

Il quadro giuridico e tecnico definito dal Regolamento presenta e fornisce la definizione di portafoglio digitale, garantendo il controllo degli utenti che potranno fornire i propri dati in modo limitato e sicuro e potranno controllare chi ha accesso alla propria identità.

Quindi vanno definiti requisiti giuridici, norme comuni e riferimenti tecnici e specifiche precise, anche per le infrastrutture di raccolta, di conservazione e la divulgazione di dati.

Altro contenuto della proposta è la norma sulla fornitura di “attestati elettronici” di attributi validi a livello europeo, per superare la attuale dipendenza dagli schemi e soluzioni solo nazionali.

Altro contenuto nuovo è la definizione di un quadro chiaro entro uno schema uniforme di norme per la semplificazione del lavoro delle pubbliche amministrazioni e dei fornitori di attestati elettronici di attribuzione.

Uno schema chiaro rappresenta un vantaggio (in termini di trasparenza e di efficienza) per tutti gli operatori e i soggetti in campo, compresi i privati.

Ogni Stato membro avrà dunque l’obbligo dopo un anno dall’entrata in vigore del Regolamento di definire un Portafoglio europeo di identità digitale.

Portafogli digitali (europei) saranno messi a disposizione dei cittadini e delle imprese private e potranno la loro identità attraverso l’esibizione di attributi personali (come un titolo di studio. Un conto bancario etc).

Chi potrà emettere questi portafogli?

Sia attività pubblica che soggetti privati, a condizione che sano riconosciuti da uno Stato membro.

Le tecnologie on sono scelte dall’Europa, ma l’Europa prescrive che gli Stati seguano la valutazione, una via obbligatoria, della conformità e della certificazione, per garantire sicurezza e protezione dei dati.

Sempre a proposito della protezione dei dati personali, le norme previste dal Regolamento sono molto chiare e rigorose: i fornitori qualificati di attestati di attributi, con riferimento al Regolamento GDPR, obbligo per i fornitori di browser web di avere certificati di autenticazione dei siti web (per poter conoscere chi gestisce un sito web o chi ne è proprietario).

Chi certificherà la congruità di questi portafogli europei?

Saranno organismi appositamente accreditati dalle autorità pubbliche o anche privati, purché incaricati ad hoc dagli Stati membri.

Avranno l’obbligo e la responsabilità della primaria certificazione deve essere in capo alle autorità pubbliche, o almeno questa è la posizione dell’On. Toia.

ESAME DI ALCUNI PUNTI CRITICI

Particolare attenzione andrà riservata ad alcuni articoli del Regolamento che normano aspetti assai sensibili sia per le prospettive di mercato dei soggetti privati in questo comparto sia per evitare dal punto di vista tecnologico, una predominanza monopolistica di grandi società non in Europa.

In particolare vogliamo esaminare l’art. 6 sul quale, con alcuni emendamenti, si vuole aprire la strada alla coesistenza di più portafogli sul mercato.

Se questa è un’apertura utile e condivisibile, occorre però evitare che, come purtroppo sta avvenendo con altri emendamenti, si apra a un rilascio troppo vasto a ogni organizzazione con sede nell’Unione, con rischio, appunto, di una dominanza impropria di importanti e forti sistemi tecnologici extraeuropei.

E’ importante perciò limitare questa apertura troppo ampia.

Suggeriremo, in sede di esame nella Commissione ITRE, che possano operare con parità di condizioni le organizzazioni presenti nell’UE che abbiano avuto la necessaria qualificazione, in modo che l’elevato livello di sicurezza si abbia a tutti i livelli del processo di identificazione e di fornitura di servizi online.

In ogni caso il controllo, la verifica e il monitoraggio saranno garantite dall’autorità pubblica attraverso le autorità nazionali competenti.

Un altro punto critico riguarda l’art. 1 sulla necessità che il portafoglio deve fornire e convalidare le firme e i sigilli elettronici.

Infatti, in caso contrario, ci sarebbe un conflitto, quasi una concorrenza sperequata, tra le emittenti di portafogli e gli QTSP (QUALIFIED TRUST SERVICE PROVIDERS).

Non dobbiamo creare “monopoli di Stato”, ma neanche un mercato non controllato e poco trasparente.

  • Creato il .