L’ecosistema europeo dell’identità digitale si dota di due nuovi strumenti esecutivi che ridefiniscono la governance normativa dei portafogli europei di identità digitale. I Regolamenti di esecuzione (UE) 2025/847 e 2025/849 – entrambi del 6 maggio 2025 – intervengono su due assi portanti della strategia eIDAS 2: da un lato, la trasparenza nella certificazione e gestione dei portafogli digitali, dall’altro, le contromisure in caso di violazioni della sicurezza.
Regolamento UE 2025/849: uniformare la trasmissione delle informazioni sui portafogli certificati
Questo regolamento specifica le modalità con cui gli Stati membri devono trasmettere alla Commissione europea e al gruppo di cooperazione i dati relativi ai portafogli di identità digitale certificati.
Punti salienti:
- obbligo di trasmissione sicura attraverso canali elettronici predisposti dalla Commissione;
- redazione in inglese delle informazioni, per assicurare interoperabilità linguistica e accessibilità;
- contenuti obbligatori: nome del portafoglio, architettura tecnica, regime di identificazione elettronica, autorità competenti, pratiche di gestione, certificazioni, revoche e sospensioni;
- struttura formale dettagliata dell’allegato: ogni portafoglio deve essere descritto anche nei suoi elementi funzionali e nelle politiche di supervisione e responsabilità.
Un passaggio chiave riguarda l’armonizzazione delle informazioni, che diventa presupposto imprescindibile per l’affidabilità e la fruibilità dell’identità digitale a livello transfrontaliero.
Regolamento UE 2025/847: reagire prontamente a violazioni e compromissioni
Parallelamente, il Regolamento 2025/847 introduce un framework normativo vincolante per la gestione delle violazioni della sicurezza riguardanti i portafogli europei di identità digitale.
Misure principali previste:
- valutazione tempestiva delle minacce, basata su una serie di criteri standardizzati (ad es. numero di utenti impattati, durata dell’indisponibilità, entità della compromissione dei dati);
- obbligo di sospensione dell’erogazione del servizio entro 24 ore, in caso di eventi ritenuti gravi;
- revoca definitiva dei portafogli compromessi entro 72 ore allo scadere dei 3 mesi se non vi è stato un rimedio;
- trasparenza e obblighi informativi verso Commissione, utenti e parti facenti affidamento sul portafoglio;
- utilizzo del sistema CIRAS (Cyber Incident Reporting and Analysis System) per le notifiche strutturate a livello europeo.
Il regolamento valorizza un approccio proattivo e reattivo, mirando a mantenere l’integrità del sistema anche in scenari di rischio estremo.
Implicazioni per gli operatori
Fornitori di portafogli digitali, autorità di certificazione e Stati membri devono ora dotarsi di una infrastruttura di compliance avanzata, che integri:
- sistemi di monitoraggio costante delle vulnerabilità;
- meccanismi per la gestione dinamica delle certificazioni;
- processi formalizzati per la trasmissione e l’aggiornamento dei dati normativi e tecnici;
- piani strutturati di comunicazione di crisi.
Non meno rilevante, è richiesto un robusto modello di accountability giuridico, in linea con il GDPR, la direttiva ePrivacy e le previsioni del Regolamento sulla cibersicurezza.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Lo Studio Legale Nappi diventa sede dell’Osservatorio Italiano sul Diritto delle Nuove Tecnologie - 3 Giugno 2025
- L’Avv. Nicola Nappi è il nuovo Presidente dell’Osservatorio Italiano sul Diritto delle Nuove Tecnologie - 28 Maggio 2025
- Pubblicata la relazione annuale ACN 2024 - 14 Maggio 2025
- Garante Privacy e modello “Pay or Ok”: la consultazione pubblica che può ridefinire l’equilibrio tra consenso e monetizzazione - 14 Maggio 2025
- Obbligo di alfabetizzazione in materia di Intelligenza Artificiale: cosa cambia dal 2025 - 14 Maggio 2025
