L’Unione europea ha pubblicato tre regolamenti di esecuzione fondamentali, che completano il quadro normativo delineato dal regolamento (UE) n. 910/2014 (eIDAS), così come modificato dal regolamento (UE) 2024/1183. Essi incidono in modo diretto sulla verifica dell’identità digitale, sul rilascio di attestati elettronici di attributi e sulla gestione delle firme elettroniche qualificate a distanza.
Si tratta dei regolamenti di esecuzione (UE) 2025/1566 (premere qui per leggere), 2025/1567 (premere qui per leggere) e 2025/1569 (premere qui per leggere), adottati dalla Commissione europea il 29 luglio 2025 e pubblicati nella Gazzetta ufficiale il 30 luglio 2025.
Verifica dell’identità e degli attributi – Regolamento (UE) 2025/1566
Il regolamento 2025/1566 definisce le norme di riferimento per la verifica dell’identità e degli attributi della persona cui deve essere rilasciato un certificato qualificato o un attestato elettronico di attributi qualificato.
Viene imposto l’utilizzo della norma ETSI TS 119 461 V2.1.1 (2025-02), con adeguamenti che rafforzano la sicurezza, introducendo controlli indipendenti da parte di organismi di valutazione accreditati, nonché requisiti stringenti per l’uso di sistemi automatizzati di identificazione, con valori target di accuratezza (FAR/FRR) basati su analisi del rischio e metodologie ENISA, e pure verifiche periodiche biennali, da parte di laboratori accreditati o autorità nazionali, sull’efficacia delle misure di validazione dei documenti di identità.
L’applicazione è prevista dal 19 agosto 2027.
Firme elettroniche e sigilli a distanza – Regolamento (UE) 2025/1567
Il regolamento 2025/1567 disciplina la gestione di dispositivi qualificati per la creazione di firme elettroniche a distanza e sigilli elettronici a distanza, qualificandoli come servizi fiduciari.
Il testo si fonda sulla norma ETSI TS 119 431-1 V1.3.1 (2024-12), con adattamenti che riguardano:
- la selezione di meccanismi crittografici approvati da ENISA, per garantire robustezza contro minacce informatiche;
- la formazione continua del personale in ruoli fiduciari, con aggiornamenti annuali sulle nuove minacce;
- piani di cessazione del servizio conformi all’articolo 24, par. 5, del regolamento eIDAS;
- obblighi di trasparenza nella pubblicazione delle informazioni e controlli di sicurezza di rete più stringenti (scansioni trimestrali delle vulnerabilità e configurazioni firewall restrittive).
Anche in questo caso l’applicazione è differita al 19 agosto 2027, concedendo agli operatori un periodo di adeguamento.
Attestati elettronici di attributi – Regolamento (UE) 2025/1569
Il regolamento 2025/1569 introduce le regole di dettaglio per gli attestati elettronici qualificati di attributi e per quelli rilasciati da organismi del settore pubblico responsabili di fonti autentiche.
Le novità più rilevanti sono:
- istituzione di un catalogo europeo degli attributi e di un catalogo dei regimi per attestati di attributi, gestiti dalla Commissione europea;
- obbligo per gli Stati membri di notificare alla Commissione gli organismi pubblici abilitati al rilascio di attestati e di trasmettere le informazioni almeno in lingua inglese;
- procedure uniformi per la revoca degli attestati, con garanzie contro tracciabilità e correlabilità indebite;
- possibilità per i prestatori qualificati di verificare attributi rispetto a fonti autentiche o intermediari designati tramite punti di verifica nazionali;
- obbligo di conformità alle specifiche tecniche ETSI EN 319 401 v3.1.1 (2024-06).
Le disposizioni relative agli elenchi e ai cataloghi si applicheranno dal 19 agosto 2026.
Si comincia a fare sul serio
Con questi tre regolamenti di esecuzione, la Commissione europea compie un passo decisivo verso la piena operatività del quadro europeo di identità digitale. Le nuove regole rafforzano la sicurezza giuridica, l’interoperabilità transfrontaliera e la fiducia degli utenti nell’uso di certificati qualificati, attestati elettronici e firme digitali a distanza.
Per imprese, pubbliche amministrazioni e fornitori di servizi fiduciari si apre una fase cruciale di adeguamento tecnico e organizzativo, che richiederà investimenti, audit di conformità e cooperazione istituzionale, ma che al tempo stesso consentirà di consolidare un ecosistema digitale europeo realmente integrato.
The post Nuove regole europee sull’identità digitale: cosa cambia con i regolamenti di esecuzione eIDAS first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
