Il Portafoglio d'identità digitale dell'UE è un portafoglio digitale avviato dalla Commissione Europea per identità elettroniche. L'obiettivo è quello di offrire a cittadini, consumatori e aziende dell'UE un'opzione sicura e rispettosa della protezione dei dati per l'identificazione digitale. Ogni portafoglio è riconosciuto come app personale che consente di archiviare, gestire e presentare in modo sicuro le prove d'identità ufficiali e altri importanti documenti digitali. Può anche essere utilizzato per firmare documenti elettronici in modo legalmente vincolante.
Scopo e finalità del Portafoglio dell'identità digitale dell'UE
L'obiettivo principale del Portafoglio dell'identità digitale dell'UE è quello di, mettere il controllo sui dati personali nelle mani dell'utente. Gli utenti devono decidere autonomamente quali dati di identità divulgare online e a quale scopo.. Il portafoglio consente, ad esempio, di utilizzare servizi pubblici o privati. per dimostrare chi siete, senza divulgare più informazioni personali del necessario.
Questo approccio segue il principio guida della Commissione Europea secondo il quale tutti dovrebbero avere sempre la possibilità di Sovranità sulla propria identità digitale dovrebbe mantenere. Di conseguenza, il progetto è in linea con i valori europei quali la protezione dei dati e il principio "una tantum" (i dati vengono raccolti una sola volta) e sostiene l'obiettivo di Decennio digitaleper dare a tutti i cittadini dell'UE l'accesso alle identità digitali entro il 2030.
Il portafoglio è offerto da ogni Stato membro dell'UE in almeno una versione ed è destinato a Utilizzabile oltre confine essere. Da 2026 tutti gli Stati membri devono fornire un sistema di portafoglio che soddisfi gli standard uniformi dell'UE. Ciò consentirà ai cittadini e alle aziende di proteggere la propria identità digitale. Utilizzo senza soluzione di continuità in tutta l'UE. Ad esempio, per utilizzare servizi online all'estero, aprire un conto bancario o candidarsi per un lavoro in un altro Paese dell'UE.
Base giuridica: eIDAS 2.0 (Quadro europeo di identità digitale)
La base giuridica del Portafoglio di Identità Digitale dell'UE è la Regolamento eIDAS rivedutonoto anche come eIDAS 2.0 o Quadro europeo di identità digitale. Il Regolamento eIDAS originale (Regolamento (UE) n. 910/2014) ha creato un quadro giuridico per l'identificazione elettronica transfrontaliera e i servizi fiduciari nel 2014. Ha reso possibile l'utilizzo di sistemi di identità elettronica riconosciuti a livello nazionale in altri Stati membri per l'accesso ai servizi pubblici. Tuttavia, secondo la Commissione UE, questo regolamento non è più sufficiente nell'era digitale, in quanto sempre più servizi privati online richiedono l'identificazione e ci sono preoccupazioni riguardo a Profilazione e monitoraggio è diventato forte.
Nel giugno 2021, la Commissione europea ha quindi proposto una revisione completa del regolamento eIDAS. Questa proposta prevedeva la creazione di un quadro europeo per le identità digitali. Con il Portafoglio dell'identità digitale dell'UE come strumento centrale per attuare il principio secondo cui gli utenti mantengono il pieno controllo sui dati della propria identità digitale. In seguito alle procedure legislative dell'UE, il nuovo regolamento è stato infine adottato dal Parlamento europeo il 29 febbraio 2024 e pubblicato nella Gazzetta ufficiale nel maggio 2024. È entrato in vigore il 20 maggio 2024 come Regolamento (UE) 2024/1183 in vigore. Questa ordinanza modifica e integra eIDAS (2014)istituendo il quadro europeo dell'identità digitale e, in particolare, prescrivendo la creazione di portafogli di identità digitale dell'UE.
Contenuto essenziale del regolamento eIDAS 2.0
Il nuovo regolamento obbliga tutti gli Stati membri, sotto la responsabilità nazionale, a per fornire portafogli di identità digitale dell'UE. Ciò può avvenire anche in collaborazione con fornitori privati convenzionati. I portafogli devono essere conformi a determinate specifiche tecniche comuni per essere interoperabili in tutta l'UE. Inoltre, eIDAS 2.0 rafforza l'uso delle identità elettroniche nel settore privato. Per la prima volta, viene regolamentato che anche i fornitori di servizi privati possono accettare il portafoglio come mezzo di identificazione o devono accettarlo in determinati casi. In particolare, le piattaforme online di grandi dimensioni (come definite dalla legge sui servizi digitali, ad esempio i grandi social network) saranno in futuro obbligate a supportare l'EU Wallet come opzione di login o di identificazione, se richiesto dagli utenti. L'obiettivo è quello di evitare che alcuni servizi di login privati dominino il mercato e di fornire agli utenti un'alternativa neutrale e disponibile al pubblico.
È importante che le prove elettroniche e i certificati digitali forniti tramite il wallet (i cosiddetti certificati di attributo elettronici) siano legalmente riconosciuti. Il regolamento chiarisce che un certificato emesso digitalmente non può essere rifiutato solo perché è elettronico o non soddisfa determinati requisiti di qualificazione. Vengono definiti requisiti minimi comuni per i certificati di attributo elettronici qualificati, in modo che corrispondano al valore legale di un certificato ufficiale su carta. In questo modo, i documenti memorizzati digitalmente nel portafoglio (ad esempio, una patente di guida digitale o un diploma universitario) avranno un effetto legale affidabile in tutta l'UE.
Quadro di riferimento per la protezione dei dati del Portafoglio d'identità
La soluzione Identity Wallet è stata progettata da zero per garantire che i principi chiave del GDPR, come la minimizzazione dei dati, il consenso, la limitazione delle finalità e i diritti degli interessati, siano rispettati e supportati tecnicamente. Questo obiettivo viene raggiunto sia attraverso Requisiti legali dal regolamento eIDAS 2.0 e dal regolamento Architettura del portafoglio assicurata dall'azienda stessa.
Aspetti importanti della protezione dei dati in sintesi:
- Limitazione delle finalità e divieto di ulteriori trattamenti: Il regolamento stabilisce che i dati personali trattati in relazione al portafoglio possono essere utilizzati solo per la fornitura dei servizi del portafoglio.. È vietata l'elaborazione per altri scopi, come l'analisi commerciale dei dati di utilizzo. I fornitori di portafogli non sono autorizzati a visualizzare le transazioni specifiche degli utenti ("Non osservabilità") e non creare profili sul comportamento degli utenti. In questo modo si impedisce un ulteriore uso improprio (ad esempio, la creazione di profili). Se, in casi eccezionali, è necessario che l'operatore del portafoglio acceda a determinate informazioni (ad esempio, per scopi di assistenza), ciò può essere autorizzato soltanto con consenso preventivo espresso dell'utente nei singoli casi e deve essere pienamente conforme al GDPR.
- Minimizzazione dei dati e condivisione selettiva dei dati: Il minor numero di dati possibile, il massimo necessario. Questo principio del GDPR (art. 5 par. 1 lett. c) è tecnicamente implementato dal portafoglio. Per impostazione predefinita, vengono condivisi solo gli attributi minimi richiesti.. Il portafoglio ha Privacy-by-Design-funzioni come Divulgazione selettiva e Prove a conoscenza zero. Per divulgazione selettiva si intende che l'utente, al momento della richiesta, comunica solo le informazioni specifiche richieste da un fornitore di servizi, senza divulgare ulteriori dettagli. Ad esempio, invece di trasmettere la carta d'identità completa, il portafoglio può confermare che l'utente è maggiorenne, senza data di nascita o indirizzo esatto. Prove a conoscenza zero un ulteriore passo avanti, consentendo la verifica di una caratteristica senza rivelare i dati sottostanti. Ad esempio, si potrebbe dimostrare che un conto bancario ha un saldo minimo, senza l'importo esatto. Tali metodi crittografici mirano a garantire il massimo livello di protezione dei dati.
Cruscotto sulla privacy: trasparenza e diritti degli interessati
Il Consenso attivo La libertà di scelta dell'utente è un principio fondamentale che attraversa l'intero sistema di identity wallet. Gli utenti decidono autonomamente a chi rendere disponibili le informazioni del proprio portafoglio. Ogni rilascio di dati richiede un'azione consapevole nel portafoglio (ad esempio, la conferma tramite l'app), in modo che non si verifichi una divulgazione involontaria. Ciò corrisponde al requisito del GDPR di un consenso informato, volontario e specifico, quando è necessario come base giuridica. Il regolamento eIDAS 2.0 sottolinea esplicitamente che è possibile accedere ai dati del portafoglio solo previo consenso dell'utente e in conformità al GDPR.. In molti casi, il trasferimento dei dati è limitato anche a necessità contrattuale o obblighi di legge (ad esempio nel settore bancario); tuttavia, il portafoglio garantisce che l'interessato mantenga sempre il controllo e autorizzi il trasferimento.
Al fine di Panoramica dei propri dati le applicazioni del portafoglio devono essere protette tramite un sistema di Cruscotto di protezione dei dati avere. Questo agisce come un Registro delle transazioni e mostra chiaramente all'utente quale ufficio ha richiesto o ricevuto quali dati in quale momento. Tutte le transazioni di dati tramite il portafoglio sono documentate qui e possono essere visualizzate dall'utente, anche se un processo è stato annullato. Ciò ha lo scopo di creare un elevato livello di trasparenza e di prevenire l'utilizzo di dati non tracciabili.
La dashboard consente inoltre agli utenti di gestire le proprie Diritti degli interessati più facilmente in conformità con il GDPR. In particolare, il portafoglio può essere utilizzato direttamente per creare una Cancellazione dei dati condivisi essere richiesta al fornitore di servizi. Il regolamento prevede che tale richiesta di cancellazione (basata sull'art. 17 del GDPR, diritto all'oblio) possa essere effettuata con pochi clic. Dovrebbe inoltre essere possibile segnalare un fornitore di servizi che richiede i dati in modo illecito o clamoroso direttamente all'autorità nazionale di controllo della protezione dei dati.
Privacy by design/default e precauzioni di sicurezza
La conformità alla protezione dei dati è tecnicamente ancorata. Il regolamento eIDAS 2.0 obbliga i fornitori di identity wallet a garantire la conformità alla protezione dei dati. grazie al design della tecnologia e alle impostazioni predefinite per la protezione dei dati rendersi conto. L'architettura stessa separa logicamente i dati personali del portafoglio da altri trattamenti di dati da parte del fornitore, al fine di evitare qualsiasi commistione.
Tutti i dati del portafoglio sono localmente sul dispositivo memorizzati sul dispositivo dell'utente e non in un cloud centralizzato, al fine di aumentare il controllo e la sicurezza dei dati. L'accesso al portafoglio è protetto dalle caratteristiche di sicurezza del dispositivo finale (PIN, sicurezza biometrica, ecc.), in modo che solo la persona autorizzata possa utilizzare il contenuto. Inoltre Codice sorgente aperto e Audit di sicurezza per creare trasparenza e identificare tempestivamente le vulnerabilità. Se tuttavia dovesse emergere un grave rischio per la sicurezza, la soluzione di portafoglio in questione può essere esposto essere ritirato dal mercato fino a quando il problema non sarà stato risolto. Tutte queste misure sono volte a garantire che il portafoglio soddisfi i severi requisiti del GDPR e crei fiducia tra gli utenti.
Suggerimento di lettura: Pseudonimizzazione - EDSA pubblica nuove linee guida
Fornitori di portafogli d'identità ed espositori
Il Portafoglio dell'identità digitale dell'UE si basa su un sistema di quadro tecnico comune e ruoli chiaramente definiti per consentirne l'impiego transfrontaliero. Entrambi tecnica così come legale è un intero Ecosistema di attori e infrastrutture per garantire che i portafogli funzionino in modo affidabile:
- Fornitori di portafogli (Wallet Provider): Sono gli organismi che sviluppano il portafoglio per conto di uno Stato membro e lo mettono a disposizione degli utenti.. In molti casi, si tratta del governo o di un'autorità statale. In alternativa, può essere incaricato un fornitore privato di servizi informatici. Il fornitore del portafoglio è responsabile del funzionamento tecnico, degli aggiornamenti regolari e dell'assistenza. Dal punto di vista legale, il rispettivo Stato membro è responsabile di garantire che il "proprio" wallet sia conforme ai requisiti. Ogni Stato membro dell'UE deve offrire almeno un portafoglio, anche se è possibile offrirne diversi in parallelo, purché tutti soddisfino i requisiti. standard comuni dell'UE
- Emittente: Ciò significa che organizzazioni affidabili prove digitali di identità e altre forme di documenti digitali nel portafoglio. Si tratta di autorità statali (per i documenti d'identità ufficiali, le patenti di guida, i certificati di stato civile), ma anche di altri enti come le università (per i certificati di laurea) o le banche e i servizi di certificazione. Ogni emittente fornisce all'utente un certificato elettronico (attestazione) su uno specifico attributo o documento, che viene memorizzato nel portafoglio. Tecnicamente, ciò avviene tramite certificati digitali o Record di dati firmatiche garantiscono autenticità e immutabilità. Dal punto di vista legale, gli emittenti devono soddisfare determinati requisiti a seconda del tipo di certificato, in particolare fornitori di servizi fiduciari qualificati quando si tratta di certificati di attributo elettronici qualificati che hanno effetti legali speciali. Il nuovo regolamento elenca le categorie di attributi (ad esempio, nome, data di nascita, stato della patente) per le quali Espositori qualificati devono essere disponibili. Gli espositori sono tenuti a Precisione dei dati prima di emettere un certificato nel portafoglio, in modo che gli utenti possano fare affidamento sulle informazioni memorizzate nel portafoglio.
Fornitore di servizi (fornitore di servizi)
Questo include tutti enti pubblici o privatile informazioni del portafoglio interrogazione, fornire all'utente un servizio. Ad esempio: una compagnia aerea che richiede l'identificazione per la prenotazione online; una società di autonoleggio che vuole vedere la patente di guida digitale; una banca che richiede i dati dell'ID digitale per aprire un conto. Fornitore di servizi (Parti Affidanti) utilizzare il portafoglio per Autenticare gli utenti o far verificare alcuni attributi (ad esempio, età, titolo di studio).
Dal punto di vista legale, devono registrose vogliono recuperare i dati del portafoglio. La registrazione presso un'autorità competente (designata dallo Stato membro) serve a garantire la trasparenza e a monitorare la legittimità delle richieste di dati. Al momento della registrazione, i fornitori devono specificare quali dati desiderano recuperare e per quale scopo. In questo modo è possibile prevenire richieste di dati non necessarie o sproporzionate.
Il regolamento stabilisce inoltre che i fornitori di servizi devono Valutazione d'impatto sulla protezione dei dati (DPIA) e, se necessario, consultare l'autorità di controllo della protezione dei dati, prima trattano i dati del portafoglio. Questo vale in particolare quando si tratta di categorie speciali di dati personali (ad esempio, dati sulla salute) o di profili estesi. Questo per garantire che le nuove applicazioni di portafoglio siano controllate in modo approfondito per individuare i rischi.
Nel complesso, l'obbligo di registrazione mira a garantire che solo i servizi affidabili accedano ai dati del portafoglio e che gli utenti sappiano esattamente chi sta utilizzando i loro dati di identità.
Funzionalità tecnica dei portafogli
Tecnicamente, l'interazione di questi attori è supportata da una Architettura e standard comuni è possibile. L'UE ha pubblicato un Architettura e quadro di riferimento (ARF) e tecnico Specifiche tecniche elaborato. Tutti i portafogli nazionali, i sistemi di emittenti e i fornitori di servizi devono soddisfare questo requisito. protocolli e formati di dati standardizzati in modo che un portafoglio del Paese A possa comunicare facilmente con un fornitore di servizi del Paese B. Ad esempio, ci sono strumenti standardizzati Modelli di dati (cataloghi di schemi) per determinati documenti, in modo che, ad esempio, un "documento digitale per la patente di guida" sia strutturato allo stesso modo in ogni Stato membro. Allo stesso modo, un infrastruttura fiduciaria comune costruito: Una sorta di elenco pubblico di organizzazioni affidabili (ad es. Emittente-Catalogo), che elenca tutti gli emittenti e i fornitori di servizi certificati. In questo modo il portafoglio può verificare automaticamente se un certificato in arrivo da un emittente Emittente autorizzato e se il sito web di un servizio richiedente è effettivamente registrato e legittimo. Questo riconoscimento reciproco è garantito da certificati digitali e firme. Simile ai certificati SSL sul web, solo che qui si tratta di identità e attributi.
Un importante aspetto tecnico e legale è la SicurezzaLe app di portafoglio devono soddisfare requisiti rigorosi Standard di sicurezza informatica adempimento. Il regolamento fa riferimento al quadro giuridico dell'UE in materia di sicurezza informatica (Regolamento (UE) 2019/881) e stabilisce che i portafogli devono essere protetti in conformità alle norme europee o nazionali. Schemi di certificazione essere controllati per la loro sicurezza informatica. In concreto, questo significa che ogni sistema di portafogli di un Valutazione della conformità Questa certificazione dovrebbe essere armonizzata per quanto possibile a livello di UE (con l'eventuale coinvolgimento dell'agenzia UE ENISA). Questa certificazione dovrebbe essere armonizzata per quanto possibile a livello di UE (con il coinvolgimento dell'agenzia UE ENISA, se necessario). I portafogli che superano il test sono considerati "Certificato per la sicurezza informatica". Per gli utenti e i fornitori di servizi, questo crea fiducia nel fatto che la rispettiva applicazione di portafoglio sia sicura (ad esempio, protetta dagli attacchi degli hacker e priva di malware noti).
Come funziona in pratica l'Identity Wallet
Per utilizzare un portafoglio, l'utente di solito passa attraverso una Processo di onboardingScaricate l'app del portafoglio del vostro Paese, proteggetelo (ad esempio con PIN/biometria) e collegatelo una volta a un fonte di identità dello Stato. Ad esempio, attraverso la lettura della carta d'identità elettronica o l'identificazione online.. Può quindi essere utilizzato per documenti digitali richiedendoli ai rispettivi emittenti (ad esempio, l'ufficio patenti per la patente di guida digitale). I certificati aggiunti vengono memorizzati nel portafoglio e possono essere utilizzati da quel momento in poi. Se l'utente accede a un servizio online che supporta il portafoglio, può utilizzarlo per Rilascio dei dati selezionati.
L'autenticazione viene solitamente effettuata utilizzando un Combinazione di rilascio del portafoglio ed eventualmente di un'ulteriore conferma (ad esempio, una firma digitale o un'autenticazione tramite smartphone). Importante: la conferma legale dell'identità avviene al momento del rilascio - Il fornitore del servizio riceve, ad esempio, una conferma firmata digitalmente dell'identità o dell'attributo richiesto, che può utilizzare come equivalente alla classica carta d'identità devono trattarsi reciprocamente. Poiché le prove del portafoglio sono riconosciute reciprocamente, un cittadino del Paese A gode dei seguenti vantaggi quando utilizza il servizio online nel Paese B la stessa accettazione legalecome se avesse presentato un documento d'identità locale.
Nel complesso, i portafogli di identità digitale dell'UE Tecnologia all'avanguardia con chiare garanzie legali combinare: Un'infrastruttura europea standardizzata garantisce l'interoperabilità e la sicurezza, mentre regole vincolanti assicurano che tutte le parti coinvolte (Stati, fornitori, utenti) svolgano il proprio ruolo nella protezione dei dati d'identità. I portafogli dovrebbero quindi costituire una pietra miliare per le transazioni digitali affidabili in Europa. Tuttavia, la questione non sarà solo se l'implementazione tecnica avrà successo come descritto, ma anche se i cittadini e i consumatori accetteranno e utilizzeranno il portafoglio EUDI su larga scala.
Italian 
German 
English 
French