Nuovo bando europeo per l’identità digitale: le opportunità per Pmi e PA #finsubitoagevolazioni

I progetti devono garantire l’allineamento legale con il Regolamento e gli atti attuativi, seguendo il Framework di Architettura e Riferimento (ARF), per assicurare interoperabilità e promuovere la standardizzazione, e includendo l’integrazione con lo sviluppo iterativo dell’implementazione di riferimento del portafoglio digitale, fornendo riscontri alla Commissione e agli sviluppatori del portafoglio. Le proposte dovrebbero inoltre basarsi su lavori preesistenti e sfruttare infrastrutture esistenti, garantendo l’allineamento con altre iniziative transfrontaliere in corso.

Al fine di favorire la migliore comprensione, riteniamo utile proporre una breve tassonomia definita dal regolamento eIDAS2 e nel bando stesso.

Definiamo e spieghiamo in sintesi le seguenti terminologie:

• EUDI wallet
• Relying parties
• ARF (Framework di Architettura e Riferimento)
• Implementazione di riferimento
• Consorzi di Infrastrutture Digitali Europee (EDIC)

Che cos’è un EUDI wallet

L’EU Digital Identity Wallet[7] (o, in breve, EUDI wallet) è la risposta dell’Unione Europea alle sfide dell’identità digitale. Nei prossimi anni ogni Stato membro dell’Unione Europea offrirà a tutti i cittadini, ai residenti e alle imprese il proprio portafoglio digitale, costruito secondo le stesse specifiche.

L’EUDI wallet consentirà di identificarsi in modo sicuro online quando si accede a un’ampia gamma di servizi pubblici e privati, nonché di archiviare, presentare e condividere documenti digitali (che comprendono tutto, dai diplomi universitari ai biglietti del treno) e di firmare o sigillare elettronicamente i documenti.

Il portafoglio sarà costruito all’insegna della privacy e della minimizzazione dei dati, permettendo agli utilizzatori di condividerete solo le informazioni esatte concordate con i fornitori di servizi, ossia le relying parties.

Cosa sono le relying parties

Le relying parties sono i fornitori di servizi che fanno affidamento su EUDI wallet e sull’ecosistema di identità digitale europea previsti da eIDAS2, per procedure di identificazione, autenticazione e autorizzazione.

Chiamate anche più comunemente “Fornitori di Servizi”, possono ad esempio essere: banche, assicurazioni, agenzie di rating, finanziarie, enti di formazione, società di trasporto pubblico/privato, fornitori di servizi della Pubblica Amministrazione, piattaforme online di marketplace, piattaforme per social network.

Che cos’è il Framework di Architettura e Riferimento (ARF)

Il 3 giugno 2021 la Commissione europea ha adottato una raccomandazione[8] che invita gli Stati membri a lavorare allo sviluppo di un toolbox che comprenda un framework tecnico di architettura e di riferimento (chiamato “ARF”), una serie di norme e specifiche tecniche comuni e una serie di linee guida e migliori pratiche comuni. La raccomandazione specifica che questi risultati serviranno come base per l’attuazione della proposta di un quadro europeo per l’identità digitale, senza che il processo di sviluppo del Toolbox interferisca con il processo legislativo o lo pregiudichi.

La raccomandazione istituisce un processo strutturato di cooperazione tra gli Stati membri, la Commissione e, se del caso, gli operatori del settore privato, per sviluppare il Toolbox. Il Gruppo di esperti eIDAS è il principale interlocutore per l’attuazione della raccomandazione. Da allora il Gruppo di esperti ha sviluppato ulteriormente i concetti e le specifiche del framework europeo di identità digitale. L’attuale versione dell’ARF, che alla data in cui scriviamo questo articolo è la 1.4.0, si basa sul testo adottato dai colegislatori europei.

Che cos’è l’Implementazione di riferimento

La cosiddetta “Implementazione di riferimento”[9] del portafoglio di identità digitale EUDI consiste in librerie di codice e in un’applicazione di riferimento rese disponibili al pubblico e pronte per essere utilizzate dagli Stati membri e dalle parti interessate per costruire i propri wallet. L’implementazione di riferimento è realizzata dalla Commissione e si basa sui requisiti definiti dall’ARF.

Cosa sono i Consorzi di Infrastrutture Digitali Europee

I Consorzi per un’Infrastruttura Digitale Europea (in inglese European Digital Infrastructure Consortia) sono iniziative cruciali per gli Stati membri nell’ambito del Programma Strategico per il Decennio Digitale 2030. Concepite per accelerare e facilitare l’elaborazione e l’attuazione di progetti multinazionali, contribuiscono al raggiungimento degli obiettivi complessivi del decennio.

Ogni EDIC opera come entità giuridica, istituita tramite una decisione della Commissione Europea, che segue una richiesta formale da parte di almeno tre Stati membri e previa approvazione della stessa Commissione. La struttura di governance e le altre normative operative dell’EDIC sono delineate nei suoi statuti, redatti dagli Stati membri fondatori. Il finanziamento del consorzio deriva dai contributi dei membri, integrati da altre fonti di entrate, quali sovvenzioni dell’UE e nazionali. La sede legale dell’EDIC è situata in uno degli Stati membri partecipanti e la sua personalità giuridica è riconosciuta da tutti gli Stati membri.

Inoltre, un EDIC è abilitato a realizzare progetti multinazionali attraverso lo sviluppo di infrastrutture comuni e la fornitura di servizi, promuovendo la collaborazione tra enti pubblici, soggetti privati, utenti finali e il settore industriale, secondo le direttive stabilite dagli Stati membri fondatori.

Le proposte dovrebbero coprire l’utilizzo in almeno uno dei quattro ambiti tematici di caso d’uso:

• Wallet per le imprese: il caso d’uso affronta funzionalità, adattamenti e sviluppi rilevanti per il contesto aziendale, consentendo all’utente di utilizzare il portafoglio in una gamma di scenari business-to-business e business-to-government, inclusi la conformità normativa, la registrazione aziendale e la delega di poteri, tra gli altri.
• Wallet per il contesto Travel: il portafoglio gestisce funzionalità, adattamenti e sviluppi pertinenti ai viaggi, permettendo all’utente di utilizzarlo in una varietà di scenari di viaggio nazionali e transfrontalieri, che, a titolo esemplificativo e non esaustivo, includono trasporti pubblici locali (metropolitana/bus), viaggi a lunga distanza (via aerea/ferroviaria/marittima/bus), mobilità condivisa (es. noleggio auto/condivisione biciclette), controllo delle frontiere e registrazione in hotel.
• Wallet per pagamenti e servizi bancari: il caso d’uso riguarda funzionalità, adattamenti e sviluppi rilevanti per i pagamenti e le banche, fornendo un processo standardizzato per l’utilizzo del portafoglio finalizzato completare le procedure di Adeguata Verifica del cliente (KYC), Autenticazione Forte del Cliente (SCA), transazioni e processi offline in tutta l’UE.
• Wallet per la verifica dell’età: il portafoglio include funzionalità, adattamenti e sviluppi pertinenti alla verifica dell’età, abilitando l’utente a utilizzarlo in una serie di scenari quali, ad esempio, l’emissione di attestazioni pseudonime[10] che contengono solo la verifica dell’età da parte di un terzo fidato.

Le proposte possono anche affrontare altri ambiti di caso d’uso. Qualora una proposta copra più di un caso d’uso, la stessa dovrebbe presentare chiaramente l’approccio per l’implementazione di ciascun di essi. Ogni caso d’uso dovrebbe essere presentato Work Packages separati.

Ambito di riferimento delle proposte

Per rispondere al bando, le proposte che possono essere presentate devono includere:

• Procedure di onboarding per utenti dell’EUDI wallet, fornitori di dati di identificazione personale (PID), attestazioni elettroniche di attributi (EAA), attestazioni elettroniche qualificate di attributi (QEAA) e relying parties.
• Integrazione delle interfacce delle relying parties e dei fornitori di PID, EAA e QEAA nei propri sistemi di preproduzione.
• Test di percorsi utente che coinvolgono le funzionalità principali del portafoglio.
• Test approfonditi della funzionalità transfrontaliera del portafoglio, dimostrando la disponibilità per entrare rapidamente in produzione con utenti reali.
• Collaborazione con la Commissione per integrare lo sviluppo iterativo dell’implementazione di riferimento del portafoglio, inclusa l’integrazione di nuove versioni delle API.

L’azione supporterà gli Stati membri nell’adempimento dell’obbligo di fornire un portafoglio di identità digitale europea a cittadini e imprese entro la fine del 2026.

I progetti dovrebbero:

• Fornire un portafoglio di identità digitale europea a cittadini e imprese.
• Sviluppare e testare casi d’uso nazionali e transfrontalieri.
• Contribuire allo sviluppo tecnico e al mantenimento dell’ecosistema europeo di identità digitale.

I progetti devono inoltre supportare la transizione dall’infrastruttura attuale dell’identità digitale (eID) al nuovo framework del portafoglio di identità digitale UE, permettendo agli Stati membri e ad altri partecipanti dell’ecosistema di affidarsi a un set di specifiche e strumenti per l’implementazione del portafoglio e di altri mezzi di identità e servizi fiduciari.

I progetti dovranno fissare obiettivi, misurare e riferirsi ad almeno i seguenti KPIs:

• Numero di paesi fornitori di portafogli coinvolti nel progetto.
• Numero di utenti finali del portafoglio coinvolti nel progetto.
• Numero di relying parties che hanno integrato le interfacce al portafoglio nei loro sistemi di preproduzione.
• Numero di fornitori di PID, EAA e QEAA che hanno integrato le interfacce al portafoglio nei loro sistemi di preproduzione.
• Numero di transazioni elettroniche del portafoglio completate in un ambiente di preproduzione.
• Numero di firme elettroniche qualificate emesse dagli utenti del portafoglio, se pertinente.

Questi indicatori di prestazione sono fondamentali per monitorare l’efficacia dei progetti nel raggiungere gli obiettivi prefissati e nel contribuire all’implementazione dell’ecosistema di identità digitale europeo.

I principali stakeholder di questo bando includono persone fisiche, aziende private, enti pubblici e consorzi di infrastrutture digitali europee (EDIC)[11]. Per quanto attiene a questi ultimi, dovrebbero essere incluse le persone giuridiche necessarie per garantire il risultato richiesto, tra le quali:

• Agenzie nazionali responsabili dell’implementazione delle infrastrutture pertinenti e delle iniziative transfrontaliere nel dominio di riferimento.
• Relying parties pubbliche e private, incluse ma non limitate a quelle necessarie per pilotare un caso d’uso specifico.
• Fornitori di PID/EAA/QEAA.

Per consentire un pilota transfrontaliero completo dei Wallet, le proposte dovrebbero includere almeno tre paesi, ciascuno dei quali svolge tutti e tre i ruoli definiti di seguito:

• Paese fornitore di wallet: il paese in cui ha sede il/la/i fornitori di Wallet;
• Paese fornitore di PID/EAA/QEAA: il paese in cui ha sede il/la/i fornitori di PID, EAA, QEAA;
• Paese della/e relying parties:il paese in cui ha sede la/le relying parties.

I richiedenti possono aumentare la rilevanza delle loro proposte includendo un numero maggiore di paesi, ciascuno dei quali svolge tutti e tre i ruoli sopra menzionati.

Il budget stimato disponibile per questo bando è di 20.000.000 di euro. Per le informazioni specifiche sul budget rimandiamo alla lettura del documento disponibile al seguente link: https://ec.europa.eu/info/funding-tenders/opportunities/docs/2021-2027/digital/wp-call/2024/call-fiche_digital-2024-bestuse-tech-06_en.pdf (Capitolo 3 – Budget disponibile).

Le tempistiche e le scadenze indicative per il bando sono le seguenti:

• Apertura del bando: 14 maggio 2024
• Scadenza per la presentazione delle proposte: 24 settembre 2024 – 17:00:00 CEST (Bruxelles)
• Valutazione: ottobre – novembre 2024
• Informazioni sui risultati della valutazione: dicembre 2024
• Firma dell’accordo (GA): giugno 2025

Questo calendario dettagliato fornisce una chiara panoramica delle tempistiche critiche, permettendo ai partecipanti di pianificare e prepararsi adeguatamente per ciascuna fase del processo di candidatura.

Il bando europeo DIGITAL-2024-BESTUSE-TECH-06-TRUST di cui abbiamo trattato in questo articolo rappresenta un’opportunità significativa per accelerare la digitalizzazione delle infrastrutture di identità europee. Attraverso l’implementazione di portafogli di identità digitale europea (EUDI wallet), il programma ambisce a migliorare l’accesso sicuro e affidabile a servizi online sia pubblici che privati, offrendo ai cittadini maggiore controllo sui propri dati personali.

La partecipazione a questo bando offre a enti pubblici e privati l’opportunità di contribuire alla costruzione di un ecosistema interoperabile e standardizzato, tale da facilitare l’adozione di tecnologie innovative, promuovendo la fiducia nella transizione digitale. L’approccio collaborativo richiesto dal bando che prevede la partecipazione di almeno tre paesi per ogni progetto, assicura che le soluzioni sviluppate siano scalabili e applicabili a livello transfrontaliero, rafforzando così l’integrazione digitale nell’Unione Europea.

In definitiva, il successo del tender dipenderà dalla capacità dei partecipanti di coniugare innovazione tecnica, conformità normativa e collaborazione internazionale. Le soluzioni che emergeranno da questi progetti pilota non solo contribuiranno a raggiungere gli obiettivi del Digital Europe Programme, ma plasmeranno anche il futuro dell’identità digitale, creando un ambiente più sicuro e connesso per cittadini e imprese europee.

Il rispetto delle tempistiche indicate e l’attenta pianificazione delle proposte saranno essenziali per cogliere appieno le opportunità offerte dal bando. Con un approccio strategico, i partecipanti potranno dare un contributo significativo alla trasformazione digitale dell’Europa, allineandosi agli obiettivi di sostenibilità e innovazione tecnologica delineati dalla Commissione Europea.

Note

[1] Regolamento (UE) 2024/1183 dell’11 aprile 2024 che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale (https://eur-lex.europa.eu/eli/reg/2024/1183 ). Il Regolamento (UE) n. 910/2014 del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno è altresì noto come “eIDAS Regulation”.

[2] Regolamento (UE, Euratom) 2018/1046 del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell’Unione, altresì noto come “EU Financial Regulation” (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018R1046 ).

[3] Regolamento (UE) 2021/694 del 29 aprile 2021 che istituisce il programma “Digital Europe” (https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32021R0694 ).

[4] EU Grants: Call document (DEP): V1.0 – 14.05.2024.

[5] Decisione di esecuzione della Commissione C/2023/8620 del 14 dicembre 2023 che modifica la decisione di esecuzione della Commissione C (2023) 1862 finale sul finanziamento del programma Europa digitale e l’adozione del programma di lavoro per il 2023-2024.

[6] Il quadro europeo per l’identità digitale ambisce a migliorare l’accesso di cittadini e imprese a mezzi di identità elettronica altamente affidabili e sicuri e a servizi fiduciari come le firme elettroniche. Nell’ottica di estendere le possibilità di utilizzo per accedere a servizi online pubblici e privati, il nuovo regolamento eIDAS2 permetterà ai cittadini di avere maggiore controllo su quando e con chi condividono i propri dati personali.

[7] The European Digital Identity Wallet (https://eu-digital-identity-wallet.github.io/eudi-doc-architecture-and-reference-framework/1.4.0/ ).

[8] Raccomandazione (UE) 2021/946 della Commissione del 3 giugno 2021 relativa a uno strumentario comune dell’Unione per un approccio coordinato a un quadro europeo di identità digitale, GU L 210/51 del 14.6.2021.

[9] EUDI Wallet Reference Implementation (https://github.com/eu-digital-identity-wallet/.github/blob/main/profile/reference-implementation.md ).

[10] Le attestazioni pseudonime sono certificati digitali che confermano un’informazione specifica (come l’età) senza rivelare l’identità completa della persona. Questi certificati garantiscono la privacy, consentendo di verificare attributi personali senza condividere dati sensibili.

[11] Per EDIC si veda la definizione più sopra riportata.