David Ottolenghi
Il 30 luglio 2025 si è conclusa la pubblicazione del nuovo pacchetto di regolamenti attuativi del Regolamento (UE) 2024/1183, noto come eIDAS 2.0.
Si tratta di otto atti fondamentali, definiscono standard tecnici comuni, requisiti minimi e criteri di interoperabilità per il funzionamento degli EUDI Wallets (European Digital Identity Wallets), ponendo le basi per la diffusione e di servizi digitali sicuri, certificati e integrabili in tutta l’Unione.
L’obiettivo è chiaro: mettere a disposizione di cittadini e imprese uno strumento semplice, affidabile e conforme per identificarsi online e gestire in modo verificabile attributi personali, professionali o aziendali.
In questo contesto, identità, qualifiche e attributi personali o aziendali – come ad esempio la maggiore età, il possesso di determinate certificazioni, requisiti professionali o autorizzazioni aziendali – vengono in un certo senso “tokenizzati”, ovvero trasformati in attestati digitali verificabili e facilmente spendibili in molteplici contesti, anche con strumenti di Zero-Knowledge Proof (ZKP), ossia tecnologie che permettono di dimostrare il possesso di un attributo (es. maggiore età) senza rivelare ulteriori dettagli (es. nome o data di nascita).
Questo permette di automatizzare controlli e accessi in modo sicuro, selettivo e conforme al GDPR, facilitando l’interazione tra soggetti pubblici, imprese e utenti privati a livello europeo.
In questo post cerchiamo di fornire alcune chiavi di lettura concrete, in particolare:
- per le imprese tecnologiche che vogliano sviluppare soluzioni compatibili con il nuovo quadro europeo; e
- per le imprese commerciali interessate a semplificare l’accesso a servizi, prodotti e contratti riservati a determinate categorie di clientela, grazie anche all’uso di strumenti come le zero-knowledge proofs.
Cosa prevedono i regolamenti attuativi di eIDAS 2?
Il nuovo pacchetto normativo adottato il 30 luglio 2025 definisce i requisiti tecnici e operativi essenziali per l’implementazione dell’identità digitale europea. In particolare, i regolamenti fissano le regole comuni di sicurezza e interoperabilità per gli EUDI Wallets, i portafogli di identità digitale che ciascuno Stato membro dovrà mettere a disposizione dei cittadini. Vengono inoltre introdotti gli standard per le attestazioni qualificate di attributi (qualified attestations of attributes), ovvero certificazioni digitali che dimostrano determinate caratteristiche della persona o dell’azienda – come la maggiore età, il possesso di una partita IVA, l’iscrizione ad albi professionali o l’esistenza di una delega aziendale – anche in forma selettiva, a tutela della privacy.
Il pacchetto normativo disciplina anche il modo in cui i wallet potranno interagire con fornitori di servizi fiduciari e con i servizi digitali pubblici e privati, garantendo così l’interoperabilità tra diversi Paesi e settori. Vengono inoltre regolati gli standard tecnici per l’accesso dei soggetti terzi ai dati contenuti nel portafoglio, affinché le verifiche possano essere integrate nei sistemi aziendali in modo sicuro, tracciabile e trasparente. Infine, i regolamenti impongono obblighi precisi ai fornitori di portafogli digitali e ai trust service providers, stabilendo criteri comuni per la protezione dei dati personali, la trasparenza delle operazioni e l’auditabilità delle interazioni digitali.
A che punto siamo e cosa manca?
Con l’adozione del nuovo pacchetto di regolamenti, l’infrastruttura normativa europea può considerarsi completa nella sua architettura di base, mentre restano alcuni passaggi fondamentali per una reale attuazione dell’EUDI Wallet su larga scala:
I portafogli digitali non sono ancora diffusi: ogni Stato membro dovrà autorizzare almeno un EUDI Wallet ufficiale, e i fornitori privati dovranno completare i processi di certificazione (in Italia è in corso il progetto IT-Wallet, affidato a PagoPA).
Servizi pubblici e privati dovranno adattarsi: il recepimento tecnico e organizzativo nei sistemi attuali richiederà aggiornamenti e nuove interfacce.
Gli standard di attribuzione e verifica dovranno essere testati nella pratica: specie per i settori regolati (es. banking, e-commerce, sanità), sarà necessario validare sul campo l’efficacia degli attestati e delle soluzioni integrate.
È probabile che i primi servizi pienamente operativi in ambiente produttivo si vedranno tra il 2026 e il 2027, ma già oggi si aprono spazi concreti per sviluppare soluzioni compatibili e preparare l’integrazione.
Quali opportunità per le imprese commerciali e tecnologiche?
Le implicazioni pratiche di eIDAS 2 sono molteplici. Tra le più interessanti:
1. Per le imprese tecnologiche, vi è spazio per sviluppare:
o servizi di verifica attributi e integrazione wallet, da proporre a soggetti pubblici o aziende private;
o sistemi documentali o gestionali compatibili, che leggano attributi EUDI in modo nativo;
o applicazioni specialistiche in ambito legale, sanitario, accademico, finanziario.
2. Per le imprese commerciali, eIDAS 2 potrà semplificare l’accesso a prodotti o servizi soggetti a requisiti specifici, come:
o prodotti vendibili solo a maggiorenni;
o farmaci o dispositivi prescrivibili solo con ricetta;
o servizi riservati a professionisti, aziende, enti pubblici;
o contratti o atti che richiedono la verifica del potere di firma o della titolarità aziendale.
Tutto questo sarà possibile senza dover gestire dati personali non strettamente necessari alla fornitura del servizio: gli attributi potranno essere verificati una volta sola e mostrati su richiesta con strumenti di Zero-Knowledge Proof.
Clovers assiste imprese tecnologiche, startup e operatori commerciali:
nell’analisi delle opportunità offerte dal nuovo quadro normativo europeo eIDAS 2,
nella progettazione di soluzioni compatibili con i digital wallet e
nella gestione degli aspetti legali legati alla conformità, alla privacy e all’interoperabilità.