Il regolamento eIDAS 2.0 — entrato in vigore nel maggio 2024 dopo l’approvazione del Parlamento Europeo — ridisegna il sistema di identità digitale nell’Unione. L’obiettivo dichiarato è che entro il 2027 ogni cittadino europeo abbia accesso a un EU Digital Identity Wallet: un portafoglio digitale certificato per autenticarsi, firmare documenti e condividere attributi verificati online e di persona, in qualsiasi Paese membro.
Cosa prevede eIDAS 2.0: le quattro novità principali
Il regolamento (UE) 2024/1183, che modifica la precedente versione eIDAS del 2014, introduce cambiamenti strutturali al sistema europeo di identità digitale. Non si tratta di un aggiornamento tecnico, ma di un cambio di paradigma: dall’identità come strumento di autenticazione, all’identità come infrastruttura di fiducia trasversale.
- EU Digital Identity Wallet obbligatorio per ogni Stato membro: ogni Paese deve mettere a disposizione almeno un wallet certificato ai propri cittadini entro 24 mesi dall’entrata in vigore degli atti esecutivi della Commissione. Non è obbligatorio per i cittadini usarlo, ma lo Stato è obbligato a fornirlo.
- Livello di assurance “High” come standard minimo: a differenza di eIDAS 1.0, dove i livelli erano opzionali, il wallet deve obbligatoriamente garantire il livello “elevato” — il massimo — con autenticazione multi-fattore e crittografia certificata.
- Attributi verificati (Verifiable Credentials): il wallet non contiene solo l’identità anagrafica, ma può ospitare attributi certificati da terze parti: patente di guida, titoli di studio, tessera professionale, qualifiche, dati sanitari. Ogni attributo è firmato digitalmente dall’ente che lo ha emesso.
- Accettazione obbligatoria per i grandi servizi online: piattaforme con più di 10 milioni di utenti UE — tra cui Google, Meta, Amazon, banche e assicurazioni — devono accettare il wallet come metodo di autenticazione entro i termini stabiliti. Questo è il cambiamento più rilevante per i cittadini nella vita quotidiana.
Secondo la Commissione Europea, l’obiettivo è che entro il 2030 almeno l’80% dei cittadini UE utilizzi un’identità digitale verificata per accedere ai servizi chiave. Attualmente la media europea è al 64%, con forti disomogeneità tra Paesi: i nordici sono già oltre il 90%, l’Italia è intorno al 55% considerando SPID e CIE combinati.
Come si integra con SPID e CIE in Italia
L’Italia parte da una posizione avanzata rispetto alla media europea: lo SPID, con oltre 40 milioni di identità attive, è uno dei sistemi nazionali più diffusi. La CIE (Carta d’Identità Elettronica) è già conforme allo standard eIDAS a livello “sostanziale”. Il gap da colmare è principalmente tecnico: portare il sistema al livello “elevato” e garantire l’interoperabilità transfrontaliera.
AgID e il Dipartimento per la Trasformazione Digitale hanno avviato il progetto IT-Wallet, già operativo su App IO dal 2025. I documenti attualmente integrabili:
- Patente di guida digitale (valore legale in Italia dal D.Lgs. 220/2024)
- Tessera sanitaria con codice fiscale
- Carta europea della disabilità
- Tessera elettorale (in fase sperimentale in alcuni Comuni pilota)
Il meccanismo tecnico si basa sullo standard SD-JWT VC (Selective Disclosure JWT Verifiable Credentials), che permette di condividere solo le informazioni necessarie per un dato servizio — senza esporre l’identità completa. Esempio: per dimostrare di avere più di 18 anni, basta condividere quell’attributo booleano, senza rivelare la data di nascita esatta. Come funziona SPID e come si attiva nel 2026.
Privacy e governance: il nodo irrisolto
eIDAS 2.0 introduce esplicitamente il principio di privacy by design e data minimization come requisiti tecnici, non solo dichiarazioni di intento. Il wallet non può tracciare gli accessi dell’utente, e i fornitori di servizi non possono correlare le sessioni di autenticazione tra loro — un requisito che rappresenta una discontinuità rispetto ai sistemi attuali, dove gli Identity Provider hanno piena visibilità sulle sessioni.
Il Garante per la Protezione dei Dati Personali italiano ha sollevato riserve su alcune disposizioni. I punti di discussione principali a livello europeo:
- Custodia delle chiavi crittografiche: chi controlla le chiavi del wallet — lo Stato, un ente accreditato privato, o il cittadino stesso? Il modello italiano IT-Wallet opta per un’architettura ibrida con chiavi gestite dall’utente ma con backup certificato.
- Log di utilizzo: quali accessi vengono registrati, da chi, e per quanto tempo? Il regolamento fissa limiti stringenti, ma l’implementazione tecnica varia per Stato.
- Revoca in caso di compromissione: la procedura di emergenza per bloccare un wallet compromesso deve essere universale e immediata.
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato nel 2024 un parere chiedendo garanzie aggiuntive sulla non-tracciabilità cross-provider e sull’impossibilità tecnica di profilazione degli utenti basata sull’uso del wallet.
I Large Scale Pilots: lo stato dei test europei
La Commissione Europea ha finanziato con 46 milioni di euro quattro consorzi di test (Large Scale Pilots — LSP) per sperimentare il wallet in scenari reali prima del rollout:
- POTENTIAL: identità e pagamenti transfrontalieri. Include Italia, Francia, Germania, Spagna, Portogallo e altri 12 Paesi. Test su apertura conto bancario, accesso ai servizi PA esteri, firma di contratti.
- EWC (EU Digital Identity Wallet Consortium): focus su attributi qualificati e firma elettronica avanzata per settore finanziario e assicurativo.
- DC4EU: diplomi universitari, qualifiche professionali e mobilità accademica. Particolarmente rilevante per il riconoscimento dei titoli tra Stati membri.
- NOBID: focus nordico (Norvegia, Svezia, Danimarca, Finlandia, Islanda) su pagamenti e identità per servizi finanziari.
I risultati preliminari del pilota POTENTIAL, presentati alla Commissione nel marzo 2025, mostrano che l’usabilità percepita dagli utenti test è alta (NPS medio 67), ma emergono criticità nell’interoperabilità tecnica tra Paesi per alcuni casi d’uso. In particolare, i formati di certi attributi (es. la patente in formato mDL ISO 18013-5) non sono ancora uniformemente supportati da tutti i verificatori nazionali.
Cosa cambia concretamente per i cittadini italiani
Nel breve termine (2026), la novità principale è l’espansione di IT-Wallet su App IO. Nel medio termine (2027-2028), il wallet europeo pienamente operativo consentirà di:
- Aprire un conto bancario in un altro Paese UE da remoto, senza documenti cartacei o appuntamenti fisici.
- Registrare un’azienda in uno Stato membro diverso dal proprio con identità verificata digitalmente.
- Accedere ai servizi sanitari in trasferta con documentazione clinica certificata e selettivamente condivisa.
- Firmare contratti con valore legale in tutta l’UE grazie alla firma elettronica qualificata integrata nel wallet.
- Dimostrare qualifiche professionali a datori di lavoro esteri con credenziali verificabili in tempo reale.
Per le imprese con attività cross-border, l’impatto è ancora più diretto. Secondo uno studio della Commissione Europea del 2023, la standardizzazione dell’identità digitale transfrontaliera potrebbe generare un risparmio di 11 miliardi di euro all’anno a livello UE in costi di verifica identitaria e procedure burocratiche.
La differenza rispetto allo SPID italiano è strutturale: il wallet europeo non richiede un identity provider terzo come intermediario. Le credenziali vengono emesse direttamente dallo Stato e conservate sul dispositivo del cittadino. È un cambio di paradigma — non un aggiornamento del sistema attuale, ma un’architettura completamente diversa.
Guida completa allo SPID: provider, livelli di sicurezza, servizi accessibili e differenze con la CIE.
La Posta Elettronica Certificata nel sistema di identità digitale italiano: obblighi, costi e funzionamento legale.
