eIDAS 2.0: portafoglio europeo di identità digitale: cosa devi sapere

Il regolamento eIDAS 2.0 e l'European Digital Identity Wallet (EUDI Wallet) promettono di essere una rivoluzione per l'identità digitale in Europa.

Con una scadenza fissata a fine del 2026 per gli Stati membri e Novembre 2027 per le grandi aziende, è tempo di capire cosa sta realmente cambiando, cosa è ancora incerto e soprattutto come preparare la propria organizzazione.

‍

Il regolamento eIDAS 2.0 (novembre 2024) introduce un vero portafoglio di identità digitale europeo. Dietro gli entusiasmanti annunci ci sono numerose domande: forti ambizioni politiche contro realtà tecniche complesse, promesse di semplificazione contro incertezze operative.

Cerchiamo di capire cosa è stato acquisito e cosa non è chiaro.

‍

1. Cosa sappiamo: il chiaro quadro normativo

‍

Obblighi chiari

‍

Il regolamento stabilisce due scadenze che non lasciano spazio ad ambiguità.

Scadenze normative

‍

Fine del 2026 Ogni Stato membro deve fornire almeno un portafoglio per i propri cittadini e residenti.

‍

novembre 2027 Le grandi aziende del settore bancario e delle telecomunicazioni dovranno accettare il portafoglio e/o i documenti giustificativi (buste paga, avvisi fiscali, ecc.) come mezzo di autenticazione e rafforzare le verifiche dell'identità. Questo obbligo fa parte del regolamento AMLR (regolamento antiriciclaggio) per la lotta contro le frodi e il riciclaggio di denaro.

‍

Il principio di funzionamento

‍

Il portafoglio funziona esclusivamente online: l'utente scansiona un codice QR, si autentica nell'applicazione del suo portafoglio, convalida i dati che accetta di condividere e la trasmissione avviene istantaneamente. Il consenso è obbligatorio per ogni condivisione.

‍

Contenuto minimo garantito: PID (nome, nome, data di nascita, nazionalità) certificato dallo Stato, livello di fiducia «alto». Altri documenti aggiunti progressivamente dallo stato (permessi, diplomi, ecc.).

‍

2. Cosa non sappiamo: incertezze strategiche

‍

Sebbene il quadro normativo sia in vigore, molti aspetti concreti rimangono poco chiari e hanno un impatto diretto sulle decisioni IT.

‍

Le 4 principali aree grigie

‍

Pianificazione dell'implementazione

Il PID di base sarà disponibile alla fine del 2026, ma non esiste un calendario per altri documenti (prova di indirizzo, buste paga, ecc.).

‍

Operatori autorizzati

Gli operatori pubblici (ad esempio France Identité) e privati (ad esempio Docaposte) e gli operatori privati (ad esempio Docaposte) offriranno portafogli, ma l'elenco completo non esiste ancora. Ci sarà uno standard API unificato o più integrazioni?

‍

Norme tecniche

Vengono pubblicate specifiche di alto livello, ma i diagrammi API finali non esistono ancora e sono probabili varianti nazionali.

‍

Adozione reale

L'ambizione politica prevede l'80% di utilizzo entro il 2030, ma non esistono previsioni affidabili a breve termine. È garantito un periodo ibrido di almeno 5-10 anni.

‍

3. I limiti strutturali del portafoglio

‍

Al di là delle incertezze, il portafoglio presenta limiti intrinseci che creano opportunità per soluzioni complementari.

‍

Le 4 principali carenze

‍

Nessun dato finanziario

Il portafoglio non contiene entrate, spese, cronologia bancaria o capacità di rimborso. Questa scelta deliberata (vincoli del GDPR) crea un grosso problema: Il portafoglio indica chi è il cliente, ma non se può pagare. Le aziende dovranno completare l'Open Banking, la digitalizzazione di documenti finanziari o storici interni.

‍

Nessun rilevamento dinamico delle frodi

Il portafoglio certifica l'identità al momento dell'onboarding, ma non rileva frodi per tutta la durata dell'account: deepfake, identità sintetiche, furti di monete, cognomi, acquisizioni. La sicurezza statica non è più sufficiente; l'analisi dinamica del comportamento sta diventando indispensabile.

‍

Soluzione esclusiva B2C

Il portafoglio non copre la verifica delle società: titolari effettivi, struttura azionaria, bilanci, procedure collettive. Registri come Infoverificano l'esistenza legale ma non certificano l'autenticità del contenuto, creando un rischio di frode documentale B2B.

‍

Limitato all'Europa

Il portafoglio copre solo i cittadini e i residenti dell'UE. Per le aziende internazionali, la verifica al di fuori dell'UE rimane essenziale.

‍

4. Come prepararsi: 4 decisioni strategiche

‍

1 - Non scommettere tutto sul portafoglio

Il periodo ibrido durerà almeno 5-10 anni. Il portafoglio copre solo il 20% del problema (identità di base), il restante 80% richiede supplementi: solvibilità, frode, KYB, conformità AMLR. Crea subito un'architettura di orchestrazione intelligente.

‍

2- Anticipare le particolarità nazionali

In Francia, l'indirizzo fiscale (aggiornato 1 volta all'anno) e l'indirizzo postale (La Poste) possono differire di un anno. In Germania, il sistema è centralizzato con rendicontazione obbligatoria entro 3 settimane e sincronizzazione perfetta. Queste differenze persistono con il portafoglio.

‍

3- Pensa all'orchestrazione

La sfida è organizzativa: orchestrare diverse fonti a seconda della disponibilità. Portafoglio disponibile → usalo. Portafoglio non disponibile/rifiutato → corso classico. Cliente estero → soluzioni internazionali. Cliente aziendale → KYB.

‍

4 - Mantenere la conformità AMLR

Il portafoglio facilita la verifica di base dell'identità, ma non è esente dagli obblighi normativi antiriciclaggio: vigilanza normale (CDD), vigilanza rafforzata (EDD), screening contro elenchi di sanzioni e PEP, monitoraggio continuo. Il portafoglio copre «chi è il cliente», ma non l'analisi completa del rischio richiesta dall'AMLR.

‍

Conclusione: l'identità non basta

‍

Il portafoglio europeo semplificherà l'identificazione di base e ridurrà le tradizionali frodi documentali. Ma risolve solo una parte del problema.

‍

Le aziende che avranno successo non sono quelle che aspetteranno passivamente, ma quelle che costruiranno subito architetture di orchestrazione intelligenti.

‍

L'identità certificata è il fondamento, non la casa.

Su questa base, dobbiamo costruire: analisi della solvibilità (Open Banking, OCrization dei documenti), rilevamento dinamico delle frodi (IA, monitoraggio continuo), conformità normativa (AMLR, screening), adattamento aziendale (B2B, internazionale), adattamento aziendale (B2B, internazionale), adattamento aziendale (B2B, internazionale).

‍

Questa visione olistica della fiducia digitale farà la differenza tra le organizzazioni preparate e quelle che scoprono i limiti del portafoglio troppo tardi.

‍

approvvigionamento

(1) Regolamento eIDAS 2.0, Gazzetta ufficiale dell'Unione europea, novembre 2024

(2) Commissione europea, «Portafoglio europeo di identità digitale», 2024

(3) Regolamento AMLR (regolamento antiriciclaggio), Unione Europea, 2024

(4) Docaposte, «Portafoglio di identità digitale», 2025

‍