Cosa sono le “Attestazioni elettroniche di attributi” (EAA)?

I fatti più importanti in breve

• Definizione: gli EAA sono prove digitali legalmente sicure di caratteristiche (ad esempio, età, qualifica professionale, patente di guida) autenticate da fonti affidabili.
  
• Vantaggio strategico: Consentono di verificare fatti specifici senza dover rivelare l’intera identità (divulgazione selettiva, ad esempio “maggiorenne” invece della data di nascita esatta).
  
• Integrazione del portafoglio EUDI: gli EAA sono il contenuto principale del prossimo portafoglio digitale europeo.

• Interoperabilità: gli EAA operano a livello transfrontaliero in tutta l’UE, sia per le autorità pubbliche che per le aziende private.

_______________________________________________________________

Con l’introduzione del regolamento eIDAS 2.0 e del portafoglio EUDI (European Digital Identity Wallet), il modo in cui dimostriamo la nostra identità sta cambiando. In precedenza, la domanda principale era: “Chi sei?”. In futuro, l’attenzione si concentrerà su: “Cosa sei autorizzato a fare?”, “Quali qualifiche hai?” o “Cosa ti distingue?”.

Gli Attestati Elettronici di Attribuzione (EAA) sono la risposta digitale a queste domande. Sono la traduzione dei nostri certificati analogici – dalle patenti di guida ai diplomi – nel mondo digitale.

Che cos’è un attributo?

Prima di parlare della tecnologia, chiariamo il termine: un attributo è una proprietà o caratteristica che descrive una persona o un’organizzazione (entità). Può essere considerato come un pezzo di un puzzle che dipinge un’immagine complessiva di un’identità.

Gli attributi comprendono un’enorme gamma di informazioni:

• Dati di identificazione personale (PID): Come il nome, il luogo di nascita o la nazionalità.
  
• Caratteristiche professionali: Titoli accademici, titoli professionali o licenze ufficiali.
  
• Diritti e autorizzazioni: Autorizzazioni specifiche, come il potere di firma in un’azienda o la patente di guida.

Il salto nel mondo digitale

Nel contesto dell’identità digitale, gli attributi sono utilizzati per dimostrare al di là di ogni dubbio le caratteristiche online senza essere fisicamente presenti. Si distinguono due categorie:

1. Attributi statici: Informazioni che non cambiano (quasi) mai, come la data di nascita.
   
2. Attributi dinamici: Caratteristiche in continua evoluzione, come l’indirizzo di registrazione attuale, lo stato professionale o l’età.

Per essere considerati affidabili online, questi attributi devono provenire da una fonte sicura, ad esempio da registri governativi, istituti scolastici o autorità certificate. Solo questa conferma digitale trasforma un semplice attributo in una prova a prova di manomissione (EAA) da utilizzare per identificarsi nei servizi online.

Cosa sono gli attestati elettronici di attribuzione?

Un EAA è quindi un record di dati digitali che conferma uno o più attributi di una persona e che è stato firmato o sigillato elettronicamente da un prestatore di servizi fiduciari (TSP) qualificato o non qualificato.

La differenza fondamentale è che mentre un eID classico spesso trasferisce l’intero record di dati, un EAA fornisce informazioni specifiche. Una Qualified Electronic Attestation of Attributes (QEAA) ha il massimo valore probatorio in quanto viene rilasciata da fornitori controllati dallo Stato.

I 3 tipi di attestazione secondo eIDAS 2.0

Non tutti i certificati digitali hanno lo stesso valore legale. Per garantire l’interoperabilità in tutta Europa, l’UE definisce tre categorie specifiche di certificati di attributo. Queste si differenziano principalmente per l’emittente e la validità legale:

1. Attributi autodichiarati (self-asserted): Informazioni inserite dall’utente stesso (ad esempio, l’indirizzo di consegna). Sono pratiche per i moduli, ma non hanno valore probatorio ufficiale.
   
2. Attestati elettronici (EAA): sono rilasciati da fonti verificate. Sono firmati digitalmente e significativamente più sicuri dei documenti convenzionali. (Gli EAA includono EAA e PuB-EAA).
   
3. Attestati elettronici qualificati (QEAA): il livello più alto. Vengono rilasciati da fornitori di servizi fiduciari qualificati (QTSP) controllati dallo Stato. Un QEAA è legalmente equivalente a un documento cartaceo con sigillo ufficiale ed è riconosciuto in tutta l’UE.

Tipo	Focus & Editore	Livello di fiducia e valore probatorio	Fonte dei dati	Esempio pratico
Q-EAA (qualificato)	Certificato dallo Stato: Rilasciato da servizi fiduciari qualificati (QTSP).	Massimo: obbligo di riconoscimento a livello europeo e massimo valore probatorio in tribunale.	Documenti ufficiali o dati sovrani.	Titoli accademici, licenze mediche o atti notarili.
EAA (non qualificato)	Settore privato: emesso da aziende o organizzazioni.	Flessibile: l’ accettazione legale dipende dal contesto (ad esempio, termini e condizioni generali).	Qualsiasi fonte (a seconda delle esigenze aziendali).	Documenti d’identità digitali dei dipendenti, tessere per i clienti o biglietti per eventi.
PuB-EAA (Pubblico)	Ufficiale: direttamente dagli enti pubblici.	Molto alto: si basa sull’integrità dei registri statali; riconosciuto in tutta l’UE.	Registri ufficiali dello Stato (ad esempio, registri della popolazione).	Certificati di nascita, prove di residenza o patenti di guida.

Verifica del mercato: quanto sarà diffusa questa prova?

È importante capire che non tutti i tipi di EAA invaderanno il mercato nello stesso momento. Sulla base della roadmap di eIDAS 2.0, la distribuzione nei portafogli può essere stimata come segue:

• Q-EAA e PuB-EAA (molto alto): Costituiranno la base del portafoglio EUDI. Poiché gli Stati membri sono obbligati a fornire documenti ufficiali (come carte d’identità e patenti di guida) in formato digitale, ogni utente del wallet disporrà automaticamente di questi attributi altamente sicuri.

• EAA (da media a crescente): La palla passa al settore privato. La diffusione dipende dalla rapidità con cui le aziende (come le compagnie aeree, le catene di fitness o i datori di lavoro) riconosceranno il valore aggiunto ed emetteranno i propri certificati digitali.

Importanza strategica per le aziende e le autorità

L’integrazione degli EAA è molto più di un semplice espediente tecnico: è un’enorme leva per i processi aziendali. A seconda del caso d’uso e della forza giuridica richiesta, vengono utilizzati diversi tipi di EAA:

1. Accesso all’azienda e KYC senza soluzione di continuità (Q-EAA)
   I settori fortemente regolamentati, come le banche o le compagnie assicurative, possono verificare i dati di identità e le prove (ad esempio il reddito o le qualifiche professionali) in tempo reale. Invece di esaminare manualmente i documenti, il sistema convalida immediatamente il Q-EAA, riducendo in modo massiccio i tassi di cancellazione durante l’onboarding.
   
2. Gestione delle autorizzazioni digitali (EAA & Q-EAA)
   Nella logistica o nell’industria, le licenze, le affiliazioni aziendali o le istruzioni di sicurezza possono essere verificate direttamente nell’EUDI Wallet.
   Esempio: una palestra concede sconti con un semplice EAA (documento d’identità del dipendente), mentre un autista di merci pericolose mostra un Q-EAA per la sua patente di guida.
   
3. Automazione dell’autorità (PuB-EAA)
   Grazie al principio “una volta sola”, le autorità online accettano i PuB-EAA direttamente da altri registri statali. La prova della residenza o dello status pensionistico non deve più essere ottenuta su carta, il che riduce al minimo la burocrazia per i cittadini e le autorità.
   
4. Protezione dei dati attraverso la “divulgazione selettiva”
   Gli EAA consentono di divulgare solo ciò che è assolutamente necessario.
   Il principio: un sistema conferma solo “maggiorenni” per la prova dell’età, senza dover trasmettere la data di nascita esatta o il nome.
   
5. Interoperabilità senza confini
   Grazie allo standard europeo, un attributo rilasciato in Germania (ad esempio un certificato di maestro artigiano) viene immediatamente riconosciuto digitalmente in Spagna o in Polonia. Ciò facilita notevolmente la mobilità transfrontaliera di manodopera e servizi qualificati.

Importante per gli utenti privati

• Zero tracking: a differenza dei login delle big tech, gli emittenti non sanno dove o quando utilizzate il vostro attributo. La vostra traccia digitale rimane invisibile.

• Volontario: l’uso del portafoglio e degli EAA è completamente volontario. Siete voi a decidere quali dati memorizzare digitalmente e a chi mostrarli.

Conclusione: perché gli EAA sono il futuro dell’identità

Gli EAA sono molto più che semplici copie digitali di documenti cartacei. Sono la chiave per una società efficiente dal punto di vista dei dati. Grazie a funzioni come la divulgazione selettiva, gli utenti mantengono la piena sovranità sui propri dati, mentre le aziende beneficiano di processi automatizzati e a prova di manomissione.

Vantaggio strategico per la vostra azienda: Le aziende che si posizionano come parti contraenti o emittenti in una fase iniziale riducono in modo massiccio gli sforzi di verifica manuale e aumentano la certezza del diritto nei canali digitali.

Domande frequenti sull’argomento

• Un EAA è la stessa cosa di una firma digitale? No. Una firma conferma la dichiarazione di intenti di un documento. Un CEA conferma una caratteristica o una proprietà di una persona.
  
• Quando verranno introdotti gli EAA in modo generalizzato? Con l’introduzione dei portafogli nazionali EUDI (dal 2027/2028), gli EAA diventeranno lo standard per le prove digitali nell’UE.
  
• Le aziende possono emettere autonomamente gli EAA? Sì, le aziende possono fungere da “emittenti” per specifiche caratteristiche professionali o aziendali.
  
• Un EAA è più sicuro di un certificato PDF?
  Sicuramente. Un PDF è facile da falsificare. Un EAA è sigillato crittograficamente. Qualsiasi modifica successiva invalida immediatamente la prova. Inoltre, la validità (ad esempio nel caso di licenze revocate) può essere verificata in tempo reale.

• Qual è la differenza tra EAA e QEAA?
  Un EAA è una conferma elettronica di un attributo (ad esempio, età, istruzione o autorizzazione) firmata da un emittente. Un QEAA (Qualified Electronic Attestation of Attributes) è una forma speciale emessa da un fornitore di servizi fiduciari qualificato in conformità al regolamento eIDAS. I QEAA soddisfano requisiti legali e tecnici più severi e sono quindi più vincolanti e riconosciuti in tutta Europa.
  
• L’emittente può vedere dove espongo il mio attributo?
  I moderni sistemi EAA sono progettati in modo tale che l’emittente non possa tenere traccia di dove o quando si presenta l’attributo. La verifica avviene direttamente tra l’utente e il destinatario. Ciò significa che la vostra privacy rimane protetta e non c’è traccia centralizzata del vostro utilizzo.
  
• Posso revocare un EAA?
  Sì, gli EAA possono essere revocati dall’emittente, ad esempio se un attributo cambia o diventa non valido. I destinatari possono controllare lo stato di revoca durante la verifica per assicurarsi che l’attributo sia ancora valido.
  
• Gli EAA sostituiranno il classico audit KYC?
  Gli EAA possono semplificare significativamente o sostituire parzialmente la verifica KYC, soprattutto se provengono da emittenti affidabili o qualificati. In molti casi, gli attributi verificati possono essere utilizzati direttamente senza dover ripetere l’intero processo KYC. Tuttavia, la possibilità che gli EAA sostituiscano completamente il KYC dipende dai requisiti normativi e dai rispettivi casi d’uso.

• I miei dati saranno archiviati a livello centrale?
  No, il controllo spetta a voi. Gli EAA sono crittografati in modo sicuro nel vostro portafoglio personale EUDI sul vostro smartphone, non in un database cloud centralizzato del governo.