La Commissione europea ha pubblicato nella Gazzetta Ufficiale dell’Unione il Regolamento di esecuzione (UE) 2026/798, uno degli atti attuativi che completano il quadro tecnico previsto da eIDAS 2.0 per il portafoglio europeo di identità digitale. Il provvedimento stabilisce le specifiche e le procedure necessarie a garantire che i wallet nazionali siano reciprocamente riconoscibili tra i ventisette Stati membri, con piena validità transfrontaliera, e introduce i requisiti tecnici per il livello di garanzia più elevato previsto dal sistema europeo. Senza queste regole comuni, ogni portafoglio digitale nazionale avrebbe rischiato di restare uno strumento circoscritto ai propri confini — utile per accedere ai servizi pubblici italiani, ma irrilevante a Lisbona o a Varsavia.
Cosa prevede il regolamento per l’interoperabilità dei wallet
Il meccanismo costruito attorno a eIDAS 2.0 ruota su due scadenze distinte. La prima, fissata al 24 dicembre 2026, impone a ogni Stato membro di rendere disponibile ai propri cittadini, residenti e imprese almeno un portafoglio digitale conforme agli standard tecnici stabiliti dagli atti esecutivi adottati a partire dal dicembre 2024. Quella data non è arbitraria: il regolamento prevede un termine di ventiquattro mesi dall’entrata in vigore del primo pacchetto di implementing acts, avvenuta il 24 dicembre 2024, e da quel momento il conto alla rovescia è formalmente aperto. La seconda scadenza, prevista per dicembre 2027, riguarda invece l’obbligo di accettazione del wallet da parte di banche, istituti di moneta elettronica, prestatori di servizi di pagamento, operatori di telecomunicazioni e strutture sanitarie — in sintesi, tutti i soggetti che operano in settori regolamentati in cui la normativa europea già prevede forme di autenticazione forte del cliente.
Il Regolamento 2026/798 introduce requisiti tecnici stringenti per il cosiddetto assurance level high, il livello di garanzia più elevato nel sistema di classificazione eIDAS. In pratica, questo significa che il processo di onboarding al wallet deve avvenire con un’identificazione remota robusta, capace di resistere a tentativi di frode sofisticati, e che le chiavi crittografiche associate all’identità dell’utente devono essere protette a livello hardware con un grado di sicurezza certificato almeno EAL 4+. Si tratta di una scelta progettuale che risponde direttamente al tipo di minacce documentate negli ultimi anni: furti d’identità costruiti su materiale sintetico, deepfake audio-video utilizzati per aggirare i sistemi di verifica biometrica, e attacchi alle infrastrutture di onboarding dei servizi finanziari. ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, ha avviato in parallelo una consultazione pubblica sullo schema di certificazione dei portafogli digitali, aperta fino al 30 aprile 2026, con l’obiettivo di definire criteri di conformità uniformi in tutta l’Unione e rendere i test comparabili tra giurisdizioni diverse.
Sul piano architetturale, l’EUDI Wallet segna una discontinuità rispetto ai sistemi di identità digitale di prima generazione. Il portafoglio europeo gestisce attributi verificabili — età, residenza, qualifiche professionali, titoli di studio, dati sanitari — che l’utente può condividere in modo selettivo con il servizio che li richiede, senza trasmettere l’intero profilo identitario. Un esempio concreto chiarisce la differenza: per dimostrare di essere maggiorenni, il wallet restituisce una semplice attestazione verificata crittograficamente, senza esporre la data di nascita completa né altri dati personali non pertinenti. I dati rimangono memorizzati localmente sul dispositivo, con un pannello di controllo che consente all’utente di monitorare con chi ha condiviso cosa e di revocare i permessi in qualsiasi momento.
La situazione negli Stati membri tra ritardi e soluzioni nazionali
Il quadro di avanzamento tra i ventisette Paesi dell’Unione è tutt’altro che uniforme. Germania, Francia, Spagna e Austria figurano tra gli Stati più avanzati nella preparazione tecnica, mentre Paesi Bassi e Danimarca hanno già comunicato ufficialmente che non riusciranno a rispettare la scadenza di dicembre 2026, limitandosi a rilasciare versioni iniziali con funzionalità ridotte. Bulgaria e altri Paesi con infrastrutture di identità digitale meno consolidate si trovano in una posizione ancora più critica, con alcuni che non hanno ancora avviato la produzione di legislazione nazionale specifica. Diversi esperti del settore parlano apertamente di un rollout a velocità variabile, in cui alcune giurisdizioni partiranno con wallet di base — capaci soltanto di verificare l’identità e nulla più — rimandando a fasi successive l’integrazione di attributi qualificati come patente, tessera sanitaria o certificazioni professionali. Il quadro europeo, però, pone tutti formalmente sullo stesso binario, e il mancato rispetto delle scadenze espone gli Stati a procedure di infrazione.
In Italia, il decreto legge 19 del 2024 ha introdotto l’IT Wallet come anticipo funzionale dell’EUDI Wallet, integrandolo nell’app IO già utilizzata da milioni di cittadini per i servizi della pubblica amministrazione. Restano aperti alcuni nodi normativi sull’accreditamento dei fornitori privati e sull’allineamento tra i livelli di garanzia di SPID e quelli richiesti dal framework europeo: la maggior parte delle credenziali SPID attive si colloca al livello substantial, mentre il wallet europeo richiede il livello high per le operazioni più sensibili. Le grandi piattaforme classificate come Very Large Online Platforms ai sensi del Digital Services Act — tra cui Amazon, Google e TikTok — saranno tenute ad accettare il wallet per l’autenticazione degli utenti su loro richiesta, entro le stesse scadenze previste per gli operatori nei settori regolamentati.
