Roberto Garavaglia
Mercoledì scorso è entrato in vigore il regolamento (UE) n ° 910/201[1] – altresì noto come eIDAS – sulla identificazione elettronica ed i servizi fiduciari per le transazioni digitali nel mercato interno, adottato dai co-legislatori il 23 luglio 2014.
“Le persone e le imprese dovrebbero essere in grado di effettuare transazioni all’interno di un mercato senza frontiere digitale unico, che è il valore di Internet.” Queste le parole di Neelie Kroes, commissario europeo per l’Agenda Digitale, dalle quali si evince la portata e la rilevanza di un Regolamento molto atteso, destinato a lasciare il segno nel mercato dei servizi digitali.
Ho personalmente seguito l’intero iter legislativo, commentandone (nel corso degli ultimi due anni) gli sviluppi e analizzandone l’impatto, entro una prospettiva strategica di medio termine, anche sul mercato dei pagamenti elettronici.
In questo breve articolo delineo alcune possibili direttrici di sviluppo nel più ampio progetto di digitalizzazione dell’economia, supportato dall’Agenda Digitale.
Ma procediamo con ordine e capiamo innanzitutto che cos’è l’eIDAS? e, soprattutto, a cosa serve?
Obiettivi di eIDAS
Nato essenzialmente con lo scopo di assicurare l’interoperabilità dei sistemi d’identificazione elettronica, sia dal punto di vista tecnologico, sia sotto il profilo giuridico, il Regolamento eIDAS permetterà a un cittadino Europeo identificato elettronicamente, di essere riconosciuto in qualsiasi altro stato d’Europa, basandosi sul principio del mutuo riconoscimento e accettazione di schemi di eID interoperabili, per il tramite di prestatori di servizi fiduciari[2] (i cc.dd. “Trust Services”).
Un’azione programmatica iniziata già nel mese di giugno del 2012, con il riesame della e-Signatures Directive (una direttiva del 1999), conclusasi a distanza di poco più di due anni e che produrrà effetti dal 1° luglio 2016.
Obiettivo del nuovo Regolamento è, dunque, l’eliminazione delle barriere esistenti all’impiego transfrontaliero dei mezzi di identificazione elettronica utilizzati negli Stati membri, almeno per l’autenticazione nei servizi pubblici.
Le disposizioni appena entrate in vigore, non intervengono nel merito dei sistemi domestici di eID degli Stati membri, ma intendono garantire che per accedere ai servizi online transfrontalieri offerti in Europa, si possa disporre di un’identificazione e un’autenticazione elettronica sicure. A tal fine, il Regolamento fissa le condizioni per cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche, che sono ricompresi in un regime notificato di schemi di eID di un altro Stato membro, definendo la procedura stessa di notificazione alla Commissione Europea, cui ogni Stato membro deve conformarsi.
Schemi di eID interoperabili
L’analisi di quello che potrebbe intendersi come un’evoluzione degli attuali modelli d’identificazione elettronica, da uno schema “a 3 parti” (dove l’e-ID provider, ossia un gestore di elementi d’identificazione elettronica, e l’e-ID broker, ossia un soggetto accettatore delle richieste di verifica identità elettroniche, coincidono) verso uno schema “a 4 parti”, dove i suddetti ruoli di provider e di broker possono essere interpretati da prestatori di servizi fiduciari diversi, conduce a una riflessione che, non fosse altro per l’analogia con il mondo dei pagamenti elettronici allusa dai succitati modelli, deve essere considerata.
eIDAS, PSD2 e il ruolo (strategico) dei TPP: I am, then I pay
È opinione di scrive[3] che, per alcuni aspetti, il nuovo Regolamento sull’Identità Digitale e la proposta di revisione della Direttiva sui Servizi di Pagamento (la c.d. “PSDS2”), possano essersi reciprocamente influenzati, laddove si sia assunto il valore di una congiunzione implicita “identificazione-pagamento” a supporto di un cambio di paradigma: “prima vengo identificato da un soggetto trusted tramite un servizio trust, poi pago”
Come è noto, la PSD2 apre un nuovo scenario competitivo, nel quale soggetti (anche di natura non bancaria) chiamati TPP Third Party Provider, possono prestare servizi di accesso al Conto di pagamento ed emettere strumenti di pagamento, con modalità sicure che prescindono la natura del canale. Tali soggetti, nella sostanza, pur non intermediando fondi finalizzati al compimento di un’operazione di pagamento, consentono di intermediare la relazione fra l’utilizzatore di uno strumento di pagamento e il suo gestore (o PSP).
L’area compresa tra “Strumento di Accesso” e “Strumento di Pagamento”, evince uno spazio nel quale individuare alcune funzioni tipiche dell’identificazione elettronica (identificazione, autorizzazione, autenticazione), ravvisando con ciò l’opportunità di ritrovare un soggetto che ne esercisca in operativo il servizio.
Alla luce di tali considerazioni è possibile attribuire (almeno in prospettiva) ai TPP un ruolo e una funzione strategica, che potranno determinare, nel medio-lungo periodo, la creazione di un nuovo spazio competitivo, nel quale competeranno attori di natura bancaria ma anche non bancaria, non più (e solo) per l’intermediazione del pagamento, bensì per l’intermediazione del canale/accesso.
Come ho più sopra accennato, tale attività si svilupperà sul patrimonio relazionale che tutti gli attori in gioco possiedono (o possederanno) nel rispetto di regole comuni; un’attività, questa, in cui la fiducia ricopre un ruolo determinante. In altre parole, è possibile ritenere che chi possiede (o sarà in grado di possedere e mantenere) il “trust” potrà contare su uno straordinario asset, la cui sapiente “messa a valore” permetterà di ridisegnare nuove filiere di offerta redditizie.
Uno scenario futuribile (e non futuristico), può – a mio avviso e in una prospettiva strategica di medio termine – vedere un provider di eID interoperabile in ambito comunitario (ad esempio uno dei prestatori di servizi fiduciari di cui al nuovo Regolamento eIDAS) realmente identificare un soggetto pagatore (anche in modalità cross-border e channel-independent), permettendo di avviare contestualmente un pagamento elettronico.
La domanda (che, nella sostanza, rappresenta la sfida) è ora la seguente: chi potrà meglio interpretare questo nuovo – e complesso – ruolo? il dado è tratto … e il Rubicone aspetta di essere attraversato!
NOTE
[1] Il Regolamento è stato pubblicato in Gazzetta Ufficiale dell’Unione Europea il 28 agosto 2014 e si basa sulla comunicazione della Commissione “COM (2012) 238 def” del 4 giugno 2012
[2] Con “servizio fiduciario” si intende qualsiasi servizio elettronico che consiste nella creazione, verifica, convalida, nel trattamento e nella conservazione di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, servizi elettronici di recapito, autenticazione di siti web e certificati elettronici, compresi i certificati di firma elettronica e di sigillo elettronico.
[3] Si veda anche “Mobile Payment e Agenda Digitale Un’opportunità per l’innovazione … non solo nei pagamenti” – R. Garavaglia – Rapporto dell’Osservatorio NFC & Mobile Payment – Febbraio 2013