In un white paper di prossima pubblicazione, il CEO di Namirial Max Pellegrini elenca quali sono le imminenti sfide e opportunità dell’UE, tra innovazioni tecnologiche e adeguamenti normativi, e ci spiega perché il QTSP paneuropeo nato dall’unione di Namirial e Signaturit è strategico per il mercato unico digitale europeo.
Tra i vari argomenti trattati, Pellegrini si sofferma anche sulle novità introdotte dal regolamento eIDAS 2 e sullo standard tecnico ETSI TS 119 461. Partendo da un breve estratto dal white paper, in questo articolo approfondiamo alcuni aspetti, che interessano anche la nostra soluzione Namirial Onboarding.
“Grazie a servizi fiduciari interoperabili – scrive Pellegrini nel suo white paper – le imprese possono concludere accordi o presentare adeguamenti normativi oltre confine con la stessa sicurezza che avrebbero nel proprio paese, riducendo gli oneri amministrativi e abilitando un accesso senza barriere al mercato unico digitale europeo e oltre. L’imminente avvento di eIDAS 2.0 intensifica questo slancio: grazie alle identità digitali riutilizzabili e i “portafogli di identità” mobili. Elemento fondamentale in tale contesto è la norma ETSI TS 119 461, che richiede che i metodi di verifica a distanza raggiungano un livello di garanzia equivalente alla presenza fisica. La Francia è stata tra le prime ad applicare questi principi a livello nazionale, imponendo rigorosi standard di identificazione video e richiedendo ai QTSP di seguire le valutazioni di conformità ai sensi dell’articolo 24 dell’eIDAS, per garantire sia la sicurezza che l’interoperabilità in una certificazione specifica denominata PVID. Questa esperienza illustra come la normativa europea, in combinazione con gli standard ETSI, stia già promuovendo l’applicazione pratica di un onboarding digitale altamente affidabile”.
eIDAS 2 e lo standard tecnico ETSI
Il quadro normativo europeo eIDAS 2 introduce un livello elevato di fiducia per la verifica dell’identità, ora necessario per l’emissione di certificati qualificati e attributi qualificati. Il nuovo Regolamento di esecuzione identifica nella norma ETSI TS 119 461 v2.1.1 lo standard tecnico di riferimento per tutte le valutazioni di conformità, rendendolo il benchmark europeo per la verifica dell’identità da remoto.
La verifica dell’identità, il processo iniziale per accertare l’identità di persone fisiche e giuridiche, è un pilastro centrale di eIDAS. La sua solidità è definita a livello globale attraverso diversi Livelli di Garanzia (LoA) o Livelli di Fiducia.
Con eIDAS 2, adottato nel maggio 2024, l’UE ha rafforzato significativamente i requisiti di identity proofing. Il nuovo livello elevato di garanzia e fiducia definito nell’art. 24.1a richiede processi e tecnologie avanzati e certificati. Alla Commissione Europea è stato affidato il compito di identificare gli standard tecnici adeguati: così, nel luglio 2025, la Commissione ha pubblicato il Regolamento di esecuzione 1566/2025 (in vigore da agosto 2025), che rende obbligatorio l’uso di ETSI TS 119 461 v2.1.1 per le valutazioni di conformità, incluse le verifiche indipendenti dei componenti tecnici critici.
Scadenza per la conformità: a partire da maggio 2026. Le organizzazioni che emettono certificati qualificati o attributi qualificati devono adeguare rapidamente i processi di onboarding.
Cosa cambia concretamente?
Le attuali soluzioni di verifica dell’identità che operano con un livello di fiducia “sostanziale” non saranno più sufficienti per emettere certificati qualificati o attributi qualificati.
Il nuovo quadro normativo definisce requisiti precisi e diversi flussi di onboarding basati su:
- verifica ibrida (AI + operatore umano) a partire da documenti fisici
- documenti d’identità elettronici con NFC
- schemi nazionali di eID
- European Digital Identity Wallet (EUDIW)
I requisiti valgono sia per le persone fisiche sia per le persone giuridiche.
Ciò per cui Namirial è certificata ora
Namirial ha dimostrato la piena conformità a ETSI TS 119 461 v2.1.1 per i processi di verifica remota dell’identità senza assistenza delle persone fisiche, abilitando i seguenti casi d’uso:
1. Verifica dell’identità ibrida con supporto dell’operatore.
Partendo dalla fase della prova di esistenza in vita con l’associazione di documenti fisici a requisiti biometrici, cui segue una verifica finale compiuta da un operatore quasi in tempo reale (24/7, entro pochi minuti). Va notato che, secondo lo standard, nel caso di documenti fisici, la verifica ibrida dell’identità con revisione dell’operatore è obbligatoria in tutti i casi.
2. Verifica dell’identità completamente automatizzata
Usando uno dei seguenti metodi:
- documenti elettronici con NFC, tramite app mobile o SDK.
- schemi nazionali di eID a livello sostanziale (es. SPID (IT), CIEid (IT), FranceConnect+ (FR)) con controlli biometrici addizionali.
- verifica tramite EU Digital Identity Wallet, grazie al Gateway EUDIW di Namirial
- schemi eID con alto livello di garanzia (es. German ID, ID Austria) o Namirial Wallet, che raggiunge il livello di garanzia “Alto” come schema non notificato (con HSM remoto).
Da evidenziare che Namirial è già stata certificata dall’agenzia francese ANSSI come Prestataire de Vérification d’Identité à Distance (PVID), a conferma della lunga esperienza dell’azienda nelle tecnologie di identity proofing.
Componenti tecnici certificati
Namirial integra e usa componenti antifrode e biometrici certificati, tra cui:
Injection Attack Detection – ISO/IEC 30107-3 (High) – Rileva tentativi di attacco di tipo injection, tramite iniezione di codice malevolo, lungo tutto il processo di acquisizione delle evidenze.
Presentation Attack Detection (PAD) – CEN/TS 18099 – Rileva attacchi di presentazione su documenti d’identità e processi biometrici, garantendo l’autenticità del soggetto verificato.
Face Matching – ISO/IEC 19795-2 – Algoritmo certificato di matching 1:1 tra il ritratto sul documento e la biometria acquisita, conforme alle soglie richieste (FMR/FRR).
Un riferimento globale
Lo standard ETSI TS 119 461 sta diventando un benchmark globale per la verifica dell’identità. È infatti citato non solo in eIDAS, ma anche in:
- Linee guida EBA sul remote customer onboarding (EBA/GL/2022/15, 22/11/2022)
- Futuri Regulatory Technical Standards del nuovo Regolamento AMLR (in vigore dal 2027)
- Requisiti di onboarding remoto per l’European Digital Identity Wallet (CEN/TS 18098)
Probabilmente sostituirà anche diversi schemi nazionali, come i requisiti PVID per la Francia, l’Ordine ETD/465/2021 per la Spagna e la conformità BaFin per la Germania.
Impatto strategico per Namirial
Questa certificazione consolida la leadership di Namirial, in linea con i recenti riconoscimenti:
- Primo QTSP in Europa
- Leader nella IDC MarketScape per l’identità digitale nei servizi finanziari
Il servizio è già disponibile per clienti che devono aggiornare i sistemi di onboarding o implementare soluzioni completamente conformi entro la scadenza di maggio 2026.
Che cos’è ETSI TS 119 461
ETSI TS 119 461 è lo standard tecnico europeo che definisce requisiti, processi e controlli di sicurezza per la verifica dell’identità da remoto. La versione v2.1.1 è ora riferimento ufficiale di eIDAS 2 per il livello elevato previsto dall’articolo 24. Questa norma riguarda anche i certificati qualificati che emettiamo oggi. Ogni processo di onboarding usato per emettere certificati qualificati dovrà essere conforme ai nuovi requisiti entro maggio 2026. I flussi basati su Livelli di Garanzia “sostanziali” non saranno più ammessi. I clienti che già usano Namirial Onboarding saranno supportati nella transizione verso i nuovi flussi conformi. Namirial offre già opzioni completamente certificate, rendendo la migrazione semplice e sicura. ETSI TS 119 461 si applica sia alle persone fisiche sia alle persone giuridiche. Namirial sta preparando flussi dedicati per la verifica dei rappresentanti legali e dei titolari effettivi.
Come si collega la conformità ETSI all’EUDI Wallet
Il Gateway EUDIW di Namirial consente la verifica tramite i futuri wallet europei. La conformità a ETSI 119 461 è inoltre richiesta per l’attivazione degli EUDIW e per i processi di emissione del PID. Lo standard ETSI ha implicazioni anche per la normativa AML. Esso è citato nelle Linee guida EBA ed è previsto nei futuri RTS del Regolamento AMLR per l’onboarding a distanza. Le organizzazioni dovrebbero iniziare ad adeguarsi subito. La scadenza è a partire da maggio 2026, ma valutazioni di conformità, audit e integrazioni richiedono mesi. L’adozione anticipata riduce in modo significativo i rischi di non conformità.