QTSP: l’acceleratore nascosto dietro la corsa europea all’identità digitale
La maggior parte delle istituzioni finanziarie sa di dover essere pronta per l’EUDI Wallet entro dicembre 2027. Meno numerose sono quelle che hanno effettivamente definito cosa sia necessario fare per arrivarci.
Nella maggior parte dei casi, la risposta non è costruire autonomamente l’infrastruttura dell’identità.
Il problema della conformità di cui nessuno parla apertamente
Soddisfare i requisiti di eIDAS 2.0 sembra semplice sulla carta: occorre accettare un wallet digitale per l’identificazione dei clienti, collegarsi ai servizi fiduciari qualificati, mantenere la sovranità dei dati nell’Unione Europea e garantire l’interoperabilità transfrontaliera.
Nella pratica, ciascuno di questi requisiti comporta un livello di complessità tecnica, giuridica e operativa che la maggior parte delle istituzioni non dispone delle risorse necessarie per gestire internamente con rapidità.
Le specifiche tecniche dell’EUDI Wallet sono ancora in fase di definizione. Gli Stati membri stanno procedendo all’implementazione con tempi differenti e attraverso diversi sistemi nazionali, come France Identité, l’IT-Wallet italiano, la Cartera Digital spagnola e l’approccio graduale della Germania. I formati delle credenziali, i protocolli di interoperabilità e i percorsi di certificazione variano. E tutto questo si aggiunge agli obblighi già esistenti previsti da GDPR, DORA, NIS2, AMLR e PSR.
Affrontare tutto questo autonomamente significa dedicare team di ingegneri al monitoraggio delle modifiche dei protocolli nelle 27 implementazioni nazionali, ottenere e mantenere la conformità normativa in molteplici giurisdizioni e assumersi il rischio di commettere errori in uno qualsiasi di questi ambiti. Si tratta di un significativo impiego di risorse sottratte alle decisioni strategiche e all’innovazione rivolta ai clienti, che sono invece gli elementi che differenziano realmente le istituzioni.
Cosa offre un QTSP che un system integrator non può offrire
Questa è la distinzione che conta maggiormente nella pratica: un system integrator realizza un progetto sulla base di specifiche già definite. Un Qualified Trust Service Provider fa invece parte dell’infrastruttura normativa stessa.
I QTSP sono soggetti accreditati ai sensi del regolamento eIDAS, inseriti nelle Trusted List nazionali e sottoposti a verifiche periodiche di conformità. I loro servizi qualificati, verifica dell’identità, firme elettroniche, sigilli elettronici, attributi, marche temporali, recapito certificato e conservazione a lungo termine, beneficiano automaticamente del riconoscimento giuridico transfrontaliero in tutti i 27 Stati membri dell’Unione Europea. Non è richiesta alcuna convalida aggiuntiva né alcuna negoziazione Paese per Paese.
Per le istituzioni finanziarie questa distinzione produce conseguenze dirette. Quando una banca collabora con un QTSP per l’integrazione del wallet e la verifica dell’identità, non sta semplicemente acquistando un servizio tecnologico. Si sta collegando a un’infrastruttura di livello regolamentare che è già riconosciuta, già sottoposta a verifiche e già interoperabile a livello europeo.
Questa è la differenza tra costruire un ponte e percorrerne uno che esiste già.
Il vantaggio nell’esecuzione: dove i QTSP riducono tempi e rischi
Integrazione del wallet senza dover gestire i protocolli. I QTSP che dispongono di un’infrastruttura wallet attiva offrono SDK e API che astraggono la complessità derivante dall’evoluzione dei protocolli dei wallet (OpenID4VCI, OpenID4VP), dai molteplici formati delle credenziali e dall’interoperabilità transfrontaliera. Le istituzioni effettuano un’unica integrazione e beneficiano automaticamente del livello di interoperabilità, anziché doverlo sviluppare e mantenere autonomamente.
Presenza regolamentare in più giurisdizioni. Un QTSP paneuropeo possiede già certificazioni e rapporti con le autorità di regolamentazione in diversi Stati membri. Per le istituzioni che operano a livello transfrontaliero, questo elimina la necessità di affrontare singolarmente ogni regime nazionale di certificazione, un processo che può richiedere mesi e un significativo impiego di risorse legali per ciascuna giurisdizione.
Convergenza tra eIDAS 2.0 e AMLR, già gestita. Uno degli aspetti più complessi dell’attuale panorama normativo è che un singolo processo di verifica dell’identità deve oggi soddisfare contemporaneamente i requisiti di eIDAS 2.0, AMLR e PSR/PSD3. Un QTSP allineato allo standard ETSI TS 119 461 v2 fornisce una verifica dell’identità conforme a tutti e tre, eliminando la necessità di progettare e validare processi di conformità separati per ciascun regime normativo.
Sovranità dei dati by design. Diverse grandi istituzioni finanziarie europee hanno adottato direttive a livello di consiglio di amministrazione che impongono che i dati relativi all’identità e alle firme rimangano all’interno della giurisdizione dell’Unione Europea. I QTSP con sede in Europa e operanti secondo il diritto europeo garantiscono strutturalmente questo requisito, a differenza dei fornitori extraeuropei, il cui trattamento dei dati rimane soggetto a normative extraterritoriali come il CLOUD Act degli Stati Uniti.
La decisione tra sviluppare internamente o collaborare, nella pratica
Dalle interviste condotte con dirigenti senior delle principali banche europee nell’ambito del report BCG x Namirial sull’identità digitale è emerso un modello ricorrente: la scelta tende verso la collaborazione, soprattutto per gli aspetti tecnicamente più complessi dell’integrazione del wallet.
Come ha affermato un dirigente IT senior:
“È il prodotto che rende possibili le cose e le accelera; il system integrator si limita a fare più velocemente ciò che è già stato definito sulla carta.”
Questa non è una questione di procurement. È una questione di sequenza strategica. Le istituzioni che scelgono di collaborare per il livello infrastrutturale tecnico e regolamentare possono destinare i propri investimenti alle decisioni che le differenziano realmente: il posizionamento strategico nell’ecosistema dell’identità digitale, la progettazione della customer journey e le competenze di processo e gestione del rischio che altri non possono replicare.
Le istituzioni che trascorreranno i prossimi 18 mesi sviluppando internamente i protocolli dei wallet arriveranno a dicembre 2027 con un’infrastruttura conforme ai requisiti normativi. Le istituzioni che instaureranno una collaborazione fin da subito arriveranno invece con una posizione consolidata all’interno dell’ecosistema.
La finestra del vantaggio del first mover è aperta, ma non lo sarà per sempre
L’implementazione progressiva degli EUDI Wallet nazionali crea un vantaggio competitivo per chi si muove per primo, vantaggio reale ma limitato nel tempo. Il wallet nazionale francese è già operativo. Italia e Spagna sono nella fase pilota. La Germania punta all’inizio del 2027. Man mano che ciascun wallet nazionale raggiungerà una base significativa di utenti, le istituzioni che avranno già completato l’integrazione saranno nella posizione di acquisire volumi fin dal primo giorno. Le istituzioni che staranno ancora completando l’integrazione dovranno rincorrere.
La scadenza di dicembre 2027 rappresenta il livello minimo di conformità. L’obiettivo strategico per le istituzioni che desiderano contribuire a definire il proprio ruolo nell’ecosistema, anziché limitarsi a rispettarne le regole, è l’inizio del 2027.
Questa finestra di opportunità è aperta adesso. La domanda è chi sarà il primo ad attraversarla.
CONTATTA NAMIRIAL
Namirial è il più grande gruppo europeo di Qualified Trust Service Provider, con una presenza regolamentare in più Paesi, un’infrastruttura per l’integrazione dei wallet e una piattaforma completa di Digital Transaction Management. Aiutiamo le istituzioni finanziarie a passare dalla semplice preparazione alla conformità a un reale vantaggio competitivo all’interno dell’ecosistema.






