Un gruppo di 309 esperti in sicurezza informatica, ricercatori e scienziati provenienti da 31 paesi di tutto il mondo ha chiesto una revisione delle proposte di riforma del Regolamento sull'identificazione elettronica, l'autenticazione e i servizi di fiducia (eIDAS) dell'Unione Europea (UE).
Questi esperti ritengono che le modifiche proposte al regolamento, nella loro forma attuale, non fornirebbero adeguati livelli di sicurezza tecnologica per cittadini e imprese e, al contrario, ridurrebbero la sicurezza complessiva.
Il regolamento eIDAS è stato istituito nel settembre 2018 con l'obiettivo di promuovere e migliorare la fiducia, la sicurezza e la comodità dei cittadini dell'UE attraverso regole uniformi per l'identificazione elettronica e i servizi di fiducia, come firme elettroniche e autenticazione di siti web.
Il gruppo di esperti si preoccupa in particolare degli emendamenti proposti all'articolo 45 del regolamento eIDAS, i quali consentirebbero ai governi di intercettare il traffico web criptato, minando i meccanismi di vigilanza attualmente in atto.
Questo articolo consentirebbe agli Stati membri dell'UE di inserire nuovi certificati, il che potrebbe comportare il rischio di intercettazioni del traffico web, mettendo a repentaglio la sicurezza e la privacy.
Inoltre, l'articolo 45 vieterebbe i controlli di sicurezza sui certificati web dell'UE, limitando le misure di sicurezza adottabili per proteggere il web nell'UE. Il gruppo di esperti chiede una revisione di questo articolo per incoraggiare lo sviluppo di nuove misure di sicurezza in risposta alle minacce in evoluzione.
Il gruppo ha evidenziato che queste modifiche potrebbero essere il risultato di un tentativo di ridurre il potere dei grandi produttori di browser come Google e Microsoft sulle certificazioni.
Tuttavia, gli esperti ritengono che questo approccio non sia il metodo appropriato e suggeriscono che le questioni di concorrenza dovrebbero essere affrontate attraverso il diritto della concorrenza, anziché attraverso il regolamento eIDAS.
Gli esperti mettono anche in luce preoccupazioni riguardo all'identità digitale europea, che potrebbe compromettere la privacy dei cittadini. Chiedono quindi ulteriori modifiche per garantire la protezione dei cittadini dalla sorveglianza indesiderata.
Infine, è importante notare che il Regolamento eIDAS è stato implementato nel diritto del Regno Unito in seguito alla Brexit. Sebbene non esista un accordo reciproco con l'UE, il Regno Unito potrebbe decidere di seguire le modifiche proposte dall'UE in futuro, garantendo così un approccio coerente alla sicurezza informatica.