Search
EUDI Wallet e Financial Services: cosa cambia sui canali digitali e perché agire adesso
- 10 minuti
Il Regolamento eIDAS 2.0 è in vigore. Per gli operatori FS il primo adempimento concreto è chiaro: essere pronti ad accettare l’EUDI Wallet nei casi previsti dal quadro eIDAS entro dicembre 2027. Il tempo per impostare il percorso è adesso.
Con la pubblicazione del Regolamento (UE) 2024/1183 e l’avvio degli Atti di Esecuzione, l’identità digitale europea è passata dalle dichiarazioni d’intenti agli standard vincolanti. L’iter è tracciato: entro dicembre 2026 ogni Stato membro dovrà fornire almeno un EUDI Wallet ai propri cittadini; entro dicembre 2027, le imprese che richiedono l’autenticazione forte dell’utente per l’accesso ai propri servizi – Banche in primis – dovranno accettarlo come modalità alternativa, a fronte di richiesta volontaria da parte del cliente.
Si tratta di un vero e proprio cambio di paradigma per gli operatori: per la prima volta l’Europa si dota di un sistema fiduciario armonizzato e interoperabile a livello continentale, capace di superare la frammentazione degli schemi nazionali e di porre le basi per un mercato unico dell’identità digitale.
Una scelta che assume un peso ancora maggiore se letta nel contesto storico attuale, segnato da un’incertezza senza precedenti: sul fronte geopolitico, con tensioni che si riflettono direttamente sugli andamenti dei mercati finanziari e sulla resilienza delle infrastrutture critiche; e, soprattutto, sul fronte della garanzia dell’identità del Cliente, dove l’evoluzione travolgente dell’Intelligenza Artificiale generativa, con la diffusione di deepfake sempre più sofisticati e di tecniche di injection attack in grado di aggirare i tradizionali sistemi di liveness detection e video-identificazione, ha incrinato un assunto che fino a ieri davamo per scontato: l’equazione identità digitale = identità reale non è più automaticamente garantita. In questo scenario, disporre di un framework europeo basato su credenziali crittograficamente verificabili e su trust chain qualificate non è un’opzione, ma una necessità sistemica.
Il Regolamento contribuisce a posizionare ancor di più al centro dell’agenda degli operatori la digital innovation, configurandosi come un obbligo regolamentare con impatto diretto sulle Operations, sul landscape applicativo, sui processi KYC e sul modello di governance dei dati degli operatori.
Perché il Verifier è il punto di partenza obbligato
L’ecosistema EUDI prevede tre ruoli – Verifier, Issuer, Wallet Provider – ma solo il primo costituisce uno step obbligatorio. Il Verifier / Relying Party è il soggetto che accetta e valida le credenziali digitali dell’utente per erogare un servizio (e.g. apertura conto, login, operazioni dispositive, firma): è il ruolo che abilita la conformità su identificazione ed autenticazione forte.
In termini operativi, essere Verifier significa completare la registrazione presso l’Autorità Nazionale (ai sensi del CIR 2025/848), ottenere un Certificato di Registrazione e di Accesso, dichiarare gli attributi richiedibili e lo scopo del servizio, e soprattutto costruire la capacità tecnica di validare crittograficamente ogni credenziale ricevuta – verificando firma digitale, trust chain, stato di revoca e binding con l’utente.
È la costruzione di un nuovo modello di fiducia digitale armonizzato in cui i player FS non sono più chiamati a verificare o reperire documenti ed informazioni, ma a validare in maniera strutturata le attestazioni emesse da soggetti qualificati a livello europeo. Un modello che sposta l’onere della verifica dell’identità dal singolo operatore a una catena di fiducia continentale, restituendo solidità all’equazione tra identità dichiarata e identità reale proprio nel momento in cui le frodi, supportate dalla tecnologia in rapida evoluzione, la mettono più sotto pressione.
Dove impatta davvero: non tutti i canali sono uguali
L’impatto atteso non è uniforme: i canali digitali remoti – internet banking, mobile banking, corporate banking ed altre digital properties sono fortemente interessati: il Wallet diventa strumento alternativo a supporto dei processi di login con SCA, operazioni dispositive, firma qualificata e KYC; è qui che si concentra la maggior parte del lavoro di adeguamento. I canali di prossimità (ATM, POS) e le interfacce dedicate ai Third Party Provider (PISP, AISP) presentano un impatto medio-alto, mentre filiali e agenti registrano un impatto prevalentemente circoscritto ai meccanismi di autenticazione per l’apposizione della firma, sulla base dell’interpretazione dell’attuale impianto normativo.
La direttrice strategica è chiara: la priorità di intervento non può essere definita lungo una sola dimensione, ma deve emergere dall’incrocio di più assi di valutazione d’impatto. In particolare, è necessario ragionare simultaneamente su:
- Canali e touchpoint di interazione, distinguendo tra fisico, digitale di prossimità, remoto assistito e self-service, ciascuno con un proprio livello di maturità e di impatto atteso;
- Segmenti di clientela, con le loro specificità operative e i relativi profili autorizzativi (e.g. gestione dei delegati, dei rappresentanti legali o delle utenze cointestate, che introducono complessità ulteriori nei flussi di identificazione e firma e nella fruizione operativa continuativa);
- Processi e modalità di fruizione, considerando come onboarding, login, sottoscrizione, disposizione di pagamento, aggiornamento dati richiedano logiche e azioni di adeguamento tra loro differenti e differenziate;
- Prodotti e servizi, la cui rilevanza strategica e il cui rischio sotteso condizionano l’urgenza dell’intervento.
La roadmap di adeguamento scaturisce dall’intersezione di queste dimensioni, e non dalla stima/proiezione prospettica isolata dei volumi di clientela su un singolo touchpoint. Chi ha già investito in modo coordinato sulla digitalizzazione end-to-end parte con un vantaggio strutturale; chi si è mosso e intende muoversi in modo “compartimentato”, ottimizzando un canale o un processo alla volta, rischia oggi di dover accelerare in parallelo su più fronti, con costi e rischi significativamente più alti.
I tre filoni di adeguamento
Il percorso di conformità si gioca su tre cantieri che devono procedere insieme: la prima direttrice riguarda il landscape applicativo, che rappresenta probabilmente l’ambito più impegnativo sul piano realizzativo. Gli operatori finanziari saranno chiamati a integrare nei propri sistemi le modalità sicure di colloquio definite dagli Implementing Act della Commissione Europea e dall’Architecture Reference Framework (ARF), che governano il dialogo tra il Wallet del cittadino e gli intermediari. Questo intervento comporta l’integrazione di protocolli di interoperabilità standardizzati – quali in particolare OpenID per la verifica (OID4VP) ed emissione (OID4VCI) di credenziali e l’esposizione di nuovi endpoint, ma soprattutto un ripensamento dell’Identity & Access Management, con la necessità di orchestrare in modo affidabile la verifica delle credenziali presentate dall’utente e di gestire in tempo reale i meccanismi di revoca. In altre parole, l’infrastruttura di identità dovrà evolvere da sistema prevalentemente “interno” a piattaforma interoperabile con l’ecosistema europeo dei wallet.
La seconda direttrice tocca il cuore operativo della relazione con il cliente, ossia il processo di onboarding e le annesse attività di KYC. Qui la sfida è duplice: da un lato, ridisegnare i flussi di acquisizione del cliente per accogliere le nuove modalità di identificazione e verifica dell’identità basate sul Wallet, sfruttandone i benefici in termini di velocità e riduzione degli attriti; dall’altro, aggiornare coerentemente le policy e processi AML, valutare gli impatti dell’utilizzo del wallet sugli obblighi di conservazione nonché ricalibrare i presidi antifrode, che dovranno tenere conto di un contesto in cui l’evidenza dell’identità arriva in forma di credenziale digitale qualificata.
Resta inteso che l’utilizzo del Wallet non solleva l’intermediario dalla responsabilità complessiva sul processo di adeguata verifica della clientela e di monitoraggio nel continuo.
Inoltre, va sottolineata la significativa sinergia e le interdipendenze con il nuovo Anti-Money Laundering Regulation (AMLR) che richiama le soluzioni di identificazione di cui al regolamento eIDAS sottolineando la loro sicurezza ed affidabilità e invitando i soggetti obbligati a prendere in considerazione ed accettare l’identificazione elettronica di cui al regolamento eIDAS, con l’obiettivo di mitigare i rischi connessi. In virtù di questa convergenza di topic, l’iniziativa di adeguamento alla nuova identità digitale è opportuno sia inserita in una roadmap unitaria con i cantieri relativi all’analisi di impatto dell’AML Package, inclusi AMLR e normative attuative, pena duplicazioni di investimento e disallineamenti di compliance.
La terza direttrice, infine, è quella della compliance e della governance del dato. A livello di responsabilità in ambito privacy, l’operatore finanziario rimane titolare del trattamento ai sensi del GDPR per tutti i dati che riceve attraverso il Wallet e deve quindi essere in grado di dimostrare, per ciascun dato acquisito, l’esistenza di una valida base giuridica e la coerenza con il principio di minimizzazione – richiedendo cioè soltanto le informazioni strettamente necessarie alla finalità perseguita, e non l’intero “pacchetto” di attributi che il Wallet potrebbe astrattamente fornire. Ne discende la necessità di aggiornare le valutazioni d’impatto (DPIA), le informative privacy e, più in generale, l’intero impianto di accountability documentale, allineandolo al nuovo paradigma di identificazione.
Questi ambiti sono interdipendenti: un disallineamento tra architettura e compliance genera rischi operativi; un gap tra processi e IT genera inefficienza. Il piano di adeguamento deve essere unico, coerente, organico.
Punti aperti: gli approfondimenti in corso dettano la priorità di intervento
L’articolo 5 septies (2) del Regolamento (UE) 2024/1183 introduce l’obbligo di accettazione del Wallet da parte dei relying party tenuti ad adottare la SCA per l’autenticazione online del cliente: l’effettiva estensione di tale obbligo ai pagamenti disciplinati da PSD2 è oggetto di dibattito interpretativo in corso a livello europeo, con il mercato che ha chiesto chiarimenti specifici. Le ultime indicazioni della Commissione Europea sembrano aver chiarito il punto, indirizzando verso l’accettazione del portafoglio anche per l’accesso all’account e per l’avvio di transazioni nei servizi di pagamento.
Con riferimento al segmento Business/Corporate, è in discussione a livello UE proposta di Regolamento sul European Business Wallet (EUBW) presentata dalla Commissione il 19 novembre 2025, che istituirebbe un wallet dedicato alle persone giuridiche. L’ARF ha già anticipato scenari di utilizzo in prossimità – inclusi POS e ATM – che potrebbero avere impatti significativi sui modelli di autenticazione e interazione cliente e che restano in larga parte ancora da disciplinare nel dettaglio. Chi costruisce le fondamenta adesso – censendo i servizi impattati, definendo gli attributi richiedibili, impostando il modello di governance – potrà adattarsi rapidamente quando gli ultimi punti verranno chiariti: chi aspetta rischia di dover rincorrere.
Cosa serve concretamente per partire
Il percorso può essere avviato da subito e si sviluppa in modo progressivo. Il primo passo è definire il “perimetro reale”: mappare i servizi che richiedono identificazione, autenticazione o firma, e stabilire dove la Banca dovrà necessariamente operare come Verifier. Il secondo è costruire le capability di base: preparare la registrazione, definire le modalità di interazione con il Wallet, allinearsi ai requisiti di minimizzazione e consenso. Il terzo è valutare gli impatti IT e compliance: verificare la coerenza con i flussi PSD2, definire il modello di governance della reliance, aggiornare i processi KYC/AML.
Affianchiamo gli operatori in questo percorso con un approccio strutturato – dal set up progettuale all’assessment, dal disegno operativo e applicativo, fino alla definizione dei Business Requirements per l’implementazione – integrando competenze Digital, Operations, Regulatory, Legal, Technology, Cybersecurity & Risk.
La sfida è chiara: gestire un adeguamento complesso in una finestra temporale definita, con interdipendenze aperte verso PSD3/PSR, Digital Euro, NIS2, FIDA e AMLR.
L’EUDI Wallet è un cambio di paradigma nel modo in cui la Banca riceve, valida e governa l’identità dei propri clienti. Per il settore Financial Services significa integrare in un unico modello identità digitale, compliance regolamentare e servizi finanziari. Tuttavia, la portata del cambiamento va valutata in una prospettiva più ampia: l’EUDI Wallet è un ulteriore tassello del disegno europeo di un’infrastruttura sovrana digitale, che si affianca e si intreccia con altre iniziative in arrivo – dall’euro digitale alle evoluzioni del framework PSD3/PSR, fino agli sviluppi su AI Act. Le scelte di adeguamento vanno inquadrate in una roadmap di medio periodo capace di anticipare le sinergie e le interdipendenze tra questi fenomeni. Le banche che inizieranno ora a costruire le proprie capability di verifica, pensandole anche come asset scalabili, saranno quelle meglio posizionate nel nuovo ecosistema europeo della fiducia digitale.
Autori:
Cristina Petrali
Salvatore Corigliano
Valentina Grilli
Filippo De Lucia Lumeno
