EU:n sähköisen tunnistamisen eIDAS-asetuksessa on epävirallisten tietojen mukaan saatu aikaan kompromissi, joka korjaa ainakin pahimmat puutteet, jos kohta ei parhailla mahdollisilla tavoilla – erityisesti paljon olennaisia asioita jäi kansallisen lainsäädännön varaan. Lopullinen muotoilu ratkennee vasta ensi vuonna, mutta isot muutokset eivät enää ole todennäköisiä. Vääntö asiassa käytiin valitettavan yleiseen tapaan aika hyvin julkisuudelta piilossa, mutta lopputulosta voi siis kuitenkin pitää ainakin torjuntavoittona, kiitos kaikille asiaan osallistuneille, asiaan selvisti kannatti panostaa.
Sertifikaattien kanssa päädyttiin muotoiluun, joka jättää selainten tekijöille mahdollisuuden huolehtia osoitteiden autentikoinnista parhaaksi katsomallaan tavalla. Asetus tuo yhä uuden, ns. QWAC-sertifikaatin, jonka luotettavuus jää EU:n hallitusten varaan, mutta sitä ei ole pakko käyttää. Miten tämä käytännössä toteutuu eri selaimissa jää nähtäväksi.
Hallituksille jää myös mahdollisuus seurata miten käyttäjät uutta sähköistä “lompakkoaan” käyttävät. Tähän ei olisi ollut mitään teknistä tarvetta, parlamentin esitys olisi estänyt sen, mutta seurannan estämisvaatimusta ei trilogineuvottelussa hyväksytty. Tästä tullee aikanaan vääntöä kansallisella tasolla.
Asetuksessa on myös paljon periaatteessa hyviä asioita jätetty kansallisen lainsäädännön varaan. Muun muassa oikeus pseudonymiteettiin (nimimerkkien käyttöön niin että ei tarvitse kaikille yrityksille jne paljastaa oikeaa henkilöyttään) on asetuksessa mutta rajoitettavissa kansallisella tai myöhemmällä EU-lailla, valikoiva tietojen paljastaminen (voi kertoa itsestään vain mitä tarvitaan) ja ns. zero knowledge proof eli mahdollisuus todistaa jotakin itsestään (vaikka että on kyllin vanha) paljastamatta henkilöyttään on siellä mutta vain resitaalissa, joka ei sido jäsenmaita.
Lompakkosovelluksen pitää olla avointa koodia, mutta palvelinpään (back end) ei, vaikka alunperin sekin oli tarkoitus. Sen salaaminen tosin pitää teoriassa perustella jotenkin, mutta turvallisuuteen on valitettavan helppo vedota, vaikka oikeasti tiedetäänkin ettei koodin salaaminen turvallisuutta paranna. Tästäkin päästään vääntämään kansallisella tasolla – koko sähköinen lompakko on jäsenmaiden myöntämä, joten sen turvallisuuskin on varmistettava kansallisella lainsäädännöllä.
Asetuksessa on paljon muutakin, enemmän asiasta kertoo
Itävaltalaisen Epicenter-järjestön analyysi (englanniksi).
Asiaan palattaneen kun lopullinen teksti valmistuu tai viimeistään kun sen kansallista toteutusta aletaan valmistella joskus ensi vuonna.