Il nuovo schema del regolamento eIDAS è stato approvato l’8 novembre nell’ambito del trilogo, il negoziato inter istituzionale informale che riunisce rappresentanti del Parlamento europeo, del Consiglio dell’Unione e della Commissione. In questo articolo si analizza una delle novità proposte nel sopra citato schema “che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea”, quello dell’archiviazione elettronica.
L’archiviazione si affianca alla conservazione qualificata delle firme e dei sigilli qualificati già normata negli articoli 34 e 40 del regolamento europeo vigente (n. 910/2014 comunemente noto come eIDAS).
Archiviazione elettronica, le regole in Italia
In Italia l’argomento archiviazione elettronica è trattato nell’ambito della formazione, gestione e conservazione dei documenti informatici ed è molto importante, sia per la pubblica amministrazione, che per i cittadini e le imprese.
Il testo dello schema di regolamento, mostrato di seguito, introduce il tema con il Considerando 33, la traduzione non ufficiale dei testi tratti dall’originale comunitario è dell’autore.
(33) “Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono archiviazione elettronica sicura e affidabile al fine di consentire la conservazione a lungo termine di dati e documenti elettronici e dei servizi fiduciari associati. Per garantire la certezza giuridica, la fiducia e l’armonizzazione tra gli Stati membri, dovrebbe essere istituito un quadro giuridico per i servizi di archiviazione elettronica qualificati, ispirato al quadro degli altri servizi fiduciari stabiliti nel presente regolamento. Questo quadro dovrebbe offrire ai prestatori di servizi fiduciari e agli utenti uno strumento efficiente che includa requisiti funzionali per il servizio di archiviazione elettronica, nonché chiari effetti giuridici quando viene utilizzato un servizio di archiviazione elettronica qualificato. Tali disposizioni dovrebbero applicarsi ai documenti generati elettronicamente nonché ai documenti cartacei che sono stati scansionati e digitalizzati. Ove richiesto, tali disposizioni dovrebbero consentire la portabilità dei dati e dei documenti elettronici conservati su supporti o formati diversi allo scopo di prolungarne la durabilità e la leggibilità oltre il periodo di validità tecnologica, prevenendone al tempo stesso la perdita e l’alterazione nella massima misura possibile. Quando i dati e i documenti informatici sottoposti al servizio di archiviazione elettronica contengono una o più firme elettroniche qualificate o sigilli elettronici qualificati, il servizio dovrebbe utilizzare procedure e tecnologie in grado di estenderne l’attendibilità per il periodo di conservazione di tali dati, eventualmente avvalendosi dell’utilizzo di altri servizi fiduciari qualificati istituiti dal presente regolamento”.
E prosegue: “Per creare prove di conservazione laddove vengono utilizzate firme elettroniche, sigilli elettronici o marche temporali elettroniche, dovrebbero essere utilizzati servizi fiduciari qualificati. Nella misura in cui i servizi di archiviazione elettronica non sono armonizzati dal presente regolamento, gli Stati membri possono mantenere o introdurre disposizioni nazionali, in conformità con il diritto dell’Unione, relative a tali servizi, come disposizioni specifiche per i servizi integrati in un’organizzazione e strettamente utilizzati per “archivi interni” di questa organizzazione. Il presente regolamento non dovrebbe distinguere tra documenti nati elettronicamente e documenti fisici che sono stati digitalizzati”.
La necessità di armonizzazione
Il testo è chiaro nella descrizione dello scenario comunitario e nell’evidenziare la necessità di armonizzazione con altri servizi fiduciari qualificati armonizzazione. Per le esigenze italiane è importante evidenziare che “gli Stati membri possono mantenere o introdurre disposizioni nazionali , in conformità con il diritto dell’Unione, relative a tali servizi, come disposizioni specifiche per i servizi integrati in un’organizzazione e strettamente utilizzati per “archivi interni” di questa organizzazione”. Questa importanza non deve distrarre rispetto all’esigenza di evitare problemi per il riconoscimento giuridico della circolazione dei “documenti elettronici” (questo è la definizione stabilita in eIDAS, poi coordinata nel nostro Codice dell’Amministrazione Digitale nella definizione di “documento informatico”).
Per arrivare a regole comuni tra Europa e Italia è indispensabile comprendere quanto stabilito nello schema analizzato che chiameremo eIDAS 2. Per comprendere esattamente i concetti di archiviazione elettronica e del relativo servizio qualificato o non qualificato, può essere utile esplicitare le nuove definizioni nei punti 47) e 48).
47) “archiviazione elettronica”: un servizio che garantisce la ricezione, la conservazione, il reperimento e cancellazione dei dati e dei documenti informatici al fine di garantirne la durabilità e la leggibilità nonché preservarne l’integrità, riservatezza e prova dell’origine durante tutto il periodo di conservazione ;
48) «servizio di archiviazione elettronica qualificato»: un servizio elettronico servizio di archiviazione che soddisfa i requisiti di cui all’articolo 45g; (questo è il riferimento comunitario, nei testi in italiano dovrebbe essere 45 octies).
Art. 45g.
Effetti giuridici dei servizi di archiviazione elettronica
1. Ai dati e ai documenti informatici conservati mediante un servizio di archiviazione elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in giudizio per il solo motivo che sono in formato elettronico o non sono conservati mediante un servizio di archiviazione elettronica qualificato.
2. I dati informatici e i documenti informatici conservati mediante un servizio di archiviazione elettronica qualificato godono della presunzione di integrità e di provenienza per tutta la durata del periodo di conservazione da parte del prestatore di servizi fiduciari qualificato.
Requisiti per l’archiviazione elettronica qualificata
Il testo comunitario stabilisce anche i requisiti per i servizi di archiviazione elettronica qualificata.
Articolo 45 ga
Requisiti per i servizi di archiviazione elettronica qualificata
1. I servizi di archiviazione elettronica qualificati soddisfano i seguenti requisiti:
(a) Sono forniti da prestatori di servizi fiduciari qualificati;
(b) utilizzano procedure e tecnologie atte a garantire la durabilità e la leggibilità dei dati elettronici oltre il periodo di validità tecnologica e almeno per tutto il periodo di conservazione legale o contrattuale, preservandone l’integrità e l’accuratezza della loro origine;
(c) Garantiscono che i dati elettronici siano conservati in modo tale da essere salvaguardati contro la perdita e l’alterazione, ad eccezione dei cambiamenti riguardanti il loro supporto o formato elettronico;
(d) Consentono alle parti autorizzate di ricevere un rapporto in modo automatizzato che confermi che un dato elettronico recuperato da un archivio elettronico qualificato gode della presunzione di integrità dei dati dall’inizio del periodo di conservazione fino al momento del recupero. Tale rapporto deve essere fornito in modo affidabile ed efficiente e reca la firma elettronica qualificata o il sigillo elettronico qualificato del fornitore del servizio di archiviazione elettronica qualificata;
2. Entro … [12 mesi dalla data di entrata in vigore del presente regolamento modificativo], la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, ove necessario, stabilisce specifiche e procedure per i servizi di archiviazione elettronica qualificati. Il rispetto dei requisiti per i servizi di archivio elettronico qualificato si presume quando un servizio di archivio elettronico qualificato soddisfa tali standard, specifiche e procedure. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.”
La lettura del testo comunitario evidenzia l’uso della definizione di archiviazione elettronica coma analoga a quella di conservazione. Sul sito dell’Agenzia per l’Italia Digitale si descrive la conservazione come “l’attività volta a proteggere e custodire nel tempo gli archivi di documenti e dati informatici”.
Il medesimo sito prosegue la descrizione come segue:
“Il sistema di conservazione, come previsto dall’art.44 del CAD, garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici.
L’Agenzia per l’Italia Digitale definisce le modalità operative per realizzare l’attività di conservazione, ovvero:
- natura e funzione del sistema;
- modelli organizzativi;
- ruoli e funzioni dei soggetti coinvolti;
- descrizione del processo di conservazione;
- profili professionali dei responsabili impiegati nel processo di conservazione.”
L’approccio comunitario e quello nazionale hanno componenti operative sovrapposte, quindi è indispensabile definire regole chiare per evitare contraddizioni tra norme comunitarie e nazionali. Questo aspetto porta al rischio di procedure di infrazione. E’ importante anche definire in sede di organismo di standardizzazione, regole tecniche che siano armonizzate con la situazione nazionale esistente.
Gli standard di riferimento
Gli standard dai quali bisogna partire (e i 12 mesi previsti nello schema di regolamento appaiono decisamente insufficienti) sono i seguenti:
ETSI TS 119 511
Electronic Signatures and Infrastructures (ESI);
Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques.
ETSI TS 119 512
Electronic Signatures and Infrastructures (ESI);
Protocols for trust service providers providing long-term data preservation services.
Questi documenti devono essere aggiornati perché redatti sulla base del vigente Regolamento eIDAS e in particolare degli articoli 34 e 40. Il nuovo scenario quindi si affianca a quello vigente.
Il documento 511 viene già indicato nelle normative nazionali, il 512 dovrà essere ripensato per armonizzarlo con le prevalenti regole primarie comunitarie anche al fine di preservare gli investimenti nazionali. Alcune regole nazionali come l’UNI 11386:2020 (nota come SInCRO – Supporto all’interoperabilità nella conservazione e recupero degli oggetti digitali), norma tecnica che specifica le caratteristiche del cosiddetto file di chiusura dei pacchetti di conservazione è compatibile con un approccio comunitario, visto che favorisce meccanismi di interoperabilità tra sistemi di conservazione.
Altre regole standard possono essere derivate da quelle degli altri servizi fiduciari (firme, sigilli, marche temporali e servizi elettronici di recapito certificato) con l’aggiunta di regole per lo scambio di documenti e dati tra Stati membri per esempio sulla base di quanto stabilito nell’articolo 45ga, paragrafo 1, lettera d).
I requisiti aziendali dei servizi fiduciari
L’armonizzazione delle regole dovrebbe tener conto anche di quanto attualmente previsto per la qualifica dei servizi fiduciari in materia di requisiti aziendali. Come è noto il capitale sociale minimo per la qualifica è di 5 milioni di euro. Per eliminare questa pericolosa e penalizzante barriera di ingresso alle aziende stabilite in Italia rispetto a quelle nel mercato interno comunitario, le istituzioni nazionali dovrebbe aggiornare le regole di qualifica portando il capitale sociale a quello stabilito per l’accreditamento (200.000 euro) o, meglio, eliminarlo come già fatto per i gestori dell’identità digitale in SPID. Quest’ultima scelta sarebbe perfettamente in linea con le regole utilizzate in altri Stati membri.
Conclusione
In una ulteriore riflessione bisogna dire chiaramente che non è possibile stabilire requisiti nazionali in ambito ETSI e CEN, ma è il momento di separare nelle Linee guida la conservazione privata da quella pubblica, mantenendo SInCRO obbligatorio per la seconda. Sarebbe anche utile, aumentare gli aspetti specifici del settore pubblico.
I 12 mesi stabiliti nello schema di regolamento non appaiono sufficienti per produrre standard innovativi, bisogna quindi gestire al meglio quanto stabilito nel regolamento per gestire la conservazione nazionale. Al momento non si può che pensare ad una evoluzione dell’ETSI TS 119 512 tenendo bene in conto che all’estero non hanno alcun motivo per mantenere lo status quo dei nostri conservatori.
