Il nuovo regolamento eIDAS 2 quattro nuovi servizi fiduciari: l’attestazione elettronica degli attributi, la gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza, i registri elettronici e l’archiviazione elettronica (denominata eArchiving).
Emerge dunque un servizio specifico per l’archiviazione elettronica distinto e affiancato al servizio di conservazione delle firme elettroniche, e sebbene sia impropriamente definito “archiviazione elettronica”, in realtà è un vero e proprio servizio di conservazione digitale di dati e documenti elettronici. Questo nuovo servizio porta, dunque, con sé una serie di implicazioni ed evoluzioni significative per i conservatori europei.
eIDAS 2 e archiviazione elettronica, cosa dice il regolamento
Nel contesto dinamico di eIDAS 2.0, si assiste a un significativo, seppur circoscritto, avanzamento nell’integrazione e nella definizione dei servizi di archiviazione elettronica all’interno della categoria dei servizi fiduciari qualificati riconosciuti. La prima proposta di eIDAS 2.0 delinea già chiaramente l’eArchiving come un servizio che abbraccia la ricezione, la conservazione, il recupero e la cancellazione dei dati elettronici, con l’obiettivo di garantirne la durabilità e la leggibilità, oltre a preservarne l’integrità, la riservatezza e la prova dell’origine per tutto il periodo di archiviazione.
Il framework normativo
Un punto cruciale si riscontra nell’articolo 45 undecies, che estende i servizi di conservazione qualificati delle firme elettroniche e dei sigilli elettronici. Questo ampliamento coinvolge per la prima volta i sistemi di eArchiving, precedentemente esclusi dal contesto normativo eIDAS e risulta cruciale poiché riconosce l’importanza di preservare in modo sicuro e autenticato non solo le firme elettroniche, ma anche i sigilli elettronici e i documenti archiviati elettronicamente.
La nuova sezione 10 mettono in luce l’adozione di requisiti nazionali per i servizi di archiviazione digitale affidabili e sicuri nei vari Stati membri. Questi punti sottolineano l’importanza di un quadro giuridico che agevoli il riconoscimento transfrontaliero dei servizi di archiviazione elettronica qualificati, aprendo così nuove potenziali prospettive di mercato per i prestatori di servizi fiduciari all’interno dell’Unione Europea.
Gli emendamenti del Parlamento e del Consiglio dell’EU
Nel corso delle fasi standard di approvazione delle nuove normative, sia il Parlamento europeo che il Consiglio dell’Unione Europea hanno rivisto la proposta avanzata dalla Commissione Europea, apportando modifiche che impattano specificamente l’eArchiving. Una modifica di rilievo introdotta con gli emendamenti di Parlamento e Commissione riguarda l’espansione dei nuovi requisiti normativi in materia di conservazione anche ai documenti cartacei digitalizzati, superando così i parametri regolamentari precedentemente limitati ai soli documenti nativi digitali.
L’accordo finale: dettagli e rafforzamenti dell’impatto
Il documento revisionato dal trilogo non solo aggiunge dettagli e riferimenti significativi alla conservazione, ma rafforza anche il suo impatto, superando perfino gli emendamenti inizialmente proposti dalla Commissione e dal Parlamento.
Tra gli emendamenti chiave, spicca la richiesta di un quadro giuridico per i servizi di archiviazione elettronica qualificati a livello nazionale, promuovendo un approccio armonizzato tra gli Stati Membri. Nella nuova iterazione del trilogo, si presta inoltre attenzione al trattamento dei dati durante il processo di conservazione, applicando regole analoghe per documenti nativamente digitali e documenti cartacei digitalizzati.
Ulteriori emendamenti contemplano l’espansione dei dettagli riguardo alla reciproca riconoscibilità dei fornitori di servizi fiduciari di eArchiving tra i Paesi membri (articolo 24 bis), insieme al rafforzamento della validità legale e dell’ammissibilità come prove per i dati e i documenti elettronici conservati tramite servizi di archiviazione elettronica (articolo 45 decies).
In aggiunta, vengono stabiliti requisiti dettagliati per i servizi di archiviazione elettronica qualificati, i quali devono essere erogati da fornitori qualificati di servizi fiduciari che devono, in quanto tali, sottostare a nuove caratteristiche e procedure fino ad ora non previste (articolo 45 undecies).
La versione consolidata, sottoposta nuovamente all’attenzione del Parlamento e della Commissione nei mesi di febbraio e marzo 2024, conserva le revisioni, le specifiche e le definizioni più dettagliate introdotte durante le varie fasi di modifica della proposta.
Verso gli standard per l’eArchiving
eIDAS 2.0 non contempla gli standard che dovranno adottare i fornitori di servizi fiduciari qualificati di conservazione elettronica, dato che è previsto che un tale elenco venga riportato negli atti di esecuzione, con particolare attenzione ai lavori condotti dal CEN/TC 468/WG 1. Il Comitato europeo di standardizzazione ha delineato un piano strategico finalizzato alla definizione dell’architettura di riferimento per l’eArchiving, ponendo l’accento sulla standardizzazione dei processi anziché sulle tecnologie specifiche.
Il TC 468 si propone di mappare i vari standard internazionali ed esaminare i sistemi nazionali al fine di identificare similitudini e differenze, con l’obiettivo di stabilire un “vocabolario comune” per la conservazione digitale e indicare gli standard da seguire in collaborazione con vari organi e istituzioni. Questa iniziativa mira a creare un quadro normativo che sia robusto e armonizzato, promuovendo la coesione e la compatibilità nell’ambito della conservazione elettronica.
eArchiving, gli impatti
L’introduzione del servizio fiduciario di eArchiving nel regolamento eIDAS 2 rappresenta un limitato seppur incoraggiante passo verso la valorizzazione della conservazione digitale in ambito europeo. L’aspetto chiave è rappresentato dalla possibilità che i servizi di conservazione digitale, considerati servizi fiduciari, possano beneficiare del reciproco riconoscimento tra gli Stati membri, analogamente a quanto accaduto per le firme elettroniche con la prima versione di eIDAS.
Questa prospettiva potrebbe contribuire all’abbattimento delle barriere tra i Paesi, facilitando la creazione di un unico mercato europeo per la conservazione digitale. Tale sviluppo potrebbe essere particolarmente vantaggioso per i conservatori italiani, noti per le loro soluzioni avanzate, consentendo loro di veicolare i propri servizi in altri Paesi membri senza necessità di ulteriori riconoscimenti in ogni singolo Stato.
I potenziali rischi
Tuttavia, esistono potenziali rischi legati alla scelta degli standard e delle specifiche da adottare per fornire servizi di conservazione digitale che potrebbero, al contrario, rappresentare un significativo pericolo per i prestatori di servizi di conservazione digitale Italiani, qualora si interpretasse in modo fuorviante un aspetto così importante come la conservazione dei dati e dei documenti elettronici, che ricordiamo comprende non solo quella a lungo termine, ma anche quella permanente.
Gli interessi economici in gioco sono tanti e le diverse sensibilità giuridiche oltre che archivistiche dei diversi Stati membri potrebbe portare verso servizi fiduciari di conservazione digitale distanti dalle rigorose metodologie adottate da decenni nel nostro Paese.
Gli standard attuali
Va subito rilevato che quando si affronta il tema della conservazione digitale dei dati e dei documenti elettronici a lungo termine, non si può prescindere dal modello OAIS (ISO 14721), che è quello adottato in Italia e in alcuni Stati membri. Cosa diversa sono per esempio i servizi di mera conservazione delle evidenze digitali dei dati e dei documenti elettronici (preservation of evidence), dove i dati ed i documenti rimarrebbero memorizzati nei sistemi DMS[1], ECM[2], ERP[3] dell’organizzazione, in quanto il servizio prevede la sola conservazione delle evidenze digitali.
La differenza è sostanziale, dato che in quest’ultimo caso il servizio di conservazione si limita alla conservazione di mere catene di hash marcate temporalmente, mentre i dati e i documenti elettronici risiedono nei sistemi dell’azienda o della Pubblica Amministrazione, con tutti i rischi che ne derivano. A dire il vero non si tratterebbe di eArchiving così come definito nel regolamento eIDAS 2.0, dato che il servizio non è in grado di garantire la durabilità, la leggibilità, l’integrità, la riservatezza e la prova dell’origine, in quanto i bit risiedono nei server del cliente.
Con riferimento agli standard, oltre al modello OAIS, non potrà mancare lo standard ETSI TS 119 511, e se anche è stato pensato per la conservazione delle firme elettroniche, in realtà il modello di “preservation service with storage” potrebbe essere una strada percorribile se arricchito di attività di “monitoring” e di “augmentation”.
Al riguardo il documento ETSI SR 019 510 (Special Report) riporta già una interessante soluzione da cui partire, che prevede il modello OAIS integrato con lo standard ETSI TS 119 511 “with storage”, e qualora arricchito di valide attività di “monitoring” (verifica dei certificati, verifica degli algoritmi, etc) e di “augmentation” (time stamp renewal, hash tree renewal, ecc.) potrebbe già delineare un framework su cui costruire un servizio fiduciario qualificato di eArchiving.
È necessario definire gli standard di riferimento senza discostarsi dalla definizione di “archiviazione elettronica” contenuta nella nuova formulazione del regolamento eIDAS, ove testualmente è riportato che trattasi di “un servizio che consente la ricezione, la conservazione, la consultazione e la cancellazione di dati elettronici e documenti elettronici al fine di garantirne la durabilità e leggibilità nonché di preservarne l’integrità, la riservatezza e la prova dell’origine per tutto il periodo di conservazione”.
Fatturazione elettronica e conservazione
Come è successo per l’Italia, l’obbligo di fatturazione elettronica che i diversi Stati membri stanno sempre più introducendo, trascinerà necessariamente i servizi di conservazione digitale, e questo dovrebbe incentivare i conservatori del nostro Paese a fornire ai loro clienti esteri supporto in ambito fatturazione elettronica e quindi di conservazione digitale.
È necessario poi intervenire quanto prima sul requisito ad oggi previsto del capitale sociale minimo di 5 milioni di euro per potersi proporre come Qualified Trust Service Provider e quindi operare come conservatore conformemente allo scenario eIDAS 2.0. Questa condizione potrebbe escludere una vasta proporzione di piccoli e medi provider italiani che hanno già investito in questo settore e aspirano a diventare prestatori di servizi fiduciari qualificati.
Solo 14 delle 67 aziende provider, con valore del capitale sociale noto che rientrano nella lista dei 72 provider attualmente iscritti al marketplace dei servizi di conservazione di AgID soddisfano il requisito di capitale sociale necessario per avviare il processo di riconoscimento e continuare così a operare nel campo della conservazione conformemente al nuovo quadro normativo. Attendere ancora, significa favorire la concorrenza estera, oltre che spingere i conservatori italiani a emigrare in altri Stati UE per poter diventare fornitori qualificati di conservazione digitale.
Obiettivo interoperabilità
Tuttavia, è incoraggiante notare che la nuova formulazione del regolamento eIDAS 2 conferma l’intenzione di promuovere l’interoperabilità tra sistemi nazionali, anziché puntare all’abolizione totale in favore di uno standard sovranazionale europeo. Ciò suggerisce che gli atti di esecuzione potrebbero tenere conto delle condizioni specifiche e delle peculiarità degli attori presenti nei singoli Stati membri, o almeno di quello con un mercato dell’eArchiving già avanzato.
Conclusione
L’entrata in vigore di eIDAS2 e le sue implicazioni offrono nuove opportunità, ma resta ancora incerto il percorso che verrà delineato dagli atti di esecuzione al momento della loro pubblicazione. L’individuazione di soluzioni chiare di quello che dovrà essere la conservazione digitale in ambito europeo, senza compromessi di sorta, sarà decisiva per la completa creazione di un unico mercato europeo de servizi di conservazione digitale.
Così come già successo in passato per la firma digitale e la posta elettronica certificata, ancora una volta è l’Italia ad essersi dotata in anticipo rispetto al resto dell’Europa di un organico quadro normativo su temi a supporto della digitalizzazione dei documenti e dei processi. Sarà conveniente per l’Europa attingere dalla nostra esperienza, anziché intraprendere strade sconosciute, ma è chiaro che non dobbiamo lasciare margine a fuorvianti interpretazioni su ciò che è la conservazione digitale a lungo termine.
