Per diventare un’azienda in grado di erogare servizi fiduciari è necessario possedere determinati requisiti. Proviamo ad analizzare questi requisiti soprattutto in relazione anche alle evoluzioni previste in fatto di evoluzione dell’eArchiving dal Regolamento europeo eIDAS 2.
Cosa sono i servizi fiduciari digitali
Il Regolamento eIDAS vigente, Regolamento (UE) n. 910/2014 in vigore dal 1° luglio 2016, mira a rafforzare la fiducia nelle transazioni elettroniche e nel mercato interno, fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche. Esso definisce infatti servizi fiduciari digitali quei servizi elettronici che si occupano della creazione, verifica e convalida di molte autenticazioni informatiche esistenti.
Sono definiti servizi fiduciari pertanto nel Regolamento eIDAS:
- i servizi di creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, servizi elettronici di recapito certificato; certificati relativi a tali servizi;
- i servizi di creazione, verifica e convalida dei certificati di autenticazione di siti web;
- i servizi di conservazione di firme; sigilli o certificati elettronici relativi a tali servizi.
Viene poi definito servizio fiduciario qualificato un servizio fiduciario che soddisfa i requisiti stabiliti dal Regolamento eIDAS e ne fornisce le relative garanzie in termini di sicurezza e qualità.
Si tratta perlopiù di servizi informatici offerti dal mercato, generalmente a pagamento.
Servizi e fornitori qualificati: le regole AgID
I servizi fiduciari qualificati sono sottoposti alla vigilanza di appositi organismi governativi nazionali, in Italia l’AgID – l’Agenzia per l’Italia Digitale.
Di norma per l’Italia i soggetti che vogliono fornire servizi fiduciari qualificati o svolgere attività di gestione di posta elettronica o d’identità digitale, devono presentare all’AgID una domanda di qualificazione, la quale deve essere conforme alle regole e alle modalità fissate dalle Linee guida.
I prestatori di servizi fiduciari qualificati sono autorizzati a caratterizzare il servizio qualificato offerto attraverso l’uso del marchio di fiducia UE per i servizi fiduciari qualificati. Tale marchio di fiducia è regolamentato dal Regolamento di esecuzione (UE)2015/806 della commissione del 22 maggio 2015.
L’AgID, ai sensi dell’art. 14-bis, comma 2, lettera i) del Codice dell’Amministrazione Digitale (CAD – Decreto legislativo 7 marzo 2005, n. 82, s.m.i.) esercita funzioni di vigilanza sui prestatori di servizi fiduciari qualificati in materia di identificazione elettronica e trusted services, ai sensi dell’articolo 17 del regolamento UE 910/2014 (“Regolamento eIDAS”) oltre che sui gestori di posta elettronica certificata e sui soggetti di cui all’articolo 34, comma 1-bis, lettera b), nonché’ sui soggetti, pubblici e privati, che partecipano a SPID di cui all’articolo 64, il tutto al fine di prevenire irregolarità, malfunzionamenti o disservizi nei processi di erogazione e per verificare che i soggetti vigilati operino nel rispetto di regole e requisiti definiti e mutuamente riconosciuti tra agli Stati Membri dell’Unione Europea, con l’obiettivo di rafforzare la fiducia dei cittadini nelle transazioni on line e favorire lo sviluppo dell’economia digitale.
In questa sua attività Agid mira altresì ad accertare presunte violazioni da cui possono derivare utilizzi impropri o a scopo fraudolento dei predetti servizi, esponendo l’utente al rischio di falsificazioni o di furti di dati.
Per tali finalità, l’Agenzia, nel suo ruolo di autorità di vigilanza, svolge accertamenti di tipo ispettivo e promuove verifiche in via preventiva, in un’ottica di miglioramento continuo dei processi per la qualità e la sicurezza dei servizi.
I requisiti (presenti e futuri) per i fornitori
Attualmente la conservazione non è un servizio fiduciario; tuttavia, le bozze di eIDAS 2, che al momento sono nella fase di negoziato nel trilogo tra Commissione, Parlamento e Consiglio Europeo (il Trilogue), contengono diverse novità di rilievo, tra cui una che potrà avere un impatto rilevante sul mercato italiano ed europeo: l’evoluzione dell’e-archiving.
Nel Regolamento eIDAS attuale, il concetto di e-archiving non esiste: è prevista solo la Qualified preservation service for qualified electronic signatures o Servizio di conservazione qualificato delle firme elettroniche qualificate (art. 34), cioè un servizio fiduciario qualificato in grado di estendere l’affidabilità delle firme qualificate oltre la loro validità tecnologica, superandone cioè l’obsolescenza. eIDAS 2 prevede invece nella sua bozza un servizio di electronic archiving, la cui compiuta definizione esatta è ancora in fase di definizione nel trilogo; tuttavia introduce anche verso i servizi di conservazione il concetto di mutuo riconoscimento tra gli Stati membri, esattamente come previsto in precedenza per gli altri servizi fiduciari già contemplati.
È un cambiamento importante per il mercato ed è un’occasione unica per i provider italiani da sempre tra i più accreditati nell’ambito dell’archivistica digitale a supporto dei processi di transizione digitale della PA e delle imprese.
Tuttavia, come sempre per erogare servizi fiduciari qualificati il prestatore di servizi dovrà possedere una serie di requisiti anch’essi in corso di definizione.
L’art. 45 delle bozze di Regolamento presenta, nelle sue versioni al momento in discussione, una lista di requisiti che il Qualified Trust Service Provider deve avere per erogare il servizio di qualified archiving ed esattamente:
- si tratta di servizi che debbono essere erogati da Qualified Trust Service Provider;
- devono essere utilizzate procedure in grado di estendere la durata e la leggibilità dei dati elettronici per tutto il periodo di conservazione a norma o contrattuale, mantenendo la loro integrità e la loro autenticità ed origine;
- devono garantire la conservazione dei dati al fine di scongiurare la perdita e l’alterazione, salvo le modifiche di supporto e formato;
- coloro che si affidano ad un servizio di questo tipo devono ricevere un report in grado di attestare che i dati che vengono recuperati da un qualified electronic archive sono integri dall’inizio del periodo della loro conservazione, fino al momento del recupero. Tale riscontro deve essere fornito in modo “affidabile ed efficiente” e deve essere firmato con firma elettronica qualificata o il sigillo elettronico qualificato del provider del qualified electronic archiving service.
- Deve essere garantita l’esatta data ed ora del processo di archiving.
I conservatori italiani sono i più esperti in Europa
Per quanto i requisiti dalla lettera b) alla lettera e) i Conservatori italiani sono certamente quelli che in Europa possono vantare la maggiore esperienza.
Tra l’altro attualmente in Italia per i servizi di conservazione, è stato anche adottato il Regolamento previsto all’art. 34, comma 1-bis, del CAD che, pur non prevedendo l’obbligatorietà di conformazione, prevede e definisce i nuovi criteri per la fornitura del servizio di conservazione dei documenti informatici, nonché i requisiti (generali, di qualità, di sicurezza e di organizzazione) necessari per la fornitura del servizio.
In considerazione degli sviluppi in itinere per i servizi di conservazione a norma, per le aziende italiane che vi operano (Conservatori) è molto importante che i requisiti di qualità̀ e sicurezza che è necessario garantire siano definiti i in modo chiaro e durevole, soprattutto in previsione della nuova versione del Regolamento eIDAS di cui sopra.
Vanno considerati e preservati in particolar modo l’alta qualità̀ e il valore aggiunto che sono in grado di offrire oggi i Conservatori italiani grazie alla solida e costante evoluzione delle norme tecniche e all’esperienza maturata.
L’archiviazione elettronica, conservazione “sostitutiva” prima (scansione del cartaceo) e “digitale” ora, è stata introdotta in Italia da ormai quasi trent’anni (dalla lontana Legge Bassanini) periodo durante il quale l’impianto normativo e tecnologico è stato strutturato, revisionato, arricchito.
Negli altri Paesi europei non sussiste al momento un livello analogo di regolamentazione. In particolare, la previsione dell’elenco dei Conservatori Accreditati presso AgID istituito nel 2014 ed ora riqualificato in qualche modo come Marketplace AgID dei servizi di conservazione, con una serie di requisiti puntuali sotto vari profili (sicurezza, organizzazione, competente tecniche ed archivistiche), ha consentito ai Conservatori di sviluppare una competenza estremamente consolidata e verticale attraverso studio, formazione e, non ultimo, un notevole impegno di risorse sia umane che economiche.
Se la conservazione con l’e-archiving diviene un servizio fiduciario qualificato significa che debbano valere i requisiti per lo svolgimento dei servizi fiduciari di cui all’art. 29 comma 2 del CAD. E questo indipendentemente da quanto previsto dal Regolamento per il Marketplace dei servizi di Conservazione, che prevede requisiti generali di qualità, di sicurezza e di organizzazione, oltre che specifici profili professionali.
Tale articolo richiama tra l’altro i requisiti di cui all’articolo 24 del Regolamento eIDAS, ed in particolare, l’articolo 29, comma 2 del CAD, prescrive nella sua versione attuale che il richiedente la qualificazione e l’accreditamento deve disporre delle garanzie assicurative e di eventuali certificazioni, adeguate rispetto al volume dell’attività svolta e alla responsabilità assunta nei confronti dei propri utenti e dei terzi. I predetti requisiti sono individuati, nel rispetto della disciplina europea, con decreto del Presidente del Consiglio dei ministri, sentita l’AgID.
Il predetto decreto determina altresì i criteri per la fissazione delle tariffe dovute all’AgID per lo svolgimento delle predette attività, nonché’ i requisiti e le condizioni per lo svolgimento delle attività di cui al comma 1 da parte di amministrazioni pubbliche, ma per la sua attuazione è prevista l’emanazione di un decreto del Presidente del Consiglio dei ministri (Dpcm) che ad oggi risulta ancora non emanato.
Tale DPCM, in allineamento alla normativa europea (Regolamento eIDAS) dovrebbe individuare le garanzie di copertura assicurativa adeguate rispetto all’attività svolta, le certificazioni ed i requisiti di onorabilità, affidabilità, tecnologici e organizzativi compatibili con la disciplina europea che i soggetti che intendono fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata devono possedere.
Tuttavia, fino all’adozione di tale DPCM, valgono le indicazioni del D.lgs. 13 dicembre 2017, n. 217 che ha disposto (con l’art. 65, comma 8) che «Il decreto del Presidente del Consiglio dei ministri di cui all’articolo 29, comma 2, del decreto legislativo n. 82 del 2005, come modificato dal presente decreto, è adottato entro centottanta giorni dalla data di entrata in vigore del presente decreto. Fino all’adozione del predetto decreto, restano efficaci le disposizioni dell’articolo 29, comma 3, dello stesso decreto nella formulazione previgente all’entrata in vigore del decreto legislativo 26 agosto 2016, n. 179 e dell’articolo 44-bis, commi 2 e 3, del decreto legislativo n. 82 del 2005 nella formulazione previgente all’entrata in vigore del presente decreto».
In particolare, quindi, risulterebbero in vigore i seguenti requisiti per i prestatori dei servizi fiduciari eIDAS.
“(…) Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal comma 2, deve inoltre:
a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione alla attività bancaria ai sensi dell’articolo 14 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385;
b) garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sen-si dell’articolo 26 del decreto legislativo 1° settembre 1993, n. 385”.
Il rischio per le PMI e il pressing di Assoconservatori
Nonostante l’emanazione del citato DPCM fosse stata inserita nel programma dei lavori parlamentari del primo semestre 2020, con molta probabilità l’emergenza pandemica di quel periodo ne ha fatto slittare la sua emanazione.
Tuttavia poiché a livello europeo (articolo 24 del Regolamento eIDAS) il capitale sociale di per sé non rappresenta un elemento rilevante in relazione alla qualità del servizio fiduciario o all’affidabilità del suo prestatore, non adeguare il predetto articolo 29 comma 2, con il correlativo DPCM potrebbe avere un effetto dirompente nel mercato dei servizi fiduciari con l’avvento del nuovo Regolamento eIDAS 2.0 ed in particolar modo in quello della Conservazione digitale, con l’effetto di escludere dalla categoria di prestatori di servizi fiduciari qualificati parecchie PMI italiane, che da anni offrono ottimi servizi di conservazione (e che sono state già state precedentemente accreditate e qualificate da AgID sia nell’elenco dei Conservatori Accreditati e poi nel Market Place). Oltre a favorire l’ingresso sul mercato di società̀ estere con capitale sociale consistente, a prescindere dall’effettiva competenza ed esperienza nel preservare gli archivi informatici.
Per questa ragione, con Assoconservatori Assintel stiamo facendo pressing affinché si arrivi ad una soluzione che tuteli le nostre PMI, che rappresentano un grande patrimonio di know how e imprenditorialità del Made in Italy digitale.
