Il regolamento eIDAS 2 ha introdotto requisiti di sicurezza e sanzioni anche per i servizi fiduciari non qualificati, tra i quali è inclusa anche la FEA – Firma elettronica avanzata. Alcune parti del Codice dell’amministrazione digitale non sono più applicabili perché in contraddizione con il regolamento ma il problema da risolvere è nella vetustà delle regole tecniche.
Firma elettronica avanzata, regole obsolete
La firma elettronica avanzata (FEA) è stata introdotta nell’ordinamento comunitario con la direttiva 1999/93/CE. Si è diffusa negli anni e molti la utilizzano per firmare contratti assicurativi, bancari e altri documenti. Il valore probatorio e l’efficacia giuridica conferiti a questa tipologia di firma dal Codice dell’Amministrazione Digitale (D.Lgs. 7 marzo 2005, n. 82 – CAD) ne hanno favorito l’uso negli scenari dove si aveva l’esigenza di sottoscrivere con forma scritta “ad probationem” o “ad substantiam” e il sottoscrittore non disponeva di firma digitale o qualificata.
La normativa veniva completata con le regole tecniche stabilite nel DPCM 22 febbraio 2013, in particolare nel Titolo V di questo decreto. Il ciclo di vita di questo decreto è stato travagliato, seppur completato e con il parere positivo della Commissione europea alla fine del 2011, fu pubblicato sulla Gazzetta Ufficiale solo il 21 maggio 2013. Passati oltre 11 anni dall’entrata in vigore è fisiologico il fatto che il decreto è obsoleto, al punto da essere inapplicabile in modo quasi totale anche perché la normativa europea ha nel frattempo posto in opera ben due regolamenti (910/2014 e 2024/1183).
Il regolamento 2024/1183 dell’11 aprile 2024 che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale ha introdotto una serie di novità compresa la FEA, sia perché è servizio fiduciario non qualificato, sia con regole ad essa specifiche.
Queste novità hanno portato alla quasi totale obsolescenza delle regole tecniche stabilite nel sopra citato decreto nel Titolo V dell’articolato. Quest’ultimo già da anni causa limiti normativi nell’applicazione della FEA e ne continua a limitarne la diffusione.
Firma elettronica avanzata, cosa dice eIDAS2
E’ giunto il momento di illustrare le novità su questi temi stabilite nel regolamento 2024/1183 (eIDAS 2) partendo dal principio che una FEA è, in generale, funzionalmente all’interno di un servizio fiduciario non qualificato.
Iniziamo illustrando l’introduzione in eIDAS 2 dell’articolo 19 bis che si riporta di seguito:
“Articolo 19 bis
Requisiti per i prestatori di servizi fiduciari non qualificati
1. Un prestatore di servizi fiduciari non qualificato che presta servizi fiduciari non qualificati:
- dispone di politiche adeguate e adotta misure corrispondenti per la gestione dei rischi giuridici, commerciali, operativi e di altro tipo, sia diretti che indiretti, per la prestazione del servizio fiduciario non qualificato, le quali, fatto salvo l’articolo 21 della direttiva (UE) 2022/2555, comprendono almeno misure relative:
i) alla registrazione a un servizio fiduciario e alle relative procedure di onboarding;
ii) ai controlli procedurali o amministrativi necessari per prestare servizi fiduciari;
iii) alla gestione e all’attuazione dei servizi fiduciari;
- alla notifica, senza indebito ritardo ma in ogni caso entro 24 ore dall’essere venuto a conoscenza di violazioni della sicurezza o perturbazioni, all’organismo di vigilanza, alle persone interessate identificabili, al pubblico se è di pubblico interesse e, ove applicabile, ad altre autorità competenti interessate, di tutte le eventuali violazioni della sicurezza o perturbazioni connesse alla prestazione del servizio o all’attuazione delle misure di cui alla lettera a), punti i), ii) o iii), aventi un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.
2. Entro il 21 maggio 2025 la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, se necessario, stabilisce specifiche e procedure applicabili al paragrafo 1, lettera a), del presente articolo. Si presume che i requisiti di cui al presente articolo siano stati rispettati, ove siano rispettate tali norme, specifiche e procedure. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.”
L’analisi
E’ sufficiente una rapida lettura del testo della norma per comprendere che anche un servizio fiduciario è soggetto a specifiche misure organizzative e tecniche sulla cibersicurezza.
Lo stretto legame tra eIDAS 2 e la direttiva 2022/2555 (NIS 2) è confermato anche dal riferimento all’articolo 21 di quest’ultima direttiva.
L’articolo 21 della NIS 2 stabilisce le “misure di gestione dei rischi di cibersicurezza”, il testo dell’articolo 19 bis specializza lo scenario ai servizi fiduciari non qualificati.
Come ulteriore elemento di attenzione può essere utile mettere in evidenza che anche i prestatori di servizi fiduciari non qualificati sono soggetti alle “pesanti” sanzioni stabilite nell’articolo 16 del regolamento eIDAS 2.
Requisiti e sviluppo di una firma elettronica avanzata
La FEA è un principio normativo essenziale per costruire la elettronica qualificata che è, appunto, definita come “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”. L’esigenza di sviluppare servizi digitali in scenari dove l’utente non dispone di strumenti per la sottoscrizione ha favorito lo sviluppo della FEA. Il caso più rilevante è la FEA grafometrica. Questa tipologia di firma consente di firmare anche a persone non confidenti con gli strumenti digitali perché possono sottoscrivere in modo analogo all’utilizzo di una penna a inchiostro su un supporto cartaceo.
Le novità normative appena descritte richiedono una completa revisione del Titolo V del DPCM 22 febbraio 2013. La revisione deve intervenire sulla scenario di emissione della FEA (onboarding) e sull’interoperabilità delle sottoscrizioni, anche alla luce del nuovo articolo 32 bis di eIDAS 2.
L’articolo appena citato stabilisce i principi normativi relativi ai “Requisiti per la convalida delle firme elettroniche avanzate basate su certificati qualificati”. Il fatto che, nella fattispecie, la FEA sia basata su un certificato qualificato, non elimina l’esigenza di produrre regole tecniche per gestire le strutture dati indispensabili per la convalida delle componenti connesse alla struttura della sottoscrizione.
Quanto illustrato per la FEA si applica, anche normativamente, mutatis mutandis ai sigilli elettronici avanzati.
Conclusioni
E’ urgente superare il DPCM 22 febbraio 2013 e aggiornarlo al nuovo scenario comunitario ma anche all’evoluzione nazionale introdotta dalla Carta d’Identità Elettronica (CIE). La diffusione della CIE è, alla data, di poco inferiore ai 47.000.000 di tessere emesse.
La CIE tramite l’APP Cie Sign, disponibile gratuitamente sia per Android che per IOS, consente l’apposizione di una firma che “sostituisce” la FEA ma la cui diffusione viene limitata da quanto stabilito negli articoli 60 e 61, comma 2 del più volte citato DPCM.
Con nuove regole tecniche, stabilite ai sensi del CAD con delle Linee guida, la FEA e gli altri metodi possono ampliare enormemente la platea dei soggetti che non dispongono di una firma qualificata e nel breve periodo affiancarsi ai soggetti non professionali che disporranno della firma qualificata tramite il Portafoglio Europeo di Identità Digitale.
Un efficace coordinamento tra gli strumenti abilitanti per il digitale consentirà di identificarsi e autenticarsi ai servizi, compilare documenti, sottoscriverli nella corretta forma scritta e la conseguente efficacia giuridica e valore probatorio. I pagamenti con il sistema pago PA sono già una realtà consolidata.
