La cosiddetta firma remota, nata in Italia nel 2009, si è diffusa capillarmente a livello nazionale e comunitario nonostante la mancanza di riferimenti espliciti nel Regolamento europeo 910/2014 (eIDAS). In questo articolo vengono descritte le novità presenti sul tema della firma remota nella “Proposta di Regolamento del Parlamento Europeo e del Consiglio che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea”.
La diffusione della firma remota
Per capire quanto è realmente diffusa a livello nazionale la firma remota possiamo fruire dei dati pubblicati dall’Agenzia per l’Italia Digitale (AgID). La diffusione dei certificati qualificati per la firma apposta in modalità remota è pari a circa all’80% del totale. Questo dato viene rilevato tenendo conto dei certificati installati sui “server” di firma denominati HSM (Hardware Security Module), che rispetto al regolamento eIDAS sono dei dispositivi qualificati per la creazione della firma. Il numero dei certificati “remoti” e le firme qualificate apposte tramite HSM, sono altri numeri che danno evidenza della enorme diffusione delle firme remote, 25 milioni circa di certificati e quasi 2 miliardi di firme apposte.
Nuovo regolamento eIDAS, verso l’Identità digitale UE: ecco la proposta
La proposta di modifica del regolamento eIDAS citata in precedenza contiene specifiche novità sul tema. Tali novità sono importanti, perché regolamentano, con l’introduzione esplicita, questa tipologia di firma a livello comunitario. Nella proposta di modifica del regolamento il termine utilizzato è “remote”, la traduzione ufficiale della Commissione Europea è “a distanza” invece che “remota”. Il lettore ne tenga conto, perché nel seguito si fa riferimento alla traduzione ufficiale con il ragionevole auspicio che, i responsabili istituzionali nazionali intervengano tempestivamente per una traduzione in linea con la terminologia consolidata nella normativa italiana.
Firma remota, la definizione secondo la proposta di nuovo regolamento eIDAS
Le già citate novità sono già nelle definizioni; si introduce il punto numero 23 bis):
“23 bis) dispositivo qualificato per la creazione di una firma a distanza, un dispositivo qualificato per la creazione di una firma elettronica in cui un prestatore di servizi fiduciari qualificato genera, gestisce o duplica i dati per la creazione di una firma elettronica per conto di un firmatario”.
Ma ancora prima, nella definizione di servizio fiduciario (punto 16 delle definizioni), si introduce la “gestione di dispositivi per la creazione di firme elettroniche e sigilli elettronici a distanza” che evidenzia l’esplicita indicazione di questo servizio.
La proposta di modifica eIDAS introduce una serie di novità sul tema anche nell’articolato. Viene proposta l’introduzione dell’Articolo 29 bis
“Articolo 29 bis
Requisiti relativi ai servizi qualificati per la gestione di dispositivi per la creazione di una firma elettronica a distanza
1. La gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza come servizio qualificato può essere effettuata solo da un prestatore di servizi fiduciari qualificato che:
a) genera o gestisce dati per la creazione di una firma elettronica per conto del firmatario;
b) fatto salvo l’allegato II, punto 1, lettera d), duplica i dati per la creazione di una firma elettronica solo a fini di back-up, a condizione che siano soddisfatti i seguenti requisiti:
la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;
il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio;
c) soddisfa i requisiti indicati nella relazione di certificazione dello specifico dispositivo qualificato per la creazione di una firma a distanza, rilasciata a norma dell’articolo 30.
2. Entro 12 mesi dall’entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce le specifiche tecniche e i numeri di riferimento delle norme applicabili ai fini del paragrafo 1.”.
L’allegato II
La citazione nel testo dell’articolo dell’Allegato II al Regolamento eIDAS rende utile anche l’indicazione della proposta di nuovo testo, come mostrato di seguito:
ALLEGATO II
REQUISITI RELATIVI AI DISPOSITIVI QUALIFICATI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA
1. I dispositivi qualificati per la creazione di una firma elettronica garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:
- la riservatezza dei dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica è ragionevolmente assicurata;
- i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica possono comparire in pratica una sola volta;
- i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili;
- i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi.
2. I dispositivi qualificati per la creazione di una firma elettronica non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.
La proposta della Commissione UE
La nuova linea operativa che propone la Commissione è tale da stabilire per essa l’obbligo o la semplice facoltà di pubblicazione delle specifiche tecniche e dei numeri di riferimento delle norme applicabili. In questo caso c’è un obbligo per la Commissione, che entro 12 mesi dall’entrata in vigore del Regolamento deve procedere. Sia ETSI che il CEN i quali, come è noto, sono gli enti di riferimento per la Commissione dovranno lavorare alacremente per rispettare i tempi stabiliti. Nell’articolo proposto si stabilisce nella lettera c) un altro importante principio, il dispositivo qualificato per la creazione di una firma elettronica a distanza deve essere certificato secondo le regole dell’articolo 30 del Regolamento.
Tali regole sono quelle della certificazione di sicurezza basate sui Common Criteria (ISO/IEC 15408) e la novità su questo tema la troviamo nell’inserimento nell’articolo 30 del paragrafo 3 bis.
“3 bis. La certificazione di cui al paragrafo 1 ha una validità di cinque anni, subordinatamente a una valutazione delle vulnerabilità periodica effettuata ogni due anni. Qualora siano individuate vulnerabilità a cui non è posto rimedio, la certificazione è revocata.”
I termini di validità
Alla data non esistono, nelle norme primarie o tecniche, regole esplicite sui tempi di validità della certificazione dei dispositivi, se confermata, questa modifica avrà impatti sul mercato degli HSM in termini di investimenti per il mantenimento delle certificazioni.
Anche la vigilanza istituzionale (in Italia in capo ad AgID) dovrà modificare le proprie regole di controllo su un tema molto delicato come quello della sicurezza informatica della firma a distanza.
Per completezza è indispensabile citare anche l’inserimento dell’articolo 39 bis che, di fatto, replica la scenario “a distanza” per i sigilli elettronici qualificati.
L’evoluzione dei dispositivi per la creazione di una firma elettronica qualificata
La proposta di modifica al Regolamento eIDAS modifica anche, in materia di certificazione dei dispositivi per la creazione di una firma elettronica qualificata, l’articolo 31.
La Commissione si impone che
“Entro 12 mesi dall’entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, definisce i formati e le procedure applicabili ai fini del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2”.
Quindi, anche le regole per la pubblicazione di un elenco di dispositivi per la creazione di una firma elettronica qualificata e certificati, diventano un obbligo per la Commissione.
Conclusione
Possiamo concludere con la positiva constatazione che la firma remota/a distanza si propone che diventi, esplicitamente, un nuovo servizio fiduciario.
Questa tipologia di firma (ma anche di apposizione di sigilli elettronici) si espanderà ulteriormente sfruttando anche le numerose possibilità offerte dalle architetture cloud e dallo sviluppo dei Digital Trust Systems e della Digital Transaction Management.
