A circa tre anni dall’entrata in vigore del regolamento europeo 910/2014 (eIDAS) avvenuta il 1 luglio 2016 l’Italia ha notificato a Bruxelles le linee guida contenenti le regole tecniche in materia di generazione di certificati qualificati, firme e sigilli qualificati e validazioni temporali qualificate.
Le linee guida che commentiamo di seguito non sono quelle definitive poiché nel corso della notifica la Commissione europea ovvero il singolo Stato membro possono fare commenti al testo notificato.
Nelle more dell’applicazione di eventuali commenti comunitari, possiamo comunque affermare che le linee guida sono un buon passo in avanti verso l’interoperabilità sia nazionale che comunitaria favorendo la convalida di firme e sigilli elettronici.
Regole Ue e norme nazionali
La notifica di regole tecniche è un atto obbligatorio nel mercato interno comunitario ed ha lo scopo di armonizzare tali regole al fine di evitare squilibri o applicazioni che favoriscano lo Stato membro.
Il testo notificato è pubblico e nella stessa pagina si può rilevare che sono pervenuti commenti (non disponibili pubblicamente) dall’Austria e dalla Commissione.
L’aggiornamento della Deliberazione CNIPA, 21 maggio 2009, n. 45 (modificata nel 2010) era indispensabile già da qualche tempo. Questo perché il coordinamento tra le regole europee in materia di certificati qualificati, convalida delle firme e dei sigilli qualificati e per la validazione temporale qualificata non era coerente e spesso si doveva agire sul principio che una norma nazionale che è in contrasto con il regolamento europeo (eIDAS) si deve ritenere abrogata.
Peraltro nel regolamento eIDAS le disposizioni sono tarate su requisiti minimi che possono risultare non adeguati per i servizi in rete nazionali.
Il tipico esempio è l’assenza dell’obbligo di indicare nel certificato per la generazione della firma elettronica il codice fiscale del titolare. Le PA italiane non possono operare senza questo dato e, comunque, un soggetto che opera economicamente in Italia è titolare di un codice fiscale.
Per ottemperare alle norme comunitarie queste linee guida son quindi composte di obblighi e raccomandazioni. Le raccomandazioni sono “fortemente consigliate” ma la loro disapplicazione non può comportare la non validità di certificati, firme e sigilli elettronici.
Un apposito paragrafo viene dedicato alla convalida di firme e sigilli elettronici.
Le regole obbligatorie
Per evidenti motivi di sicurezza delle transazioni gli obblighi riguardano le funzioni crittografiche; la funzione di hash per la sottoscrizione deve essere la SHA-256, l’algoritmo RSA deve utilizzare chiavi di lunghezza pari ad almeno 2048 bit mentre se si utilizzano gli algoritmi a “curva ellittica” ECDSA la lunghezza è non inferiore a 256 bit.
Per le chiavi utilizzate per la firma dei certificati abbiamo 4096 bit per RSA e 384 bit per ECDSA.
Per i formati di firme e sigilli elettronici qualificati ci si deve attenere alla Decisione di esecuzione della Commissione UE n. 1506/2015 dell’8 settembre 2015.
Vengono aggiornate anche le regole per la fornitura di informazioni sullo stato dei certificati di firma e sigillo. Si stabilisce una chiara opzione per il protocollo OCSP e comunque i certificati revocati o sospesi devono permanere nelle eventuali CRL, anche dopo la loro naturale scadenza, fino alla scadenza del relativo certificato di certificazione.
Per l’armonizzazione e coerenza con le regole comunitarie si introducono degli obblighi informativi per il soggetto fruitore di tali servizi in merito alle possibili conseguenze derivanti dalla disapplicazione di dette raccomandazioni, ponendo particolare enfasi alle possibili problematiche in termini di fruizione dei servizi offerti nel contesto italiano.
Le raccomandazioni
I prestatori di servizi fiduciari che applicano pienamente le raccomandazioni stabilite nelle linee guida utilizzano una codifica specifica nel certificato qualificato.
E’ estremamente positiva l’iniziativa di “raccomandare” regole utilizzando gli standard ETSI di riferimento, superando il vizio storico comunitario che ipotizza regole di interoperabilità stabilite dal mercato, senza obblighi normativi.
Questa ipotesi non ha mai funzionato, né è facile farla funzionare senza obblighi o almeno indicazioni precise.
Non a caso, nell’esperienza di chi scrive, si rilevano numerosi casi di sottoscrizioni comunitarie che non sono verificate da soggetti nazionali.
Vista la tipologia di raccomandazioni, si può ipotizzare qualche commento di natura “obbligatoria” della Commissione che imponga all’Agenzia per l’Italia Digitale (AgID) che è l’estensore del provvedimento, ai sensi dell’articolo 71 del CAD, di modificare quanto stabilito e proposto nelle LLGG in analisi.
Se così sarà ne daremo informazione in un aggiornamento al presente articolo.
Le linee guida forniscono indicazioni per la convalida delle firme e dei sigilli qualificati facendo riferimento diretto al regolamento eiDAS e alle Decisioni della Commissione. In un altro articolo abbiamo auspicato l’applicazione dei nuovi standard ETSI sul tema. Ma ci vorrà tempo e comunque la nuova Commissione europea avrà in agenda la revisione del regolamento eIDAS; i tecnici comunitari ci stanno già lavorando.
Aspettando l’entrata in vigore di queste linee guida e i 30 giorni che i prestatori di servizi fiduciari qualificati avranno per ottemperare alle nuove regole, possiamo concludere con un paio di riflessioni.
L’impatto delle linee guida
La piena operatività delle linee guida avrà un impatto sul sistema della convalida delle firme elettroniche (il sigillo è ancora poco diffuso ma quanto detto vale anche questa fattispecie). Non potrà più essere accettato dalle PA solo il formato CAdES con la sua estensione .p7m ma avranno piena dignità anche il PAdES (documento PDF sottoscritto) e lo XAdES (un formato di sottoscrizione che utilizza l’XML).
Il problema che rimane è quello della burocratizzazione degli strumenti per l’innovazione digitale che sono quindi trattati in modo acritico dall’utente e poco coinvolgente sul piano culturale dal prestatore di servizi fiduciari o più in generale dal fornitore.
E viene in mente la formazione per il conseguimento della patente di guida di autoveicoli dove si forma il candidato anche sul motore e su alcuni funzionalità che diventano cruciali per la conduzione e la buona gestione del veicolo.
