Accredia e AgID, nell’ottica della consueta e costruttiva collaborazione instaurata, hanno in rampa di lancio degli schemi proprietari destinati a consentire l’adozione dei servizi eIDAS. Questi, in altri Paesi, pur in assenza delle norme di riferimento, sono stati oggetto di accreditamento volontario, certificazione e accreditamento “pubblico” degli Organismi di Certificazione nonché dei TSP che li hanno adottati. Situazione che rischia di penalizzare il mercato italiano e a cui urge porre ora rimedio. Vediamo perché.
Regolamento eIDAS e carenza normativa
Dalla pubblicazione del Regolamento UE 910/2014 “eIDAS” sono passati quattro anni, un breve lasso di tempo, se misurato con i criteri del cittadino comune. In realtà, nella dimensione tipica dell’universo digitale, questo periodo di tempo è estremamente lungo. Il modo di concepire il mercato è sempre più simile alla logica di funzionamento di un microprocessore il quale cerca di anticipare le richieste di calcolo che verranno fatte dalle applicazioni. Allo stesso modo, il mercato cerca sempre più di anticipare i tempi, per presentare nuove soluzioni anche se le infrastrutture o le regole di supporto a tali servizi non sono ancora ben sviluppate.
Con l’avvento di eIDAS si è voluto correre, probabilmente, più velocemente di quanto fosse giusto e il Regolamento è stato pubblicato in carenza di un assetto normativo sufficiente a supportare lo svolgimento e la qualifica di tutti i servizi da questo previsti.
Le criticità del Regolamento
Il legislatore europeo si è preoccupato di riportare nel corpo del Regolamento un riferimento giuridico molto robusto, quello ad un altro Regolamento, il n° 765 del 2008[1] che disciplina l’attività di accreditamento degli organismi di certificazione e ispezione e i laboratori di prova e taratura, al fine di garantire un processo il più possibile uniforme e credibile di natura istruttoria, per la certificazione e il successivo “accreditamento pubblico” degli operatori dei servizi fiduciari (TSP – Trust Service Provider). Non è stato però indicato in modo completo quali fonti normative avrebbero dovuto essere utilizzate per il processo istruttorio citato, né è stato chiarito che queste avrebbero dovuto essere prodotte da un ente di normazione europeo, ad esempio ETSI, l’Istituto Europeo per gli Standard nelle Telecomunicazioni.
In sintesi, è stato definito che gli Organismi di Certificazione destinati a certificare i TSP per i servizi eIDAS avrebbero dovuto essere accreditati sulla base della cornice europea di accreditamento garantita dal Regolamento 765 del 2008, ma non è stato chiarito quali fossero le norme applicabili per tale processo di accreditamento e per la successiva certificazione dei TSP.
Pertanto, in vigenza della pubblicazione del Regolamento comunitario n. 910, allo scopo di individuare le norme applicabili, fu incaricata di questo compito l’EA (European Cooperation for Accreditation) che, in virtù dell’Art. 14, paragrafo 6 del Regolamento (EC) 765/2008, è non solo l’Associazione di rappresentanza degli Enti di accreditamento dell’area Europea, ma è anche riconosciuta dalla Commissione Europea (con la quale stipula un accordo di programma)[2] come “infrastruttura Europea di Accreditamento”.
In questo quadro, in EA venne formato un gruppo di lavoro, che stabilì, non senza perplessità, che l’accreditamento degli Organismi di Certificazione, destinati a certificare il processo di gestione delle identità digitali, avrebbe dovuto basarsi sulla norma EN ISO/IEC 17065[3] e che le certificazioni rilasciate ai TSP avrebbero dovuto basarsi sulle norme applicabili, a partire da quelle già esistenti, come la norma ETSI EN 319 403, che definisce i criteri di accreditamento per lo specifico schema, con forte attenzione al processo di qualifica degli Auditor, e la norma ETSI EN 319 401, che stabilisce i requisiti sistemici per garantire i presupposti di sicurezza delle informazioni nelle infrastrutture dei TSP[4].
Norme mancanti e comportamenti discordanti
All’epoca della pubblicazione del Regolamento eIDAS, mancavano all’appello le norme per disciplinare i servizi di “validazione delle firme e sigilli”, di “conservazione delle firme e sigilli” e di “recapito certificato”. Proprio questa carenza ha portato a discordanti comportamenti sul mercato. La pubblicazione del Regolamento eIDAS appare un evento recente (e, per certi versi lo è), ma il tempo nell’universo digitale scorre alla velocità del “business”, che proprio eIDAS dovrebbe contribuire a regolamentare. Stante la volontarietà delle Norme, sia di accreditamento, sia di certificazione, adottate da EA, molti Paesi europei hanno pensato di accreditare gli Organismi di Certificazione attivi sul proprio territorio sulla base di regole diverse dalle stesse Norme “ETSI EN” citate.
In questo contesto, chi ha adottato un comportamento prudente e rispettoso delle regole fissate di comune accordo in EA, si è trovato a vedere altri enti di accreditamento e altre autorità che hanno accettato comportamenti un po’ più audaci, per non dire poco raffrontabili in un’ottica di regole comuni per la libera circolazione dei servizi. Questa situazione rischia di penalizzare il mercato italiano.
Un illustre giurista, figura di spicco nel mondo eIDAS, fa notare che il “diritto” è prassi e non ingegneria e, pertanto, bene fa chi, senza arrecare troppo danno agli altri fa i propri interessi.
“Lesson learned”… è tempo di attrezzarci.
___________________________________________________
- Il Regolamento 765_2008 istituisce la cornice operativa dell’accreditamento europeo, che pone norme in materia di accreditamento e vigilanza del mercato. ↑
- EA ricevette nel 2008 lo specifico incarico di garantire l’operatività dell’infrastruttura di accreditamento europea, destinata a garantire il rispetto delle Norme di accreditamento, volontarie e cogenti, tra tutti gli operatori della conformità, sia nell’ambito delle certificazioni volontarie (come l’ormai nota ISO 9001), sia di quelle cogenti, sia dell’accreditamento dei laboratori di prova, sia di quelli metrologici. Proprio l’attività svolta da EA e i relativi “peer assessment”, o valutazioni alla pari tra gli Enti di Accreditamento nazionali, permette il mutuo riconoscimento internazionale delle certificazioni, delle prove di laboratorio e dei processi istruttori per le notifiche degli operatori in ambito cosiddetto “notificato” nei database europei, quali NANDO e il Database eIDAS. ↑
- Per l’Italia la Norma UNI CEI EN ISO/IEC 17065:2012 “Valutazione della Conformità – Requisiti per gli Organismi di Certificazione che certificano prodotti, processi e servizi”. ↑
- Altri riferimenti normativi già pronti alla pubblicazione del Regolamento eIDAS furono le Norme ETSI EN 319 411-1 e 319 411-2 per la emissione dei certificati e le Norme ETSI EN 319 421 per l’emissione di marche temporali, ETSI EN 319 412 per i profili dei certificati. ↑
