Il Regolamento 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2104 (noto come eIDAS – electronic IDentification Authentication and Signature) in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE è attivo dal 1 luglio del 2016.
Tale regolamento ha modificato lo scenario comunitario dell’identità e della sottoscrizione digitale, dei servizi di recapito certificato (simili negli scopi alla Posta Elettronica Certificata – PEC) e di una particolare conservazione che è denominata Conservazione dei dati per un lungo periodo (Long Term Data Preservation).
Questo regolamento ha compiuto 4 anni di attività ed è in corso il riesame da parte della Commissione Europea come stabilito nell’articolo 49 dello stesso.
Nel seguito descriviamo sinteticamente quali sono i suoi obiettivi, gli impatti che ha avuto sul mercato interno europeo e lo stato dell’arte della sua diffusione, fornendo al lettore anche indicazioni per eventuali approfondimenti sul tema.
Il regolamento eIDAS è complesso e quindi comunque è sempre utile una sua lettura, compreso il vasto e articolato preambolo.
Aspetti generali del regolamento Eidas
Gli obiettivi base del regolamento sono descritti nei primi due “considerando” del preambolo. Il primo evidenzia come la fiducia e la certezza giuridica sono elementi indispensabili per incoraggiare i consumatori, le imprese e le autorità pubbliche verso l’erogazione di servizi elettronici anche di tipo innovativo.
Il secondo, riportato integralmente di seguito, è:
“il presente regolamento mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea”.
In tutto il regolamento è costante il concetto di sicurezza ICT e la necessità che questo sia il requisito da gestire e coordinare a livello comunitario, anche con interazioni tra Stati membri e con il nuovo ruolo dell’Agenzia europea per la sicurezza, ENISA.
I servizi che fanno parte di questo scenario sono i servizi fiduciari (trust services) forniti da soggetti (provider) che possono ottenere un “marchio di fiducia” per i servizi qualificati.
Cosa sono i servizi fiduciari
I servizi fiduciari sono definiti nell’articolo 3, numero 16 dell’eIDAS. Essi sono “un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:
a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
b) creazione, verifica e convalida di certificati di autenticazione di siti web;
c) conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
La circostanza che il servizio elettronico sia esplicitato come fornito normalmente dietro remunerazione, dipende dal fatto che le regole sono rivolte al mercato e non a gruppi privati o gruppi chiusi di servizi e utenti. I servizi che hanno requisiti e obblighi che garantiscono un elevato livello di sicurezza sono denominati qualificati.
Essi sono erogati dai prestatori di servizi fiduciari qualificati.
Quando un servizio fiduciario deve essere qualificato
L’avviamento di un servizio fiduciario qualificato da parte del prestatore di servizi fiduciari non è obbligatorio. Ma, ad esempio, per erogare servizi attinenti alla sottoscrizione elettronica che abbiano effetti giuridici equivalenti a quelli di una firma autografa, questa deve essere una firma elettronica qualificata. Quindi il prestatore per offrire questo tipo di servizio deve avviare un servizio qualificato.
La qualifica si ottiene trasmettendo una notifica all’organismo di vigilanza (in Italia è l’Agenzia per l’Italia Digitale – AgID) alla quale è allegata una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità. Se ne parla nel seguito con qualche informazione in più.
AgID verifica le informazioni fornite e se tutto è conforme alle regole eIDAS concede la qualifica richiesta. La pubblicità legale dell’ottenimento del requisito di qualificato per i servizi richiesti è attestata da specifici elenchi di fiducia presenti in tutti gli Stati membri. A tale scopo il prestatore può anche utilizzare il marchio di fiducia UE stabilito nel regolamento.
Vediamo adesso quali sono le principali regole per ottenere la qualifica per uno o più servizi.
Qualche regola da applicare per ottenere la qualifica
La relazione allegata alla notifica inviata ad AgID è rilasciata da un organismo che è conforme a quanto stabilito nell’articolo 2, punto 13 del Regolamento comunitario n. 765/2008 ed è accreditato, a norma di quest’ultimo Regolamento, come abilitato a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati.
L’accreditamento è, in Italia, a carico di Accredia e viene valutato in base alle regole stabilite nello standard europeo numerato come ETSI EN 319 403.
Utilizzando organismi accreditati in grado di rilasciare attestazioni di conformità (in generale sono gli stessi che operano per le certificazioni ISO 9001 e 27001), i prestatori di servizi fiduciari devono essere conformi agli specifici standard EN relativi alla qualifica che vogliono ottenere.
A titolo esemplificativo citiamo la specifica generale sul tema numerata EN 319 401 “General policy requirements for trust service providers” ovvero i requisiti generali per le policy dei prestatori di servizi fiduciari.
Per la qualifica specifica del servizio di validazione temporale elettronica lo standard al quale riferirsi è EN 319 421 “Policy and security requirements for trust service providers issuing time stamps”.
Ovviamente altri standard EN sono disponibili per descrivere i requisiti indispensabili per ottenere la specifica qualifica. Un maggior livello di dettaglio su di essi è fuori dagli obiettivi del presente articolo, ma la procedura è lo stessa per ogni servizio fiduciario che si vuole qualificare.
La diffusione dei servizi fiduciari qualificati
Alla data sono 186 i prestatori di servizi fiduciari qualificati attivi in 29 Stati. L’Italia è al terzo posto (20) dopo Francia (22) e Spagna (31). L’Italia ha comunque un elevatissimo numero di certificati qualificati emessi per la firma digitale che dovrebbe essere il più alto nell’UE (vedi le statistiche nazionali di AgID).
In Italia nessun soggetto è qualificato per 5 (in grassetto) dei 9 servizi fiduciari definiti nel regolamento eIDAS:
- -Qualified certificate for electronic signatures
– Qualified certificate for electronic seals
– Qualified certificate for web site authentication
– Qualified validation of qualified electronic signatures
– Qualified validation of qualified electronic seals
– Qualified preservation of qualified electronic signatures
– Qualified preservation of qualified electronic seals
– Qualified electronic time stamps
– Qualified electronic registered delivery
Analogia tra servizi accreditati nazionali e servizi fiduciari qualificati
I servizi fiduciari per il recapito certificato sono analoghi alla nostra PEC e recentemente ACCREDIA ha fornito indicazioni per la qualifica di tali servizi.
Stesso discorso per il servizio di conservazione qualificato delle firme elettroniche qualificate che però ha uno scopo diverso da quello della conservatoria digitale nazionale.
Quest’ultima ha lo scopo di preservare la memoria digitale anche garantendo nel lungo periodo l’esibizione a norma di legge di documenti informatici amministrativi e per i soggetti privati.
Il servizio fiduciario ha invece lo scopo di utilizzare procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica (un esempio è la scadenza del certificato digitale per la sottoscrizione).
Quanto stabilito in eIDAS estende questo principio anche ai sigilli elettronici qualificati e ai certificati qualificati di entrambe le fattispecie.
Gli schemi di identificazione
Il regolamento eIDAS introduce un altro fondamentale principio che è quello dell’identificazione elettronica che deve essere fruibile, sicura e affidabile in tutto il mercato interno e gli Stati membri. Questo principio utilizza gli schemi di identificazione elettronica (la traduzione in italiano di eIDAS parla di “regime” ma la traduzione corretta è “schema”) che sono definiti come “un sistema di identificazione elettronica per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone che rappresentano persone giuridiche”.
Gli schemi possono essere riconosciuti all’interno dell’intera UE dopo un procedimento di notifica da effettuarsi a carico dello Stato membro secondo le regole dell’articolo 9 di eIDAS.
Una volta che il percorso si è concluso con successo gli schemi sono pubblicati nella Gazzetta Ufficiale comunitaria e entro 12 mesi ci deve essere un riconoscimento reciproco dei mezzi di identificazione elettronica tra gli Stati notificati.
Alla data sono 23 gli Stati membri connessi al nodo eIDAS nazionale e quindi i cittadini italiani possono utilizzare i due schemi di identità nazionale notificati (SPID e CIE).
L’adesione al nodo consente ai cittadini italiani di accedere ai servizi pubblici online resi disponibili dai 23 Paesi collegandosi direttamente dal proprio smartphone o Personal Computer.
Il Regolamento eiDAS impone alle pubbliche amministrazioni europee di rendere fruibili i propri servizi tramite i sistemi pubblici d’identità digitale degli Stati Membri. Questo all’interno della base normativa comune per transazioni elettroniche sicure fra cittadini, imprese e PA; il tutto nel contesto visto nei primi due “considerando” del regolamento eIDAS.
Ulteriori dettagli sono disponibili sul sito AgID .
Conclusioni
Il regolamento europeo eIDAS ha ulteriori elementi che vale la pena di approfondire. Numerosi ed interessanti documenti e report relativi al regolamento eIDAS sono disponibili sul sito dell’ENISA.
