La proposta di modifica del regolamento eIDAS, pubblicata il 3 giugno dalla Commissione Europea, pone ampia attenzione all’istituzione di un quadro di riferimento per una Identità digitale europea. Tra queste, appunto, l’incremento dei servizi fiduciari che possono essere prestati ai sensi del Regolamento, la nascita di un componente chiave per l’identità digitale europea ovvero il Portafoglio (Wallet).
Proposta nuovo regolamento eIDAS, come cambia l’articolo 1
Nella proposta l’articolo 1 del regolamento viene sostituito completamente:
“Il presente Regolamento mira a garantire il corretto funzionamento del mercato interno e a fornire un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari. A tal fine, questo Regolamento:
(a) stabilisce le condizioni in base alle quali gli Stati Membri devono fornire e riconoscere i mezzi di identificazione elettronica delle persone fisiche e giuridiche, che ricadono in uno schema di identificazione elettronica notificato da un altro Stato Membro;
(b) stabilisce norme per i servizi fiduciari, in particolare per le transazioni elettroniche;
(c) stabilisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, validazioni temporali elettroniche, i documenti informatici, i servizi elettronici di recapito certificato, i servizi certificati per l’autenticazione di siti web, l’archiviazione digitale e l’attestazione digitale degli attributi, la gestione dei dispositivi per la creazione remota della firma elettronica e del sigillo elettronico, e dei registri elettronici;
(d) stabilisce le condizioni per l’emissione di Portafoglio per l’Identità Digitale Europea da parte degli Stati Membri”;
Dalla proposta di nuova formulazione è evidente la presenza di tipologie di servizi completamente nuovi rispetto al Regolamento 910/2014 vigente. Spiccano il Portafoglio per l’Identità Digitale Europea, l’attestazione degli attributi e i registri elettronici. Ma notiamo anche l’esplicitazione dei servizi di archiviazione elettronica, che come vedremo nell’analisi specifica sono presentati in modo innovativo e quanto attiene alla creazione remota di firme e sigilli elettronici.
Identità digitale europea e conservazione elettronica, che cambia con la proposta UE
Cosa dice l’articolo 2
Per mantenere l’equilibrio normativo con i Trattati comunitari di riferimento per l’articolo 2, paragrafo 3 si propone il testo seguente:
“3. Il presente Regolamento non pregiudica il diritto nazionale o dell’Unione relativo alla conclusione e alla validità di contratti o altri vincoli giuridici o procedurali relativi a requisiti specifici di settore riguardanti la forma e gli effetti giuridici sottostanti”.
Nell’articolo 3 che contiene le definizioni utilizzate nel Regolamento sono numerose le proposte di modifica con numerose nuove definizioni:
“(2) ‘mezzi di identificazione elettronica’, un’unità materiale e/o immateriale, compresi il Portafoglio per l’Identità Digitale Europea o le Carte di Identità conformi al Regolamento 2019/1157, che contengono dati di identificazione personale e utilizzati per l’autenticazione ad un servizio online o offline;
(4) ‘schema di identificazione elettronica’, un sistema di identificazione elettronica in base al quale mezzi di identificazione elettronica sono rilasciati a persone fisiche o giuridiche, o persone fisiche che rappresentano persone giuridiche;”
“(14) ‘certificato di firma elettronica’, un attestato elettronico o un insieme di attestati che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona’;
(16) ‘servizio fiduciario’, un servizio digitale fornito normalmente dietro remunerazione e consistente nei seguenti elementi:
(a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato, attestazioni elettroniche di attributi e certificati relativi a tali servizi;
(b) creazione, verifica e convalida di certificati di autenticazione di siti web;
(c) la conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;
(d) l’archiviazione elettronica di documenti informatici;
(e) la gestione di dispositivi per la creazione remota di firme e sigilli elettronici;
(f) la registrazione di dati digitali in un registro digitale.”
Si noti che sono una novità i servizi fiduciari di attestazione elettronica di attributi e quanto proposto alle lettere (d), (e) e (f).
“(21) ‘prodotto’, hardware o software o componenti pertinenti di hardware e/o software, che sono destinati a essere utilizzati per la prestazione di servizi di identificazione elettronica e fiduciari;”
Due nuove definizioni
Sono inserite due nuove definizioni:
“(23a) ‘dispositivo per la creazione remota di una firma qualificata’, un dispositivo per la creazione di una firma elettronica qualificata in cui un prestatore di servizi fiduciari genera, gestisce e duplica i dati per la creazione di una firma elettronica per conto di un firmatario;
(23b) ‘dispositivo per la creazione remota di un sigillo qualificato’, un dispositivo per la creazione di un sigillo elettronico qualificato in cui un prestatore di servizi fiduciari genera, gestisce e duplica i dati per la creazione di una firma elettronica per conto del generatore del sigillo;
(29) ‘certificato per il sigillo elettronico’, una attestazione elettronica o un insieme di attestazioni che collega i dati di convalida di un sigillo elettronico a una persona giuridica e conferma il nome di tale persona;
(41)’convalida’, il processo di verifica e conferma che una firma elettronica o un sigillo o i dati identificativi di una persona o una attestazione elettronica di attributi è valida;”
Caratteristiche dell’Identità digitale europea
Le definizioni dai numeri (42) a (55) sono la novità di questa proposta di modifica del Regolamento eIDAS.
“(42) ‘Portafoglio per l’Identità Digitale Europea’, è un prodotto e un servizio che consente all’utente la memorizzazione dati di identità, credenziali e attributi collegati alla sua identità, la loro fornitura, a richiesta, a terze parti e il loro utilizzo per autenticazione, online e offline, per un servizio in conformità all’articolo 6°; e per la creazione di firme e sigilli elettronici qualificati;
(43) ‘attributo’, è un aspetto, una caratteristica o qualità di una persona fisica o giuridica o di una entità, in forma elettronica;
(44) ‘attestazione elettronica di attributi’, una attestazione in forma elettronica che consente l’autenticazione degli attributi;
(45) ‘attestazione elettronica di attributi qualificata’, una attestazione elettronica di attributi, che è emessa da un prestatore di servizi fiduciari e soddisfa i requisititi stabiliti nell’Allegato V;
(46) ‘fonte autentica’, un archivio o un sistema, mantenuto sotto la responsabilità un organismo del settore pubblico o un’entità privata, che contiene attributi relativi a una persona fisica o giuridica ed è considerato come la fonte primaria di quella informazione o riconosciuta come autentica nella legge nazionale;
(47) ‘archiviazione elettronica’, un servizio che garantisce la ricezione, la memorizzazione, la cancellazione e la trasmissione di dati elettronici o documenti al fine di garantire la loro integrità, l’accuratezza della loro origine e le caratteristiche legali per tutto il periodo di conservazione;
(48) ‘servizio di archiviazione elettronica qualificata’, un servizio che soddisfa i requisiti stabiliti nell’articolo 45g;
(49) ‘marchio di fiducia UE per il Portafoglio per l’Identità Digitale’, un’indicazione in una modalità semplice, riconoscibile e chiara che un Portafoglio di Identità Digitale è stato rilasciato ai sensi del presente Regolamento;
(50) ’autenticazione forte dell’utente’, una autenticazione basata sull’uso di due o più elementi classificati come conoscenza dell’utente, possesso e inerenza che sono indipendenti, in modo tale che la violazione di uno non compromette l’affidabilità degli altri, ed è progettato in modo tale da proteggere la riservatezza dei dati di autenticazione;
(51) ‘account utente’, un meccanismo che consente a un utente di accedere a servizi pubblici o privati nei termini e nelle condizioni stabiliti dal prestatore di servizi;
(52) ’credenziale’, una prova della capacità, dell’esperienza, diritto o autorizzazione di una persona;
(53) ‘registro elettronico’, una registrazione elettronica di dati a prova di manomissione, che fornisce autenticità e integrità dei dati in esso contenuti, accuratezza della data e ora, e del loro ordinamento cronologico;
(54) ‘dati personali’, qualsiasi informazione quale definita nel punto 1 dell’articolo 4 del Regolamento Europeo 679/2016;
(55) ‘identificazione univoca’, un processo in cui i dati identificativi di una persona o i mezzi identificativi di una persona sono abbinati o collegati con un account esistente appartenente alla stessa persona;”
Per chiudere in questa sede gli argomenti del CAPO I del Regolamento eIDAS si mostra di seguito la proposta di modifica all’articolo 5:
Pseudonimi nelle transazioni elettroniche
“Articolo 5 – Fatti salvi gli effetti giuridici conferiti agli pseudonimi dal diritto nazionale, l’uso degli pseudonimi nelle transazioni elettroniche non è vietato”.
Le altre novità
Quello dell’identità digitale europea è l’argomento di maggiore rilievo incluso dalla Commissione, ma nelle 43 pagine del testo ci sono anche altre novità. Per esempio, nasce anche l’archiviazione elettronica che può anche essere qualificata, i registri elettronici che già nelle definizioni mostrano una chiara analogia con la tecnologia dei registri distribuiti e della blockchain. Vengono anche esplicitati i concetti relativi ai dispositivi per la creazione di firme e sigilli elettronici qualificati in modalità remota che quindi, se questo testo verrà approvato, diventano fattispecie giuridiche pienamente presenti a livello comunitario.
Come vedremo nei prossimi contributi, la proposta di modifica è estesa e complessa e tale da essere citata esplicitamente nel titolo della stessa intera proposta che ovviamente impatta anche sui servizi fiduciari.