LA GUIDA

Portafoglio europeo di identità digitale, ecco come firmare i documenti

Home Documenti digitali
Indirizzo copiato

Con l’arrivo dell’Ediw – European digital identity wallet, il portafoglio europeo di identità digitale, regolamentato da eIDAS 2.0 sarà possibile firmare elettronicamente: vediamo in che modo

Pubblicato il 27 ago 2024
Giovanni Manca

consulente, Anorc

shutterstock_2366215275-1920×1080

Il regolamento eIDAS 2.0 stabilisce per le persone fisiche titolari di un Portafoglio Europeo di Identità Digitale (European Digital Identity Wallet – EDIW) la possibilità di firmare mediante firme elettroniche qualificate per impostazione predefinita e gratuitamente.

L’approccio del Legislatore comunitario è indirizzato verso l’obiettivo che il titolare del Portafoglio possa svolgere con la propria identità digitale una serie di operazioni in modo sicuro e con la massima protezione dei dati personali.

Firme e sigilli da remoto, cosa fare con le nuove regole eIDAS

Eidas 2.0 e firma, cosa dice il regolamento

Una chiara spiegazione dello specifico obiettivo che si vuole raggiungere è nelle “premesse” all’eIDAS 2.0. È noto che i “considerando” nelle premesse non sono norme, ma certamente è importante tenere in conto il loro contenuto, in quanto descrittivo degli obiettivi stabiliti specificamente nell’articolato della stessa.

Il punto citato è il 19 del quale viene riportato il testo tradotto:

“(19) “…I portafogli europei di identità digitale dovrebbero inoltre consentire agli utenti di creare e utilizzare firme e sigilli elettronici qualificati accettati in tutta l’Unione. Una volta effettuato l’onboarding in un portafoglio europeo di identità digitale, le persone fisiche dovrebbero poterlo utilizzare per firmare con firme elettroniche qualificate, per impostazione predefinita e gratuitamente, senza dover sottostare a ulteriori procedure amministrative. Ciò dovrebbe altresì consentire agli utenti di apporre firme o sigilli ad asserzioni o attributi autodichiarati.”

La persona fisica, titolare del Portafoglio Europeo, appena svolte le procedure di attivazione del Portafoglio deve essere in grado di firmare utilizzando la firma elettronica qualificata cioè la tipologia di firma che ha effetti giuridici equivalenti ad una sottoscrizione autografa come già stabilito nell’articolo 25, paragrafo 2 del regolamento n. 910/2014. Questo articolo non è stato modificato con il testo di eIDAS 2.0.

In molti Stati membri, compresa l’Italia, il mercato delle firme è sviluppato e quindi il Legislatore comunitario ha recepito le proposte di deroga alla disposizione seguente che stabilisce le regole normative che attuano il citato “considerando”, (articolo 5-bis, paragrafo 5, lettera g)) i Portafogli Europei di Identità Digitale:

“g) offrono a tutte le persone fisiche la possibilità di firmare mediante firme elettroniche qualificate per impostazione predefinita e gratuitamente.”

La deroga stabilisce che “gli Stati membri possono prevedere misure proporzionate per garantire che l’uso gratuito di firme elettroniche qualificate da parte di persone fisiche sia limitato a scopi non professionali”.

L’analisi del testo non limita il numero di firme disponibili per il titolare del Portafoglio. Il limite è solo per l’utilizzo per le sole finalità non professionali che deve essere stabilito con apposite norme dallo Stato membro.

Iniziamo ad analizzare le operazioni di sottoscrizione qualificata con il Portafoglio Europeo per poi individuare come gestire le possibili limitazioni d’uso della sottoscrizione.

Firmare con il Portafoglio europeo: come si fa

Una firma qualificata è definita come una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche. Come tutte le regole nella legislazione comunitaria, anche quelle qui esaminate sono tecnologicamente neutre. Lo stato dell’arte della tecnologia non rende disponibile un Portafoglio Europeo tale da essere sufficientemente diffuso sul mercato e certificato come dispositivo per la creazione di una firma elettronica qualificata.

Uno smartphone o un tablet che utilizzano l’app realizzativa del Portafoglio possono adeguatamente svolgere i compiti associati all’identità digitale ma devono utilizzare servizi di “firma a distanza” per la generazione delle sottoscrizioni.

Il ruolo dell’HSM

La conseguenza è che, come già avviene oggi per la firma remota, il Portafoglio sarà utilizzato per l’identificazione e l’autenticazione del titolare sottoscrittore ad un dispositivo denominato HSM (Hardware Security Module). Questo apparato, verificata l’identità mediante le funzionalità del Portafoglio, autorizza il titolare a procedere nelle operazioni di creazione della sottoscrizione gestite completamente dall’HSM.

Quest’ultimo è in grado di generare la coppia di chiavi crittografiche asimmetriche per la sottoscrizione e di associarle al certificato qualificato che può anche contenere le limitazioni d’uso previste dalla norma comunitaria.

Limitazioni d’uso

Il tema delle limitazioni d’uso viene affrontato nel paragrafo 4, nel paragrafo 3 sono analizzate le possibili ipotesi sulla sostenibilità economica relativa alla gratuità delle firme qualificate.

L’evoluzione tecnologica è tale da consentire, in tempi ragionevoli, che lo smartphone o il tablet possano essere dei dispositivi certificati per la creazione di firme qualificate. Questo sarà possibile con la tecnologia tramite l’evoluzione e la specifica certificazione di sicurezza del cosiddetto “secure element” , già utilizzato per i pagamenti digitalio della eSIM, evoluzione della classica SIM telefonica.

Contratto e attivazione della firma con Ediw

Come già descritto, la norma comunitaria stabilisce un uso gratuito della firma elettronica qualificata da parte del titolare del Portafoglio Europeo di Identità Digitale. Devono essere individuati i soggetti (o il soggetto) che si fanno carico dell’onere economico dell’utilizzo gratuito. Ipotizziamo gli scenari più probabili, partendo dai modelli di business già presenti.

La firma elettronica qualificata è un servizio. Questo servizio è offerto “monouso” o per il periodo collegato alla durata della validità del certificato qualificato.

Per l’utilizzo “a periodo” si può sottoscrivere un contratto senza limiti nel numero di creazioni di firma qualificata. Nel caso di sottoscrizione con procedura automatica l’elevato numero di firme prodotte cambia la tariffazione ma un uso non professionale certamente non utilizza questa modalità di sottoscrizione.

L’attivazione

L’attivazione del servizio di firma è gratuita (il Portafoglio ne è dotato per “impostazione predefinita” quindi deve essere dotato anche del certificato digitale) e naturalmente esclusivamente per l’utilizzo per scopi non professionali.

L’attivazione di un Portafoglio porta anche all’attivazione del servizio di firma che quindi deve essere disponibile nell’ecosistema del Portafoglio stesso. Come lo Stato o un soggetto privato, visto che il Portafoglio può essere emesso anche da privati, attiva questa opzione? Con una gara d’appalto con lo scopo di attivarlo su almeno un paio di fornitori del servizio? Eroga il servizio direttamente tramite un soggetto, ente pubblico, qualificato per l’emissione di certificati per le firme elettroniche? L’uso non professionale deve essere definito magari come insieme di situazioni complementari all’uso di tipo professionale.

Il “considerando” (19) parla di firme di asserzioni e attributi autodichiarati ma certamente un cittadino che firma un documento verso le pubbliche amministrazioni firmerà gratuitamente e  l’uso non professionale è evidente. La firma di un commercialista verso l’Agenzia delle Entrate risulta ad uso professionale e quindi non può essere gratuita per impostazione predefinita.

Le scelte devono essere sancite in norme, anche nazionali, ma all’atto pratico dove verifichiamo che la firma di Mario Rossi è abilitata ad uso esclusivo non professionale? Lo facciamo utilizzando il certificato qualificato come descritto nel paragrafo seguente.

Le limitazioni d’uso delle firme qualificate

Gli standard da utilizzare per i certificati qualificati per le firme elettroniche sono stabiliti negli standard ETSI. Lo standard di riferimento per i certificati qualificati per le firme elettroniche è nel documento ETSI EN 319 412-1 “Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures” da utilizzare, visto lo specifico scenario insieme a ETSI EN 319 412-2 recante il documento “Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons”.

Trattandosi di certificati qualificati è necessario fare riferimento anche standard ETSI EN 319 412-5 recante il documento “Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements”.

In Italia sono in già in vigore norme per le limitazioni d’uso stabilite nella Determinazione AgID 147/2019, in particolare:

“eventuali ulteriori limiti d’uso sono inseriti nell’attributo explicitText del campo userNotice dell’estensione certificatePolicies. Sul sito istituzionale dell’Agenzia sono pubblicati i testi e le codifiche delle limitazioni d’uso che è auspicabile siano garantite agli utenti”.

I testi proposti da AgID (anche in lingua inglese) sono i seguenti:

  • I titolari fanno uso del certificato solo per le finalità di lavoro per le quali esso è rilasciato. The certificate holder must use the certificate only for the purposes for which it is issued. 
  • Il presente certificato è valido solo per firme apposte con procedura automatica. The certificate may only be used for unattended/automatic digital signature.
  • L’utilizzo del certificato è limitato ai rapporti con (indicare il soggetto). The certificate may be used only for relations with the (declare the subject).

Non è complesso inserire nel certificato un ulteriore attributo per limitare l’uso dei certificati a scopi non professionali, il candidato più logico per contenere questa modifica è il documento ETSI EN 319 412-5. Vale la pena di ricordare che moltissimi prestatori di servizi fiduciari qualificati operano nel mercato professionale o esclusivamente per la pubblica amministrazione. In questi casi i certificati qualificati emessi sono nativamente per scopi professionali e quindi non aderenti a quanto previsto per il Portafoglio Europeo.

Proseguiamo la nostra analisi evidenziando che lo scenario della firma non professionale necessita di nuove modalità di verifica delle firme elettroniche qualificate. Questo è il tema del prossimo paragrafo.

La verifica delle sottoscrizioni nel nuovo scenario

Nel mondo reale quando si verifica una firma elettronica qualificata non è prassi comune la verifica delle estensioni del certificato tra le quali abbiamo la sopra descritta “limitazione d’uso”. Si verifica che il certificato contenente la chiave pubblica del sottoscrittore sia un certificato qualificato, che il documento sia integro e si evidenzia che ha firmato il titolare del certificato, in modo congruo con gli scopi di valenza giuridica legale ed efficacia probatoria che devono essere attribuiti al documento informatico sottoscritto.

Se siamo nello scenario di utilizzo del Portafoglio Europeo è indispensabile verificare che la firma apposta sia coerente con lo scenario di utilizzo. Quindi chi ha l’onere legale di verificare la sottoscrizione dovrà controllare la firma elettronica qualificata anche comunemente nota come firma digitale e, confermata la sua validità tecnologica, dovrà verificare anche che il sottoscrittore ne abbia fatto un uso non professionale perché questo è indicato nelle limitazioni d’uso del certificato. Non bisogna dimenticare anche la necessità di adeguare la normativa vigente sul tema della mancata sottoscrizione se non sono soddisfatti i limiti d’uso relativi all’uso non professionale della sottoscrizione.

Ricordiamo al lettore che è attivo sul tema lo standard ETSI EN 319 102-1  Electronic Signatures and Infrastructures (ESI); Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation. Negli elenchi pubblici di fiducia sono presenti, alla data, 36 soggetti (un unico soggetto è italiano) qualificati per questo servizio.

Le regole stabilite per il Portafoglio europeo di identità digitale

I requisiti per consentire all’utente del Portafoglio europeo di creare firme o sigilli elettronici qualificati (questi ultimi in modalità non gratuita in tutti gli utilizzi) sono stabiliti nel documento denominato sinteticamente ARF (Architecture Reference Framework).

La versione più recente pubblicata alla data è la 1.4, disponibile al collegamento seguente.

Il paragrafo dell’ARF con i requisiti per la firma di documenti con il Portafoglio Europeo è A.2.3.16. In esso si stabiliscono i requisiti sia per i fornitori di portafogli che per i prestatori di servizi fiduciari qualificati (QTSP), ma anche per la Commissione Europea.

In questo senso viene stabilito che si devono supportare le specifiche tecniche (TS) ETSI:

  • ETSI TS 119 431-1 – Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TSP service components operating a remote QSCD / SCDev
  • ETSI TS 119 431-2 – Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation
  • ETSI TS 119 432 – Electronic Signatures and Infrastructures (ESI); Protocols for remote digital signature creation, and complies with the remote signing services with Sole Control Assurance Level (SCAL) 2

e la specifica CEN EN 419 241-1 – Trustworthy Systems Supporting Server Signing – Part 1: General System Security Requirements.

Si stabilisce anche che la Commissione deve garantire l’approvazione come standard europeo della specifica del Cloud Signature Consortium e l’aggiornamento del documento ETSI TS 119 432.

Conclusioni

La possibilità per le persone fisiche titolari di un Portafoglio Europeo di Identità Digitale di poter firmare gratuitamente mediante firme elettroniche qualificate è un obbligo stabilito nel nuovo regolamento europeo eIDAS 2.0. Gli Stati membri possono limitare questo uso gratuito a scopi non professionali. Questa possibilità consente al cittadino di firmare documenti verso la pubblica amministrazione ma anche verso soggetti privati come, ad esempio, una banca quando sottoscrive un mutuo o una polizza di assicurazione sanitaria. Quando si opera in un mercato dove la vendita di servizi di firma qualificata è elevata si pongono una serie di problemi che devono essere risolti anche con scelte di politica economica e industriale stabilite con le normative adeguate.

Saranno necessari chiarimenti da parte della Commissione europea e dei Governi nazionali, ai quali spettano anche l’eventuale attivazione delle possibilità offerte dal regolamento. Questi chiarimenti saranno sostenuti anche dai documenti e dalle specifiche tecniche che saranno referenziate dagli di esecuzione della Commissione.

Al momento si può solo augurare che la possibilità di sottoscrivere gratuitamente i documenti informatici abbia un impatto positivo sui cittadini con un conseguente beneficio per la digitalizzazione nei settori pubblico e in quello privato.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Giovanni Manca
consulente, Anorc
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • la guida

    Power Bi, una bussola per aziende data driven: come funziona

    05 Set 2024

    di Federica Maria Rita Livelli

    Condividi

  • appalti e pnrr

    Procurement pubblico leva per crescere nel 2024: ecco perché

    09 Gen 2024

    di Stefano De Marinis e Pierluigi Piselli

    Condividi

Prossimo

Power Bi, una bussola per aziende data driven: come funziona

Articolo 1 di 3