La conservazione dei documenti con firma digitale è una necessità sempre più diffusa, così come è sempre più diffuso l’utilizzo dei documenti informatici, sia nel lavoro sia nella vita di tutti i giorni.
Le regole europee per la firma elettronica hanno uno scopo ben preciso: fornire una base normativa a livello comunitario che riguardi i servizi fiduciari e i mezzi di identificazione elettronica all’interno degli stati dell’UE. Da questo punto di vista, i due riferimento più importanti sono senza dubbio ETSI TS 119 511 e regolamento eIDAS.
Temi:
- Servizio fiduciario: cos’è
- ETSI TS 119 511
- Regolamento eIDAS
- Firma elettronica avanzata e certificata
Servizio fiduciario: cos’è
Prima di addentrarsi nelle specifiche dei due regolamenti, è opportuno chiarire cosa si intenda per servizio fiduciario. Come si può leggere sul sito dell’AgID (Agenzia per l’Italia digitale):
Con il termine servizio fiduciario si indica un insieme di servizi elettronici, generalmente forniti a pagamento.
Sotto la dicitura “servizi elettronici” rientrano:
- Firma elettronica;
- Sigillo elettronico;
- Validazione temporali elettroniche;
- Servizi elettronici di recapito certificato (PEC);
- Certificati di autenticazione di siti web;
- Conservazione di firme elettroniche.
Inoltre, rientrano nella dicitura anche i certificati relativi a tali servizi.
ETSI TS 119 511
Il document ETSI TS 119 511, realizzato e pubblicato dalla ETSI (European telecommunications standards institute), contiene i requisiti di sicurezza che dovrebbero garantire tutti i prestatori di servizi fiduciari che svolgono attività di conservazione a lungo termine che usano sistemi di firma elettronica (Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques).
In particolare, ETSI TS 119 511 individua tre modelli:
Preservation service with storage
I dati vengono salvati e memorizzati nello storage del fornitore del servizio. Il fornitore del servizio memorizza tutti gli oggetti conservati e le relative prove che la conservazione sia avvenuto con successo. Inoltre, deve sempre fornire i dati al cliente qualora questi ne facesse richiesta.
Preservation service with temporary storage
In questo modello, i dati sono conservati stabilmente nello storage del cliente e solo temporaneamente nello storage del fornitore del servizio per il tempo necessario a verificare che i dati siano stati effettivamente e correttamente conservati.
Preservation service without storage
Nell’ultimo modello, i dati vengono conservati unicamente nello storage del cliente.
Testo integrale di ETSI TS 119 511
Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques
Regolamento eIDAS
eIDAS sta per electronic IDentification Authentication and Signature ed è il nome con il quale ci si riferisce al regolamento UE n° 910/2014 sull’identità digitale, il cui scopo è dare una base normativa sicura per le comunicazioni elettroniche tra cittadini, imprese e pubbliche amministrazioni.
Inoltre, eIDAS pone fortemente l’accento non solo sull’efficienza ma anche sulla sicurezza dei servizi fiduciari.
L’ambito del regolamento eIDAS
Il regolamento eIDAS:
- Indica a quali condizioni gli Stati dell’UE possono riconoscere i mezzi di identificazione elettronica (sia per le persone fisiche, sia per le persone giuridiche);
- Individua quali sono le norme che tutti i prestatori di servizi fiduciari devono seguire;
- Istituisce il quado giuridico che riguarda tutte le attività rientranti sotto la dicitura di “servizi fiduciari” (elenco riportato in precedenza).
L’ambito del regolamento eIDAS
Un altro aspetto fondamentale normato dal regolamento eIDAS è rappresentato dell’interoperabilità delle firme elettroniche. L’articolo 25, comma 3 stabilisce che:
Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.
In altre parole, se una firma elettronica è ritenuta valida in uno Stato dell’Ue, è automaticamente valida in tutti gli altri Stati dell’Unione Europea.
Testo integrale del regolamento eIDAS
Regolamento UE n° 910/2014 – electronic IDentification Authentication and Signature (eIDAS)
Firma elettronica avanzata e certificata
Ancora oggi, si fa parecchia confusione. In realtà:
- La firma elettronica avanzata è una firma che identifica il firmatario in maniera univoca, assicura l’integrità del testo inviato e dei suoi possibili allegati, collega i dati sottoscritti dando la possibilità di verificare ogni successiva modifica eventualmente apportata al testo del messaggio o agli allegati;
- Una firma elettronica qualificata presenza tutte le caratteristiche di una firma elettronica avanzata, in più è creata usando un dispositivo qualificato, è basata su un certificato qualificato.