Bucap Servizi di digitalizzazione documentale
Contatti
Contatti
glossario eidas

Regolamento eIDAS e servizi fiduciari qualificati: dalla firma elettronica alla PEC



Regolamento eIDAS e servizi fiduciari qualificati: dalla firma elettronica alla PEC



Di fatto, rappresenta una vera rivoluzione che ha riguardato (e riguarda) le firme elettroniche e i sigilli, le marche temporali, i documenti elettronici, nonché i servizi fiduciari in legati alle transazioni elettroniche e le tecnologie per l’identificazione elettronica. Ecco perché bisogna conoscere almeno i suoi aspetti principali. Specialmente in un mondo in cui il documento informatico è sempre più diffuso e azzererà l’utilizzo della carta nella gestione documentale.
Il regolamento europeo n° 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno è universalmente conosciuto con il nome di regolamento eIDAS. Pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 28 agosto 2014, è diventato applicabile (senza bisogno di attendere ulteriori atti di recepimento da parte degli Stati membri) a partire dal 1 luglio 2016.

Temi:

Cos’è il regolamento eIDAS

Come si può leggere sul sito dell’AgID:

Il regolamento eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e incrementa la sicurezza e l’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico nell’Unione Europea.

Una base normativa che, quindi, riguarda in maniera molto diretta e precisa tre grandi ambiti:

  • I servizi fiduciari qualificati;
  • Le firme elettroniche;
  • La posta elettronica certificata.

Ma non solo questi tre: come detto poco prima, il regolamento eIDAS ha coinvolto anche (giusto a titolo di esempio) le marche temporali (che, risultato di una specifica procedura informatica, attribuiscono una data certa a uno specifico documento) e i sigilli elettronici (la cui funzione è quella di garantire l’integrità e l’origine di un documento – ma non l’identità del suo firmatario, particolare che li differenzia nettamente dalle firme elettroniche).

Cosa sono i servizi fiduciari qualificati

Nel regolamento eIDAS, sono definiti “fiduciari” i servizi di creazione, verifica e convalida di:

  • Firme elettroniche;
  • Sigilli elettronici;
  • Validazioni temporali elettroniche;
  • Servizi elettronici di recapito certificato (come la PEC);
  • Certificati di autenticazione di siti web;
  • Conservazione di firme;
  • Sigilli o certificati elettronici relativi a tali servizi.

I soggetti che offrono a terzi questa tipologia di servizi sono definiti come prestatori di servizi fiduciari. Un prestatore di servizi fiduciari qualificati è un soggetto che rilascia certificati a norma, appunto, del regolamento eIDAS.
I requisiti che devono avere i prestatori di servizi fiduciari qualificati sono indicati nella sezione 3 (articoli da 20 a 24) del regolamento eIDAS. L’elenco completo dei requisiti è disponibile qui.
In particolare, come si può leggere nel comma 1 dell’articolo 24:

Allorché rilascia un certificato qualificato per un servizio fiduciario, un prestatore di servizi fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.
Le informazioni di cui al primo comma sono verificate dal prestatore di servizi fiduciari qualificato direttamente o ricorrendo a un terzo conformemente al diritto nazionale:

  1. Mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica;
  2. A distanza, mediante mezzi di identificazione elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia «significativo» o «elevato»;
  3. Mediante un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato rilasciato a norma della lettera a) o b);
  4. Mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente sotto il profilo dell’affidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo di valutazione della conformità.

eIDAS e firma elettronica avanzata

Per ciò che riguarda la firma elettronica avanzata, il regolamento eIDAS fissa alcuni requisiti quadro:

  • È connessa unicamente al firmatario;
  • È idonea a identificare il firmatario;
  • È creata con soluzioni che il firmatario può utilizzare sotto il proprio controllo esclusivo;
  • È collegata ai dati sottoscritti, in modo da garantire l’integrità del documento sottoscritto, evidenziandone le successive modifiche.

Nell’allegato I al regolamento eIDAS si individuano anche i requisiti dei certificati qualificati di firma elettronica. Ecco cosa devono contenere tali documenti collegati alla firma elettronica:

  • Indicazione adatta al trattamento automatizzato per la verifica della certificazione;
  • Dati per l’identificazione univoca di chi ha rilasciato il certificato e dello stato membro in cui il prestatore di servizi fiduciari è stabilito;
  • Nome del firmatario;
  • Dati di convalida della firma elettronica corrispondenti ai dati di creazione;
  • Periodo di validità del certificato;
  • Codice ID del certificato (univoco per il prestatore);
  • Firma elettronica avanzata o sigillo elettronico avanzato del prestatore di servizi fiduciari;
  • Luogo in cui il certificato relativo alla firma o al sigillo avanzato del prestatore è disponibile gratuitamente;
  • Localizzazione dei servizi per informazioni sulla validità del certificato;
  • Indicazione della presenza dei dati per la creazione della firma collegati ai dati di convalida sul dispositivo per la creazione della firma qualificata.

eIDAS e PEC

Nel regolamento eIDAS sono indicati i servizi elettronici di recapito certificato, di cui la PEC (posta elettronica certificata) fa parte. Affinché possano essere considerati certificati, i servizi elettronici di recapito:

  1. Sono forniti da uno o più prestatori di servizi fiduciari qualificati;
  2. Garantiscono con un elevato livello di sicurezza l’identificazione del mittente;
  3. Garantiscono l’identificazione del destinatario prima della trasmissione dei dati.

Inoltre, l’invio e la ricezione dei dati devono essere garantiti da una firma elettronica avanzata o da un sigillo elettronico. Qualsiasi modifica dei dati deve essere chiaramente indicata al mittente e al destinatario. La data e l’ora di invio e ricezione e qualsiasi tipo di modifica devono essere indicate “da una validazione temporale elettronica qualificata”.
 (Articolo 44, comma 1 del regolamento eIDAS.)

Approfondimento: La posta elettronica certificata: cos’è e come funziona

eIDAS e UE

Nell’articolo 25 comma 1 è contenuta quella che può essere considerata la vera, grande rivoluzione del regolamento eIDAS:

Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.

In altre parole, un servizio fiduciario, se qualificato, è perfettamente e completamente interoperabile in tutta la Comunità europea.

Area Editoriale

AREA EDITORIALE

Una raccolta di articoli per chi vuole approfondire il mondo della gestione delle informazioni e della digitalizzazione.
Archivi e diritti umani: la protezione delle informazioni sensibili
Leggi di più
Dal documento al dato: come trasformare gli archivi in uno strumento strategico
Leggi di più
Troppi faldoni in ufficio? I vantaggi dell’esternalizzazione dell’archivio fisico
Leggi di più
Quando un documento diventa una prova: il ruolo degli archivi nei contenziosi legali
Leggi di più
Come si costruisce la memoria: chi decide cosa si conserva?
Leggi di più
Conservazione a norma: cosa deve fare davvero un’azienda per essere conforme
Leggi di più