Di fatto, rappresenta una vera rivoluzione che ha riguardato (e riguarda) le firme elettroniche e i sigilli, le marche temporali, i documenti elettronici, nonché i servizi fiduciari in legati alle transazioni elettroniche e le tecnologie per l’identificazione elettronica. Ecco perché bisogna conoscere almeno i suoi aspetti principali. Specialmente in un mondo in cui il documento informatico è sempre più diffuso e azzererà l’utilizzo della carta nella gestione documentale.

Il regolamento europeo n° 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno è universalmente conosciuto con il nome di regolamento eIDAS. Pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 28 agosto 2014, è diventato applicabile (senza bisogno di attendere ulteriori atti di recepimento da parte degli Stati membri) a partire dal 1 luglio 2016.

Temi:

• Cos’è il regolamento eIDAS
• Cosa sono i servizi fiduciari qualificati
• eIDAS e firma elettronica avanzata
• eIDAS e PEC
• eIDAS e UE

Cos’è il regolamento eIDAS

Come si può leggere sul sito dell’AgID:

Il regolamento eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e incrementa la sicurezza e l’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico nell’Unione Europea.

Una base normativa che, quindi, riguarda in maniera molto diretta e precisa tre grandi ambiti:

• I servizi fiduciari qualificati;
• Le firme elettroniche;
• La posta elettronica certificata.

Ma non solo questi tre: come detto poco prima, il regolamento eIDAS ha coinvolto anche (giusto a titolo di esempio) le marche temporali (che, risultato di una specifica procedura informatica, attribuiscono una data certa a uno specifico documento) e i sigilli elettronici (la cui funzione è quella di garantire l’integrità e l’origine di un documento – ma non l’identità del suo firmatario, particolare che li differenzia nettamente dalle firme elettroniche).

Cosa sono i servizi fiduciari qualificati

Nel regolamento eIDAS, sono definiti “fiduciari” i servizi di creazione, verifica e convalida di:

• Firme elettroniche;
• Sigilli elettronici;
• Validazioni temporali elettroniche;
• Servizi elettronici di recapito certificato (come la PEC);
• Certificati di autenticazione di siti web;
• Conservazione di firme;
• Sigilli o certificati elettronici relativi a tali servizi.

I soggetti che offrono a terzi questa tipologia di servizi sono definiti come prestatori di servizi fiduciari. Un prestatore di servizi fiduciari qualificati è un soggetto che rilascia certificati a norma, appunto, del regolamento eIDAS.

I requisiti che devono avere i prestatori di servizi fiduciari qualificati sono indicati nella sezione 3 (articoli da 20 a 24) del regolamento eIDAS. L’elenco completo dei requisiti è disponibile qui.

In particolare, come si può leggere nel comma 1 dell’articolo 24:

Allorché rilascia un certificato qualificato per un servizio fiduciario, un prestatore di servizi fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.

Le informazioni di cui al primo comma sono verificate dal prestatore di servizi fiduciari qualificato direttamente o ricorrendo a un terzo conformemente al diritto nazionale:

1. Mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica;
2. A distanza, mediante mezzi di identificazione elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia «significativo» o «elevato»;
3. Mediante un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato rilasciato a norma della lettera a) o b);
4. Mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente sotto il profilo dell’affidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo di valutazione della conformità.

eIDAS e firma elettronica avanzata

Per ciò che riguarda la firma elettronica avanzata, il regolamento eIDAS fissa alcuni requisiti quadro:

• È connessa unicamente al firmatario;
• È idonea a identificare il firmatario;
• È creata con soluzioni che il firmatario può utilizzare sotto il proprio controllo esclusivo;
• È collegata ai dati sottoscritti, in modo da garantire l’integrità del documento sottoscritto, evidenziandone le successive modifiche.

Nell’allegato I al regolamento eIDAS si individuano anche i requisiti dei certificati qualificati di firma elettronica. Ecco cosa devono contenere tali documenti collegati alla firma elettronica:

• Indicazione adatta al trattamento automatizzato per la verifica della certificazione;
• Dati per l’identificazione univoca di chi ha rilasciato il certificato e dello stato membro in cui il prestatore di servizi fiduciari è stabilito;
• Nome del firmatario;
• Dati di convalida della firma elettronica corrispondenti ai dati di creazione;
• Periodo di validità del certificato;
• Codice ID del certificato (univoco per il prestatore);
• Firma elettronica avanzata o sigillo elettronico avanzato del prestatore di servizi fiduciari;
• Luogo in cui il certificato relativo alla firma o al sigillo avanzato del prestatore è disponibile gratuitamente;
• Localizzazione dei servizi per informazioni sulla validità del certificato;
• Indicazione della presenza dei dati per la creazione della firma collegati ai dati di convalida sul dispositivo per la creazione della firma qualificata.

eIDAS e PEC

Nel regolamento eIDAS sono indicati i servizi elettronici di recapito certificato, di cui la PEC (posta elettronica certificata) fa parte. Affinché possano essere considerati certificati, i servizi elettronici di recapito:

1. Sono forniti da uno o più prestatori di servizi fiduciari qualificati;
2. Garantiscono con un elevato livello di sicurezza l’identificazione del mittente;
3. Garantiscono l’identificazione del destinatario prima della trasmissione dei dati.

Inoltre, l’invio e la ricezione dei dati devono essere garantiti da una firma elettronica avanzata o da un sigillo elettronico. Qualsiasi modifica dei dati deve essere chiaramente indicata al mittente e al destinatario. La data e l’ora di invio e ricezione e qualsiasi tipo di modifica devono essere indicate “da una validazione temporale elettronica qualificata”.

 (Articolo 44, comma 1 del regolamento eIDAS.)

Approfondimento: La posta elettronica certificata: cos’è e come funziona

eIDAS e UE

Nell’articolo 25 comma 1 è contenuta quella che può essere considerata la vera, grande rivoluzione del regolamento eIDAS:

Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.

In altre parole, un servizio fiduciario, se qualificato, è perfettamente e completamente interoperabile in tutta la Comunità europea.