Il concetto di identità digitale si sta affermando in maniera sempre più preponderante, di pari passo con la diffusione esponenziale dei sistemi basati sulle tecnologie digitali. Ma il suo massimo potenziale potrà essere sfruttato soltanto implementando sistemi di riconoscimento a livello europeo.
La firma digitale è uno degli esempi più comuni e immediati di DI (digital identity). O, per meglio dire, uno degli strumenti che permettono, in ambiente digitale, di verificare l’identità di una persona. Il regolamento europeo eIDAS (electronic IDentification Authentication and Signature – Regolamento UE n° 910/2014 sull’identità digitale) ne definisce diversi aspetti.
Questi sono i cinque punti più significativi e interessanti da approfondire.
Temi:
- Articolo 25: effetti giuridici
- Articolo 26: requisiti
- Articolo 28: requisiti dei certificati qualificati
- Articolo 29: requisiti per la creazione di una firma elettronica qualificata
- Articolo 34: firma digitale e conservazione digitale
1. Articolo 25
Effetti giuridici delle firme elettroniche
La rilevanza degli effetti giuridici è perfettamente chiarita dall’articolo 25 dell’eIDAS:
Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.
L’importanza di questo passaggio è fondamentale. In questo modo, la firma digitale diventa un sistema di identificazione riconosciuto a livello europeo. Quindi, in qualunque Stato UE ci si trovi, un documento firmato con firma digitale garantisce:
- Il pieno valore legale del documento;
- La possibilità di risalire in maniera diretta e immediata alla persona che ha firmato/validato quel dato documento.
2. Articolo 26
Requisiti di una firma elettronica avanzata
Nel testo dell’eIDAS, sono individuate tre tipologie di firme elettroniche, ovvero:
- Firma elettronica;
- Firma elettronica avanzata;
- Firma elettronica qualificata.
Per firma elettronica si intendono dei dati in forma elettronica che, acclusi o connessi ad altri dati, consentono di identificare il firmatario di un documento digitale in maniera univoca. Una firma elettronica avanzata è una firma elettronica che presenta i requisiti previsti dall’articolo 26:
Una firma elettronica avanzata soddisfa i seguenti requisiti:
- È connessa unicamente al firmatario;
- È idonea a identificare il firmatario;
- È creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;
- È collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
Infine, la firma elettronica qualificata è una firma elettronica avanzata che è stata creata con specifici programmi e si basa su un certificato che qualifica la firma.
Il regolamento eIDAS pone particolare enfasi e importanza sulla firma elettronica qualificata, la sola con le caratteristiche per poter essere considerata sicura e completamente interoperabile a livello europeo.
3. Articolo 28
Certificati qualificati di firme elettroniche
Come attestare e, soprattutto, verificare che un certificato qualificato relativo a una firma elettronica qualificata sia effettivamente tale? I requisiti sono specificati nell’articolo 28 che a sua volta rimanda all’allegato I “Requisiti per i certificati qualificati di firma elettronica”. Una firma elettronica qualificata, affinché possa effettivamente essere considerata tale, deve:
- Riportare l’indicazione che il certificato è qualificato;
- Contenere i dati identificativi del soggetto che ha rilasciato il certificato;
- Indicare il nome del firmatario, i dati di convalida, l’inizio e la fine del periodo di validità, il codice di identità del certificato (che deve essere univoco);
- Specificare firma elettronica avanzata del prestatore di servizi, luogo dove il certificato è disponibile gratuitamente, servizi per informarsi.
Infine, come riporta il punto j) del succitato allegato I:
Qualora i dati per la creazione di una firma elettronica connessi ai dati di convalida della firma elettronica siano ubicati in un dispositivo per la creazione di una firma elettronica qualificata, [riportare] un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.
4. Articolo 29
Requisiti relativi ai dispositivi per la creazione di una firma elettronica qualificata
I dispositivi per la creazione di una firma elettronica qualificata soddisfano i requisiti di cui all’allegato II.
Nel secondo allegato dell’eIDAS, viene specificato che i dispositivi utilizzati per la realizzazione di una firma elettronica qualificata devono garantire almeno:
- La riservatezza dei dati utilizzati per creare la firma;
- Il fatto che tali dati compaiano una sola volta e non possano essere derivati da altra firma elettronica qualificata;
- La sicurezza dei dati utilizzando tutti i sistemi di sicurezza attualmente disponibili;
- La tutela dei dati utilizzati per la creazione della firma da parte del firmatario legittimo contro l’uso da parte di terzi.
5. Articolo 34
Servizio di conservazione qualificato delle firme elettroniche qualificate
Come riporta l’articolo 34:
Un servizio di conservazione qualificato delle firme elettroniche qualificate può essere prestato da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica oltre il periodo di validità tecnologica.
Un punto semplicemente necessario. Perché una firma digitale ha un suo periodo di validità (periodo che deve essere specificato in ottemperanza a quanto stabilito dal succitato articolo 28). Nel caso in cui, infatti, una firma termini il suo periodo di validità, possono verificarsi diversi inconvenienti. Il più grave dei quali è la perdita di validità del documento firmato.
Proprio per evitare tale inconveniente, l’eIDAS prevede che si possa ricorrere alla conservazione digitale delle firme digitali: in questo modo, e se fatta seguendo la normativa, è possibile gestire le firme digitali evitando qualunque tipo di problema.