Di Pierluigi Paganini*
L’uso della firma elettronica sul territorio europeo è sempre più diffuso. Un numero crescente di servizi adotta questo genere di soluzioni per l’identificazione di soggetti coinvolti in una transazione di vario genere.
Il numero di transazioni basate su firma elettronica crescerà, secondo le ultime stime, da 210 milioni nel 2014 fino a 700 milioni del 2017. Numeri che giustificano la necessità europea di adottare un insieme di regole accettate da tutti gli Stati Membri, per il riconoscimento di tali firme. Da ciò ha origine il nuovo regolamento eIDAS per le firme elettroniche.
Qual è l’esigenza reale di un framework legale europeo?
Ve ne sono molteplici, tra tutte la garanzia di implementare un sistema interoperabile su scala europea e di farlo, ovviamente, in maniera sicura per gli utenti.
Tale necessità, recepita a livello comunitario, si concretizzerà nelle prossime settimane nella formulazione di un nuovo framework legale che sarà accettato da tutti gli stati europei dal prossimo 1° luglio.
Avete compreso bene. Poche settimane ancora e la nuova normativa si sostituirà a un vecchio regolamento comunitario datato luglio 2014 (910/2014/EU- “Regulation on electronic identification and trust services for electronic transactions in the internal market”).
A sua volta il regolamento del 2014 prodotto dall’eIDAS introduceva per la prima volta un framework legale per la firma elettronica e più in generale per tutti gli aspetti legati alla digitalizzazione dei documenti.
Il nuovo regolamento definisce in maniera univoca le linee guida per l’implementazione delle firme elettroniche in modo che possano essere riconosciute da tutti gli Stati europei. Un passo in avanti verso il mercato unico digitale, auspicato dalle autorità legislative dei vari Stati.
Il framework definisce i requisiti legali per garantire la validità della firma elettronica (avanzata e qualificata) e fare in modo che le transazioni siano riconosciute da tutti gli Stati a partire dal 1° luglio 2016. Tale regolamentazione eIDAS sostituirà ogni normativa nazionale in vigore. Chi intende operare nella Comunità Europea dovrà rifarsi a tale framework per gli aspetti normativi e implementativi.
Per le organizzazioni che usano servizi basati su firma elettronica è fondamentale adeguarsi al framework di imminente rilascio.
Regolamento eIDAS firme elettroniche: cosa cambia per il nostro Paese?
Come evidenziato dall’avvocato Massimiliano Nicotra, focalizzandosi sul processo di convalida “semplice” della validità di una firma elettronica, possiamo osservare che l’art. 32 regolamenta tale processo stabilendo i requisiti affinché possa concludersi con successo:
a) il certificato associato alla firma, al momento della generazione della stessa, deve essere conforme a quanto previsto nell’Allegato I del Regolamento;
b) il certificato qualificato è stato rilasciato da un prestatore di servizi fiduciari qualificati e deve essere valido al momento della firma;
c) i dati di convalida della firma corrispondono ai dati trasmessi alla parte facente affidamento sulla certificazione;
d) l’insieme unico di dati che rappresenta il firmatario nel certificato è correttamente trasmesso alla parte facente affidamento sulla certificazione;
e) l’impiego di un eventuale pseudonimo è chiaramente indicato alla parte facente affidamento sulla certificazione, se uno pseudonimo è stato utilizzato al momento della firma;
f) la firma elettronica è stata creata da un dispositivo per la creazione di una firma elettronica qualificata;
g) l’integrità dei dati firmati non è stata compromessa;
h) i requisiti di cui all’articolo 26 del Regolamento eIDAS, ossia i requisiti che identificano una firma elettronica avanzata, siano soddisfatti al momento della firma.
Leggendo con attenzione i punti possiamo verificare come il processo sia già di fatto regolamentato dalla normativa italiana vigente in materia di firma elettronica qualificata.
Unica eccezione ravvisata dall’avvocato Nicotra è l’affermazione nella lettera b) che stabilisce che il certificato qualificato debba essere “valido al momento della firma”.
“In realtà – spiega l’avvocato Nicotra – a oggi i servizi di convalida riconosciuti dall’ordinamento italiano non forniscono tale tipologia di verifica, trattandosi di una diversa tipologia di servizio previsto dall’art. 19, comma 7 del D.P.C.M. 22 febbraio 2013, e disciplinato con determina commissariale n. 63/2014 dell’AgID, relativo alla cosiddetta “firma digitale verificata”, per la quale, appunto, il certificatore verifica la validità del certificato qualificato al momento della generazione della firma, e che si risolve nell’indicazione temporale del momento esatto di generazione della firma elettronica da parte del certificatore (motivo per cui tale tipologia di firma verificata è applicabile solo al caso in cui il dispositivo di generazione della firma sia sotto il pieno controllo del certificatore)”.
Per quanto concerne le attività di convalida, esse sono normate nell’articolo 33 del Regolamento eIDAS che, appunto, disciplina il servizio di convalida qualificato delle firme elettroniche qualificate.
Vale la pena ricordare che il Regolamento eIDAS mira a contribuire al rafforzamento di un mercato unico digitale. Un mercato in cui gli attori possano vedersi riconosciuti servizi già implementati nei rispettivi Stati in materia di identificazione elettronica, firme elettroniche e altri servizi elettronici di recapito. Garantendo l’interoperabilità dei servizi di e-Government all’interno dell’Unione Europea.
Il 1° luglio è prossimo…
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef
