L’eIDAS, il Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, sta per diventare realtà. Manca relativamente poco al 1° luglio 2016, data in cui entrerà in vigore ed andrà a sostituire la Direttiva 1999/93/CE sulle firme elettroniche, introducendo importanti novità nel piano normativo europeo. Il regolamento entrerà in vigore in tutta l’Unione Europea, direttamente ed in modo uniforme, senza necessità di normative nazionali di recepimento.
Facendo parte dei provvedimenti introdotti nell’ambito dell’Agenda Digitale Europea, l’eIDAS ha il compito di rinnovare il quadro relativo ai servizi di identificazione ed autenticazione, nonché dei servizi fiduciari (Trust Service provider), al fine di indicare degli standard comuni, consentire lo sviluppo di uniformità ed affidabilità nell’Unione Europea sul punto e promuovere fiducia nelle transazioni elettroniche favorendo la creazione ed il successo del mercato digitale unico europeo. In particolare, introdurrà importanti novità in materia di:
– firme elettroniche, autenticazione dei siti WEB (certificati SSL),
– sistemi di recapito elettronico, sugli attuali certificatori accreditati,
– estensione del principio di presunzione di autenticità che era già presente per le firme elettroniche qualificate (firme digitali) che viene esteso a tutti i servizi fiduciari che ottengono la qualificazione, quindi anche all’autenticazione dei siti WEB
Il cambiamento epocale sta prendendo vita. Sono stati infatti pubblicati, nella Gazzetta Ufficiale dell’Unione Europea del 9 settembre 2015, i 4 Regolamenti di esecuzione. L’iter di attuazione sta proseguendo in maniera precisa e determinata. In particolare, sono stati pubblicati 2 Decisioni di esecuzione e 2 regolamenti esecutivi.
1. La Decisione di Esecuzione (UE) 2015/1505 della Commissione dell’8 settembre 2015
La stessa è stata emanata a norma dell’art. 22 dell’eIDAS che prevede l’obbligo per gli Stati membri di istituire, mantenere e pubblicare, in modo sicuro e in una forma adatta al trattamento automatizzato, elenchi di fiducia nazionali contenenti informazioni (correnti e storiche) sui prestatori di servizi fiduciari qualificati su cui devono esercitare una continua vigilanza, nonché informazioni sui servizi fiduciari qualificati che essi forniscono. La Commissione, pertanto, con la decisione in argomento individua:
– allegato I: le specifiche tecniche e i formati che gli elenchi devono possedere per risultare conformi,
– allegato II: il modello utile a notificare alla Commissione le informazioni di cui all’articolo 22, paragrafo 3, dell’eIDAS.
2. La Decisione di Esecuzione (UE) 2015/1506 della Commissione dell’8 settembre 2015
La stessa indica, con l’allegato, le norme esistenti in materia di formati di firma elettronica avanzata e di sigilli digitali. E’ emanata a norma dell’art. 27, paragrafo 5, e dell’art. 37, paragrafo 5, dell’eIDAS i quali prevedono che le PA devono riconoscere la firma elettronica avanzata ed il sigillo elettronico avanzato XML, CMS o PDF al livello di conformità B, T o LT o tramite contenitore con firma associata, purché tali firme siano conformi alle specifiche tecniche riportate nell’allegato o comunque i formati utilizzati rispettino i formati ivi indicati al fine di una possibile convalida.
Nell’allegato quindi sono indicati:
– l’Elenco delle specifiche tecniche per le firme elettroniche avanzate XML, CMS o PDF e per il contenitore con firma associata;
– l’Elenco delle specifiche tecniche per i sigilli elettronici avanzati XML, CMS o PDF e per il contenitore con sigillo associato.
3. Il Regolamento di Esecuzione (UE) 2015/1501 della Commissione dell’8 settembre 2015
Il regolamento è emanato a norma dell’art. 12, paragrafo 8, dell’eIDAS il quale prevede l’istituzione di un quadro unitario ai fini dell’interoperabilità dei regimi nazionali di identificazione elettronica. Pertanto, il regolamento in argomento stabilisce i requisiti tecnici e operativi del quadro di tale interoperabilità, ovvero:
– requisiti tecnici minimi dei mezzi di identificazione elettronica,
– requisiti tecnici minimi per l’interoperabilità, l’insieme minimo di dati di identificazione personale che rappresentano un’unica persona fisica o giuridica,
– norme di sicurezza operativa,
– disposizioni per la risoluzione delle controversie.
Il regolamento si focalizza quindi sui “nodi”, definiti come i punti di connessione facenti parte di un’architettura di interoperabilità dell’identificazione elettronica, che interviene nell’autenticazione transfrontaliera delle persone ed è in grado di riconoscere ed elaborare le trasmissioni o di inoltrarle ad altri nodi attraverso l’abilitazione dell’interfacciamento dell’infrastruttura di identificazione elettronica nazionale di uno Stato membro con le infrastrutture di identificazione elettronica nazionale di altri Stati membri. Secondo il regolamento, per sviluppare una buona interoperabilità quindi il nodo di uno Stato membro deve essere in grado di connettersi ai nodi di altri Stati membri.
Il regolamento, oltre alle specifiche tecniche, si sofferma poi sulla protezione dei dati personali, tema che sembra ormai essere in fase di definizione a livello europeo (è atteso probabilmente nel 2016 il nuovo impianto normativo in merito). Il documento in analisi, relativamente alla tutela della vita privata, alla riservatezza dei dati scambiati e al mantenimento dell’integrità dei dati tra i nodi, precisa che gli stessi devono essere assicurati grazie al ricorso alle migliori soluzioni tecniche e prassi di protezione disponibili, soprattutto relativamente alla comunicazione tra i nodi, al fine di assicurare che tutte le richieste e le risposte siano autentiche e che non siano manomesse.
L’allegato al regolamento si sofferma sui requisiti relativi all’insieme minimo di dati di identificazione personale che rappresentano un’unica persona, distinguendo l’insieme minimo di dati per una persona fisica dall’insieme minimo di dati per una persona giuridica. Inoltre, precisa che i nodi non devono conservare i dati personali tranne per i fini di cui all’art. 9, paragrafo 3 del regolamento in esame, ovvero: 1) l’identificazione del nodo; 2) l’identificazione del messaggio; 3) la data e ora del messaggio.
4. Il Regolamento di Esecuzione (UE) 2015/1502 della Commissione dell’8 settembre 2015.
Lo stesso definisce, ai sensi dell’articolo 8, paragrafo 3, dell’eIDAS, le specifiche e procedure tecniche minime riguardanti i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione elettronica rilasciati. L’allegato al regolamento, in particolare, individua le specifiche e le procedure utili a comprendere quali sono i livelli di garanzia prendendo in considerazione l’affidabilità e la qualità della registrazione, della gestione dei mezzi di identificazione elettronica, dell’autenticazione, della gestione e dell’organizzazione.
Così formato l’eIDAS rappresenta già da ora un grande passo avanti nella creazione di un contesto giuridico e tecnico comune europeo fondato sul principio di neutralità tecnologica che ne consentirà l’evoluzione rafforzata dall’interoperabilità.
