Cosa cambia con eIDAS per le Registration Authority

Il Regolamento (UE) n. 910/2014 (Regolamento eIDAS), introducendo un’innovazione rispetto alla direttiva n. 99/1993/CE che precedentemente aveva disciplinato in maniera uniforme le firme elettroniche nell’ambito dell’Unione Europea, prevede espressamente all’art. 24 le modalità e gli obblighi di verifica da parte dei prestatori di servizi fiduciari qualificati dell’identità del soggetto (persona fisica o persona giuridica) a cui è rilasciato il certificato.

Tale articolo stabilisce le modalità con cui si deve identificare il richiedente del servizio fiduciario qualificato: a) mediante la presenza fisica concreta del soggetto; b) a distanza, mediante mezzi di identificazione elettronica rilasciati in presenza concreta del soggetto e che soddisfano il livello di garanzia “significativo” od “elevato” di cui all’art. 8 del medesimo Regolamento eIDAS; c) mediante un certificato di firma elettronica qualificato o di un sigillo rilasciati in base alle due modalità precedenti; d) mediante altri metodi di identificazione riconosciuti a livello nazionale, che forniscano garanzia equivalente, sotto il profilo dell’affidabilità, alla presenza fisica. In tali ipotesi la garanzia equivalente deve essere confermata da un organismo di valutazione della conformità.

Il richiamo ai livelli di garanzia previsti dall’art. 8 se da una parte consente di escludere che un servizio fiduciario qualificato possa essere rilasciato sulla base di un’identificazione di livello “basso” del richiedente, dall’altra parte impone un approfondimento sui requisiti necessari affinché un’identificazione possa essere ritenuta di livello “significativo” od “elevato”. A ciò soccorre il Regolamento di esecuzione (UE) n. 2015/1502 della Commissione Europea dell’8 settembre 2015, il cui allegato agli articoli 2.1.2 e 2.1.3 disciplina nel dettaglio le modalità con cui controllare e verificare l’identità delle persone fisiche e giuridiche che richiedono uno strumento di identificazione elettronica (controlli e verifiche che, per il richiamo operato dall’art. 24, devono ritenersi imposti anche in caso di rilascio di un servizio fiduciario qualificato).

Sintetizzando il livello “significativo” richiede, oltre a quanto richiesto dal livello “basso”, in alternativa:

• la verifica del possesso di una prova dell’identità del richiedente e l’adozione di misure idonee a ridurre al minimo il rischio che tale identità non corrisponda a quella dichiarata (ossia la verifica che la prova esibita sia valida);
• l’esibizione di un documento di identità di cui sia verificata la validità;
• l’utilizzo di procedure già utilizzate da altro soggetto (pubblico o privato) per un fine diverso dal rilascio dell’identità elettronica, che diano garanzie equivalenti a quello significativo;
• il rilascio tramite altro mezzo di identificazione notificato di livello significativo o elevato.

A sua volta, il livello “elevato” si basa sui seguenti requisiti alternativi (oltre a quelli previsti dal livello “basso” e “significativo”):

• La verifica di una fotografia o di una prova biometrica di identificazione, riconosciute nello Stato membro, con verifica della validità in virtù di una fonte autorevole nonché il confronto di una o più caratteristiche fisiche del richiedente;
• L’utilizzo di procedure già utilizzate da altro soggetto (pubblico o privato) per un fine diverso dal rilascio dell’identità elettronica, che diano garanzie equivalenti a quello elevato, adottando azioni che convalidino i risultati di dette procedure;
• Il rilascio tramite altro mezzo di identificazione notificato di livello elevato con adozione di azioni per convalidare i risultati della precedente procedura di rilascio;
• Ed infine, se non è presentata fotografia o prova biometrica, l’adozione di procedure analoghe a quelle utilizzate nello Stato membro per l’ottenimento della fotografia o della prova biometrica.

Il quadro normativo eIDAS in tema di identificazione del soggetto che richiede servizi fiduciari qualificati (o che richiede mezzi di identificazione elettronica) appare quindi completo e rimane da verificare l’impatto del medesimo sulla normativa italiana.

Com’è noto, in Italia fino ad oggi i certificatori accreditati avevano quale principale obbligo quello di “identificare con certezza” il richiedente del certificato, formulazione che nel nostro Paese è stata introdotta dapprima dal D.P.R. n. 513/1997 e poi trasfusa e ripresa nelle varie normative che si sono succedute in tema di firma digitale e firme elettroniche in genere.

E’ facile comprendere che nell’impianto generale dei servizi di certificazione l’identificazione del richiedente il certificato assume un ruolo cardine, dato che il grado di “fiducia” riconosciuto agli strumenti di identificazione a distanza, quali firme elettroniche o altri mezzi, risiede proprio nell’accuratezza ed affidabilità della procedura di identificazione del titolare.

La struttura organizzativa che è stata storicamente adottata dai certificatori accreditati, pur non essendo espressamente stabilito nella normativa italiana, ha ricalcato quanto previsto dalla letteratura tecnica in tema di Public Key Infrastructure (PKI) nella quale a fianco di una Certification Authority (che provvede alla emissione e gestione dei certificati) vengono individuate una o più Registration Authority (ossia soggetti che identificano e registrano i richiedenti i certificati).

Tutti i manuali operativi dei certificatori italiani prevedono la possibilità di individuare dei soggetti (denominati “Uffici di Registrazione”, “Centri di Registrazione”, e così via) ai quali, attraverso appositi mandati vengono affidate una serie di attività propedeutiche all’emissione dei certificati digitali, tra le quali, appunto, l’identificazione certa del richiedente il certificato. Coloro che svolgono materialmente tali attività assumono varie denominazioni (Registration Authority Officer (RAO), Incaricati alla Registrazione, etc.) e ricevono una formazione specifica da parte dei certificatori.

Tale situazione di fatto è stata indirettamente riconosciuta dal T.U. n. 445/2000 poi trasfuso in parte nel d.l.vo n. 82/2005 (Codice dell’Amministrazione Digitale – CAD).

L’art. 32, 4° comma del CAD, stabilisce infatti che “Il certificatore è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi.”. La disciplina della responsabilità dell’identificazione del soggetto in caso di delega a terzi di tale attività conferisce, indirettamente, legittimità per l’ordinamento italiano a detta delega, ossia all’affidamento a terzi soggetti dell’attività tipica di una Registration Authority.

La possibilità di delegare a terzi l’attività di identificazione dei soggetti richiedenti una firma elettronica qualificata è confermata dal Regolamento eIDAS, il cui articolo 24, 1° comma, secondo paragrafo, stabilisce che “Le informazioni di cui al primo comma sono verificate dal prestatore di servizi fiduciari qualificato direttamente o ricorrendo ad un terzo conformemente al diritto nazionale”, con ciò consacrando anche in ambito europeo lo schema delle PKI già da tempo in uso in Italia.

Lo strumento più utilizzato, ad oggi, è il mandato da parte del certificatore al terzo soggetto con cui, appunto, lo si incarica di compiere una serie di atti idonei ad identificare i richiedenti, nel rispetto della normativa, dei Manuali Operativi e delle istruzioni specifiche contenute nell’incarico. Per la normativa italiana la responsabilità dell’identificazione rimane comunque, anche in caso di mandato, in capo al certificatore che potrà essere chiamato a rispondere verso i terzi che abbiano fatto affidamento sulla validità del documento sottoscritto. La presenza del mandato, però, rende possibile al certificatore agire in via di regresso nei confronti del mandatario che nello svolgimento delle attività di identificazione non si sia attenuto alle prescrizioni indicategli.

A chiudere il cerchio anche il sistema penale tutela la correttezza del processo di identificazione punendo sia il soggetto che fornisce false informazioni al momento della richiesta della firma elettronica (art. 495 bis c.p.) sia il certificatore che “viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato” (art. 640 quinquies c.p.).

A questo punto non ci si può esimere dal presentare alcune considerazioni sul futuro dei soggetti che svolgono le attività di identificazione per conto delle Certification Authority. Tenendo a mente che secondo il Regolamento eIDAS ciascun servizio dovrà essere qualificato mediante apposite relazioni ed audit da organismi di valutazione della conformità, appare evidente che anche le procedure con cui è effettuata l’identificazione dei richiedenti dovranno essere oggetto di tali valutazioni, includendo anche la verifica di requisiti organizzativi, di professionalità (ed onorabilità) adeguata di coloro che materialmente pongono in essere dette procedure.

I prestatori di servizi fiduciari italiani, quindi, dovranno quantomeno adottare delle procedure di selezione e formazione specifica per coloro che delegheranno a svolgere tali attività, in modo da poter garantire il corretto svolgimento delle stesse. Ciò a maggior ragione tenendo conto della normativa europea, che prevede specifiche caratteristiche dei riconoscimenti effettuati per garantire i livelli di identificazione “significativo” ed “elevato”.

Tutto ciò implica il superamento delle attuali modalità con cui si è proceduto ad individuare tali soggetti, dato che in questi anni si è verificato un ampliamento delle categorie a cui sono stati materialmente affidati tali compiti alcune volte anche a discapito della certezza della procedura (i casi più frequenti di abusi relativi alle firme digitali riguardano ipotesi in cui il soggetto delegato dal certificatore ha dolosamente rilasciato un certificato qualificato a chi non lo aveva richiesto).

I tempi e le normative, invece, sembrano essere maturi per poter delineare in maniera più precisa la figura della Registration Authority, ossia di un soggetto che professionalmente svolge l’attività di identificazione dei richiedenti i servizi fiduciari, o comunque servizi relativi all’identità elettronica, che abbia requisiti di professionalità più elevati, una struttura organizzativa adeguata ed onorabilità idonei a garantire quantomeno la correttezza del suo operato, e che, anche da un punto di vista patrimoniale, possa effettivamente dare sicurezza di poter essere chiamato a rispondere dei propri errori od omissioni.

La necessità di dover verificare tali condizioni nelle Registration Authority è stabilita nello stesso Regolamento eIDAS, il cui art. 24, 2° comma, lett. b) prevede che il prestatore dei servizi fiduciari è tenuto ad impiegare “subcontraenti” dotati delle competenze, dell’affidabilità, dell’esperienza e qualifiche necessarie, i quali devono aver ricevuto apposita formazione in materia di norme di sicurezza e di protezione dei dati personali.

I maggiori vincoli imposti in materia di qualificazione dei prestatori fiduciari e delle procedure da essi applicate, la delicatezza che assume l’accertamento dell’identità per il rilascio degli strumenti elettronici di identificazione, la necessità che tali procedure siano idonee a garantire i livelli previsti in ambito europeo, richiedono che i soggetti chiamati al loro compimento abbiano requisiti organizzativi, professionali e morali tali da poter garantire il loro corretto, valido e veritiero svolgimento. In sintesi, soggetti che operino quali Registration Authority assumendo le relative responsabilità verso i prestatori dei servizi e verso i consociati e garantendo l’adeguatezza del profilo professionale rispetto al compito che sono delegati a svolgere.

D’altra parte, solo figure di tal genere potranno assolvere all’ulteriore e delicato compito di informare correttamente ed esaurientemente i richiedenti sulle caratteristiche degli strumenti di identificazione elettronica e sui servizi fiduciari richiesti, agevolando il diffondersi di una cultura digitale tra gli utenti che richiedono tali servizi per farli diventare consapevoli utilizzatori degli stessi.