AgID: “Con eIDAS più fiducia tra consumatori e imprese”

Il Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014 (eIDAS), rendendo disponibili diversi strumenti mutualmente riconosciuti, è chiaramente orientato a rafforzare il concetto di cittadinanza europea, agevolando nel contempo la fruibilità dei servizi online di tutte le pubbliche amministrazioni dell’Unione e il commercio elettronico grazie all’introduzione di una normativa che consente di innalzare la fiducia reciproca fra consumatori e imprese.

Il Regolamento, entrato in vigore nel settembre 2014, si applica a decorrere dal 1° luglio 2016. Individua due categorie di servizi: i servizi fiduciari e i servizi di identificazione elettronica. Fra i servizi fiduciari troviamo la firma elettronica qualificata, la marcatura temporale, il sigillo elettronico, i certificati di autenticazione per siti web, la posta elettronica certificata, e i servizi loro afferenti (verifica, generazione, convalida a lungo termine).

Un servizio fiduciario è qualificato se soddisfa i requisiti del Regolamento e se, per i prestatori stabiliti in Italia, l’Agenzia per l’Italia Digitale (AgID) ha riconosciuto tale status. Sui prestatori di servizi fiduciari qualificati vige l’obbligo di vigilanza da parte di AgID. Per i soli servizi fiduciari afferenti la firma elettronica qualificata la Commissione UE (CE) ha emanato precise regole tecniche, garantendo il mutuo riconoscimento.

Ma cosa accade ai servizi utilizzati da anni nel nostro Paese con l’applicazione del Regolamento il prossimo 1° luglio?

Per quanto concerne la firma elettronica qualificata (cd. firma digitale), nulla cambia: le firme generate sono già conformi al Regolamento eIDAS e godono di un immediato riconoscimento nell’Unione. Alcune attività dovranno essere svolte dagli attuali certificatori (in eIDAS prestatori di servizi fiduciari qualificati) entro il 1° luglio 2017, ma non vi è alcuna ragione per ritenere che ciò non accada.

L’attuale servizio di Marcatura Temporale, non fruisce di pari trattamento. Avremo nuovi specifici servizi di validazione temporale che godranno del mutuo riconoscimento, ma questo non vuol dire che le marche temporali non continueranno, stanti le attuali norme, ad avere l’attuale valore giuridico e probatorio nel territorio nazionale.

La Posta Elettronica Certificata, da anni in uso nel paese, con oltre otto milioni di utilizzatori che producono circa duecento milioni di messaggi l’anno, per divenire “servizio qualificato” richiede alcuni correttivi. Anche in questo caso, stanti le norme, continuerà a essere usabile nel territorio nazionale. Peraltro, trova comunque applicazione l’articolo 43.1 del Regolamento che prescrive che la trasmissione di dati con un sistema quale la PEC debba essere ammissibile come prova nei procedimenti giudiziali. Resta ancora da realizzare una soluzione che consenta l’immediato mutuo riconoscimento nell’ambito dell’Unione.

Altre opportunità introdotte dal Regolamento sono i “sistemi di autenticazione dei siti web” e il “sigillo elettronico”. I primi si pongono l’obiettivo di fornire una garanzia circa la reale paternità di un sito ove sono disponibili servizi di diversa natura. Il sigillo elettronico, afferibile alle persone giuridiche, consente di garantire l’origine e l’integrità di dati oltre alla possibilità di identificare il creatore del sigillo. Da un punto di vista tecnologico è analogo a una firma elettronica qualificata (o meno), ma il certificato afferisce ad una persona giuridica.

Se i sistemi di identificazione elettronica consentono di innalzare la fiducia dei prestatori di servizi online circa l’identità del fruitore dello stesso, il sigillo elettronico costituisce lo strumento che consente di innalzare la fiducia del fruitore del servizio in merito all’impegno assunto soggetto che lo offre. Il sigillo elettronico non trova chiaro riscontro nel nostro ordinamento, è quindi auspicabile un’attività legislativa che ne indichi il reale ambito di applicazione nell’ottica di innalzare la fiducia dei consumatori.

Questi strumenti consentono quindi di innalzare la fiducia complessiva delle parti che hanno rapporti istituzionali o commerciali online.

Un prestatore di servizio fiduciario può ottenere il riconoscimento di prestatore di servizio fiduciario qualificato presentando apposita istanza all’AgID che valuterà la conformità del prestatore del servizio e del servizio da esso prestato al Regolamento eIDAS e ai Regolamenti esecutivi emanati dalla Commissione europea. Ottenuto tale riconoscimento, il prestatore del servizio fiduciario qualificato potrà utilizzare il marchio di fiducia UE per presentare in modo semplice, riconoscibile e chiaro i servizi fiduciari qualificati da essi prestati.

I servizi di identificazione elettronica, sono i servizi utili al fine dell’accesso ai servizi in rete (fra questi: SPID, Carta d’Identità Elettronica – CIE e Carta Nazionale dei Servizi – CNS). Il Regolamento non impone alcun vincolo agli Stati membri per la realizzazione di tali sistemi a livello nazionale. Vincoli sussistono al fine del mutuo riconoscimento degli stessi attraverso la procedura di notifica che è libera facoltà degli Stati membri. Alla data nessuno Stato membro ha iniziato l’iter previsto a tale scopo. Certamente la notifica di tali servizi costituisce un’opportunità per gli Stati membri sotto diversi punti di vista, opportunità che sarà certamente colta anche dal nostro Paese. L’Agenzia per l’Italia Digitale provvederà nei tempi e modi opportuni.

Per notificare uno schema di identificazione elettronica è necessario che lo Stato membro notificante garantisca la funzionalità dello stesso in favore degli altri Stati membri. Alcuni schemi, come lo SPID, possono richiedere la realizzazione di un servizio (middleware) che faccia da filtro fra il richiedente (ad esempio la pubblica amministrazione di uno Stato membro) e il sistema nazionale. In questo caso, nel momento in cui un cittadino italiano richiede di autenticarsi ad un servizio di una pubblica amministrazione di altro Stato membro, ad esempio utilizzando la propria identità digitale SPID, questa si rivolgerà al proprio nodo nazionale (chiamato nodo eIDAS) che contatterà il nodo dello Stato cui afferisce lo schema di autenticazione. Quest’ultimo provvederà al processo di autenticazione, fornendone l’esito al nodo dell’altro Stato che, a sua volta, informerà la propria pubblica amministrazione.

Schemi di identificazione elettronica basati su soluzioni tecnologiche già diffuse e integrate nei software in uso come la CIE e la CNS, non necessitano delle funzionalità del nodo eIDAS. Per questi, sarà sufficiente che l’AgID li includa nella lista nazionale dei servizi fiduciari e provveda ad espletare la prevista procedura di notifica. La procedura richiede non meno di sei mesi di tempo durante i quali lo schema sarà analizzato dagli altri Stati membri attraverso un tavolo permanente presso la CE denominato Cooperation network. Il mutuo riconoscimento, visto il combinato disposto di alcuni articoli del Regolamento, sarà obbligatorio per le pubbliche amministrazioni a decorrere dal settembre 2017.

Sebbene per il recepimento del Regolamento eIDAS non sia indispensabile l’emanazione di un provvedimento normativo nazionale in quanto, per la sua natura è direttamente applicabile, il legislatore sta procedendo ad apportare alcune modifiche al Codice dell’Amministrazione Digitale (CAD), al fine di evitare antinomie che possano creare dubbi. Peraltro, eventuali antinomie sono risolte dalla gerarchia delle fonti: la norma nazionale in contrasto con il Regolamento dovrà essere disapplicata.

Fra gli oneri propedeutici all’applicazione del Regolamento in capo agli Stati membri vi è la pubblicazione dell’elenco di fiducia (Trusted List) previsto dall’articolo 22, destinato a contenere le informazioni relative ai prestatori di servizi fiduciari qualificati per i quali gli Stati membri sono responsabili, unitamente a informazioni relative ai servizi fiduciari qualificati da essi prestati. Tale lista è da tempo stata pubblicata in Italia dall’AgID, notificata alla CE e resa nota in ambito nazionale attraverso la pubblicazione di un comunicato dell’AgID nella Gazzetta Ufficiale n.130 del 6 giugno 2016.

Per il settore delle imprese il Regolamento costituisce attualmente un’opportunità, mentre è obbligatorio per le Pubbliche amministrazioni: una pubblica amministrazione che consentisse l’accesso ad un servizio in rete tramite lo SPID (con credenziali di livello 2 o 3), la CIE o la CNS ma non consentisse al cittadino dotato di uno strumento di identificazione elettronica notificato da altro Stato membro, violerebbe in maniera inequivocabile il Regolamento.

Intenzione del Parlamento e del Consiglio Europeo è di estendere l’obbligatorietà del Regolamento eIDAS anche al settore privato, ma questo sarà oggetto di successiva valutazione.