eIDAS 2.0: tutte le novità

Il Portafoglio Europeo di Identità Digitale è senza dubbio il protagonista assoluto del nuovo regolamento europeo del Parlamento e del Consiglio “che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea”, ma ci sono numerose altre novità che è indispensabile descrivere. Queste novità riguardano la presenza di nuovi servizi fiduciari ma anche una nuova impostazione su quelli che già erano presenti nella versione precedente del regolamento.

I nuovi servizi fiduciari sono l’attestazione elettronica degli attributi, il certificato di autenticazione di sito web, la gestione di dispositivi qualificati per la creazione di una firma elettronica (o un sigillo elettronico) a distanza, l’archiviazione elettronica e i registri elettronici.

Il servizio relativo all’autenticazione di sito web era presente anche nella prima versione del regolamento ma è stato modificato per adeguarlo ai nuovi scenari di sicurezza cibernetica e aderente al modello di governance comunitario.

I nuovi servizi fiduciari sono, in qualche modo, conseguenza dell’introduzione del Portafoglio Europeo, in quanto necessari per uno sviluppo omnicomprensivo dell’identità digitale.

Nel seguito esaminiamo sinteticamente i singoli servizi.

L’attestazione elettronica degli attributi

La centralità dell’attestazione elettronica degli attributi è strettamente collegata all’identità digitale. La stessa persona fisica o giuridica agisce in rete o fuori rete con le varie istanze possibili associate alla propria identità digitale che è, ovviamente, univocamente connessa alla persona fisica. A quest’ultima si associano gli attestati elettronici degli attributi.

L’attributo e l’attestato (risultato dell’attestazione) sono definiti nei punti seguenti dell’articolo 3 di eIDAS 2.0:

43)    “attributo”, la caratteristica, la qualità, il diritto o l’autorizzazione di una persona fisica o giuridica o di un oggetto

44)    “attestato elettronico di attributi”, un attestato in forma elettronica che consente l’autenticazione di attributi;

45)    “attestato elettronico di attributi qualificato”, un attestato elettronico di attributi che è rilasciato da un prestatore di servizi fiduciari qualificato e soddisfa i requisiti di cui all’allegato V.

Come si vede l’attributo può essere relativo anche ad un oggetto come accade nel cosiddetto Internet delle cose. L’attestazione elettronica può essere anche qualificata visto che si tratta di un servizio fiduciario. La definizione specifica l’abbiamo appena indicata in precedenza.

Nell’ambito operativo è importante anche la fonte autentica definita come di seguito:

46)    “fonte autentica”, un archivio o un sistema, tenuto sotto la responsabilità di un organismo del settore pubblico o di un soggetto privato, che contiene e fornisce gli attributi relativi a una persona fisica o giuridica e che è considerato una fonte primaria di tali informazioni o la cui autenticità è riconosciuta conformemente al diritto dell’Unione o nazionale, inclusa la prassi amministrativa.

Per rilasciare attestati elettronici di attributo è indispensabile disporre di fonti autentiche, a maggior ragione se queste sono di natura pubblica. La normativa operativa sull’attestazione elettronica di attributi è ampia e ad essa è dedicata l’intera sezione 9. Gli articoli presenti in questa sezione sono sette, dal 45-ter al 45-nonies. A questi dobbiamo aggiungere gli allegati V, VI e VII.

Considerando la lunghezza dell’articolato, in questa sede ci concentriamo sul commento ai principali aspetti dell’attestazione di attributi.

Gli effetti giuridici e l’efficacia probatoria stabiliti nell’articolo 45-ter sono i tradizionali delle norme comunitarie, il formato elettronico è ammesso e la qualifica dell’attributo non è indispensabile in azioni giuridiche.

Gli attributi rilasciati da una fonte autentica del settore pubblico o per suo conto devono avere gli stessi effetti delle attestazioni legalmente rilasciate in formato cartaceo.

Gli attributi così rilasciati sono validi in tutti gli Stati membri.

L’articolo 45 quater è dedicato all’attestazione elettronica di attributi nel settore pubblico. I dati degli attributi non sostituiscono i dati identificativi. Questo è importante nell’uso del Portafoglio Europeo di Identità Digitale.

L’articolo 45 quinquies stabilisce le norme per i requisiti per l’attestazione elettronica di attributi. I requisiti sono nell’allegato V e le regole tecniche devono essere coordinate con quelle del Portafoglio Europeo di Identità Digitale.

L’articolo 45 sexies tratta della verifica degli attributi rispetto alle fonti autentiche. Sono qui stabilite le tempistiche di rilascio (24 mesi dall’entrata in vigore degli atti di esecuzione) per l’utilizzo da parte dei prestatori di servizi qualificati di attestazione elettronica degli attributi delle fonti autentiche pubbliche. Anche in questo caso, gli atti di esecuzione devono essere coordinati rispetto al contesto del Portafoglio e degli attributi elettronici.

L’articolo 45 septies stabilisce i requisiti per l’attestazione elettronica di attributi da o per conto di un organismo del settore pubblico responsabile di una fonte autentica.

Questi soggetti dovranno garantire elevate caratteristiche di sicurezza e dovranno possedere adeguate caratteristiche di conformità alle regole comunitarie, in maniera analoga ai soggetti qualificati.

Questo articolo prosegue con le solite norme per l’emissione di regole tecniche e si conclude con l’obbligo per i citati organismi del settore pubblico di fornire un’interfaccia con il Portafoglio Europeo di Identità Digitale, a conferma dello stretto legame tra di esso e gli attributi.

Sul piano pratico disporre di attributi qualificati significa utilizzare una patente di guida con valore legale transnazionale, un attestato di studi, una certificazione sullo stato di salute, caratteristiche della persona o la conferma legale della professione in tutta l’area di applicazione di eIDAS 2.0.

L’esattezza dei dati sarà cruciale anche per le operazioni di autocertificazione che potranno essere firmate dai cittadini con il Portafoglio, in modo gratuito. 

I certificati di autenticazione per i siti web

Come già detto questi certificati erano già presenti nella prima versione del regolamento eIDAS ma il servizio fiduciario che li riguarda è stato aggiornato per renderlo adeguato al modello di governance comunitario e per imporne l’utilizzo ai browser. Questa cosa ha scatenato significative proteste oltre oceano compresa una lettera alla Commissione europea per la richiesta di modifiche al testo.

Il certificato di autenticazione di sito web è definito come:

“un attestato elettronico che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato”.

A questo punto invitiamo il lettore alla lettura del testo completo di eIDAS 2.0 su questo servizio fiduciario, al fine di acquisire direttamente le nuove regole e avere una sua opinione diretta sulla fondatezza delle critiche citate nella parte iniziale di questo articolo.

In questa sede ci limitiamo a qualche doveroso commento.

Il primo è sulla messa in discussione da parte dei critici del modello di trust stabilito in eIDAS 2. Il modello è molto complesso ed è già vigente con le regole della Sezione III del testo. Il tutto è consolidato dalla piena applicazione del precedente regolamento; regole di qualifica dei servizi fiduciari, responsabilità degli Stati membri, vigilanza nazionale e transnazionale, collaborazione con le autorità nazionali per la protezione dei dati personali, ecc.

Riassumendo, l’attuale regolamento eIDAS segue l’approccio di un’identità digitale centralizzata di fatto rilasciata dallo Stato membro o sotto il suo controllo. Ciò significa che eIDAS agisce sul presupposto di un aggancio fiduciario per ogni identità digitale, in modo che sia sempre necessaria una terza parte affidabile che rilasci l’identità digitale. Quest’ultima, senza questo supporto governativo, non è conforme al regolamento.

Quanto esposto non significa che gli Stati membri hanno il controllo sulle transazioni effettuate dal titolare di una specifica identità ma solo che lo Stato ha la responsabilità sugli operatori pubblici e privati che applicano eIDAS 2.0.

Introdurre regole europee non imposte dai Governi ma sotto la loro responsabilità con conformità a standard operativi e di sicurezza gestiti con certificazioni e meccanismi analoghi è più rischioso delle regole totalmente private del CA/Browser Forum dove il controllato e il controllore sono la stessa cosa?

Naturalmente i giuristi potrebbero anche evidenziare (a ragione) le differenze tra Common Law e Civil Law che porta a valutazioni differenti nelle analisi di “trust” sui due mondi (USA e Regno Unito ed Europa).

La considerazione finale è sulla fiducia che deve essere riposta per il “Governo Europeo”, alla quale segue una domanda cruciale: la governance privata di Google, Mozilla e altri è migliore di quella europea?

La gestione dei dispositivi qualificati per la creazione di firme e sigilli a distanza

L’introduzione di questo servizio fiduciario (anche se poi sono due, per firme e sigilli) è la conferma dell’importanza comunitaria della firma remota, già introdotta con successo in Italia da oltre 14 anni. L’obbligo di disporre gratuitamente di una firma elettronica qualificata sul Portafoglio Europeo (solo se lo Stato legifera in tal senso e per le persone fisiche e a scopi esclusivamente non professionali) ha reso necessario una regolamentazione aggiornata ed esplicita sul tema.

I dispositivi in esame sono quelli per la creazione di firme e sigilli alla pari di smart card e token crittografici ma le regole di sicurezza ad essi relative non si sono mai assestate a livello comunitario e l’atto di esecuzione previsto in eIDAS 1.0 (Decisione di esecuzione 2016/650) non è mai stato aggiornato per includere i dispositivi “a distanza”, ovvero i cosiddetti HSM (Hardware Security Module).

Questa nuova versione del regolamento introduce regole analoghe alle precedenti, ma più stringenti, soprattutto stabilendo in modo chiaro che la certificazione di sicurezza di questi dispositivi deve essere aggiornata in modo coordinato a quanto stabilito nella direttiva NIS 2.

Il più significativo è quello della durata della certificazione, che non deve superare i cinque anni, “a condizione che ogni due anni siano effettuate valutazioni della vulnerabilità”. In seguito a valutazioni negative e senza rimedio, la certificazione è annullata.    

L’archiviazione elettronica

In questo paragrafo si descrive il nuovo servizio fiduciario dell’archiviazione elettronica (e-archiving) che si affianca, alla conservazione qualificata delle firme e dei sigilli qualificati, già normata negli articoli 34 e 40 del primo regolamento eIDAS. 

In Italia l’argomento archiviazione elettronica è trattato nell’ambito della formazione, gestione e conservazione dei documenti informatici ed è molto importante, sia per la pubblica amministrazione che per i cittadini e le imprese.

Il testo del regolamento eIDAS 2.0 introduce il tema con il Considerando (66), riportato di seguito:

“(66)  Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono un’archiviazione elettronica sicura e affidabile al fine di consentire la conservazione a lungo termine di dati elettronici e documenti elettronici, nonché per i servizi fiduciari associati. Al fine di garantire la certezza giuridica, la fiducia e l’armonizzazione in tutti gli Stati membri, è opportuno istituire un quadro giuridico per i servizi di archiviazione elettronica qualificati, ispirato al quadro per gli altri servizi fiduciari di cui al presente regolamento. Il quadro giuridico per i servizi di archiviazione elettronica qualificati dovrebbe offrire ai prestatori di servizi fiduciari e agli utenti un pacchetto di strumenti efficiente che comprenda requisiti funzionali per il servizio di archiviazione elettronica, nonché chiari effetti giuridici in caso di utilizzo di un servizio di archiviazione elettronica qualificato. Tali disposizioni dovrebbero applicarsi ai documenti creati in formato digitale e ai documenti cartacei che sono stati scannerizzati e digitalizzati. Ove necessario, tali disposizioni dovrebbero consentire che i dati elettronici e i documenti elettronici conservati siano trasferiti su supporti o formati diversi al fine di estenderne la durabilità e la leggibilità oltre il periodo di validità tecnologica, evitando nel contempo, nella misura del possibile, le perdite e le alterazioni. Quando i dati elettronici e i documenti elettronici trasmessi al servizio di archiviazione elettronica contengono una o più firme elettroniche qualificate ovvero uno o più sigilli elettronici qualificati, il servizio dovrebbe utilizzare procedure e tecnologie in grado di estendere la loro affidabilità per il periodo di conservazione di tali dati, eventualmente ricorrendo all’uso di altri servizi fiduciari qualificati istituiti dal presente regolamento. Per la creazione delle prove di conservazione in caso di utilizzo di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, è opportuno utilizzare servizi fiduciari qualificati. Poiché i servizi di archiviazione elettronica non sono armonizzati dal presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni nazionali, in conformità del diritto dell’Unione, relative a tali servizi, quali disposizioni specifiche per i servizi integrati in un’organizzazione e utilizzati esclusivamente per gli “archivi interni” di tale organizzazione. Il presente regolamento non dovrebbe distinguere tra documenti creati in formato digitale e documenti fisici che sono stati digitalizzati”.

Il testo è chiaro nella descrizione dello scenario comunitario e nell’evidenziare la necessità di armonizzazione con altri servizi fiduciari qualificati. Per valutare eventuali regole comuni tra Europa e Italia è indispensabile comprendere quanto stabilito nel testo di eIDAS 2.0.

Le definizioni sono le seguenti:

“47)    “archiviazione elettronica”, un servizio che garantisce la ricezione, la conservazione, il reperimento e cancellazione dei dati e dei documenti informatici al fine di garantirne la durabilità e la leggibilità nonché preservarne l’integrità, riservatezza e prova dell’origine durante tutto il periodo di conservazione;

48)    “servizio di archiviazione elettronica qualificato”, un servizio elettronico che soddisfa i requisiti di cui all’articolo 45 undecies”.

La normativa operativa è la seguente:

“Articolo 45 decies.

Effetti giuridici dei servizi di archiviazione elettronica

1. Ai dati e ai documenti informatici conservati mediante un servizio di archiviazione elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in giudizio per il solo motivo che sono in formato elettronico o non sono conservati mediante un servizio di archiviazione elettronica qualificato.
2. I dati informatici e i documenti informatici conservati mediante un servizio di archiviazione elettronica qualificato godono della presunzione di integrità e di provenienza per tutta la durata del periodo di conservazione da parte del prestatore di servizi fiduciari qualificato.

Articolo 45 undecies

Requisiti per i servizi di archiviazione elettronica qualificata

1.  I servizi di archiviazione elettronica qualificati soddisfano i seguenti requisiti:

2.  Entro … [12 mesi dalla data di entrata in vigore del presente regolamento modificativo], la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, ove necessario, stabilisce specifiche e procedure per i servizi di archiviazione elettronica qualificati. Il rispetto dei requisiti per i servizi di archivio elettronico qualificato si presume quando un servizio di archivio elettronico qualificato soddisfa tali standard, specifiche e procedure. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.”.

La lettura del testo comunitario evidenzia l’uso della definizione di archiviazione elettronica in modo analogo a quella di conservazione.

Sul sito internet dell’Agenzia per l’Italia Digitale si descrive la conservazione come “l’attività volta a proteggere e custodire nel tempo gli archivi di documenti e dati informatici”.

Il medesimo sito prosegue la descrizione come segue:

“Il sistema di conservazione, come previsto dall’art.44 del CAD, garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici”.

L’approccio comunitario e quello nazionale hanno componenti operative sovrapposte, quindi è indispensabile definire regole chiare per evitare contraddizioni tra norme comunitarie e nazionali.

In questo scenario diventa indispensabile definire in sede di organismo di standardizzazione le regole tecniche armonizzate con quelle nazionali.

L’obiettivo finale deve essere quello di conservare, per quanto possibile, le regole nazionali mediante lo sviluppo di standard europei adeguati. L’obiettivo può essere raggiunto solo con un adeguato presidio di istituzioni e aziende sulle attività di standardizzazione.

I registri elettronici

Un altro servizio fiduciario introdotto dal regolamento eIDAS 2.0 è quello relativo ai registri elettronici.

Questo nuovo servizio ha vissuto vicende alterne, in alcuni testi intermedi era stata eliminato, per poi essere reintrodotto nelle fasi finali dell’approvazione del testo.

Si tratta di una importante innovazione perché, come vedremo nel seguito, eIDAS introduce le basi per i registri elettronici distribuiti cioè per la blockchain e gli smart contract.

Il testo approvato, a partire dalle definizioni, è mostrato di seguito:

“52) “registro elettronico”, un registro elettronico di dati a prova di manomissione, che garantisce l’autenticità e l’integrità dei dati che contiene, nonché l’accuratezza della data e l’ora e dell’ordine cronologico di tali dati.

53) “registro elettronico qualificato”, un registro elettronico di dati che soddisfa i requisiti stabiliti nell’Articolo 45 terdecies”.

SEZIONE 11

REGISTRI ELETTRONICI

Articolo 45 duodecies

Effetti giuridici dei registri elettronici

1.  A un registro elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziari per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i registri elettronici qualificati.

2.  Le registrazioni di dati contenute in un registro elettronico qualificato godono della presunzione del loro ordine cronologico sequenziale univoco e accurato e della loro integrità.

Articolo 45 terdecies

Requisiti per i registri elettronici qualificati

1.  I registri elettronici qualificati soddisfano i requisiti seguenti:

2.  Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove un registro elettronico adempia le norme, le specifiche e le procedure di cui al paragrafo 3.

3.  Entro … [12 mesi dalla data di entrata in vigore del presente regolamento modificativo] la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, se necessario, stabilisce specifiche e procedure applicabili ai requisiti di cui al paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.”.

L’articolo 45 duodecies stabilisce la validità legale del registro elettronico nel tipico stile della normativa comunitaria già applicato per le firme, i sigilli elettronici e le altre fattispecie trattate nel regolamento eIDAS vigente.

Nel secondo paragrafo dell’articolo si stabilisce che i record nel registro qualificato godono della presunzione di integrità e di ordinamente cronologico accurato ed unico. Questa regola è tipica anche nella blockchain o, in genere, nei registri elettronici distribuiti.

L’articolo 45 terdecies stabilisce i requisiti per i registri elettronici qualificati e lo fa riprendendo e ampliando i concetti della definizione.

Naturalmente, trattandosi di un servizio qualificato deve essere creato e gestito da soggetti qualificati. I record sono ordinati cronologicamente nel registro ed è stabilita l’origine di tali record, quindi ci sono attività di tracciamento delle registrazioni.

Tutte le registrazioni dei dati sono tali da garantire la loro integrità nel tempo. 

L’articolo 45 terdecies si conclude che la previsione dell’emissione da parte della Commisione di atti di esecuzione che sono di riferimento per la messa in opera dei registri elettronici.

Il tradizionale approccio comunitario, tecnologicamente neutro, non consente di inserire nel testo gli aspetti tecnici.

Le informazioni più ampie sui registri elettronici le possiamo trovare nel Considerando (68),  per la lettura del quale si rinvia al testo di eIDAS 2.0.

Questo considerando contiene una serie di spunti molto interessanti.

Il primo è sul possibile utilizzo dei registri elettronici per il voto elettronico, ma anche su possibili applicazioni di tracciamento merci e scambio di titoli accademici. La particolare tipologia applicativa dei registri elettronici che consente di registrare eventi in rigoroso ordine cronologico viene richiamata con la raccomandazione di evitare usi impropri rispetto alla validazione temporale elettronica e ai servizi elettronici di recapito certificato come la nostra PEC o la sua evoluzione REM.

Un quadro normativo comunitario serve anche ad evitare che sui dati registrati vi siano utilizzi separati all’interno del singolo Stato membro. Viene ribadito il concetto di neutralità tecnologica delle soluzioni, di possibili registri centralizzati o decentralizzati. Molto importante è anche l’approccio ambientale da realizzare con indicatori di sostenibilità “relativi agli impatti negativi sul clima e ad altri impatti negativi legati all’ambiente”. Su questi temi si invita la Commissione alla stesura di atti di esecuzione adeguati ad affrontare queste tematiche.

In conclusione possiamo dire che l’introduzione nel regolamento eIDAS dei registri elettronici come servizio fiduciario è importante vista la diffusione dei registri centralizzati o distribuiti come la blockchain e gli smart contract.

Una sfida innovativa sarà quella di definire regole di qualifica per soggetti che sfuggono alla tipologia di impresa tradizionale tipo i miners cinesi o statunitensi. Naturalmente un salto di qualità ci sarà per applicazioni governative, fintech e anche utilizzi, come accade spesso nel caso dell’innovazione digitale, imprevedibili.

Conclusioni

Come abbiamo visto il nuovo regolamento eIDAS introduce molte novità, la più importante è il Portafoglio Europeo di Identità Digitale ma a questa se ne aggiungono altre descritte in questa sede. Queste novità si coordinano con il Portafoglio Europeo e sono indispensabili per il suo funzionamento, come l’attestazione degli attributi ma anche la gestione dei dispositivi per la firma e i sigilli da remoto. Nel nostro ambito nazionale è di particolare importanza l’archiviazione elettronica, i registri elettronici saranno più chiari dopo gli atti di esecuzione comunitaria ma già possiamo dire che il loro impatto sulla gestione dei dati sarà importante.

eIDAS 2.0 è di grossa rilevanza e la sua piena messa in opera non sarà breve e facile. Gli ambiziosi obiettivi, già previsti dal primo testo di questo nuovo regolamento pubblicato il 3 giugno 2021 saranno fondamentali per un’Europa con un’identità digitale sicura, rispettosa della protezione dei dati personali e soprattutto unica, interoperabile e coordinata nel mercato interno dell’Unione.