Press

Professione Economica e Sistema Sociale Testata Ufficiale del Consiglio Nazionale
dei Dottori Commercialisti e degli Esperti Contabili

Diritto

Identità digitale, le novità del Regolamento “eIDAS”

L’obiettivo è migliorare l’efficienza delle transazioni elettroniche nel Mercato Digitale Europeo mediante il reciproco riconoscimento dei sistemi di autenticazione ed identificazione

di Daniele Tumietto

Il quadro strategico europeo relativo alla digitalizzazione dei processi amministrativi incoraggia gli Stati membri a dotarsi di un assetto normativo, organizzativo e tecnologico adeguato per la gestione totalmente elettronica dell’intero ciclo degli acquisti. Il Regolamento Europeo EU/910/2014 “eIDAS” (electronic IDentification Authentication and Signature) nasce con l’obiettivo di completare il quadro normativo definito dalla Direttiva Europea 1999/93/EC sulle firme elettroniche, introducendo anche le regole relative ai servizi digitali fiduciari ed ai servizi di identificazione ed autenticazione.
In tale contesto, appare chiaro che risultava fondamentale definire il quadro giuridico di riferimento, per evitare che vi fosse la possibilità di interpretazione equivoca dei dati relativi alle persone, coprendo quindi anche le aree di identificazione ed autenticazione elettronica proprio per garantire un’interoperabilità sicura di dati e documenti, anche grazie all’introduzione di nuovi servizi fiduciari digitali.
E, proprio per questo, il Regolamento “eIDAS” cambia il contesto normativo europeo con l’introduzione di un insieme di servizi di terze parti o fiduciari (Trust Service Provider) e di servizi di identificazione ed autenticazione, creando i presupposti fondamentali per sviluppare un Mercato Digitale Europeo basato su fiducia e certezza di identificazione dei soggetti coinvolti nelle transazioni commerciali online.
L’obiettivo principale del Regolamento è quello di migliorare l’efficienza delle transazioni elettroniche nel Mercato Digitale Europeo, attuato mediante il reciproco riconoscimento dei sistemi di autenticazione ed identificazione, e si realizza grazie all’uso di un Regolamento e non di una Direttiva. Infatti, con la precedente Direttiva, la situazione che si presentava era la seguente:

Direttiva mercato digitale Europeo

Le caselle con lo sfondo verde rappresentano le norme di recepimento che ogni Stato membro dell’UE emanava autonomamente, nei limiti indicati dalla Direttiva. Questo meccanismo ha consentito in passato margini di interpretazione molto ampi, rendendo tecnicamente difficile garantire l’interoperabilità a livello europeo e, di conseguenza, il mutuo riconoscimento delle firme elettroniche qualificate pure legalmente valide. Le caselle a sfondo blu rappresentano le norme legali europee, da un lato (la Direttiva), e le norme tecniche (standard), dall’altro. Le norme tecniche sono emesse dagli enti di normalizzazione (o standardizzazione) riconosciuti dal Regolamento (UE) n.1025/2013 e possono essere nazionali, come l’UNI per l’Italia, europei come ETSI e CEN, o globali come ISO. Si evidenzia che, a Direttiva vigente, il richiamo alle norme tecniche è discrezionale per ogni Stato membro.
Lo scenario che si delinea invece con il Regolamento “eIDAS” è radicalmente modificato e, a partire dal 1° luglio 2016, la Direttiva 1999/93/CE sulle firme elettroniche e le relative norme nazionali sono abrogate ed il Regolamento è immediatamente applicabile.
Il Regolamento eIDAS stabilisce, quindi, i principi giuridici fondamentali e generali, che si ritiene siano stabili nel tempo e non richiedano modifiche frequenti, e prevede una normativa secondaria (atti delegati o di esecuzione), di competenza della Commissione, per la definizione delle regole tecniche e tecnologiche, “al fine di garantire condizioni uniformi di esecuzione” (considerando 71). È opportuno sottolineare, come indicato nel considerando 72, che, “in sede di elaborazione degli atti delegati o di esecuzione, la Commissione dovrebbe tenere debito conto delle norme e delle specifiche tecniche elaborate da organizzazioni ed organismi di normalizzazione europei ed internazionali […], al fine di assicurare un livello elevato di sicurezza ed interoperabilità dell’identificazione elettronica e dei servizi fiduciari”; e, in effetti, il Regolamento stabilisce - salvo poche eccezioni - che gli atti esecutivi siano limitati a richiamare delle norme tecniche.
La situazione che si viene a creare con l’entrata in vigore del Regolamento garantisce, dunque, da un lato, un buon grado di flessibilità; dall’altro, che siano gli stakeholder, nell’ambito degli enti di normazione, a proporre gli strumenti tecnici atti a realizzare quanto previsto dal Regolamento. Gli atti d’esecuzione sono lo strumento giuridico che riconosce formalmente che quanto specificato nelle norme tecniche realizza quanto previsto dal Regolamento. Il contesto giuridico e tecnico di riferimento che si viene a creare garantisce, quindi, l’interoperabilità e non può essere modificato da leggi nazionali.
La nuova normativa introduce, sia nel settore pubblico che nel settore privato, nuovi concetti e regole in termini di: identificazione digitale, firme elettroniche, sigilli elettronici, validazioni temporali, documenti elettronici, servizi di recapito elettronico, servizi di autenticazione, servizi di certificazione dei siti web e, più in generale, di tutti i servizi digitali in cui l’elemento fondamentale ed imprescindibile è la certezza dell’identificazione della controparte e, quindi, la fiducia verso quest’ultima.
In sintesi, le definizioni introdotte dal Regolamento “eIDAS” sono:

  • Identificazione elettronica: processo che, per il tramite dei dati di autenticazione personale, riconosce una persona fisica od una persona giuridica per accedere a servizi online;
  • Autenticazione elettronica: processo elettronico attraverso il quale viene confermata l’identificazione elettronica. L'avvio del Sistema Pubblico per la gestione dell'Identità Digitale (SPID) di cittadini ed imprese è il sistema attraverso il quale in Italia le Pubbliche Amministrazioni ed i privati sono in grado di identificare ed autenticare gli accessi ai propri servizi. Quando l’Italia notificherà alla Commissione Europea SPID, esso sarà un sistema di identificazione che, a livello europeo, potrà essere verificato grazie al mutuo riconoscimento previsto dal regolamento;
  • Firme elettroniche: più precisamente la Firma Elettronica Avanzata (FEA), che è connessa unicamente al firmatario e lo identifica. Per la sua creazione il firmatario può, con un elevato livello di sicurezza, esercitare il proprio esclusivo controllo, ed è collegata ai dati firmati con una connessione che permette di rilevare ogni successiva eventuale modifica dei dati. Inoltre è stata definita anche la Firma Elettronica Qualificata (FEQ), che possiede in aggiunta alle peculiarità di una FEA il fatto che si crea con l’uso di un dispositivo qualificato per la creazione di una firma elettronica, ed è basata su un certificato elettronico qualificato;
  • Sigillo elettronico: per certi aspetti simile alla firma elettronica, ma è apposto da una persona giuridica con l’obiettivo di garantire l’origine e l’integrità dei dati ad esso associati. Esistono due tipi di sigilli elettronici: il Sigillo Elettronico Avanzato ed il Sigillo Elettronico Qualificato, sostanzialmente simili alle definizioni delle firme elettroniche;
  • Servizi fiduciari che sono stati introdotti dal regolamento e che identificano le attività di: creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi ai predetti servizi; creazione, verifica e convalida di certificati di autenticazione di siti web; conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
    L’obiettivo del Regolamento eIDAS è quello di definire sostanzialmente i servizi fiduciari che, basati su determinati requisiti, forniscano garanzie superiori in termini di sicurezza e qualità del servizio, che viene pertanto identificato come “qualificato” e che è vigilato da Enti nazionali (Sez.2 nel Regolamento). Sono tali ad esempio, i certificatori accreditati, i conservatori accreditati ed i gestori di posta elettronica certificata già attivi in Italia.
    Il Regolamento prevede anche nuovi servizi per la creazione e verifica delle firme elettroniche per sviluppare servizi innovativi basati su firme in mobilità o remote.
    Il Regolamento eIDAS cambia in modo significativo i compiti degli organismi di vigilanza (art.17) e le modalità di mutua assistenza (art.18), fondamentali per garantire il rispetto della normativa in tutta l’Unione Europea, e rappresenta uno strumento giuridico importantissimo per aprirsi a nuovi modelli di commercio elettronico ed a nuovi mercati comunitari, incrementando l’attività di chi vorrà cogliere quest’importante innovazione.