Caccia, servizi fiduciari: “Con Eidas incertezze normative, per i ritardi del Cad”
La mancata approvazione in tempi utili del CAD porterà al risultato di una notevole incertezza in merito alle norme applicabili e lo schema di decreto disponibile non sembra affrontare in modo soddisfacente le questioni che l’applicazione del Regolamento introduce. L’Italia è il Paese europeo col numero maggiore di servizi fiduciari, che sono definiti in eIDAS e dunque per i quali si applicano le nuove
norme
30 Giugno 2016
Andrea Caccia, membro del comitato ETSI "Electronic Signatures and Infrastructues" per UNINFO
Il Regolamento (UE) n. 910/2014 “eIDAS” si applica per tutti gli aspetti relativi ai servizi fiduciari, in particolare per la firme elettroniche, a decorrere dal 1 luglio 2016. Dalla stessa data è abrogata la Direttiva sulle firme elettroniche (1999/93/CE) e, di conseguenza, essendo il regolamento di rango superiore a qualsiasi legge ordinaria, anche quelle parti del CAD che sono incompatibili, sono implicitamente abrogate.
In particolare eIDAS definisce requisiti e regole in relazione ad un preciso elenco di servizi fiduciari:
- Emissione di certificati per firme e sigilli elettronici e per autenticazione di siti web
- Validazione e conservazione di firme e sigilli elettronici
- Validazione temporale (marche temporali)
- Recapito certificato
Il Regolamento si applica solamente alle tipologie di servizio elencate, ma “non si applica alla prestazione di servizi fiduciari che sono utilizzati esclusivamente nell’ambito di sistemi chiusi contemplati dal diritto nazionale o da accordi conclusi tra un insieme definito di partecipanti”.
I servizi fiduciari possono essere qualificati o non qualificati. I servizi fiduciari non qualificati possono essere prestati senza autorizzazione preventiva, sono soggetti al rispetto dei requisiti indicati nel Regolamento all’articolo 19 e all’attività di vigilanza ex post da parte dell’organismo di vigilanza (AgID) qualora questi presuma il non rispetto dei requisiti da parte del prestatore.
I servizi fiduciari qualificati godono di forme di presunzione legale come l’equivalenza alla sottoscrizione autografa nel caso di firma elettronica qualificata. La qualificazione richiede due passaggi:
- una valutazione della conformità da parte di un organismo accreditato di valutazione della conformità, che rilascia una relazione;
- il rilascio della qualificazione da parte di un organismo di vigilanza, previa analisi della relazione ed effettuazione di tutte le ulteriori verifiche previste.
Per quanto riguarda gli organismi di valutazione della conformità, è di ieri la notizia che Accredia (ente italiano di accreditamento) che ha recentemente emesso uno specifico schema eIDAS con la circolare n. 17/2016, ha deliberato l’accreditamento dei primi organismi che sono quindi abilitati ai sensi del Regolamento. In base al Considerando 25 si chiarisce che è gli Stati membri mantengono “la libertà di definire altri tipi di servizi fiduciari oltre a quelli inseriti nell’elenco ristretto di servizi fiduciari” che possono essere così riconosciuti a livello nazionale quali servizi fiduciari qualificati.
I servizi fiduciari nazionali si caratterizzano pertanto per la condizione di non essere uno dei servizi elencati nella definizione di servizio fiduciario presente nel Regolamento e dal fatto di avere effetto solo sul territorio nazionale dello Stato membro che li introduce. Lo schema di accreditamento eIDAS consente agli organismi accreditati di produrre rapporti di valutazione della conformità anche sulla base di normative nazionali.
Da Certificatore a Prestatore di Servizi Fiduciari
Come già osservavo nel mio precedente articolo, l ’Italia è il Paese europeo col numero maggiore di servizi fiduciari (generalizzazione del termine “certificatore” del CAD vigente) già operativi prima del Regolamento eIDAS. Cosa succede ora che eIDAS diventa applicabile?
I certificatori oggi forniscono due servizi fiduciari che sono entrambi definiti in eIDAS e dunque per i quali si applicano le nuove norme (con conseguente abrogazione di tutte le norme nazionali in contrasto):
- emissione di certificati qualificati di firma elettronica, che supportano la creazione di firme elettroniche qualificate (spesso indicate semplicemente “firme digitali”): qui sostanzialmente cambia poco, nell’immediato considerato che il Regolamento concede un anno di tempo per adeguarsi ed ottenere e trasmettere ad AgID la relazione di valutazione della conformità;
- emissione di marche temporali: nella terminologia eIDAS si parla di emissione di “validazioni temporali” e si tratta di un servizio che non gode di nessuna proroga perciò dal 1 luglio è necessario che i prestatori di tali servizi ottengano la specifica qualificazione (con entrambi i passaggi indicati qui sopra, affinché le marche temporali mantengano la piena validità legale. Anche se l’AgID dovesse considerarli servizi fiduciari qualificati nazionali (in contrasto con quanto il Regolamento prevede, dunque per un periodo che non può che essere limitato nel tempo) è prevedibile che possano esserci problemi nell’utilizzo di queste marche con i software di verifica. Diversi certificatori stanno comunque procedendo rapidamente con la qualificazione presso AgID.
I servizi di conservazione accreditati
Si tratta di un esempio che ricalca fedelmente il concetto di servizio fiduciario nazionale. Ai conservatori si applica quindi la legislazione vigente e potranno beneficiare della disponibilità degli organismi di valutazione della conformità accreditati secondo lo schema eIDAS menzionato.
E la Posta Elettronica Certificata?
In questo caso la situazione non è in linea con quanto prevede il Regolamento. La PEC infatti rientra nella definizione di recapito certificato del Regolamento ma è inadeguata a coprire tutti i requisiti previsti per la qualificazione, in particolare manca l’identificazione certa del mittente e del destinatario.
Si tratterebbe dunque di un servizio fiduciario non qualificato e, come tale, non può essere oggetto di norme specifiche nazionali come la vigilanza, che diventerebbero di fatto delle barriere all’ingresso di prestatori stabiliti in altri Paesi membri dell’Unione quando la libera circolazione dei servizi è una delle ragioni principali per cui è stato introdotto il Regolamento eIDAS.
Sarà necessario pertanto procedere quanto prima all’adeguamento della PEC affinché sia possibile procedere alla qualificazione dei gestori mediante le regole previste da eIDAS per i prestatori di servizi di recapito certificato qualificato e auspicabilmente basando il nuovo servizio sulla Registered e-mail (REM) ETSI. Questo tra l’altro consentirebbe ai nostri gestori di poter vendere all’estero i propri servizi.
In conclusione purtroppo la mancata approvazione in tempi utili del CAD porterà al risultato di una notevole incertezza in merito alle norme applicabili e lo schema di decreto disponibile non sembra affrontare in modo soddisfacente le questioni che l’applicazione del Regolamento introduce.