Il senso del regolamento europeo eIDAS per il nuovo Cad: un coordinamento necessario
9 Novembre 2015
Giovanni Manca, esperto di dematerializzazione e sicurezza ICT - Advisory Board Anorc
Nei prossimi mesi, come previsto nella delega al Governo per la riforma della PA, entrerà in vigore una nuova versione del Codice dell’amministrazione digitale che sarà necessariamente influenzata dal Regolamento europeo eIDAS, normativamente identificato come n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2104. Questo Regolamento è “in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE”. Il Regolamento è entrato in vigore il 17 settembre 2014 ma si applica nelle sue parti operative dal 1 luglio 2016. Alcune disposizioni particolari si applicano in tempi successivi al primo luglio 2016.
Nel presente articolo si analizzano in modo sintetico le principali regole dell’eIDAS e il loro conseguente impatto sulla normativa primaria e tecnica dell’Italia. Tale impatto è significativo poiché la normativa nazionale è molto avanzata sui temi dell’eIDAS. Inoltre la natura regolamentare europea di eIDAS ne fa una norma di rango superiore a quello nazionale. Ne consegue che le norme italiane in materia devono adattarsi in modo coordinato a quelle comunitarie.
Dove l’eIDAS ha impatti sul CAD
Il Regolamento eIDAS ha impatti sul CAD in merito a vari argomenti. Si comincia con le definizioni, per poi proseguire con i certificatori qualificati e non, le tipologie delle sottoscrizioni informatiche e dei certificati qualificati (che diventano tre: firma elettronica, sigillo elettronico e autenticazione web).
In questi settori poi cambiano le regole per l’accreditamento dei certificatori con la scomparsa del termine accreditamento e la nascita del termine “qualifica” e l’ampliamento della figura del prestatore di servizi di certificazione a quella di “prestatore di servizi fiduciari”. Quindi il certificatore accreditato per la firma qualificata diventa un prestatore di servizi fiduciari qualificato per la sottoscrizione elettronica.
Altri servizi fiduciari sono possibili. Tra questi, a puro titolo descrittivo e non esaustivo, possiamo citare i servizi di recapito certificato (una sorta di Posta Elettronica Certificata) e quelli di conservazione delle sottoscrizioni (questo servizio ha lo scopo di assicurare la verifica delle sottoscrizioni elettroniche per un lungo periodo di tempo, mentre nell’ordinamento italiano la conservazione digitale è relativa all’intero documento).
L’ampio spettro di novità che introduce il Regolamento eIDAS impone al Legislatore nazionale il coordinamento tra il Regolamento stesso e il Codice dell’amministrazione digitale. Anche le Regole Tecniche dovranno essere aggiornate.
Quali modifiche sono necessarie
La circostanza che il Regolamento eIDAS contiene elementi sia evolutivi sia innovativi impone delle scelte di coordinamento sul nuovo schema di CAD.
Non è efficace mantenere le due norme indipendenti, portare l’eIDAS nel CAD introduce inutile complessità mentre, con opportune valutazioni, il CAD si può coordinare con eIDAS.
Un metodo adeguato per il CAD può essere il seguente:
- aggiornare all’eiDAS le definizioni identiche (es.: firma elettronica);
- evitare l’inserimento nel CAD delle nuove definizioni o regole introdotte da eIDAS (es.: sigillo elettronico);
- eliminare dal CAD le definizioni identiche presenti in eIDAS (es.: firma elettronica avanzata);
- abrogare gli articoli e i commi del CAD in contraddizione con eiDAS tenendo in conto le tempistiche di attuazione di questo Regolamento e gestendo il periodo transitorio con opportuna norma (es.: la data del 1 luglio 2016);
- aggiornare una serie di regole operative per allinearle al contesto comunitario, per evitare ostacoli ad operatori internazionali nell’ambito del fondamentale equilibrio per il mercato interno dell’UE;
- aggiornare le regole di accreditamento per considerare e comprendere l’intera categoria dei prestatori di servizi fiduciari qualificati coordinando il CAD con eiDAS. Tali regole devono prestare attenzione a non creare squilibri tra i requisiti aziendali d’ingresso nazionali rispetto a quelli del mercato interno dell’UE. In altre parole non deve essere più complesso e economicamente oneroso ottenere la qualifica in Italia rispetto ad altri paesi dell’UE;
Considerato che lo schema di CAD deve essere notificato alla Commissione Europea per le materie di impatto sul mercato interno è indispensabile che il coordinamento eIDAS – CAD sia equilibrato, efficace e efficiente con il nostro ben avviato mercato di servizi fiduciari.
Dove l’eIDAS produce effetti sulle Regole Tecniche
Il Regolamento eIDAS è per sua natura tecnologicamente neutro. Le regole per la sua attuazione sono man mano stabilite in atti di esecuzione e in atti delegati emessi questi ultimi dalla Commissione sulla base di valutazioni specifiche in armonia con la valutazione degli Stati Membri.
Le Regole Tecniche devono essere considerate di natura anche organizzativa oltre che ovviamente orientate a garantire meccanismi omogenei all’interno della UE per la sicurezza e l’interoperabilità dei sistemi di sottoscrizione ovvero dei sistemi di recapito certificato o altro servizio fiduciario qualificato.
Gli atti secondari del Regolamento sono strutturati secondo una schema condiviso tra la Commissione e gli enti di standardizzazione europei CEN ed ETSI.
L’Agenzia per l’Italia Digitale (AgID) sta già operando per coordinare o aggiornare le Regole tecniche con le regole organizzative e tecnologiche stabilite da Bruxelles.
Come modificare le Regole Tecniche
Le regole tecniche da coordinare o aggiornare sono quelle contenute in una serie di DPCM o documenti AgID. Per aiutare la comprensione del lettore possiamo ad esempio, indicare che, nel contesto delle sottoscrizioni informatiche, devono essere aggiornati il DPCM 22 febbraio 2013 e la Deliberazione CNIPA 9 novembre 2009, n. 45 e successive modificazioni.
Il Legislatore tecnico deve valutare quanto inserire direttamente nei testi nazionali e quanto applicare direttamente dai numerosi (alcune decine) nuovi standard EN (norma europea) che sono in preparazione presso CEN e ETSI. I numeri degli standard sono sempre pubblicati in atti di esecuzione o atti delegati per essere obbligatori e conseguentemente efficaci nell’ordinamento nazionale dei singoli Stati membri.
Conclusioni
Il nuovo CAD, elaborato nell’ambito della delega al Governo per la riforma della Pubblica Amministrazione, deve necessariamente tenere in conto le esigenze di coordinamento comunitario, ma contemporaneamente quelle di allineamento delle regole nazionali a quelle dell’UE per evitare ostacoli o danni allo sviluppato mercato nazionale dei servizi fiduciari. Il nostro mercato nazionale è molto avanzato rispetto al resto d’Europa quindi le imprese e la PA nazionale devono mantenere il vantaggio di questa situazione.
Con questo articolo intendiamo aprire una riflessione in merito ai temi affrontati dalla nuova regolamentazione come l’identità digitale, la cooperazione e la sicurezza coordinata a livello dell’UE.