Normazione tecnica e standard: eIDAS per una industria 4.0

Il Regolamento UE/910/2014 (cosiddetto eIDAS) del 23 luglio 2014 ha ridefinito il quadro normativo delle firme elettroniche e dalle relative leggi nazionali di recepimento, che era stato introdotto dalla Direttiva Europea 1999/93/EC, ed è destinato a diventare un fondamentale punto di riferimento giuridico europeo volto a garantire la piena interoperabilità a livello comunitario non solo della firma elettronica, ma dell’insieme dei servizi fiduciari di terza parte (come il recapito elettronico certificato), e dei servizi di identificazione e di autenticazione. Ricordo che un Regolamento europeo è una norma di legge che, in base alle regole comunitarie, è direttamente applicabile senza necessità di ulteriori passaggi giuridici nei singoli Stati membri e pertanto garantisce un’uniformità di applicazione in tutto il territorio dell’Unione.

Il Regolamento eIDAS entrato in vigore il 17 settembre 2014 trova applicazione graduale a partire dal 1 luglio 2016, abrogando la Direttiva 1999/93/EC fatti salvi certificati, firme e dispositivi preesistenti, superando ogni norma a livello nazionale che viene ad essere implicitamente abrogata se in contrasto con esso.

Nell’ambito dell’evoluzione digitale che è in corso va tenuto presente che l’allineamento agli standard individuati a livello europeo, è l’unica strada sensata per evitare che i prestatori di servizi nazionali si trovino da un lato limitati a vendere i propri servizi solo nel territorio nazionale e, dall’altro lato, ad avere una contrazione del mercato domestico come conseguenza della competizione con i prestatori di servizi fiduciari digitali stranieri che potranno operare in Italia grazie ai principi di libera circolazione di prodotti e servizi, anche grazie all’entrata in vigore del Regolamento eIDAS.

Inoltre, con l’utilizzo dello strumento giuridico del Regolamento, le regole tecniche di attuazione che devono richiamare gli standard emanati dagli enti di normazione (CEN/ETSI), sono demandate ad atti di esecuzione dalla Commissione Europea che hanno iniziato ad essere emanati nel corso degli ultimi mesi.

Gli atti di esecuzione pubblicati fino ad oggi sono:

Decisione di esecuzione UE 2015/1505 (8 settembre 2015)

Stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all’art.22, par. 5 del Regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno. La decisione specifica che tutti gli stati membri devono istituire e mantenere degli elenchi di fiducia, comprendenti anche le informazioni relative ai prestatori di servizi fiduciari e ai servizi fiduciari erogati da quest’ultimi.

Com’è facilmente intuibile gli elenchi di fiducia rappresentano uno strumento fondamentale per instaurare l’affidamento tra gli operatori di mercato perché consentono di distinguere, in maniera chiara, i prestatori qualificati da quelli che non lo sono.

Decisione di esecuzione UE 2015/1506 (8 settembre 2015)

In essa sono stabilite le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli elettronici avanzati che gli organismi del settore pubblico devono riconoscere (ai sensi dell’art.27, par.5, e dell’art.37, par.5 del regolamento). Sostanzialmente in essa è indicato che gli Stati membri che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per usufruire di un proprio servizio pubblico online, devono riconoscere le firme ed i sigilli aventi formati specifici (o formati alternativi convalidati conformemente a specifici metodi di riferimento).

Nel caso la firma o il sigillo abbiano un formato diverso da quelli specificamente elencati nella decisione, lo Stato membro è comunque tenuto a riconoscerli, a condizione che sia attuata una procedura di notifica che permetta allo Stato membro di confermare la validità della firma o del sigillo emesso in un altro Stato membro.

Regolamento di esecuzione UE 2015/1501 (8 settembre 2015)

Tale atto è riferito al quadro di interoperabilità in materia di identificazione elettronica e servizi fiduciari digitali per le transazioni elettroniche nel mercato interno (ai sensi dell’art.12, par.8 del regolamento).

Nello specifico in esso si evidenzia la rilevanza dei punti di connessione collegati fra loro (nodi) facenti parte dell’architettura informatica di identificazione degli Stati membri. La loro importanza è rilevante per i processi di autenticazione transfrontaliera delle persone e, tramite essa, è possibile scambiare informazioni tra i vari nodi. Grazie a questa infrastruttura d’identificazione elettronica nazionale di uno Stato membro, si può comunicare e connettersi alle infrastrutture di identificazione elettronica nazionale di altri Stati membri senza avere problemi di identificazione.

Regolamento di esecuzione UE 2015/1502 (8 settembre 2015)

Con riferimento all’identificazione elettronica ed ai servizi fiduciari per le transazioni elettroniche nel mercato interno, in questo documento sono definite le specifiche e le relative procedure tecniche riguardanti i livelli di garanzia per i mezzi di identificazione elettronica (ai sensi dell’art.8, par.3 del regolamento).

In questo atto di esecuzione è precisato che il regime d’identificazione personale di uno Stato membro debba essere notificato alla Commissione specificando i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione rilasciati. È stato adottato allo scopo di assicurare che nei vari Stati membri ci sia un’interpretazione uniforme dei livelli di garanzia, permettendo conseguentemente d’inquadrare i livelli di garanzia secondo criteri e procedure comuni ed identificabili, oltre che verificabili.

Decisione di esecuzione UE 2016/650 (25 aprile 2016)

Per quanto riguarda l’identificazione elettronica ed i servizi fiduciari per le transazioni elettroniche nel mercato interno, sono state pubblicate nella Gazzetta Ufficiale UE le norme per valutare la sicurezza dei prodotti delle tecnologie delle informazioni applicabili alla certificazione dei dispositivi per la creazione di una Firma Elettronica Qualificata e per la creazione di un Sigillo Elettronico Qualificato. In essa sono contenute le norme da applicare per la valutazione di sicurezza dei dispositivi per la creazione di una FEQ e di un SEQ (ai sensi dell’art.30, par.3 e dell’art.39, par.2 del Regolamento).

In queste decisione è importare evidenziare alcuni richiami contenuti nei “Considerando”, inseriti prima degli articoli di questo atto di esecuzione, ed in particolare:

• gli enti di normalizzazione hanno l’incarico di elaborare le specifiche tecniche necessarie alla produzione e alla commercializzazione dei prodotti;
• ISO/IEC (International Organisation for Standardization/International Electrotechnical Commission) fissano i concetti e i principi generali in materia di sicurezza delle tecnologie dell’informazione ed il modello generale di valutazione da seguire come base per valutare le proprietà di sicurezza dei prodotti di questo settore;
• il CEN (Comitato Europeo di Normazione) ha realizzato le norme relative ai dispositivi per la creazione di una firma elettronica e di un sigillo qualificati, dove i dati per la creazione della firma elettronica o alla creazione del sigillo elettronico sono detenuti in un ambiente gestito integralmente, ma non necessariamente in via esclusiva, dall’utilizzatore;
• dato atto che diversi prestatori di servizi fiduciari offrono attualmente soluzioni per gestire i dati per la creazione di una firma elettronica per conto dei loro clienti, le certificazioni dei prodotti sono attualmente limitate ai moduli di sicurezza hardware certificati secondo diverse norme, ma non sono ancora certificati secondo i requisiti relativi ai dispositivi per la creazione di firme e sigilli qualificati;
• l’allegato della decisione fa riferimento alla norma EN 419211 (multiparte da 1 a 6) ed indica la facoltà dei fabbricanti di prodotti di utilizzare liberamente tali estensioni (ai sensi del considerando 56 del Regolamento).

Di questa decisione è importante evidenziare la sua applicazione limitata: infatti essa riguarda i dispositivi sotto il diretto controllo dell’utilizzatore degli stessi (ad esempio: smart card, token USB), e non si applica ai dispositivi di firma remota (ad esempio: HSM) che pertanto ne restano fuori.

Inoltre, come sopra indicato, la Commissione europea ha previsto l’introduzione di norme tecniche comuni per garantire l’interoperabilità delle tecnologie digitali al fine di avviare un’evoluzione tecnologica che possa rappresentare le fondamenta per la creazione di un mercato unico digitale efficace, basandosi su nuove tecnologie che si integrano tra loro in modo affidabile. Tale circostanza rappresenta l’aspetto fondamentale per promuovere ricerca ed innovazione che sviluppino un nuovo mercato digitale europeo aperto, permettendo nuove e più semplici economie di scala grazie a nuovi modelli di interoperabilità che aiutino la trasformazione delle fabbriche, avviando concretamente il progetto Industria 4.0.

Le norme aperte garantiscono l’interoperabilità richiamata prima, ma promuovono anche l’innovazione e l’abbassamento delle barriere all’ingresso nel mercato unico digitale, ad esempio per quanto riguarda l’accesso ai mezzi di comunicazione, ai dispositivi connessi (automobili, telefoni, elettrodomestici e attrezzature industriali…) che possano comunicare tra loro senza discontinuità, indipendentemente dal produttore, dal sistema operativo o dalle altre componenti tecniche utilizzate. Con questa idea l’Europa ha avviato una nuova strategia che spinge la digitalizzazione dell’industria puntando anche sull’avvio di forme di Partenariato Pubblico-Privato.

Con il programma quadro dell’Unione Europea per la ricerca e l’innovazione “Horizon 2020” è stato pianificato un forte investimento pubblico, con l’obiettivo di stimolare investimenti privati per incentivare più innovazioni e scoperte, anche partendo dalle invenzioni che dai laboratori scientifici possono poi arrivare sul mercato. Partendo dal collegamento tra ricerca ed innovazione, Horizon 2020 sta già contribuendo a raggiungere questo risultato grazie all’eccellenza scientifica ed industriale che, rimuovendo le barriere esistenti all’innovazione, rende più facile la collaborazione tra pubblico e privato mediante un nuovo approccio: lavorare insieme per attuare l’innovazione più velocemente, mediante l’introduzione di norme tecniche comuni, al fine di garantire l’interoperabilità delle tecnologie digitali utilizzate.

L’Unione europea punta in particolare a sviluppare tecnologie avanzate di produzione a valore aggiunto per le fabbriche del futuro che saranno:

• pulite,
• altamente performanti,
• rispettose dell’ambiente,
• socialmente sostenibili,

anche grazie all’iniziativa di Partenariato Pubblico-Privato attraverso cui le imprese manifatturiere europee, specialmente PMI, potranno evolversi e contrastare positivamente le pressioni concorrenziali mondiali e sviluppare tecnologie abilitanti in molti settori (anche integrandoli tra loro).

L’obiettivo è realizzare attività di ricerca e sviluppo di nuovi processi industriali di:

• produzione ad alta tecnologia, tra cui la stampa 3D e le nanotecnologie;
• produzione intelligente di sistemi quali meccatronica, robotica e fotonica;
• utilizzo efficiente delle risorse e gestione dei dati per aumentare le prestazioni della produzione;
• collaborazione tra le imprese, con fabbriche collegate in rete per creare delle vere “catene di approvvigionamento dinamiche” per la produzione;
• riprogettazione dei luoghi di lavoro, con innovativi approcci collaborativi delle risorse umane;
• produzioni focalizzate sul cliente, collegando questi ultimi ai prodotti acquistati anche con servizi innovativi ad elevato valore aggiunto;
• ottimizzazione della produzione, con un minor spreco di risorse e minore produzione di rifiuti;
• creazione di posti di lavoro attrattivi, sicuri;
• coinvolgimento, anche grazie all’innovazione della gestione delle aziende, di giovani talenti.

Appare fin troppo chiaro che senza un dialogo basato sulla interoperabilità di dati, a sua volta basata su standard internazionali, non ci potrà essere il raggiungimento dei risultati che Horizon 2020 e Industria 4.0 hanno indicato. In Italia la situazione è, a livello governativo, ancora insufficiente per quanto riguarda:

• la conoscenza dell’importanza degli standard, e
• la conseguente mancanza di una visione strategica nazionale che lanci lo sviluppo di una Industria 4.0 in modo risoluto.

Solo così sarà possibile avviare un nuovo ciclo economico in Italia che coinvolga tutti i partner industriali e non di tutti i vari settori produttivi.

In tutto questo panorama il Regolamento eIDAS rappresenta un punto di partenza fondamentatale da conoscere e da attuare, senza pensare che le soluzioni realizzate in passato (basate su standard solo nazionali come PEC Posta Elettronica Certificata e SPID Sistema Pubblico d’Identità Digitale) possono continuare ad esistere ed avere un futuro anche in Europa.