Servizi di firma, eIDAS cambia le regole: ecco cosa bisogna sapere

Il Regolamento europeo eIDAS, normativamente identificato come n.910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2104 (nel seguito eIDAS) cambia le regole per i certificatori di firma qualificata. In base alla normativa italiana (derivata dal recepimento della direttiva 1999/93/CE e contenuta nel Codice dell’amministrazione digitale) un soggetto che intende svolgere l’attività di certificatore di firma qualificata presenta domanda ad AgID allegando alla domanda una serie di documenti amministrativi e tecnici. AgID esamina la documentazione e se la ritiene conforme ai requisiti normativi nazionali iscrive il soggetto richiedente in un apposito elenco pubblico. Il Regolamento sopra citato che è “ in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE” modifica le regole introducendo i prestatori di servizi fiduciari e, per essi, l’attributo di qualificato che sostituisce l’accreditamento.

In questo articolo si sintetizzano le nuove regole comunitarie e si descrive il nuovo percorso che il soggetto certificatore deve intraprendere per mantenere il suo status, in conformità alle nuove regole. E’ utile rammentare che il Regolamento è entrato in vigore il 17 settembre 2014 ma si applica nelle sue parti operative a partire dal 1 luglio 2016.

Quali sono i servizi fiduciari

I servizi fiduciari sono definiti nell’articolo 3, numero 16 dell’eIDAS. Essi sono “ un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure

b) creazione, verifica e convalida di certificati di autenticazione di siti web;

c) conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.”

La circostanza che il servizio elettronico sia fornito normalmente dietro remunerazione dipende dal fatto che le regole sono rivolte al mercato e non a gruppi privati o chiusi di servizi e utenti. I servizi che hanno requisiti e obblighi che garantiscono un elevato livello di sicurezza sono considerati qualificati. Essi sono erogati dai prestatori di servizi fiduciari qualificati.

Quando un servizio fiduciario deve essere qualificato

L’avviamento di un servizio fiduciario qualificato da parte del prestatore di servizi fiduciari non è obbligatorio, ma ad esempio per erogare servizi attinenti alla sottoscrizione elettronica, che abbiano effetti giuridici equivalenti a quelli di una firma autografa, questa deve essere una firma elettronica qualificata. Quindi il prestatore deve avviare un servizio qualificato sul tema se vuole offrire questo tipo di servizio.

La qualifica si ottiene trasmettendo una notifica all’organismo di vigilanza (in Italia è l’Agenzia per l’Italia Digitale – AgID) alla quale è allegata una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità. Se ne parla con qualche dettaglio in più nel seguito. AgID verifica le informazioni fornite e se tutto è conforme alle regole eIDAS concede la qualifica richiesta. La pubblicità legale dell’ottenimento del requisito di qualificato per i servizi richiesti è attestata da specifici elenchi di fiducia presenti in tutti gli Stati membri.

Vediamo adesso quali sono le principali regole per ottenere una o più qualifiche.

Qualche regola da applicare per ottenere la qualifica

La relazione allegata alla notifica inviata ad AgID è rilasciata da un organismo che è conforme all’articolo 2, punto 13 del Regolamento comunitario n. 765/2008 ed è accreditato, a norma di quest’ultimo Regolamento, come accreditato a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati.

L’accreditamento è, in Italia, a carico di ACCREDIA è viene valutato in base ad uno standard europeo numerato come ETSI EN 319 403 .

Una volta definiti gli organismi in grado di rilasciare attestazioni di conformità, i prestatori di servizi fiduciari devono essere conformi agli specifici standard EN relativi alla qualifica che vogliono ottenere.

A titolo esemplificativo citiamo la specifica generale sul tema numerata EN 319 401 “General policy requirements for trust service providers” ovvero i requisiti generali per le policy dei prestatori di servizi fiduciari. Per la qualifica specifica del servizio di validazione temporale elettronica lo standard al quale riferirsi è EN 319 421 “Policy and security requirements for trust service providers issuing time stamps” . Ovviamente altri standard EN sono disponibili per descrivere i requisiti indispensabili per ottenere la specifica qualifica. Un maggior livello di dettaglio su di essi è fuori dagli obiettivi del presente articolo ma se ne tratterà in prossimi specifici articoli.

Conclusioni

I soggetti prestatori di servizi fiduciari, che intendono ottenere la qualifica per uno o più servizi da loro erogati, si devono rivolgere a un organismo di conformità accreditato in Italia da ACCREDIA. Organismi accreditati in altri Stati membri con metodi conformi ad eIDAS possono rilasciare attestati perfettamente validi anche in Italia.

Nel Codice dell’amministrazione digitale l’articolo 29 deve essere abrogato in quanto non più applicabile dal 1 luglio 2016 . Il Legislatore provvederà presumibilmente nell’ambito della modifica prevista dalla Legge delega per la riforma della pubblica amministrazione. Anche la circolare AgID per l’accreditamento dei certificatori di firma digitale (n. 48 del 6 settembre 2005) perderà efficacia alla stessa data del 1 luglio 2016.

E’ utile concludere ricordando che eIDAS stabilisce alcune disposizioni transitorie. Nell’articolo 51, paragrafo 3 in particolare un prestatore di servizi di certificazione che rilascia certificati qualificati a norma della direttiva 1999/93/CE presenta una relazione di valutazione della conformità all’organismo di vigilanza quanto prima e, comunque, non oltre il 1° luglio 2017. Fino alla presentazione della suddetta relazione di valutazione della conformità e fino a che l’organismo di vigilanza non ne abbia completato la valutazione, il prestatore di servizi di certificazione è considerato un prestatore di servizi fiduciari qualificato conforme a eIDAS.

Gli altri servizi fiduciari e in particolare i servizi di validazione temporale dovranno essere qualificati entro il 1° luglio 2016.