Il regolamento eIDAS

a) Il Regolamento UE n. 910/2014 del 23 luglio 2014

Il Regolamento UE n. 910/2014 del 23 luglio 2014, chiamato eIDAS – Eletronic IDentification And Signature (eTS electrocic Trust Service), ha la finalità di contribuire al mercato unico digitale, rafforzando la fiducia negli ambienti on line e nelle transazioni elettroniche dei consumatori, delle imprese, dei professionisti e delle pubbliche amministrazioni. L'obiettivo è un riconoscimento reciproco transfrontaliero dell'identificazione elettronica, dei documenti elettronici, delle firme elettroniche, dei servizi elettronici di recapito e l'interoperabilità dei servizi della pubblica amministrazione in tutta l'Unione Europea. È stato pubblicato il 28 agosto 2014 nella Gazzetta Ufficiale dell'Unione Europea ed è in vigore dal 17 settembre 2014. Si applica agli Stati membri dal 1 luglio 2016, data in cui è stata altresì abrogata la Direttiva 1999/93/CEE che «trattava le firme elettroniche senza tuttavia fornire un quadro trasnfrontaliero e transettoriale completo per transazioni elettroniche sicure, affidabili e di facile impiego» (Considerando n. 3). La Direttiva era stata recepita nel nostro ordinamento con la riforma del Codice dell'Amministrazione Digitale (d.lgs. 7 marzo 2005, n. 82) avvenuta con il d.lgs. 30 dicembre 2010, n. 235. Si attende in questi giorni la pubblicazione in Gazzetta Ufficiale del nuovo decreto legislativo di modifica del CAD per l'adeguamento delle disposizioni nazionali al Regolamento eIDAS, in attuazione dell'art. 1 della Legge delega 7 agosto 2015, n. 124 in materia di riorganizzazione delle amministrazioni pubbliche.

b) I Regolamenti di attuazione

Il Regolamento eIDAS stabilisce principi giuridici generali e prevede una normativa tecnica secondaria di competenza della Commissione. Di seguito le disposizioni di attuazione emanate ad oggi:

• DECISIONE DI ESECUZIONE (UE) 2015/296 della Commissione del 24 febbraio 2015 che stabilisce le modalità procedurali per la cooperazione tra Stati membri in materia di identificazione elettronica a norma dell'art. 12, par. 7, Reg. UE n. 910/2014;
• REGOLAMENTO DI ESECUZIONE (UE) 2015/806 della Commissione del 22 maggio 2015 che stabilisce le specifiche relative alla forma del marchio di fiducia UE per i servizi fiduciari qualificati;
• REGOLAMENTO DI ESECUZIONE (UE) 2015/1501 della Commissione dell'8 settembre 2015 relativo al quadro di interoperabilità di cui all'art. 12, par. 8, Reg. UE n. 910/2014;
• REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 della Commissione dell'8 settembre 2015 relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'art. 8, par. 3, Reg. (UE) n. 910/2014;
• DECISIONE DI ESECUZIONE (UE) 2015/1505 della Commissione dell'8 settembre 2015 che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all'art. 22, par. 5, Reg. UE n. 910/2014;
• DECISIONE DI ESECUZIONE (UE) 2015/1506 della Commissione dell'8 settembre 2015 che stabilisce le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all'art. 27, par. 5, e all'art. 37, par. 5, Reg. UE n. 910/2014;
• DECISIONE DI ESECUZIONE (UE) 2015/1984 della Commissione del 3 novembre 2015 che definisce le circostanze, i formati e le procedure della notifica in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno di cui all'art. 9, par. 5, Reg. UE n. 910/2014;
• DECISIONE DI ESECUZIONE (UE) 2016/650 della Commissione, del 25 aprile 2016, che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma dell'art. 30, par. 3, e dell'art. 39, par. 2, Reg. (UE) n. 910/2014.

Per identificazione elettronica si intende, a norma dell'art. 3, comma 1 Regolamento eIDAS, «il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un'unica persona fisica o giuridica, o un'unica persona fisica che rappresenta una persona giuridica».

Il Regolamento prevede tre livelli di garanzia per l'identificazione elettronica: basso, significativo ed elevato a seconda del grado di sicurezza richiesto da un servizio in riferimento all'identità del soggetto che effettua l'operazione.

In Italia, oltre ai canali di accesso tramite le Carte di identificazione, come la Carta Nazionale dei Servizi, è stato realizzato il progetto Sistema Pubblico di Identità Digitale (SPID) che necessita di ottenere la certificazione europea per essere considerato come valido strumento identificativo in tutti i paesi dell'Unione.

Sono servizi fiduciari i servizi elettronici normalmente forniti dai soggetti privati che, dietro remunerazione, si occupano di creare, verificare, convalidare e conservare firme, sigilli, validazioni temporali e certificati.

Per offrire un servizio che possa valere all'interno di tutta l'Unione Europea occorre essere servizi fiduciari qualificati, ovvero verificati e controllati dall'organismo di vigilanza nazionale e agli obblighi conseguenti che garantiscono sicurezza e qualità a norma del Regolamento.

Ad oggi ci sono già diversi certificatori che hanno ottenuto il riconoscimento di prestatore di servizio qualificato, in particolare per il servizio di firma elettronica qualificata e per quello di validazione temporale. L'elenco è reperibile sul sito dell'Agenzia per l'Italia Digitale (AGID).

Per tutti i servizi elettronici il Regolamento stabilisce due principi fondamentali: il principio di non discriminazione per la forma elettronica (o principio di neutralità tecnologica) e il principio in base al quale se un servizio elettronico possiede determinate caratteristiche a norma del Regolamento allora avrà anche determinati effetti giuridici in tutta l'Unione Europea.

1. Firme elettroniche e sigilli

Firme elettroniche, secondo il Regolamento, sono i «dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare». Può essere di tre tipologie: elettronica c.d. semplice, avanzata e qualificata.

Per “sigillo elettronico” s'intende, in sostanza, una firma elettronica di una persona giuridica e, anche in questo caso, vi sono tre ripartizioni: sigilli elettronici semplici, avanzati e qualificati.

Per “validazione temporale” s'intende il collegamento tra i dati in forma elettronica a una particolare ora e data, in modo da dimostrare che esistevano in quel dato momento storico.

Da queste definizioni vediamo delle notevoli differenze tra il sistema italiano ante riforma del CAD e il sistema europeo già in vigore dal primo luglio 2016.

In primo luogo, va ricordato che la funzione del sigillo non esisteva in Italia prima della riforma. Solo il nuovo CAD, così come risulta dal testo esaminato che è ancora in fase di pubblicazione, introduce il sigillo come servizio di firma elettronica. Il sigillo è, quindi, una firma elettronica attribuibile alla persona giuridica, come entità in sé stessa, che però non ha una vera e propria funzione di firma a meno che l'ordinamento nazionale non lo preveda. Ciò significa che avrà una funzione di identificazione dell'entità che ha sigillato quel documento e la conseguente funzione probatoria ad essa associata che, a norma di Regolamento, potrà essere utilizzata anche per «autenticare qualsiasi bene digitale della persona giuridica stessa, quali codici di software o server» (Considerando n. 65). Se sigillo elettronico qualificato, godrà della presunzione di integrità dei dati e della correttezza dell'origine degli stessi (si pensi, ad esempio, all'applicazione del sigillo per la firma delle fatture). Non avrà, invece, una funzione dichiarativa, a meno che il paese membro non preveda determinati atti in cui possa valere come tale. In Italia è noto come la funzione dichiarativa per le società sia attribuita al rappresentante legale il quale, pertanto, dovrà utilizzare la propria firma elettronica per gli atti dichiarativi riferibili alla società.

In ogni caso, la firma elettronica prevista dal Regolamento, la cui definizione cambia anche in Italia, rafforza la sua funzione dichiarativa e probatoria, e attribuisce alla firma elettronica qualificata gli stessi effetti giuridici della firma autografa. Non più quindi «un mezzo di identificazione informatica» come nella definizione del CAD ante riforma, ma un insieme di dati elettronici «utilizzati dal firmatario per firmare».

2. Validazione temporale

Come noto, ad oggi la sottoscrizione elettronica di un documento informatico non attribuisce allo stesso un riferimento temporale certo, essendo la firma associata alla data e ora mostrate dal computer al momento della sua apposizione. Tuttavia, il Regolamento prevede tra i requisiti per la convalida delle firme elettroniche qualificate anche che il certificato associato fosse «al momento della firma, un certificato qualificato di firma elettronica conforme all'allegato I».

Pertanto, le firme elettroniche qualificate emesse in conformità al Regolamento consentiranno di attestare il momento di generazione della firma all'interno del documento? Conterranno quindi una sorta di validazione temporale? Con quale validità giuridica? Per comprendere meglio questo processo occorrerà attendere le relative norme di esecuzione da parte della Commissione Europea, nonché le nuove regole tecniche che saranno emanate ex art. 71 CAD. Sarà molto interessante per il giurista seguire questa particolare evoluzione che potrebbe mutare il concetto stesso di documento informatico sottoscritto, se davvero introducesse all'interno dello stesso un riferimento temporale opponibile ai terzi.

Inoltre, mentre le firme digitali e le firme elettroniche qualificate italiane sono riconosciute ai sensi del Regolamento in tutta l'Unione Europea, le marche temporali non godono di tale riconoscimento, pur essendo giuridicamente valide a livello nazionale. Al fine di fornire un servizio di marcatura temporale che fornisca detto mutuo riconoscimento, è necessario che i certificatori accreditati, prestatori di servizi fiduciari nella terminologia europea, ottemperino a quanto prescritto nel citato Regolamento e che, pertanto, offrano un servizio di validazione temporale come ivi disciplinato.

3. Documenti elettronici e servizi di recapito certificato

Per il Regolamento un documento elettronico è «qualsiasi contenuto conservato in modalità elettronica, in particolare testo o registrazione sonora, visiva, audiovisiva». La parola “conservato” non deve trarre in inganno in quanto non è collegata alla conservazione dei documenti informatici come disciplinata in Italia dal CAD e dal d.P.C.M. 3 dicembre 2013 ma, piuttosto, si riferisce al contenuto “memorizzato” in modalità elettronica. A parere di chi scrive, infatti, la traduzione italiana del Regolamento è errata. Il legislatore europeo ha tradotto la parola “stored” con “conservato” mentre nel resto del testo “stored” è tradotto più correttamente con “memorizzato” (considerando n. 56 e art. 24, lett. f). Anche se si prova a valutare la versione francese troviamo delle differenze: viene utilizzato “stockées” nel considerando n. 56, poi “conservé” all'art. 3, definizione n. 35, e ancora con “conservées” all'art. 24, lett. f (tradotto in italiano con “memorizzato”). Anche per la versione tedesca, documento elettronico è qualsiasi contenuto memorizzato (gespeicherte) in forma elettronica e lo stesso termine è utilizzato anche nel considerando 56 e all'art. 24, lett. f). Tra i lavori preparatori troviamo che “electronic document means a document in any electronic format”.

In Italia non conosciamo il documento elettronico ma il “documento informatico” come quella rappresentazione di atti, fatti o dati giuridicamente rilevanti (art. 1, lett. p, CAD) contrapposto al documento analogico descritto per negazione (la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti - art. 1 lett. p-bis CAD).

Il nuovo CAD rivede la definizione di “documento informatico” e, per non mutare i nostri riferimenti giuridici, inserisce all'interno della stessa il riferimento al “documento elettronico”.

Di là dalle definizioni, il Regolamento stabilisce un importante principio di non discriminazione sulla base del quale «a un documento elettronico non sono negati gli effetti giuridici e l'ammissibilità come prova in procedimenti giudiziari per il solo motivo della sua forma elettronica». Questo principio sarà tradotto nel nuovo CAD, prevedendo che il documento informatico cui è apposta una firma elettronica soddisfa il requisito della forma scritta permanendo sul piano probatorio la libera valutabilità in giudizio «tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità».

Un “servizio elettronico di recapito certificato” è un «servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell'avvenuto invio e dell'avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate». Se “qualificato” deve garantire l'identificazione del mittente e del destinatario e i dati trasmessi sono muniti della presunzione di integrità.

In Italia la Posta Elettronica Certificata (PEC) soddisfa i requisiti del Regolamento per il servizio elettronico di recapito certificato ma non soddisfa tutti i requisiti per il servizio “qualificato” poiché non è prevista la verifica certa dell'identità del richiedente la casella PEC, la garanzia dell'integrità dei dati né la sottoposizione dei prestatori alle verifiche di conformità. La PEC, infatti, è solamente un sistema di comunicazione in grado di «attestare l'invio e l'avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi» (art. 1, lett. 5-bis CAD).

4. Certificati di autenticazione dei siti web

Al fine di diffondere sicurezza e fiducia nelle transazioni commerciali on line il Regolamento istituisce i servizi di autenticazione dei siti web, semplici o qualificati, che sono un «mezzo tramite il quale il visitatore di un sito può accertarsi che dietro quel sito web vi è un'entità reale e legittima» (Considerando n. 67 del Regolamento).

Il Regolamento eIDAS introduce indubbiamente notevoli vantaggi per cittadini e imprese.

Per le imprese sarà più semplice estendere la loro attività nell'Unione Europea avendo la garanzia di un'uniforme validità degli strumenti elettronici. Si pensi al caso si partecipazione ad appalti pubblici indetti da uno Stato membro, ossia alla firma di contratti con una controparte estera.

Per i cittadini, si pensi alla possibilità di inviare dichiarazioni dei redditi on line ad un altro Stato membro oppure poter iscriversi ad una università estera in modalità elettronica, oppure alla possibilità di accedere alle informazioni sanitarie di un paziente in tutta l'Unione Europea.

La fiducia nelle transazioni on line potrà essere garantita con i sistemi dei certificati di autenticazione dei siti web che assicurano all'impresa che nessuno utilizzi un nome ad essa riconducibile e al cittadino di conoscere esattamente l'entità con cui sta contrattando.

Per il giurista, chiamato ad operare con gli strumenti elettronici, il Regolamento eIDAS porta molteplici novità che dovranno essere accompagnate da una legislazione nazionale coerente. Quanto sopra riportato dovrà quindi essere letto in concerto al nuovo Codice dell'Amministrazione Digitale di cui si attende a brevissimo la pubblicazione.