Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

EMANATI CINQUE ATTI DI ESECUZIONE DEL REGOLAMENTO EIDAS N. 910/2014

di Daniele Tumietto e Andrea Caccia

La Commissione europea ha emanato cinque atti di Esecuzione previsti dal Regolamento UE n. 910/2014 (eIDAS) in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, pubblicati sulla Gazzetta ufficiale dell’Unione europea.

pdf-icon

 

 

Con l’emanazione del Regolamento Europeo n.910 del 23 luglio 2014 “eIDAS” che, ricordiamo, a partire dal 1° luglio 2016 sarà direttamente applicabile in tutta l’Unione Europea e abrogherà e sostituirà la Direttiva 1999/93/CE riguardante le firme elettroniche e tutte le normative nazionali di recepimento, si modifica il contesto normativo stabilito in Italia dal Codice dell’Amministrazione Digitale (CAD) con importanti novità e nuovi servizi che riguarderanno le Pubbliche Amministrazioni, le imprese, i professionisti e anche, più in generale, i cittadini. L’adozione di un nuovo strumento giuridico, un Regolamento europeo invece di una Direttiva, consente di creare un quadro giuridico relativamente alle interazioni elettroniche sicure fra aziende, cittadini e autorità pubbliche, uniforme in tutta l’Unione europea e riguarda, in particolare, l’identificazione elettronica e i servizi fiduciari, ovvero servizi a pagamento che garantiscono transazioni elettroniche sicure.

Con la Direttiva, ancora in vigore per pochi mesi, la situazione che si presenta è la seguente:

TUMIETTO_1

 

Come si vede dall’immagine le caselle con lo sfondo verde rappresentano le norme di recepimento, che ogni stato membro dell’UE emana autonomamente, nei limiti indicati dalla Direttiva. Questo meccanismo ha consentito in passato margini di interpretazione molto ampi rendendo tecnicamente molto difficile garantire l’interoperabilità a livello europeo e, di conseguenza, il mutuo riconoscimento delle firme elettroniche qualificate pure legalmente valide. Le caselle a sfondo blu rappresentano le norme legali europee da un lato (la Direttiva) e le norme tecniche (standard) dall’altro.
Le norme tecniche sono emesse dagli enti di normalizzazione (o standardizzazione) riconosciuti dal Regolamento (UE) n.1025/2013 e possono essere nazionali, come l’UNI per l’Italia, europei come ETSI e CEN, o globali come ISO. Si evidenzia che, a Direttiva vigente, il richiamo alle norme tecniche è discrezionale per ogni stato membro.

Lo scenario che si va delineando col Regolamento eIDAS è radicalmente modificato e, a partire dal 1 luglio 2016, la Direttiva 1999/93/CE sulle firme elettroniche e le relative norme nazionali sono abrogate e il Regolamento è immediatamente applicabile.
Il Regolamento eIDAS stabilisce i principi giuridici fondamentali e generali, che si ritiene siano stabili nel tempo e non richiedano modifiche frequenti, e prevede una normativa secondaria (atti delegati o di esecuzione) di competenza della Commissione per la definizione delle regole tecniche e tecnologiche “al fine di garantire condizioni uniformi di esecuzione” (considerando 71). È opportuno sottolineare, come indicato nel considerando 72 che “in sede di elaborazione degli atti delegati o di esecuzione, la Commissione dovrebbe tenere debito conto delle norme e delle specifiche tecniche elaborate da organizzazioni e organismi di normalizzazione europei e internazionali […] al fine di assicurare un livello elevato di sicurezza e interoperabilità dell’identificazione elettronica e dei servizi fiduciari” e in effetti il Regolamento stabilisce, salvo poche eccezioni, che gli atti esecutivi siano limitati a richiamare delle norme tecniche.

La situazione che si viene a creare con l’entrata in vigore del Regolamento garantisce dunque da un lato un buon grado di flessibilità, dall’altro che siano gli stakeholder, nell’ambito degli enti di normazione, a proporre gli strumenti tecnici atti a realizzare quanto previsto dal Regolamento. Gli atti d’esecuzione sono lo strumento giuridico che riconosce formalmente che quanto specificato nelle norme tecniche realizza quanto previsto dal Regolamento. Il contesto giuridico e tecnico di riferimento che si viene a creare garantisce quindi l’interoperabilità e non può essere modificato da leggi nazionali.
Analizziamo qui si seguito i primi atti di legislazione secondaria che sono stati pubblicati sulla GU dell’Unione Europea.

 

REGOLAMENTO DI ESECUZIONE (UE) 2015/806 della Commissione del 22 maggio 2015 che stabilisce le specifiche relative alla forma del marchio di fiducia UE per i servizi fiduciari qualificati
Con questo provvedimento si definisce un marchio e le relative condizioni di utilizzo, per consentire agli utilizzatori dei servizi fiduciari di distinguere chiaramente i servizi fiduciari qualificati da altri servizi, favorendo così la fiducia nei servizi online e la loro facilità d’uso, e consentendo agli stessi di beneficiare al meglio dei servizi fiduciari e di avvalersene consapevolmente.

 

DECISIONE DI ESECUZIONE (UE) 2015/1505 della Commissione dell’8 settembre 2015 che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all’articolo 22, paragrafo 5, del regolamento (UE) n. 910/2014
La disposizione indica che tutti gli stati devono istituire, mantenere e pubblicare gli elenchi di fiducia in un formato elaborabile e opzionalmente in un formato leggibile, comprendenti le informazioni relative ai prestatori di servizi fiduciari qualificati e ai servizi fiduciari qualificati erogati da quest’ultimi e ai servizi fiduciari qualificati da essi erogati.  Come è facilmente intuibile gli elenchi di fiducia rappresentano uno strumento fondamentale per instaurare la fiducia tra gli operatori di mercato perché consentono di distinguere, in maniera chiara e con strumenti automatici (come i software di verifica delle firme elettroniche), i prestatori qualificati da quelli che non lo sono.

La decisione UE 2015/1505 specifica come creare, mantenere e pubblicare gli elenchi di fiducia, sulla base della specifica tecnica ETSI TS 119 612, e come notificare gli stessi alla Commissione. Come richiamato dal considerando 2, le liste di fiducia sono già state introdotte con la decisione 2009/767/CE della Commissione finalizzata a semplificare l’uso transfrontaliero delle firme elettroniche nell’ambito della Direttiva Servizi (2006/123/EC). Questa decisione, però, decadrà con l’entrata in vigore del Regolamento come conseguenza dell’abrogazione della Direttiva sulle firme elettroniche.

Importanti sono i contenuti dei seguenti ulteriori considerando:

(3)    gli Stati membri sono obbligati ad istituire, mantenere e pubblicare, in modo sicuro, e in una forma adatta all’elaborazione automatica (ex art.22 del regolamento n.910/2014), elenchi di fiducia firmati (o sigillati) elettronicamente e di notificare alla Commissione gli organismi responsabili dell’istituzione degli elenchi di fiducia nazionali;
(4)    per non ingenerare equivoci tra le disposizioni del regolamento n.910/2014, (artt. 27 e 37) relativi ai prestatori di servizi fiduciari qualificati e altri prestatori di servizi di certificazione che non rilasciano certificati qualificati e forniscono servizi relativi alle firme elettroniche (ai sensi della direttiva 1999/93/CE) si ipotizza la possibilità per gli Stati membri di aggiungere, su base volontaria e a livello nazionale, servizi di fiducia diversi da quelli qualificati negli elenchi di fiducia, purché sia chiaramente indicato che non sono qualificati a norma del regolamento n.910/2014;
(5)    nel rispetto del considerando 25) del regolamento n.910/2014, gli Stati membri possono aggiungere tipi di servizi di fiducia definiti a livello nazionale diversi da quelli definiti all’art.3 par.16, purché sia chiaramente indicato che non sono qualificati a norma dello stesso.

Si può notare come la casistica individuata dai considerando (4) e (5) sia applicabile ad alcuni dei servizi previsti dal Codice dell’Amministrazione Digitale come il caso degli attuali Conservatori Accreditati che potrebbero essere considerati servizi fiduciari qualificati nazionali, portando così ad una razionalizzazione delle attività di vigilanza dell’AgID.

 

DECISIONE DI ESECUZIONE (UE) 2015/1506 della Commissione dell’8 settembre 2015 che stabilisce le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all’articolo 27, paragrafo 5, e all’articolo 37, paragrafo 5, del regolamento (UE) n. 910/2014.
Questo atto di esecuzione stabilisce i formati che gli Stati membri, che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per usufruire di un proprio servizio pubblico online, debbano riconoscere:
firme o sigilli elettronici secondo i formati indicati nell’allegato;
altri formati a condizione che lo Stato membro in cui è stabilito il prestatore di servizi fiduciari utilizzato dal firmatario offra una procedura che permetta agli altri Stati membri di confermare la validità della firma o del sigillo adatta, ove possibile, per il trattamento automatico.
Essa si compone di 5 articoli e di un allegato in cui sono dettagliati i riferimenti ai formati per i quali ricorre l’obbligo di riconoscimento:
specifiche tecniche per le firme ed i sigilli elettronici:

  • profilo di base XAdES definito in ETSI TS 103171 v.2.1.1 generalmente utilizzato per dati in formato XML;
  • profilo di base CAdES definito in ETSI TS 103173 v.2.2.1 (cosiddetto P7M) per dati in qualsiasi formato;
  • profilo di base PAdES definito in ETSI TS 103172 v.2.2.2 per dati in formato PDF.

Specifiche relative al contenitore con firma o sigillo elettronico associato:

  • profilo di base del contenitore con firma associata definito in ETSI TS 103174 v.2.2.1 per dati strutturati in contenitori come i file ZIP.

Da notare che le specifiche tecniche indicate saranno presumibilmente sostituite entro qualche mese con alcune norme europee che in questo momento sono nella fase di approvazione finale, in particolare EN 319 122 per il formato CAdES, EN 319 132 per il formato XAdES, EN 319 142 per il formato PAdES e EN 319 162 per i contenitori con firma o sigillo associato.
Importanti sono i contenuti dei seguenti considerando:

(2)    gli Stati membri che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per l’uso di un servizio online offerto da un organismo del settore pubblico, o per suo conto, sono obbligati a riconoscere le firme e i sigilli elettronici avanzati, le firme e i sigilli elettronici avanzati basati su un certificato qualificato e le firme e i sigilli elettronici qualificati aventi formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento;
(4)    la decisione di esecuzione 2014/148/UE della Commissione ha definito una serie di formati di firma elettronica avanzata più comuni che gli stati membri sono tenuti a supportare tecnicamente, per favorire l’interoperabilità dei dati e delle procedure on line, qualora siano necessarie firme elettroniche avanzate per una procedura amministrativa online;
(5)    dato atto che firme elettroniche avanzate e sigilli elettronici avanzati sono simili dal punto di vista tecnico, le disposizioni per i formati delle firme elettroniche avanzate dovrebbero applicarsi ai formati per i sigilli elettronici avanzati;
(8)    se nei servizi pubblici di uno stato membro sono disponibili sistemi di convalida della firma elettronica (o del sigillo elettronico) idonei al loro trattamento automatico, essi dovrebbero essere rese disponibili e fornite nello Stato membro ricevente;
(9)    al fine di fornire requisiti analoghi per la convalida e accrescere la fiducia nelle possibilità di convalida offerte dagli Stati membri per formati di firma elettronica o di sigillo elettronico diversi da quelli comunemente supportati, i requisiti fissati nella presente decisione per gli strumenti di convalida derivano dai requisiti per la convalida delle firme elettroniche qualificate e dei sigilli elettronici qualificati di cui agli artt.32 e 40 del regolamento n.910/2014.

 

REGOLAMENTO DI ESECUZIONE (UE) 2015/1501 della Commissione dell’8 settembre 2015 relativo al quadro di interoperabilità di cui all’articolo 12, paragrafo 8, del regolamento (UE) n. 910/2014
Il regolamento eIDAS prevede l’istituzione di un quadro di interoperabilità relativo ai regimi nazionali di identificazione elettronica notificati alla Commissione, per la cui attuazione questo atto di esecuzione ne stabilisce i requisiti tecnici e operativi. In particolare si focalizza sull’importanza dei “nodi”, cioè punti di connessione collegati fra loro, facenti parte dell’architettura di identificazione elettronica degli Stati membri. Essi intervengono nei processi di autenticazione transfrontaliera e sono in grado di scambiare le informazioni necessarie per garantire che l’infrastruttura di identificazione elettronica nazionale di uno Stato membro possa interoperare con le infrastrutture di identificazione elettronica nazionale di altri Stati membri al fine di garantire che un mezzo di identificazione notificato possa essere accettato per l’accesso ai servizi offerti da tutti gli Stati membri.
Trattandosi di strumenti che trasmettono e ricevono dati personali, si applicano le norme in materia di protezione dei dati personali di cui alla direttiva 95/46/CE. Da notare che al posto della direttiva si applicherà il nuovo regolamento europeo in tema di protezione dei dati personali, di prossima pubblicazione, quando entrerà in vigore.
Nel caso di specie, i dati personali trasmessi tra i nodi sono conservati al solo fine di ricostruire, in caso di incidente, la sequenza dello scambio di messaggi per stabilire il luogo e la natura dell’incidente.

Si compone di 14 articoli e di un allegato in cui sono dettagliati i riferimenti all’insieme minimo di dati per una persona fisica e per una persona giuridica. Importanti sono i contenuti del considerando n. 4: la Commissione può, in cooperazione con gli Stati membri, elaborare ulteriori specifiche tecniche che forniscano dettagli sui requisiti tecnici definiti nel regolamento se l’attuazione del quadro di interoperabilità lo giustifica.

 

REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 della Commissione dell’8 settembre 2015 relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell’articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014
Il regolamento eIDAS prevede che il regime di identificazione personale di uno Stato membro possa essere notificato alla Commissione e, in questo caso, debbano essere specificati i livelli di garanzia (basso, significativo ed elevato) garantiti dai mezzi di identificazione rilasciati. Questo atto d’esecuzione ha lo scopo di assicurare che ci sia un’interpretazione uniforme dei livelli di garanzia in tutta l’Unione, permettendo di inquadrare i livelli di garanzia secondo criteri e procedure comuni.
Si compone di 2 articoli e di un allegato con le specifiche e le procedure tecniche per i livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell’ambito di un regime di identificazione elettronica notificato.

Importanti sono i contenuti dei seguenti considerando:

(1)    L’articolo 8 del regolamento (UE) n. 910/2014 prevede che un regime di identificazione elettronica notificato ai sensi dell’articolo 9, paragrafo 1, specifichi i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione elettronica rilasciati nell’ambito di detto regime.
(2)    La determinazione di specifiche, norme e procedure tecniche minime è essenziale per assicurare un’interpretazione comune dei dettagli dei livelli di garanzia e assicurare altresì, a norma dell’articolo 12, paragrafo 4, lettera b), del regolamento (UE) n. 910/2014, l’interoperabilità nella mappatura dei livelli di garanzia nazionali dei regimi di identificazione elettronica notificati in base ai livelli di garanzia di cui all’articolo 8 dello stesso.
(5)    In base al contesto in cui occorre verificare un elemento di prova dell’identità, le fonti autorevoli possono assumere varie forme, tra cui registri, documenti e organismi. Le fonti autorevoli possono variare da uno Stato membro all’altro, anche in presenza di un contesto analogo.
(6)    I requisiti per la prova e la verifica dell’identità dovrebbero tenere conto dei differenti sistemi e pratiche, garantendo allo stesso tempo un livello di garanzia sufficientemente elevato al fine di instaurare la fiducia necessaria. Pertanto l’accettazione di procedure utilizzate in precedenza per un fine diverso dal rilascio di mezzi di identificazione elettronica dovrebbe essere subordinata alla conferma della loro rispondenza ai requisiti previsti per il corrispondente livello di garanzia.
(11)    La certificazione della sicurezza delle tecnologie informatiche basata su norme internazionali è uno strumento importante per la verifica della conformità dei prodotti ai requisiti di sicurezza previsti dal presente atto di esecuzione.

In conclusione sino ad ora gli atti d’esecuzione obbligatori previsti dal Regolamento eIDAS sono stati pubblicati rispettando le tempistiche previste, ciò garantisce che l’entrata in vigore del Regolamento potrà avvenire senza ritardi.
Occorre però sottolineare che l’Italia è il Paese europeo più avanzato in termini di servizi fiduciari già operativi prima dell’emanazione del Regolamento e che questo potrà rappresentare un vantaggio competitivo purché la normativa nazionale, principalmente il Codice dell’Amministrazione Digitale, sia aggiornato ed allineato correttamente e per tempo con il quadro europeo. ©

 


Altri articoli di Daniele Tumietto

eidas FIRMA ELETTRONICA QUALIFICATA E SIGILLO ELETTRONICO QUALIFICATO: PUBBLICATE LE NORME PER VALUTARE LA SICUREZZA DEI PRODOTTI DELLE TECNOLOGIE DELLE INFORMAZIONI
di Daniele Tumietto (N. II_MMXVI)
Sono state pubblicate nella Gazzetta Ufficiale UE le norme per valutare la sicurezza dei prodotti delle tecnologie delle informazioni applicabili alla certificazione dei dispositivi per la creazione di una firma elettronica qualificata o per la creazione di un sigillo elettronico qualificato.
B2B-marketing LA FATTURA ELETTRONICA NEL B2B, UN PASSO AVANTI DECISIVO SE SARANNO MODIFICATI INCENTIVI E DATI DA TRASMETTERE
di Daniele Tumietto (N. III_MMXV)
Decreto legislativo 5 agosto 2015, n. 127. Approvato il Decreto legislativo che dà attuazione alle disposizioni contenute nell’articolo 9, comma 1, lettere d) e g), della Legge n. 23/14, prevedendo l’avvio della fattura elettronica tra privati e la trasmissione telematica dei corrispettivi, poi approvato in via definitiva con il Decreto legislativo 5 agosto 2015, n. 127 in vigore dal 2 settembre 2015.
fatturazione-elettronica_privati FATTURA ELETTRONICA TRA PRIVATI: LO SCHEMA DI DECRETO LEGISLATIVO
di Daniele Tumietto (N. II_MMXV)
Schema di decreto legislativo recante interventi di riforma del sistema tributario mediante la trasmissione telematica generalizzata delle operazioni Iva e della tracciabilità dei pagamenti in attuazione dell’articolo 9, comma 1, lettere d) e g), della legge n. 23 del 2014. La fattura elettronica e la trasmissione dei corrispettivi entrano nel b2b a partire dal 1 luglio 2016 in fase sperimentale, e dal 1 gennaio 2017 a regime, opzionale. (Articolo chiuso in redazione in data 26 giugno 2015)
eidas REGOLAMENTO EUROPEO eIDAS
di Daniele Tumietto e Andrea Caccia (N. I_MMXV)
In vigore dal 17 settembre 2014, il regolamento c.d. “eIDAS” (electronic IDentification Authentication and Signature), reca le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica e le regole comuni per le firme elettroniche, l’autenticazione web ed i relativi servizi fiduciari per le transazioni elettroniche. Opportunità e rischi per l’Italia.

 


Altri articoli di Andrea Caccia

DIRETTIVA201455UE IL FUTURO DELLA FATTURAZIONE ELETTRONICA: GLI STANDARD RICHIESTI DALLA DIRETTIVA 2014/55/UE AL CEN
di Fabio Massimi e Andrea Caccia (N. II_MMXV)
Dal 31 marzo 2015 la fattura elettronica è obbligatoria nelle transazioni commerciali con tutta la Pubblica Amministrazione italiana, una svolta epocale per il Paese che ha comportato lo sforzo congiunto di tutti gli organismi coinvolti, pubblici e privati. L’Italia, che aveva istituito l’obbligo già dal 2007, ha precorso i tempi e preparato il terreno per la normativa europea che, con la Direttiva 2014/55/UE prevede l’introduzione della fatturazione elettronica negli appalti pubblici per il mercato interno dell’Unione a partire da novembre 2018, con una proroga fino a un anno per le PA locali. La Commissione europea, come previsto dalla Direttiva, ha emesso un’apposita richiesta agli organismi di standardizzazione per lo sviluppo degli standard comunitari. Su proposta italiana ed olandese, è stato istituito il comitato CEN/PC 434 cui è stato affidato lo sviluppo di tali standard. Infine vediamo quali sono i possibili impatti tecnologici di questi standard sull’ormai consolidato processo di fatturazione elettronica adottato in Italia.
eidas REGOLAMENTO EUROPEO eIDAS
di Daniele Tumietto e Andrea Caccia (N. I_MMXV)
In vigore dal 17 settembre 2014, il regolamento c.d. “eIDAS” (electronic IDentification Authentication and Signature), reca le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica e le regole comuni per le firme elettroniche, l’autenticazione web ed i relativi servizi fiduciari per le transazioni elettroniche. Opportunità e rischi per l’Italia.
Translate »