eIDAS 2.0: tutte le novità

Questo articolo, pubblicato il 14 marzo, è stato aggiornato a seguito dell’entrata in vigore del nuovo regolamento eIDAS 2 (20 maggio 2024).

Il Portafoglio Europeo di Identità Digitale è senza dubbio il protagonista assoluto del nuovo regolamento europeo del Parlamento e del Consiglio “che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea” entrato in vigore il 20 maggio 2024 come regolamento (UE) 2024/1183.

Questo regolamento introduce ulteriori e numerose novità che è sono, anch’esse descritte nel seguito. Queste novità riguardano la presenza di nuovi servizi fiduciari ma anche una nuova impostazione su quelli che erano già presenti nella versione precedente del regolamento.

I nuovi servizi fiduciari il rilascio di attestati elettronici di attributi, la convalida di attestati elettronici di attributi, il rilascio di certificati di autenticazione di siti web e la loro convalida (sono due servizi fiduciari differenti), la gestione di dispositivi qualificati per la creazione di una firma elettronica (o un sigillo elettronico) a distanza, la convalida dei dati trasmessi tramite servizi elettronici di recapito certificato e relative prove, l’archiviazione elettronica di dati elettronici e di documenti elettronici, la registrazione di dati elettronici in un registro elettronico.

Il servizio relativo ai certificati di autenticazione dei siti web era presente anche nella prima versione del regolamento ma è stato modificato per adeguarlo ai nuovi scenari di sicurezza cibernetica e aderente al modello di governance comunitario.

I nuovi servizi fiduciari sono, in qualche modo, conseguenza dell’introduzione del Portafoglio Europeo, in quanto necessari per uno sviluppo omnicomprensivo dell’identità digitale.

Nel seguito esaminiamo sinteticamente i singoli servizi.

Il rilascio di attestati elettronici di attributi

La centralità dell’attestazione elettronica degli attributi è strettamente collegata all’identità digitale. La stessa persona fisica o giuridica agisce in rete o fuori rete con le varie istanze possibili associate alla propria identità digitale che è, ovviamente, univocamente connessa alla persona fisica. A quest’ultima associa si associano gli attestati elettronici degli attributi.

L’attributo e l’attestato (risultato dell’attestazione) sono definiti nei punti seguenti dell’articolo 3 di eIDAS 2.0:

43)    “attributo”, la caratteristica, la qualità, il diritto o l’autorizzazione di una persona fisica o giuridica o di un oggetto;

44)    “attestato elettronico di attributi”, un attestato in forma elettronica che consente l’autenticazione di attributi;

45)    “attestato elettronico di attributi qualificato”, un attestato elettronico di attributi che è rilasciato da un prestatore di servizi fiduciari qualificato e soddisfa i requisiti di cui all’allegato V.

Come si vede l’attributo può essere relativo anche ad un oggetto come accade nel cosiddetto Internet delle cose. L’attestazione elettronica può essere anche qualificata visto che si tratta di un servizio fiduciario. La definizione specifica l’abbiamo appena indicata in precedenza.

Nell’ambito operativo è importante anche la fonte autentica definita come di seguito:

46)    “fonte autentica”, un archivio o un sistema, tenuto sotto la responsabilità di un organismo del settore pubblico o di un soggetto privato, che contiene e fornisce gli attributi relativi a una persona fisica o giuridica e che è considerato una fonte primaria di tali informazioni o la cui autenticità è riconosciuta conformemente al diritto dell’Unione o nazionale, inclusa la prassi amministrativa.

Per rilasciare attestati elettronici di attributo è indispensabile disporre di fonti autentiche a maggior ragione se queste sono di natura pubblica. La normativa operativa sull’attestazione elettronica di attributi è ampia e ad essa è dedicata l’intera sezione 9. Gli articoli presenti in questa sezione sono sette, dal 45-ter al 45-nonies. A questi dobbiamo aggiungere gli allegati V, VI e VII.

Considerando la lunghezza dell’articolato, in questa sede ci concentriamo sul commento ai principali aspetti dell’attestazione di attributi.

Gli effetti giuridici e l’efficacia probatoria stabiliti nell’articolo 45-ter sono i tradizionali delle norme comunitarie, il formato elettronico è ammesso e la qualifica dell’attributo non è indispensabile in azioni giuridiche.

Gli attributi rilasciati da una fonte autentica del settore pubblico o per suo conto devono avere gli stessi effetti delle attestazioni legalmente rilasciate in formato cartaceo.

Gli attributi così rilasciati sono validi in tutti gli Stati membri.

L’articolo 45 quater è dedicato all’attestazione elettronica di attributi nel settore pubblico. I dati degli attributi non sostituiscono i dati identificativi. Questo è importante nell’uso del Portafoglio Europeo di Identità Digitale.

L’articolo 45 quinquies stabilisce le norme per i requisiti per l’attestazione elettronica di attributi. I requisiti sono nell’allegato V e le regole tecniche devono essere coordinate con quelle del Portafoglio Europeo di Identità Digitale.

L’articolo 45 sexies tratta della verifica degli attributi rispetto alle fonti autentiche. Sono qui stabilite le tempistiche di rilascio (24 mesi dall’entrata in vigore degli atti di esecuzione) per l’utilizzo da parte dei prestatori di servizi qualificati di attestazione elettronica degli attributi delle fonti autentiche pubbliche. Anche in questo caso, gli atti di esecuzione devono essere coordinati rispetto al contesto del Portafoglio e degli attributi elettronici.

L’articolo 45 septies stabilisce i requisiti per l’attestazione elettronica di attributi da o per conto di un organismo del settore pubblico responsabile di una fonte autentica.

Questi soggetti dovranno garantire elevate caratteristiche di sicurezza e dovranno possedere adeguate caratteristiche di conformità alle regole comunitarie, in maniera analoga ai soggetti qualificati.

Questo articolo prosegue con le solite norme per l’emissione di regole tecniche e si conclude con l’obbligo per i citati organismi del settore pubblico di fornire un’interfaccia con il Portafoglio Europeo di Identità Digitale, a conferma dello stretto legame tra di esso e gli attributi.

Sul piano pratico disporre di attributi qualificati significa utilizzare una patente di guida con valore legale transnazionale, un attestato di studi, una certificazione sullo stato di salute, caratteristiche della persona o la conferma legale della professione in tutta l’area di applicazione di eIDAS 2.0.

L’esattezza dei dati sarà cruciale anche per le operazioni di autocertificazione che potranno essere firmate dai cittadini con il Portafoglio, in modo gratuito. 

In questo scenario si colloca, al fianco del rilascio, il servizio fiduciario di convalida di attestati elettronici di attributi la cui crucialità è già stata evidenziata in precedenza.

Il rilascio e la convalida di certificati di autenticazione di siti web

Come già detto questi certificati erano già presenti nella prima versione del regolamento eIDAS ma il servizio fiduciario che li riguarda è stato aggiornato per renderlo adeguato al modello di governance comunitario e per imporne l’utilizzo ai browser. Questa cosa ha scatenato significative proteste oltre oceano compresa una lettera alla Commissione europea per la richiesta di modifiche al testo.

I servizi fiduciari di rilascio e convalida sono indipendenti e come tali sono due servizi.

Il certificato di autenticazione di sito web è definito come:

“un attestato elettronico che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato”.

A questo punto invitiamo il lettore alla lettura del testo completo di eIDAS 2.0 su questo servizio fiduciario, al fine di acquisire direttamente le nuove regole e avere una sua opinione diretta sulla fondatezza delle critiche citate nella parte iniziale di questo articolo.

In questa sede ci limitiamo a qualche doveroso commento.

Il primo è sulla messa in discussione da parte dei critici del modello di trust stabilito in eIDAS 2. Il modello è molto complesso ed è già vigente con le regole della Sezione III del testo. Il tutto è consolidato dalla piena applicazione del precedente regolamento; regole di qualifica dei servizi fiduciari, responsabilità degli Stati membri, vigilanza nazionale e transnazionale, collaborazione con le autorità nazionali per la protezione dei dati personali, ecc.

Riassumendo, l’attuale regolamento eIDAS segue l’approccio di un’identità digitale centralizzata di fatto rilasciata dallo Stato membro o sotto il suo controllo. Ciò significa che eIDAS agisce sul presupposto di un aggancio fiduciario per ogni identità digitale, in modo che sia sempre necessaria una terza parte affidabile che rilasci l’identità digitale. Quest’ultima, senza questo supporto governativo, non è conforme al regolamento.

Quanto esposto non significa che gli Stati membri hanno il controllo sulle transazioni effettuate dal titolare di una specifica identità ma solo che lo Stato ha la responsabilità sugli operatori pubblici e privati che applicano eIDAS 2.0.

Introdurre regole europee non imposte dai Governi ma sotto la loro responsabilità con conformità a standard operativi e di sicurezza gestiti con certificazioni e meccanismi analoghi è più rischioso delle regole totalmente private del CA/Browser Forum dove il controllato e il controllore sono la stessa cosa?

Naturalmente i giuristi potrebbero anche evidenziare (a ragione) le differenze tra Common Law e Civil Law che porta a valutazioni differenti nelle analisi di “trust” sui due mondi (USA e Regno Unito ed Europa).

La considerazione finale è sulla fiducia che deve essere riposta per il “Governo Europeo”, alla quale segue una domanda cruciale: la governance privata di Google, Mozilla e altri è migliore di quella europea?

La gestione dei dispositivi qualificati per la creazione di firme e sigilli a distanza

L’introduzione di questo servizio fiduciario (anche se, in questo caso, i servizi sono due, per firme e sigilli) è la conferma dell’importanza comunitaria della firma remota, già introdotta con successo in Italia da oltre 14 anni. L’obbligo di disporre gratuitamente di una firma elettronica qualificata sul Portafoglio Europeo (solo se lo Stato legifera in tal senso e per le persone fisiche e a scopi esclusivamente non professionali) ha reso necessario una regolamentazione aggiornata ed esplicita sul tema.

I dispositivi in esame sono quelli per la creazione di firme e sigilli alla pari di smart card e token crittografici, ma le regole di sicurezza ad essi relative non si sono mai assestate a livello comunitario e l’atto di esecuzione previsto in eIDAS 1.0 (Decisione di esecuzione 2016/650) non è mai stato aggiornato per includere i dispositivi “a distanza” ovvero i cosiddetti HSM (Hardware Security Module).

Questa nuova versione del regolamento introduce regole analoghe alle precedenti, ma più stringenti, soprattutto stabilendo in modo chiaro che la certificazione di sicurezza di questi dispositivi deve essere aggiornata in modo coordinato a quanto stabilito nella direttiva NIS 2.

Il più significativo è quello della durata della certificazione, che non deve superare i cinque anni, “a condizione che ogni due anni siano effettuate valutazioni della vulnerabilità”. In seguito a valutazioni negative e senza rimedio, la certificazione è annullata.    

La convalida dei dati trasmessi tramite servizi elettronici di recapito certificato e relative prove

Questo nuovo servizio fiduciario è da affiancare a quello già presente nella prima versione del regolamento, la prestazione di servizi elettronici di recapito certificato.

I servizi di convalida sono presenti solo nell’elenco dei servizi fiduciari, nel testo del regolamento non sono più citati e per essi non sono previsti atti di esecuzione, specifiche e procedure applicabili. Le modalità attuative per questo servizio saranno probabilmente associate ad aggiornamenti relativi ai servizi elettronici di recapito certificato anche se l’assenza della convalida come norma primaria ne limita l’azione giuridica a livello comunitario. Le prove citate nel testo sono la citazione, tecnologicamente neutra, delle ricevute dell’invio e della ricezione che abbiamo nel nostro ordinamento con la Posta Elettronica certificata.

L’archiviazione elettronica di dati elettronici e di documenti elettronici

In questo paragrafo si descrive il nuovo servizio fiduciario dell’archiviazione elettronica di dati e documenti elettronici (e-archiving), che si affianca alla conservazione qualificata delle firme e dei sigilli qualificati, già normata negli articoli 34 e 40 del primo regolamento eIDAS. 

In Italia l’argomento archiviazione elettronica è trattato nell’ambito della formazione, gestione e conservazione dei documenti informatici ed è molto importante, sia per la pubblica amministrazione che per i cittadini e le imprese.

Il testo del regolamento eIDAS 2.0 introduce il tema con il Considerando (66), riportato di seguito:

“(66)  Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono un’archiviazione elettronica sicura e affidabile al fine di consentire la conservazione a lungo termine di dati elettronici e documenti elettronici, nonché per i servizi fiduciari associati. Al fine di garantire la certezza giuridica, la fiducia e l’armonizzazione in tutti gli Stati membri, è opportuno istituire un quadro giuridico per i servizi di archiviazione elettronica qualificati, ispirato al quadro per gli altri servizi fiduciari di cui al presente regolamento. Il quadro giuridico per i servizi di archiviazione elettronica qualificati dovrebbe offrire ai prestatori di servizi fiduciari e agli utenti un pacchetto di strumenti efficiente che comprenda requisiti funzionali per il servizio di archiviazione elettronica, nonché chiar