Firma elettronica digitale avanzata: requisiti, efficacia probatoria e normativa UE

La Firma Elettronica Avanzata (FEA) nel Regolamento UE n. 910/2014 (EIDAS)

La firma elettronica avanzata (FEA) è stata introdotta dalla direttiva 1999/93/CE come base per la firma elettronica qualificata. Questa è realizzata se alla FEA si aggiungono un cosiddetto certificato qualificato e la firma viene creata utilizzando un “dispositivo sicuro” che nei fatti è un apparato che possiede specifiche e ben determinate caratteristiche di sicurezza.

Nel vigente Codice dell’amministrazione digitale alla FEA viene attribuita una efficacia probatoria quasi uguale a quella di una firma qualificata. Questa circostanza ha determinato una elevata diffusione di soluzioni di FEA basate sulla tecnologia biometrica della sottoscrizione autografa. Il Regolamento UE 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDAS) non ha impatti sulla efficacia probatoria della normativa italiana.

Decisione di Esecuzione 2015/1506 e Specifiche Tecniche per la Firma Elettronica Digitale Avanzata

Peraltro con la Decisione di Esecuzione 2015/1506 della Commissione dell’8 settembre 2015 vengono stabilite le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati (ai sensi dell’eIDAS un sigillo elettronico è definito come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”) che gli organismi del settore pubblico devono riconoscere.

Questo per garantire le regole ai fini dell’applicazione all’articolo 27, paragrafo 5 e all’articolo 37, paragrafo 5 del Regolamento eIDAS. Di quanto stabilito in questa decisione e degli impatti sull’ordinamento nazionale si parla nei paragrafi seguenti.

Firma Elettronica Digitale Avanzata nel Regolamento eIDAS

Nel Regolamento eIDAS la FEA è introdotta nell’articolo 3, numero 11) con un rinvio immediato all’articolo 26.

Qui vengono stabiliti i requisiti che una FEA deve soddisfare:

  1. è connessa univocamente al firmatario;
  2. è idonea a identificare il firmatario;
  3. è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;
  4. è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

E’ positivo il fatto che tali requisiti siano praticamente identici a quelli della direttiva 1999/93/CE che il Regolamento eIDAS abroga dal 1 luglio 2016.

In termini di efficacia probatoria il Regolamento eIDAS non si esprime perché non competente in termini di Diritto comunitario, quindi rimane valido quanto stabilito nel CAD.

La Decisione di esecuzione 2015/1506 è cruciale per definire il quadro degli strumenti tecnici necessari ad un trattamento transfrontaliero delle firme e dei sigilli elettronici avanzati.

Analisi della Decisione di Esecuzione 2015/1506 per la Firma Elettronica Digitale

Questa norma secondaria del Regolamento eIDAS è stata promulgata (come evidenziato nel considerando (1) ) in quanto “è indispensabile che gli Stati membri si dotino degli strumenti tecnici necessari al trattamento dei documenti firmati elettronicamente che sono richiesti quando si utilizza un servizio online offerto da un organismo del settore pubblico o per suo conto”.

Il Regolamento eIDAS obbliga gli Stati membri che richiedono una FEA per l’uso di un servizio online offerto da un organismo del servizio pubblico, o per suo conto, a riconoscere le firme avanzate, le firme avanzate basate su un certificato qualificato e le firme qualificate che hanno formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento.

Quanto detto per le firme deve essere applicato in modo analogo per i sigilli elettronici in quanto questi due oggetti sono simili dal punto di vista tecnico.

Ai fini dell’interoperabilità transfrontaliera in termini di verifica delle firme e dei sigilli devono essere utilizzati i formati definiti nella sopra citata Decisione della Commissione.

Ma nei casi dove per l’apposizione di una firma o di un sigillo vengano utilizzati formati di firma elettronica o di sigillo elettronico diversi da quelli comunemente supportati dal punto di vista tecnico, dovrebbero essere forniti mezzi di convalida che consentano la verifica transfrontaliera di tali firme o sigilli.

Lo Stato membro ricevente deve poter fare affidamento sugli strumenti di convalida di un altro Stato membro, quindi è necessario fornire informazioni facilmente accessibili su tali mezzi mediante l’inserimento nei documenti informatici, nelle firme o nei contenitori dei documenti elettronici. (Per i contenitori con firma associata si deve fare riferimento alla specifica tecnica ETSI TS 103 174 v.2.2.1). Infine è utile ricordare l’articolo 2, paragrafo 1 della Decisione in esame.

Gli Stati membri che richiedono una firma elettronica avanzata o una firma elettronica avanzata basata su un certificato qualificato, secondo quanto disposto dall’articolo 27, paragrafi 1 e 2, del Regolamento (UE) n. 910/2014, riconoscono formati di firma diversi da quelli di cui all’articolo 1 della presente decisione, a condizione che lo Stato membro in cui è stabilito il prestatore di servizi fiduciari utilizzato dal firmatario offra agli altri Stati membri possibilità di convalida della firma, idonee ove possibile al trattamento automatico.

Per concludere la descrizione delle specifiche tecniche si deve citare l’obbligo di riconoscimento per gli Stati membri che richiedono una FEA o una FEA basata su un certificato qualificato delle specifiche tecniche in allegato alla Decisione in esame 2015/1506. Le specifiche di FEA sono per XML, CMS o PDF al livello di conformità B. T o LT (è utile ricordare che tali livelli di conformità sono descritti nelle citate specifiche ETSI. B sta per Basic, T per Trusted time for signature existence e LT per Long Term with archive time-stamps) o tramite il già citato contenitore con firma associata. Nell’allegato della Decisione sono riportati gli estremi delle specifiche tecniche ETSI alle quali è fatto obbligo di attenersi.

Considerazioni Finali

Il quadro comunitario che si va a configurare è quello di una serie di regole transfrontaliere aventi lo scopo di garantire lo scambio di documenti informatici tra Stati membri con il supporto di adeguate regole di verifica delle firme e dei sigilli per l’interoperabilità.

L’efficacia probatoria della FEA stabilita nel CAD non è influenzata dalle norme UE quindi i progetti di FEA basati su tecnologie biometriche di firma grafometrica non sono influenzati dall’eIDAS. L’intercambio transfrontaliero di FEA grafometriche si scontra con una serie di problematiche di non facile soluzione.

Prima di tutto è indispensabile sottolineare il fatto che l’efficacia probatoria della FEA è di natura esclusivamente nazionale.

Lo Stato membro mittente può inviare una FEA grafometrica in Italia ma la verifica completa sarebbe possibile solamente a seguito di richiesta dell’Autorità giudiziaria (Provvedimento prescrittivo 513/2014 del Garante per la protezione dei dati personali). Questo è un limite che può essere superato mediante accordi specifici tra le parti, ma se il foro competente fosse fuori dall’Italia avremmo dei rischi in giudizio che devono essere attentamente valutati.

In ogni caso è utile sviluppare uno standard di interoperabilità europeo in ambito ETSI partendo dalle regole ISO/IEC 19794-7 per la firma biometrica. In tal modo ogni firma biometrica, nelle more della richiesta dell’Autorità giudiziaria, sarebbe verificabile con tutti gli strumenti di verifica conformi all’ipotizzato standard ETSI.

Per firme e sigilli avanzati conformi alle specifiche tecniche pubblicate nell’allegato della Decisione 2015/1506 è possibile procedere senza alcun problema tecnico o normativo fatto salvo quanto stabilito in eIDAS negli articoli 27 e 37 per i sigilli elettronici.

A cura di: Giovanni Manca, Presidente ANORC

 

Profilo Autore

Giovanni Manca: laureato in Ingegneria Elettronica, svolge attività di consulenza sulle tematiche di dematerializzazione e sicurezza ICT. Da circa 25 anni si occupa di attività tecnologiche nel settore dell’ICT avendo spaziato nel corso degli anni dal network and system management alle infrastrutture a chiave pubblica (PKI).
Ha partecipato alla creazione della prima firma elettronica nella pubblica amministrazione, alla messa in linea del primo sito internet della fiscalità, al primo progetto pubblico di disaster recovery di dati fiscali, alla progettazione della Carta Nazionale dei Servizi e della Carta d’Identità Elettronica. Ha partecipato alla stesura delle più importanti normative tecniche sui temi dell’e-government. Attualmente è senior advisor sulle tematiche di dematerializzazione e sicurezza ICT per alcune primarie società di settore e Presidente di ANORC.

Condividi sui Social Network:

Ultimi Articoli