Il regolamento europeo in materia di identificazione elettronica e servizi fiduciari. L’Italia è pronta?

Il 23 luglio 2014 il Parlamento Europeo e il Consiglio dell’Unione Europea hanno adottato il regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, abrogando al contempo la direttiva 1999/93/CE.

La portata dell’atto legislativo non si limita solo al suo valore precettivo differente dalla direttiva che abroga ma declina in versione transazionale la necessità di adottare una disciplina uniforme dell’uso di strumenti tecnologici di largo consumo. Nello specifico, il regolamento istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.

Esso si impone per l’urgenza di fornire una base comune per interazioni elettroniche sicure tra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’e-Business e del commercio elettronico, nell’Unione Europea (così il considerando n. 2 del regolamento in commento).

Al fine il regolamento propone mezzi affidabili, efficaci e più veloci per riconoscere l’identità degli utenti dei servizi on line con lo scopo di garantire il buon esito della loro determinazione espressa in un ambiente di regola “incorporeo”. L’impianto organizzativo di ciascun Stato membro soggetto alle prescrizioni del regolamento deve, cioè, assicurare il riconoscimento dell’utente elettronico ovvero la sua incontrovertibile (per quanto possibile) associazione a (per dirla come il regolamento) “una persona fisica, ad una persona giuridica o anche ad una persona fisica che rappresenta la persona giuridica”, appartenenti all’Unione o comunque identificati con sufficiente ragionevolezza mediante uno dei regimi di identificazione elettronica riconosciuto dalla Commissione europea (e inserito nell’elenco pubblico dei regimi notificati ai sensi e per gli effetti dell’art. 9 del regolamento).

Alla sicurezza degli strumenti (vecchi e nuovi) viene data la maggiore attenzione in quanto i diversi livelli stabiliti dal regolamento, ovvero quello basso, significativo ed elevato, caratterizzano l’affidabilità e la qualità degli strumenti medesimi nella misura in cui essi garantiscano il controllo e la verifica dell’identità delle persone fisiche e giuridiche che chiedono il rilascio dei mezzi di identificazione elettronica; la robustezza dei meccanismi di autenticazione; oltre che il contemperamento del rischio di uso abusivo o di alterazione dell’identità. Al livello di sicurezza è associato quindi l’effetto del mezzo utilizzato in base alle caratteristiche e alle esigenze del servizio erogato.

L’effetto giuridico però non sarà mai escluso neanche nel caso di firme elettroniche (e quindi dei sigilli elettronici e dei relativi documenti elettronici) tout court ammesse altresì alla prova nei procedimenti giudiziali.

Non v’è dubbio che la sicurezza debba essere curata quale prerequisito o precondizione della concreta usabilità dei mezzi in esame e che il ruolo di maggior rilievo a tal fine debba essere riconosciuto (o confermato) alle misure di tecniche ed organizzative adottate dai prestatori dei servizi c.d. fiduciari (ovvero i certificatori, i gestori dell’identità digitale, e/o anche i service provider) qualificati o meno (ovvero accreditati dagli organismi di vigilanza nazionali).

L’esistenza di una simile comunità (prestatori di servizi, utenti e organi di vigilanza) è imprescindibile secondo il nuovo regolamento poiché essa veicola i nuovi sistemi di comunicazione sicuri e quindi  l’interoperabilità dei medesimi e la transnazionalità dei servizi elettronici, eliminando distanze e soprattutto i consueti impedimenti ai rapporti tra stati membri, rivalutando, a livello europeo, le responsabilità dapprima solo territoriali.

Tutto ciò non certo senza un riconoscimento formale da parte della Commissione europea.

Il nostro paese arriva al regolamento con basi abbastanza consolidate e quindi con una buona esperienza nell’uso dei mezzi di identificazione elettronica affidabili e di qualità. L’iniziativa nazionale è diretta a  sfruttare al meglio, in ambito pubblico e privato, il suo attuale potenziale per arrivare al 2016 (il primo luglio 2016 è la data a decorrere dalla quale il regolamento diventa definitivamente operativo, con qualche eccezione di cui all’art. 52 dello stesso) con tutte le carte in regola.

Il progetto pilota del Sistema pubblico per la gestione dell’Identità Digitale (SPID) avviato il 9 giugno scorso sotto il presidio dell’Agenzia per l’Italia Digitale rappresenta appunto un buon esempio nel tentativo di uniformare i sistemi elettronici adibiti a servizi on line potenzialmente capaci di superare le barriere territoriali. Lo SPID si prefigge di creare un sistema aperto di soggetti pubblici e privati che, previo accreditamento dell’Agenzia per l’Italia digitale, gestisca i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e di imprese per conto delle P.A., o su richiesta degli interessati.

Esso, pur nascendo sotto gli auspici della direttiva n. 1999/93/CE, è evoluto nel rispetto dei nuovi precetti del regolamento in esame. A tal proposito l’Agid informa che “dopo l’emanazione del regolamento comunitario e-IDAS (Electronic Identity Authentication and Signature) e la notifica da parte del governo italiano del DPCM che regolamenta SPID alla Commissione europea, il sistema italiano sarà accettato dagli altri Stati membri dell’UE. Il combinato disposto dei due provvedimenti regolatori consente direalizzare l’interoperabilità del sistema SPID nel panorama tecnologico europeo. In questo quadro, SPID si basa sulle specifiche OASIS SAML v2.0 molto diffuse a livello europeo e adottate nel progetto sperimentale Stork (un progetto condiviso su larga scala da molti Paesi europei che mira a sviluppare un’infrastruttura comune per l’identità digitale, sia per le persone fisiche sia per quelle giuridiche)”. Il progetto dovrà concludersi entro aprile 2015 e al tempo dovrebbe risolvere, a livello nazionale e non, i limiti di sistemi più complessi come quelli sottesi alla carta di identità elettronica e simili che rimangono pur sempre utilizzabili, poiché SPID è tecnologicamente neutrale e indipendente da qualunque specifico device. Così come tra l’altro raccomandato dal regolamento.

Il nostro paese non solo progetta con cauta lungimiranza, ma conferma anche alcuni scenari tecnologici che il regolamento disciplina quali quelli delle firme elettroniche, avanzate e qualificate, oppure ribadisce la conformità alle modalità di gestione delle violazioni della sicurezza, e ai compiti degli organismi di vigilanza che esercitano il loro potere di controllo, a seconda dei casi, ex ante o ex post sui prestatori di servizi fiduciari qualificati e non e sui relativi servizi.

Una piacevole “sorpresa”, a meno di diverse applicazioni, proviene dalla presa di posizione del regolamento rispetto ai servizi di recapito certificati, in particolare riguardo a quelli qualificati i cui requisiti sembrerebbero rispecchiare quelli della PEC italiana e/o della PEC-ID, sempre di matrice nazionale. Quindi probabilmente al netto di una tecnologia il più uniforme possibile, le affinità dette potrebbero avvantaggiare altresì il nostro paese nell’adozione del modello europeo.

Attendiamo fiduciosi gli atti di esecuzione della Commissione o qualsiasi altra iniziativa che possa confortarci nel percorso di cambiamento.