Regolamento EIDAS: digitalizzazione come strumento di comunicazione tra i Paesi UE

Manca poco ormai. Dopo una lunga attesa, entro i prossimi tre anni, il tanto sospirato Regolamento EIDAS (Electronic Identification and Signature – Electronic Trust Services)  sarà operativo a tutti gli effetti e quindi applicato a decorrere dal 1 luglio 2016.

Con effetto dalla stessa data la direttiva 1993/93/EC sarà abrogata, nel periodo di passaggio la direttiva non perderà i suoi effetti compatibilmente con le necessità di adeguamento al Regolamento.

L’obiettivo principale è senza dubbio quello di migliorare l’efficienza delle transazioni elettroniche nel mercato europeo, grazie al reciproco riconoscimento dei sistemi di autenticazione ed identificazione delle persone fisiche e giuridiche.

Il nuovo assetto regolamentare, stabilendo le linee guida per servizi fiduciari e transazioni elettroniche e, altresì, condizioni comuni per il riconoscimento reciproco dei mezzi di identificazione elettronica, mira a creare un terreno operativo omogeneo ed una interazione più diretta tra stati membri che potranno contare sul regime transfrontaliero condiviso, e sulla garanzia dell’accesso ai servizi on line offerti dagli Stati membri mediante un’identificazione e un’autenticazione sicure.

Il Regolamento offre un regime comune almeno per i servizi pubblici, ma vuole orientare gli Stati verso una scelta in tal senso anche per il settore privato. Ciò anche nella prospettiva di rafforzare la fiducia nelle transazioni elettroniche nel mercato interno, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

Le garanzie richieste dal Regolamento non possono che attestarsi su livelli di sicurezza e di competenze di adeguato valore, a cui corrispondono le responsabilità dei prestatori e dei loro servizi (che al riguardo possono distinguersi in qualificati o meno, presumendo per i primi l’acclarato possesso di determinati requisiti e la vigilanza super partes degli stessi).  Secondo quanto previsto dal Regolamento, persone ed imprese avranno la facoltà di notificare il proprio sistema all’Unione Europea, fermo restando che siano rispettati i requisiti minimi definiti dal regolamento e che sia conforme agli standard che verranno definiti da ETS (Electronic Trust Services) e Eid, incaricate di creare un background normativo in grado di offrire soluzioni elettroniche sicure per favorire l’interazione tra cittadini, imprese e autorità pubbliche.

Nel mercato unico circoleranno senza restrizioni i servizi fiduciari ritenuti conformi ed, in onore di quelli rispondenti a specifici e rigorosi requisiti,  verrà creato un marchio di fiducia UE sebbene il suo utilizzo sarà su base volontaria.

Una notevole rivoluzione dunque che vedrà protagonista, tra gli altri mezzi di identificazione e autenticazione elettronica, la tanto dibattuta firma digitale, la cui adozione su larga scala lascia presagire profondi benefici per l’intero sistema.

Tra le novità più interessanti introdotte dal Regolamento si evidenzia, oltre alla creazione e alla verifica di marche temporali/sigilli elettronici – di cui potrà essere titolare una persona giuridica  – e di servizi di posta certificata, anche la creazione e la convalida di certificati per l’autenticazione dei siti web.

I servizi di autenticazione dei siti web prevedono un mezzo tramite il quale il visitatore di un sito può accertarsi che dietro lo stesso vi sia un’entità legittima e reale. Tali servizi contribuiranno, secondo il Parlamento e il Consiglio, a diffondere sicurezza e fiducia nella transazioni commerciali on line, in quanto gli utenti si fideranno di un sito web autenticato. Il Regolamento prevede anche in tal caso l’adempimento di obblighi minimi in materia di sicurezza e responsabilità per i prestatori e per i servizi, e, anche in tal caso, pur se con il necessario conforto di livelli adeguati di garanzia, non esclude modalità alternative a quelle esistenti e conclamate per il riconoscimento degli stessi in capo agli attori interessati.

Di notevole e sicuro interesse sarà il servizio elettronico di recapito certificato che consentirà, unitamente ad un’operazione a prova di rischi in termini di sicurezza sul fronte perdita dati, furto, danni o modifiche non autorizzate, anche la produzione di prove sul trattamento dei dati trasmessi, incluso l’avvenuto invio e ricezione dei dati.  Pregevole, inoltre, il servizio elettronico di recapito qualificato certificato che forniranno i prestatori di servizi fiduciari.

Gli stati membri dell’Unione potranno fornire la propria adesione non appena saranno emanati i provvedimenti di attuazione, previsti per la seconda metà del 2015. Essi dovranno consentire il riconoscimento reciproco tra gli Stati membri dei mezzi di identificazione e autenticazione elettronica, validando un quadro comune di obblighi, responsabilità e sicurezza nella fornitura degli stessi secondo standard condivisi e capaci di garantire gli stessi effetti nelle varie realtà nazionali. Eliminare la frammentarietà e l’univoca applicazione delle tecnologie ad oggi prevalentemente territoriali dovrebbe essere la svolta in un prossimo futuro (la seconda metà del 2018 dovrebbe essere l’ultima data per l’emanazione dei provvedimenti di attuazione), ma ad una attenta lettura del Regolamento probabilmente raggiungere tale obiettivo comporterà un lavoro difficile e particolarmente ostico.