La Firma Elettronica Avanzata (FEA) nel Regolamento UE n. 910/2014 (EIDAS)

A cura di:Giovanni Manca Ore

PREMESSA

La firma elettronica avanzata (FEA) è stata introdotta dalla direttiva 1999/93/CE come base per la firma elettronica qualificata. Questa è realizzata se alla FEA si aggiungono un cosiddetto certificato qualificato e la firma viene creata utilizzando un “dispositivo sicuro” che nei fatti è un apparato che possiede specifiche e ben determinate caratteristiche di sicurezza.

Nel vigente Codice dell’amministrazione digitale alla FEA viene attribuita una efficacia probatoria quasi uguale a quella di una firma qualificata. Questa circostanza ha determinato una elevata diffusione di soluzioni di FEA basate sulla tecnologia biometrica della sottoscrizione autografa. Il Regolamento UE 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDAS) non ha impatti sulla efficacia probatoria della normativa italiana.

Peraltro con la Decisione di Esecuzione 2015/1506 della Commissione dell’8 settembre 2015 vengono stabilite le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati (ai sensi dell’eIDAS un sigillo elettronico è definito come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”) che gli organismi del settore pubblico devono riconoscere.

Questo per garantire le regole ai fini dell’applicazione all’articolo 27, paragrafo 5 e all’articolo 37, paragrafo 5 del Regolamento eIDAS. Di quanto stabilito in questa decisione e degli impatti sull’ordinamento nazionale si parla nei paragrafi seguenti.

LA FEA NEL REGOLAMENTO EIDAS

Nel Regolamento eIDAS la FEA è introdotta nell’articolo 3, numero 11) con un rinvio immediato all’articolo 26.

Qui vengono stabiliti i requisiti che una FEA deve soddisfare:

  1. è connessa univocamente al firmatario;
  2. è idonea a identificare il firmatario;
  3. è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;
  4. è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

E’ positivo il fatto che tali requisiti siano praticamente identici a quelli della direttiva 1999/93/CE che il Regolamento eIDAS abroga dal 1 luglio 2016.

In termini di efficacia probatoria il Regolamento eIDAS non si esprime perché non competente in termini di Diritto comunitario, quindi rimane valido quanto stabilito nel CAD.

La Decisione di esecuzione 2015/1506 è cruciale per definire il quadro degli strumenti tecnici necessari ad un trattamento transfrontaliero delle firme e dei sigilli elettronici avanzati.

LA DECISIONE DI ESECUZIONE 2015/1506

Questa norma secondaria del Regolamento eIDAS è stata promulgata (come evidenziato nel considerando (1) ) in quanto “è indispensabile che gli Stati membri si dotino degli strumenti tecnici necessari al trattamento dei documenti firmati elettronicamente che sono richiesti quando si utilizza un servizio online offerto da un organismo del settore pubblico o per suo conto”.

Il Regolamento eIDAS obbliga gli Stati membri che richiedono una FEA per l’uso di un servizio online offerto da un organismo del servizio pubblico, o per suo conto, a riconoscere le firme avanzate, le firme avanzate basate su un certificato qualificato e le firme qualificate che hanno formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento.

Quanto detto per le firme deve essere applicato in modo analogo per i sigilli elettronici in quanto questi due oggetti sono simili dal punto di vista tecnico.

Ai fini dell’interoperabilità transfrontaliera in termini di verifica delle firme e dei sigilli devono essere utilizzati i formati definiti nella sopra citata Decisione della Commissione.

Ma nei casi dove per l’apposizione di una firma o di un sigillo vengano utilizzati formati di firma elettronica o di sigillo elettronico diversi da quelli comunemente supportati dal punto di vista tecnico, dovrebbero essere forniti mezzi di convalida che consentano la verifica transfrontaliera di tali firme o sigilli.

Lo Stato membro ricevente deve poter fare affidamento sugli strumenti di convalida di un altro Stato membro, quindi è necessario fornire informazioni facilmente accessibili su tali mezzi mediante l’inserimento nei documenti informatici, nelle firme o nei contenitori dei documenti elettronici. (Per i contenitori con firma associata si deve fare riferimento alla specifica tecnica ETSI TS 103 174 v.2.2.1). Infine è utile ricordare l’articolo 2, paragrafo 1 della Decisione in esame.

Gli Stati membri che richiedono una firma elettronica avanzata o una firma elettronica avanzata basata su un certificato qualificato, secondo quanto disposto dall’articolo 27, paragrafi 1 e 2, del Regolamento (UE) n. 910/2014, riconoscono formati di firma diversi da quelli di cui all’articolo 1 della presente decisione, a condizione che lo Stato membro in cui è stabilito il prestatore di servizi fiduciari utilizzato dal firmatario offra agli altri Stati membri possibilità di convalida della firma, idonee ove possibile al trattamento automatico.

Per concludere la descrizione delle specifiche tecniche si deve citare l’obbligo di riconoscimento per gli Stati membri che richiedono una FEA o una FEA basata su un certificato qualificato delle specifiche tecniche in allegato alla Decisione in esame 2015/1506. Le specifiche di FEA sono per XML, CMS o PDF al livello di conformità B. T o LT (è utile ricordare che tali livelli di conformità sono descritti nelle citate specifiche ETSI. B sta per Basic, T per Trusted time for signature existence e LT per Long Term with archive time-stamps) o tramite il già citato contenitore con firma associata. Nell’allegato della Decisione sono riportati gli estremi delle specifiche tecniche ETSI alle quali è fatto obbligo di attenersi.

CONSIDERAZIONI FINALI

Il quadro comunitario che si va a configurare è quello di una serie di regole transfrontaliere aventi lo scopo di garantire lo scambio di documenti informatici tra Stati membri con il supporto di adeguate regole di verifica delle firme e dei sigilli per l’interoperabilità.

L’efficacia probatoria della FEA stabilita nel CAD non è influenzata dalle norme UE quindi i progetti di FEA basati su tecnologie biometriche di firma grafometrica non sono influenzati dall’eIDAS. L’intercambio transfrontaliero di FEA grafometriche si scontra con una serie di problematiche di non facile soluzione.

Prima di tutto è indispensabile sottolineare il fatto che l’efficacia probatoria della FEA è di natura esclusivamente nazionale.

Lo Stato membro mittente può inviare una FEA grafometrica in Italia ma la verifica completa sarebbe possibile solamente a seguito di richiesta dell’Autorità giudiziaria (Provvedimento prescrittivo 513/2014 del Garante per la protezione dei dati personali). Questo è un limite che può essere superato mediante accordi specifici tra le parti, ma se il foro competente fosse fuori dall’Italia avremmo dei rischi in giudizio che devono essere attentamente valutati.

In ogni caso è utile sviluppare uno standard di interoperabilità europeo in ambito ETSI partendo dalle regole ISO/IEC 19794-7 per la firma biometrica. In tal modo ogni firma biometrica, nelle more della richiesta dell’Autorità giudiziaria, sarebbe verificabile con tutti gli strumenti di verifica conformi all’ipotizzato standard ETSI.

Per firme e sigilli avanzati conformi alle specifiche tecniche pubblicate nell’allegato della Decisione 2015/1506 è possibile procedere senza alcun problema tecnico o normativo fatto salvo quanto stabilito in eIDAS negli articoli 27 e 37 per i sigilli elettronici.

A cura di: Giovanni Manca, Presidente ANORC

 

Profilo Autore
Giovanni Manca

Giovanni Manca: laureato in Ingegneria Elettronica, svolge attività di consulenza sulle tematiche di dematerializzazione e sicurezza ICT. Da circa 25 anni si occupa di attività tecnologiche nel settore dell’ICT avendo spaziato nel corso degli anni dal network and system management alle infrastrutture a chiave pubblica (PKI).
Ha partecipato alla creazione della prima firma elettronica nella pubblica amministrazione, alla messa in linea del primo sito internet della fiscalità, al primo progetto pubblico di disaster recovery di dati fiscali, alla progettazione della Carta Nazionale dei Servizi e della Carta d’Identità Elettronica. Ha partecipato alla stesura delle più importanti normative tecniche sui temi dell’e-government. Attualmente è senior advisor sulle tematiche di dematerializzazione e sicurezza ICT per alcune primarie società di settore e Presidente di ANORC.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Analisi del Ddl Cybersicurezza

Analisi del Ddl Cybersicurezza

A cura di:Francesco Capparelli e Maria Rosaria De Ligio Ore Pubblicato il

Questo articolo è il primo di una serie dedicata all’analisi tecnico-giuridica del Disegno di Legge recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” approvato dal Consiglio dei Ministri lo scorso 25 gennaio e attualmente in corso di esame parlamentare. Introduzione Nell’attuale contesto geopolitico e tecnologico, la cybersicurezza si conferma come…

Intervista a Pierpaolo Alì – Forum ICT Security 2019

Intervista a Pierpaolo Alì – Forum ICT Security 2019

A cura di:Redazione Ore Pubblicato il

20° Forum ICT Security Pierpaolo Alì – Direttore per il Sud Europa per Micro Focus Cyber Security, Risk & Governance Viviamo un momento storico caratterizzato da un’incredibile accelerazione degli eventi, che modifica quotidianamente l’esposizione e il valore degli asset digitali. In questo scenario le strategie di sicurezza devono cambiare per coinvolgere l’intero ciclo di sviluppo…

Cyber safety e GDPR: in gioco i diritti e le libertà delle persone fisiche

Cyber safety e GDPR: in gioco i diritti e le libertà delle persone fisiche

A cura di:Monica A. Senor Ore Pubblicato il

Qualunque analisi in tema di sicurezza con riferimento alla normativa sulla protezione dei dati personali rimanda immediatamente alla necessità di adottare adeguati interventi di tipo informatico a protezione dei dati oggetto di trattamento. L’approccio è corretto ma, specie alla luce del nuovo Regolamento europeo in materia di protezione dei dati personali (meglio noto con l’acronimo…

Fabrizio Croce – Intervista al Forum ICT Security 2015

Fabrizio Croce – Intervista al Forum ICT Security 2015

A cura di:Redazione Ore Pubblicato il

Fabrizio Croce Area Director South Europe, WatchGuard Technologies. Fabrizio Croce anticipa quelli che saranno i prossimi security trend nell’ambito della sicurezza IT. Prosegue l’intervista descrivendo la confusione che si avverte soprattutto nelle piccole aziende sul tema delle reali minacce che li possano colpire, e come tale incertezza porti le aziende a sottovalutare il problema, tralasciando…

Remo Marini – Intervista al Forum ICT Security 2017

Remo Marini – Intervista al Forum ICT Security 2017

A cura di:Redazione Ore Pubblicato il

[video_embed video=”242219899″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”700″ height=”400″] Remo Marini, Group Head of IT & Operations Risk & Security di Generali, descrive le tecniche avanzate per la valutazione del rischio cyber. Generali ha cercato di rispondere alle richieste del mercato in merito alla valutazione del rischio cyber offrendo una serie di Tools e risposte concrete. Nello specifico…

La Direttiva NIS e il DDL Sicurezza Cibernetica: un piccolo confronto

La Direttiva NIS e il DDL Sicurezza Cibernetica: un piccolo confronto

A cura di:Federica Maria Calì e Stefano Gorla Ore Pubblicato il

Vista la crescente dipendenza della vita quotidiana e delle economie dalle tecnologie digitali, i cittadini sono sempre più esposti a gravi incidenti informatici. Per far fronte alle sfide crescenti, l’Unione Europea ha intensificato le sue attività nel settore della sicurezza informatica, promuovendo un ecosistema cibernetico sicuro e affidabile. Nel 2016 infatti l’Unione ha adottato le…