Aggiornamento sul regolamento eIDAS, il quadro europeo per le firme elettroniche
Il Regolamento eIDAS, concepito per incoraggiare lo sviluppo degli usi digitali all'interno della comunità europea, è stato adottato dal Parlamento europeo e dal Consiglio dell'Unione europea il 23 luglio 2014.
Applicabile dal 1° luglio 2016, stabilisce una base comune per la dematerializzazione e armonizza le norme che regolano le interazioni elettroniche tra tutti gli Stati membri. In particolare, ha eliminato tutte le zone d'ombra relative al valore legale di una firma elettronica.
Quali sono i requisiti del regolamento europeo eIDAS? Come potete assicurarvi che le vostre firme elettroniche siano conformi? Perché utilizzare un fornitore di servizi di fiducia ? In questo articolo risponderemo a tutte le vostre domande!
Regolamento eIDAS: definizione
Significato di eIDAS
Il regolamento eIDAS, acronimo di Electronic Identification And Trust Services, è un insieme di norme sull' identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche all'interno della Comunità Europea.
Riguarda in particolare gli enti pubblici e i prestatori di servizi fiduciari nel mercato interno.
Obiettivi del regolamento europeo
Il regolamento mira a :
- promuovere la nascita di un mercato unico digitale rafforzando la fiducia nelle transazioni elettroniche all'interno dell'UE;
- standardizzare e chiarire le regole sull'identificazione elettronica (eID) e sui servizi fiduciari per tutti gli Stati membri;
- stabilire un quadro giuridico rigoroso e standard esigenti che conferiscano a qualsiasi firma elettronica lo stesso valore legale di una firma autografa.
La direttiva abroga la direttiva 1999/93/CE, il cui recepimento nel diritto nazionale e l'attuazione tecnica da parte degli Stati membri sono stati diversi, rallentando il previsto sviluppo degli scambi transfrontalieri. Inoltre, la direttiva si concentrava esclusivamente sulle firme elettroniche, mentre il regolamento eIDAS riguarda tutti i tipi di interazione elettronica in senso lato.
Ambito di applicazione
Il regolamento eIDAS affronta le seguenti questioni principali:
- l'interoperabilità e gli effetti giuridici dei servizi fiduciari quali :
- firme elettroniche
- marcatura temporale
- sigilli elettronici
- posta elettronica raccomandata
- emissione di certificati di autenticazione di siti web;
- qualificazione dei Trusted Service Provider (TSP);
- elaborazione di elenchi europei di fiducia di CSP e operatori qualificati;
- livelli di garanzia eID (bassi, sostanziali e alti) per l'identificazione e l'autenticazione online dei cittadini europei.
I 3 tipi di firma legale secondo eIDAS
Il regolamento eIDAS rafforza il valore legale delle firme elettroniche. Distingue due tipi principali di firma elettronica
- le firme qualificate, da un lato
- e firme non qualificate (semplici e avanzate).
Ciascuna di esse ha un utilizzo specifico, a seconda del grado di affidabilità e sicurezza richiesto.
La firma elettronica semplice
La firma semplice offre un livello di sicurezza di base, garantendo l'integrità del documento firmato. Non può garantire l'identità della persona che firma, né fornire informazioni aggiuntive come la data e l'ora della firma.
È il protocollo più utilizzato, perché è facile e veloce da configurare.
Firma elettronica avanzata
La firma avanzata aggiunge un ulteriore livello di sicurezza alla firma semplice. I dati vengono crittografati grazie a una tecnologia che li protegge e garantisce un livello di affidabilità superiore. Ciò è reso possibile da :
- un certificato digitale associato al firmatario
- un formato di firma PAdES (PDF Advanced Electronic Signatures) che la rende identificabile e visibile,
- l'autenticazione a due fattori per verificare l'identità.
Qualsiasi modifica apportata al documento dopo la firma verrà rilevata, rendendo il processo altamente sicuro.
La firma elettronica qualificata
La firma qualificata aggiunge nuove caratteristiche di sicurezza rispetto alla firma avanzata, ovvero :
- verifica visiva dell'identità del firmatario, di persona o in videoconferenza;
- l'utilizzo di un sistema di firma certificato SSCD.
Si tratta del massimo livello di sicurezza, perché solo un Trusted Service Provider può rilasciarlo, garantendo una firma sicura e unica attraverso un certificato qualificato.
Il suo sistema sicuro e complesso la rende del tutto equivalente a una firma autografa di persona.
In che modo eIDAS garantisce il valore legale di una firma elettronica?
Il regolamento eIDAS elenca diversi criteri per definire il valore legale di una firma elettronica a livello europeo:
- l' emissione di un certificato elettronico per autenticare l'identità del firmatario,
- la conformità del processo di firma elettronica e l'applicazione di elevati standard di sicurezza, attestati dalla certificazione eIDAS,
- qualsiasi firma in forma elettronica, anche se non soddisfa i requisiti di una firma elettronica qualificata, deve poter essere accettata come prova in procedimenti legali a livello europeo,
- il rispetto dell' integrità del documento firmato, che non deve essere alterato,
- i documenti elettronici devono essere conservati per dieci anni in una cassaforte elettronica sicura.
In pratica, per garantire l' affidabilità e la conformità dei servizi di firma elettronica che utilizzate, verificate che il certificato di firma elettronica sia rilasciato da un'autorità competente o da una terza parte fidata.
Una terza parte fidata è un attore della fiducia digitale, che garantisce la protezione dei dati e dei documenti elettronici scambiati tra tutti gli utenti. Deve essere in grado di fornire la prova della propria certificazione eIDAS, se richiesta dall'utente.
Questi certificati di conformità al regolamento eIDAS garantiscono il rispetto degli standard di sicurezza e riservatezza imposti da eIDAS.
💡 Non siete ancora arrivati a questo punto e vi state chiedendo come funzionano e a cosa servono le firme elettroniche? Abbiamo quello che fa per voi! Grazie a questa guida realizzata da DocuSign, saprete tutto quello che c'è da sapere sulla firma elettronica: come funziona, cosa può fare per voi, come scegliere il vostro fornitore di servizi... in una guida concisa e indispensabile per comprendere meglio la posta in gioco. Scaricatela gratuitamente:
Scelta del prestatore di servizi fiduciari
Ai sensi dell'articolo 3, comma 19, del Regolamento eIDAS, un prestatore di servizi fiduciari può essere una persona fisica o giuridica che fornisce uno o più servizi fiduciari. Può essere qualificato o non qualificato.
Quando un prestatore di servizi fiduciari qualificato rilascia un certificato qualificato per un servizio fiduciario, verifica, con mezzi appropriati e in conformità al diritto nazionale, l'identità e ogni attributo specifico della persona fisica o giuridica a cui rilascia il certificato qualificato.nazionale, l'identità e, se del caso, gli attributi specifici della persona fisica o giuridica a cui rilascia il certificato qualificato.
Un Trust Service Provider (TSP) "qualificato" deve fornire servizi fiduciari elettronici qualificati, come definito dal regolamento eIDAS. Questo è il caso di Universign, che offre servizi di firma elettronica, marcatura temporale e sigillo elettronico.
Scegliendo un PSCo, potete essere certi che i vostri documenti firmati elettronicamente abbiano un valore legale riconosciuto e che tutte le vostre transazioni digitali siano affidabili, sicure e conformi al regolamento eIDAS.
Questi operatori devono rispettare una serie di regole di sicurezza e seguire un rigoroso processo di qualificazione. Ottengono la certificazione da parte di un organismo di vigilanza, che attesta il rispetto dei requisiti del regolamento eIDAS.
In Francia, l'organismo di vigilanza nazionale è l'Agence nationale de sécurité des systèmes d'information (ANSSI), il cui ruolo è quello di attuare il regolamento e, in particolare, di garantire la qualificazione dei fornitori di servizi affidabili sul territorio francese.
FAQ: eIDAS e la firma elettronica
Il valore legale di una firma digitale è uguale a quello di una firma autografa ai sensi dell'eIDAS?
Ai sensi dell'articolo 25-2 del regolamento eIDAS, qualsiasi firma elettronica è ammissibile come prova in tribunale e ha quindi valore legale. Una firma elettronica non può essere rifiutata come prova in tribunale solo perché non è in formato autografo.
Inoltre, con una firma elettronica qualificata, che rappresenta il massimo livello possibile di sicurezza e affidabilità, "l'effetto giuridico (...) è equivalente a quello di una firma autografa".
Quando utilizzare le firme elettroniche semplici, avanzate e qualificate?
Ecco gli usi consigliati per ciascun tipo di firma elettronica:
- la firma semplice : da utilizzare in caso di bassi rischi legali o finanziari, come ad esempio contratti di locazione, contratti di lavoro, preventivi o note spese;
- la firma elettronica avanzata : da utilizzare quando il rischio di controversie è moderato, come ad esempio i contratti non soggetti a normative specifiche, come i contratti di credito, le polizze di assicurazione sulla vita, ecc.
- la firma elettronica qualificata: deve essere utilizzata quando i rischi sono elevati, per transazioni finanziarie regolamentate e/o di alto valore, o per documenti contrattuali ad alto rischio che richiedono la forma scritta come prova.
Che cos'è un'autorità di certificazione?
Un'autorità di certificazione (CA) è un'organizzazione fidata (un'azienda o un'autorità amministrativa, ad esempio) autorizzata a emettere e gestire certificati digitali per conto degli utenti.
Questi certificati garantiscono la validità, l'affidabilità e il livello di sicurezza delle firme elettroniche, in conformità al regolamento eIDAS.
Come posso riconoscere un Trusted Service Provider certificato?
Potete utilizzare il Trusted Service Provider di vostra scelta, in Francia o nell'Unione Europea.
Per le vostre firme elettroniche qualificate a livello europeo, dovete scegliere la vostra soluzione tra i Trusted Service Provider certificati, raggruppati dalla Commissione europea in liste ( European Union Trusted Lists - EUTL) e riconosciuti come affidabili da tutti gli Stati membri.
In Francia, consultate la lista fiduciaria nazionale redatta dall' ANSSI : essa elenca i fornitori di servizi fiduciari qualificati e i loro servizi fiduciari qualificati riconosciuti in Francia.