Il Regolamento eIDAS si pone all’interno di un più ampio framework normativo che si sta sviluppando a livello Europeo per la sicurezza informatica e la protezione dei dati (come la “Network and Information Security Directive”  e la “General Data Protection Regulation”).

Nello specifico, esso ha l’obiettivo di fissare una base normativa valida per tutti i Paesi membri, al fine di garantire transazioni elettroniche sicure e certe fra cittadini, imprese e pubbliche amministrazioni, per il tramite di servizi fiduciari e mezzi di identificazione elettronica.

Per servizio fiduciario si intende un insieme di servizi elettronici a pagamento, quali:

  • servizi di creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, servizi elettronici di recapito certificato; certificati relativi a tali servizi;
  • servizi di creazione, verifica e convalida dei certificati di autenticazione di siti web;
  • servizi di conservazione di firme; sigilli o certificati elettronici relativi a tali servizi.

Quando il servizio fiduciario soddisfa i requisiti del Regolamento eIDAS e fornisce garanzie in termini di sicurezza e qualità, allora diventa “servizio fiduciario qualificato”, ed è soggetto a vigilanza da parte di appositi organismi governativi nazionali.

Come funziona?

Il principio base è quello del mutuo riconoscimento e della reciproca accettazione di schemi di identificazione elettronica, chiamati e-ID. Questo avviene attraverso i prestatori di servizi fiduciari (Trust Service Providers – TSP) e la semplificazione dei canali di autenticazione elettronici sino ad ora utilizzati.

Quali sono i possibili benefici?

  • Per i prestatori di servizi fiduciari

Il Regolamento intenderebbe creare condizioni eque di concorrenza tra i prestatori di servizi fiduciari, che al momento, operano in un mercato con significative divergenze fra le normative nazionali, che creano incertezze giuridiche ed oneri.

  • Per le imprese

Gli obblighi di accettazione reciproca da parte degli Stati membri nella fruizione dei servizi fiduciari qualificati vogliono incentivare l’attività transfrontaliera delle imprese.

Nei rapporti con la pubblica amministrazione, sarà possibile, infatti, partecipare ad un appalto pubblico indetto da un qualche ente di un altro Stato membro, senza rischiare il blocco della firma elettronica a causa di specifici requisiti nazionali. Oppure, un’impresa potrà firmare digitalmente contratti con una controparte estera, senza rischi legali relativi a documenti elettronici o alla validazione temporale.

  • Per i cittadini

I cittadini, dal canto loro, potranno trasmettere dichiarazioni dei redditi in un altro Paese membro, iscriversi ad un’università estera, accedere alla propria cartella clinica, usufruire di numerosi servizi transfrontalieri con maggiore facilità e sicurezza.

In sintesi, il regolamento si applica a tutte le casistiche in cui “il diritto o la prassi amministrativa nazionale richiedano l’impiego di un’identificazione elettronica mediante mezzi di identificazione e autenticazione elettroniche per accedere a un servizio prestato da un organismo del settore pubblico online in uno Stato membro” (art. 6).

Il riconoscimento dei mezzi di identificazione elettronica rilasciati in un altro Stato membro avvengono se si verificano “le seguenti condizioni:

  1. i mezzi di identificazione elettronica sono rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’articolo 9;
  2. il livello di garanzia dei mezzi di identificazione elettronica corrisponde a un livello di garanzia pari o superiore al livello di garanzia richiesto dall’organismo del settore pubblico competente per accedere al servizio online in questione nel primo Stato membro, sempre che il livello di garanzia di tali mezzi di identificazione elettronica corrisponda al livello di garanzia significativo o elevato;
  3. l’organismo del settore pubblico competente usa il livello di garanzia significativo o elevato in relazione all’accesso a tale servizio online”.

L’articolo 22 prevede poi che “tutti gli Stati membri istituiscano, mantengano e pubblichino elenchi di fiducia, che includano le informazioni relative ai prestatori di servizi fiduciari qualificati per i quali sono responsabili, unitamente a informazioni relative ai servizi fiduciari qualificati da essi prestati” ed aggiunge l’obbligo di un flusso informativo verso la Commissione.

Questo processo permetterà ai prestatori di servizi fiduciari qualificati di “utilizzare il marchio di fiducia UE per presentare in modo semplice, riconoscibile e chiaro i servizi fiduciari qualificati da essi prestati” (art. 23).

Ripercorriamo le tappe del Regolamento.

Cosa è stato fatto?

  • 09.2014 – Entra in vigore il Regolamento eIDAS (Regolamento (UE) N. 910/2014 del Parlamento Europeo e del Consiglio).
  • 09.2015 – Riconoscimento volontario di eID (Electronic IDentification) notificati: strumenti per garantire un accesso sicuro ai servizi online e di effettuare transazioni elettroniche in modo più sicuro.
  • 07.2016 – Applicazione regolamento eIDAS e abrogazione Direttiva 1999/93/CEE.

Cosa rimane da fare?

  • 07.2017 –Presentazione da parte di un prestatore di servizi di certificazione (che rilascia certificati qualificati a norma della direttiva 1999/93/CE) di una relazione di valutazione della conformità all’organismo di vigilanza per essere un prestatore di servizi fiduciari qualificato.
  • 09.2018 – Riconoscimento obbligatorio transfrontaliero dei sistemi di identificazione elettronica notificati dagli Stati membri. Operatività del nodo eIDAS che costituisce il punto di connessione facente parte di un’architettura di interoperabilità dell’identificazione elettronica, realizzato in conformità con il Regolamento di esecuzione (UE) 2015/1501 della Commissione.

eidas

Fonte “Agenzia per l’Italia digitale – Presidenza del Consiglio dei Ministri”

SPID (il sistema pubblico per la gestione dell’identità digitale, di cui abbiamo parlato) è stato disegnato in linea con i requisiti del Regolamento eIDAS e rappresenta una delle iniziative trasversali della Strategia per la Crescita Digitale 2014-2020.

Le tecniche ed i protocolli su cui si basa SPID sono già stati sperimentati a livello europeo e adottate da progetti sperimentali, quali Stork e Stork II (Secure idenTity acrOss boRders linKed).