CERTIFICARE E RAFFORZARE LA SICUREZZA DELLE INFORMAZIONI SCAMBIATE IN TRANSAZIONI DIGITALI DI OGNI TIPO, GENERANDO FIDUCIA
Nei nostri articoli su Futuro Digitale abbiamo parlato spesso di Digital Trust Services, Trust Service Providers e Qualified Trust Service Provider in relazione a temi quali identità digitale, pagamenti elettronici, firma digitale, ecc. Tuttavia, finora non ci siamo mai soffermati troppo sul significato di queste definizioni.
Lo facciamo adesso chiedendoci che caratteristiche deve possedere un Digital Trust Service per definirsi tale? Quali funzioni è chiamato a svolgere un Trust Service Provider? Cosa differenzia un Provider qualificato da uno non qualificato? Cominciamo dal principio.
L’AGENDA DIGITALE EUROPEA E LA CREAZIONE DEL MERCATO UNICO DIGITALE
Nel 2010 la Commissione Europea approvava l’Agenda Digitale Europea, uno dei pilastri che stanno alla base della più ampia Strategia Europa 2020, che pone una serie di obiettivi strategici per la crescita e lo sviluppo dell’Unione Europea.
Il principale obiettivo dell’Agenda Digitale Europea era la creazione del cosiddetto Mercato Unico Digitale (Digital Single Market): uno spazio regolato da standard, principi e regole comuni, tale da garantire la sicurezza e l’affidabilità delle transazioni digitali online tra imprese, cittadini e Amministrazioni in tutta l’Unione Europea, abbattendo i vincoli derivanti dall’applicazione di norme diverse in diversi Paesi UE.
Lo strumento con cui l’Unione Europea ha messo ordine tra la molteplicità di normative in tema di identificazione e transazioni elettroniche, rendendo possibile l’attuazione del Mercato Unico Digitale, è il Regolamento (UE) n° 910/2014 eIDAS (electronic IDentification Authentication and Signature) in vigore da luglio del 2016.
È in primo luogo il regolamento eIDAS che definisce cosa sono, cosa fanno e quali requisiti sono tenuti a rispettare i Trust Service Provider e, soprattutto, i Qualified Trust Service Provider.
TRUST SERVICES E TRUST SERVICE PROVIDERS NEL REGOLAMENTO EIDAS
Prima di eIDAS ogni Stato UE aveva regole proprie sull’emissione e il riconoscimento della validità dei certificati elettronici, che consentono di identificare e garantire l’identità di persone fisiche e persone giuridiche (imprese, aziende, enti) nelle transazioni digitali. La loro validità non era garantita al di fuori dei confini nazionali dei singoli Paesi e dipendeva dall’esistenza o meno di eventuali accordi transfrontalieri.
Il Regolamento eIDAS offre una soluzione a questo problema stabilendo uno standard di identificazione elettronica con cui dar vita a transazioni digitali sicure e agevoli in tutta Europa per mezzo di quelli che lo stesso eIDAS ha definito Digital Trust Services e Digital Trust Service Providers.
DIGITAL TRUST SERVICES
La definizione di Trust Service è offerta dall’articolo 3.16 del Regolamento eIDAS, che li descrive come:
- servizi elettronici, generalmente forniti in cambio di una remunerazione, per la creazione, verifica e convalida di firme elettroniche, sigilli elettronici o marche temporali;
- servizi per lo scambio di messaggi assimilabili alla nostra posta elettronica certificata;
- certificati relativi a tali servizi
- la creazione, verifica e convalida di certificati per l’autenticazione dei siti Web;
- la conservazione di firme elettroniche, sigilli o certificati relativi a tali servizi.
In sostanza si tratta di servizi in grado di certificare e rafforzare la sicurezza delle informazioni scambiate in transazioni digitali di ogni tipo (sottoscrizioni, pagamenti, scambi di informazioni) generando fiducia.
DIGITAL TRUST SERVICE PROVIDERS
Lo stesso articolo 3, alla sottosezione 19, di eIDAS definisce un Trust Service Provider come:
«una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore di servizi fiduciari qualificato o come prestatore di servizi fiduciari non qualificato».
QUALIFIED TRUST SERVICE PROVIDERS
Un Qualified Trust Service Provider, o fornitore di servizi fiduciari elettronici, potrà dirsi qualificato dopo esser stato riconosciuto come tale da un organismo di vigilanza (nel nostro Paese l’Agenzia per l’Italia Digitale, AgID). Per ottenere e mantenere tale riconoscimento un Qualified Trust Service Provider dovrà chiaramente soddisfare una serie di requisiti.
L’articolo 24.1 del Regolamento eIDAS prevede infatti che:
«allorché rilascia un certificato qualificato per un servizio fiduciario, un prestatore di servizi fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato».
Inoltre, sempre relativamente ai Qualified Trust Service Provider, eIDAS stabilisce 4 modalità di verifica dell’identità:
- «mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica»;
- «a distanza, mediante mezzi di identificazione elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia “significativo” o “elevato”»;
- «mediante un certificato di firma elettronica qualificata o di sigillo elettronico qualificato rilasciato a norma della lettera a) o b)»;
- «mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente sotto il profilo dell’affidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo di valutazione della conformità».
PERCHÉ SCEGLIERE DI AFFIDARSI AD UN QUALIFIED TRUST SERVICE PROVIDER
L’Unione Europea mantiene un elenco aggiornato dei provider e dei servizi qualificati: European Union Trusted Lists. Se un provider non è presente in tale elenco significa che non gli è consentito fornire servizi fiduciari qualificati.
Da un punto di vista giuridico i documenti elettronici prodotti, sottoscritti o trasmessi per mezzo di Digital Trust Services, siano essi qualificati o meno, non possono essere rifiutati in giudizio solo per il fatto di essere in forma elettronica. Tuttavia, in ragione dei requisiti più rigorosi richiesti ai Qualified Trust Service Provider, i servizi qualificati hanno un effetto giuridico più solido rispetto ai processi in cui sono applicati e, oltre che livelli di sicurezza più elevati, offrono garanzie superiori alle transazioni elettroniche e maggiori tutele per il business coinvolto.
Scegliere di affidarsi a un Qualified Trust Service Provider come InfoCert può rappresentare una scelta di importanza strategica per abilitare una trasformazione digitale sostenibile nel tempo e ridurre sensibilmente l’esposizione a rischi di ordine tecnico e, soprattutto, giuridico.
21 febbraio 2018