Regolamento eIDAS: nuove norme europee per rafforzare la fiducia negli ambienti online e nelle transazioni elettroniche.

Pillola normativa eIDAS

A proposito del Regolamento eIDAS n. 910/2014 si è recentemente pronunciato Roberto Viola, Direttore Generale della DG Connect (Commissione europea), affermando che “grazie alla sua natura intrinsecamente trasformativa, eIDAS è certamente un facilitatore nella realizzazione di un vero mercato unico digitale, ma rimane ancora molta strada da percorrere”. Il Regolamento in questione, pubblicato il 28 agosto 2014 nella Gazzetta Ufficiale dell’Unione Europea e in vigore dal 17 settembre 2014, verrà applicato a partire dal 1 luglio 2016 e contribuirà al mercato unico digitale creando le condizioni adatte per il riconoscimento reciproco transfrontaliero di funzioni essenziali quali l’identificazione elettronica, i documenti elettronici, le firme elettroniche e i servizi elettronici di recapito, nonché per l’interoperabilità dei servizi di eGovernment in tutta l’Unione europea.

GLI OBBIETTIVI DEL REGOLAMENTO EUROPEO eIDAS

Il nuovo Regolamento eIDAS vuole rafforzare la fiducia di consumatori, imprese, autorità pubbliche e professionisti negli ambienti online e nelle transazioni elettroniche. È infatti la mancanza di fiducia, dovuta per lo più a una percepita assenza di certezza giuridica, a scoraggiare maggiormente gli utenti dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi. Contro tale mancanza di fiducia eIDAS mira a fornire all’Europa una base normativa comune per realizzare interazioni elettroniche sicure e migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’e-Business e del commercio elettronico, nell’Unione Europea.

I principali ostacoli al proficuo sviluppo di un mercato unico digitale e di servizi digitali transfrontalieri nell’Unione Europea, individuati già dall’Agenda Digitale Europea, sono: la frammentazione del mercato digitale, la mancanza di interoperabilità e la criminalità cibernetica. Da qui la necessità di creare un’infrastruttura pubblica essenziale a livello paneuropeo e garantire l’interoperabilità transfrontaliera delle firme elettroniche, per aumentare la sicurezza delle transazioni effettuate utilizzando Internet.

Disporre di mezzi di identificazione e autenticazione elettronica riconosciuti reciprocamente dai Paesi europei permetterà alle imprese di operare su base transfrontaliera, evitando ostacoli nelle interazioni con le autorità pubbliche, e agevolerà la fornitura transfrontaliera di numerosi servizi nel mercato interno (ad es. l’assistenza sanitaria) per tutti i cittadini europei.

SICUREZZA E PROTEZIONE DEI DATI PERSONALI

Per quanto riguarda la protezione dei dati personali, ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio, l’autenticazione ad un servizio online dovrebbe prevedere esclusivamente il trattamento di dati di identificazione adeguati, pertinenti e non eccedenti per garantire l’accesso a tale servizio online.

Il Regolamento eIDAS non intende intervenire riguardo ai sistemi di gestione dell’identità elettronica e alle relative infrastrutture istituite negli Stati membri, ma vuole fornire un quadro giuridico generale per l’impiego dei servizi fiduciari e garantire che per accedere ai servizi online transfrontalieri si possa disporre di un’identificazione e un’autenticazione elettronica sicure. Dunque, gli Stati membri rimangano liberi di utilizzare o introdurre mezzi propri di accesso ai servizi online a fini di identificazione elettronica, ma vengono fissate alcune condizioni in merito all’obbligo di riconoscimento dei mezzi di identificazione elettronica e alle modalità di notifica dei regimi di identificazione elettronica[1].

Gli Stati membri dovrebbero poi: cooperare in materia di sicurezza e interoperabilità dei regimi di identificazione elettronica a livello dell’Unione; designare uno o più organismi di vigilanza per lo svolgimento delle attività di vigilanza previste dal Regolamento; adeguarsi a requisiti essenziali comuni di vigilanza per garantire un livello di sicurezza paragonabile a quello dei servizi fiduciari qualificati; adottare procedure paragonabili e scambiare informazioni sulle loro attività di vigilanza e sulle migliori prassi del settore.

FIRME E SIGILLI ELETTRONICI

Alla firma elettronica non vengono negati effetti giuridici per via della sua forma elettronica o perché essa non soddisfa i requisiti della firma elettronica qualificata, ma spetterà al diritto nazionale dei singoli Paesi europei definire gli effetti giuridici delle firme elettroniche, ad esclusione del principio (sancito dallo stesso Regolamento eIDAS) secondo cui una firma elettronica qualificata dovrebbe avere un effetto giuridico equivalente a quello di una firma autografa.

I soggetti che offrono agli utenti servizi per la creazione di firme elettroniche a distanza (casi in cui l’ambiente di creazione della firma è gestito dal soggetto prestatore di servizi fiduciari, a nome del firmatario), per garantire alle firme elettroniche così create lo stesso riconoscimento giuridico di quelle create in un ambiente interamente gestito dall’utente (ad es. una smart card o una business key), dovrebbero applicare specifiche procedure di sicurezza, di gestione e amministrative e utilizzare sistemi e prodotti affidabili, che comprendano canali di comunicazione elettronici sicuri per garantire l’affidabilità dell’ambiente di creazione di firma elettronica e assicurare che sia sotto il controllo esclusivo del firmatario.

Quanto all’utilizzo dei sigilli elettronici, il Regolamento eIDAS stabilisce che fungano da prova dell’emissione di un documento elettronico da parte di una determinata persona giuridica, dando la certezza dell’origine e dell’integrità del documento stesso. Qualora una transazione richieda un sigillo elettronico qualificato di una persona giuridica, è però opportuno che sia accettabile anche la firma elettronica qualificata del rappresentante autorizzato della persona giuridica.

Per ulteriori dettagli su quanto previsto dal Regolamento eIDAS è possibile consultare il testo integrale seguendo questo il link: Regolamento n° 910/2014 del 23 luglio 2014.

Per capire meglio le differenze tra sigilli e firme elettroniche, vi rimandiamo al nostro articolo del 13 gennaio 2016: Firma elettronica e firma digitale dal CAD ad eIDAS.

21 gennaio 2016

[1] Lo stesso Regolamento eIDAS n. 910/2014 definisce «regime di identificazione elettronica»: un sistema di identificazione elettronica per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche.