Firme digitali: che cosa cambia con eIDAS – di Roberto Arcella

Con l’entrata in vigore del Regolamento eIDAS, dallo scorso primo luglio 2016 sono intervenute rilevanti modifiche che riguardano la disciplina, anche tecnica, delle firme elettroniche. Vediamo tutto ciò che c’è da sapere

Da qualche tempo, nei rapporti di verifica delle firme PAdES, eseguita con Acrobat DC, appaiono due diverse tipologie di messaggi: per talune firme un primo messaggio attesta trattarsi di “Firma elettronica qualificata conforme alla direttiva europea 1999/93/C”; in altri casi si legge che è “Firma elettronica qualificata conforme al Regolamento europeo 910/2014”. E ciò accade anche per le firme apposte successivamente al 1° luglio 2016, data in cui la direttiva europea 1999/93 è stata abrogata per mano proprio del Regolamento 910/2014.

Che cosa vuol dire tutto ciò? Se la firma è apposta successivamente all’abrogazione  della direttiva 1999/93, essa è valida ancora come firma digitale? In realtà, con l’entrata in vigore del Regolamento eIDAS, dallo scorso 1° luglio 2016 sono intervenute rilevanti modifiche che riguardano la disciplina, anche tecnica, delle firme elettroniche.

Va preliminarmente ricordato che, a differenza del CAD, nel quale nell’insieme delle firme elettroniche si annoverano la firma elettronica semplice, la firma elettronica avanzata, la firma elettronica qualificata  e la firma digitale, nel Regolamento eIDAS non v’è una definizione di quest’ultima.

Nel dichiarato obiettivo di armonizzazione del CAD con l’eIDAS, il dlt 179/2016 ha abrogato del primo l’art. 1 lett. r), recante la definizione di firma elettronica qualificata, e tale resta quindi quella dell’eIDAS .  Sopravvive però alla lettera “s” dell’art. 1 CAD la definizione di firma digitale come “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”: in altri termini, la Firma Digitale è una firma elettronica qualificata con doppia chiave, una privata (per firmare) ed una pubblica, esposta nel certificato, per la verifica della firma stessa.

Va pure ricordato che l’art. 25, comma 3 del Regolamento 910/2014 stabilisce che “Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri”: quindi la firma digitale italiana è, nel contesto europeo, a tutti gli effetti una firma elettronica qualificata.

Mentre la tecnica legislativa adottata nel CAD è quella del rinvio a norme regolamentari, ovvero alle “regole tecniche” di cui all’art. 71, il Regolamento 910/2014 prevede l’adozione di “atti di esecuzione”. In particolare, per le firme elettroniche nei servizi pubblici (art. 27) e per i certificati qualificati di firme elettroniche (art. 28) sono previsti specifici atti di esecuzione.

Tali atti sono intervenuti con la  Decisione di Esecuzione  2015/1506 della Commissione dell’8 settembre 2015 che stabilisce le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all’articolo 27, paragrafo 5, e all’articolo 37, paragrafo 5, del regolamento (UE) n. 910/2014.

Con la Decisione di Esecuzione 2016/650 del 25 aprile 2016 sono invece state fissate le norme per la valutazione di sicurezza dei dispositivi per la creazione di firme e sigilli qualificati, decisione che – giova ricordarlo – si applica solo ai dispositivi sotto il diretto controllo dell’utilizzatore degli stessi (token e smart-card) e non anche alle firme remote.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *