di Vittorio Menicocci
Il Consiglio dell'Unione Europea ha adottato, il 23 luglio 2014, il regolamento EIDAS - Electronic Identification and Signature (Electronic Trust Services), stabilendo le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica (eID - Electronic IDentification) e le regole guida per i servizi fiduciari per le transazioni elettroniche (eTS - Electronic Trust Services). A conclusione dell'iter, il 28 agosto 2014 il "Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno" è stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea (EU Official Journal L 257/73).
Le nuove norme in esso contenute hanno l'intento di consentire, garantire ed estendere il regime transfrontaliero previsto per merci e persone alle transazioni elettroniche. Tale intervento normativo si propone di assicurare che persone ed imprese possano utilizzare i loro regimi nazionali di identificazione elettronica (eID) per accedere ai servizi pubblici in altri paesi dell'Unione in cui sono disponibili diversi sistemi eID nazionali;
Il Regolamento è un tassello fondamentale per l'instaurazione di una disciplina unitaria, conditio sine qua non per garantire l'interoperabilità in settori particolarmente rilevanti in ambito economico; contiene norme o anche mere precisazioni di principi impliciti nel sistema che assumono un evidente peso giuridico ed introducono importanti novità volte a favorire transazioni transfrontaliere più rapide e sicure che agevolino lo sviluppo economico e digitale negli Stati membri.
A tale scopo, l'Agenda Digitale Europea aveva proposto (COM(2010) 245 del 19.5.2010) l'adozione di norme sulle firme elettroniche e sul riconoscimento reciproco dell'identificazione e dell'autenticazione elettronica, con l'obiettivo di istituire un quadro normativo chiaro ed omogeneo, volto a promuovere l'interoperabilità, sviluppare la cittadinanza digitale e prevenire la criminalità cibernetica.
Difatti, non esisteva ad oggi una normativa transfrontaliera e transettoriale completa per garantire transazioni elettroniche sicure, affidabili e di facile impiego, e che fosse anche inclusiva di regolamentazione in materia di identificazione, autenticazione e firma elettronica.
Il Regolamento, che entrerà in vigore venti giorni dopo la sua pubblicazione nella Gazzetta Ufficiale Europea, sancisce per gli Stati membri l'obbligo di riconoscere, a determinate condizioni, gli strumenti di identificazione elettronica delle persone fisiche e giuridiche che rientrano nell'ambito di uno schema di identificazione elettronica nazionale che sia stato notificato alla Commissione.
Spetta agli Stati membri scegliere se notificare tutti, alcuni o nessuno degli schemi di identificazione elettronica utilizzati a livello nazionale per accedere almeno ai servizi online pubblici o ad altri specifici servizi. Gli stessi Stati, pertanto, sono tenuti a garantire un legame univoco fra i dati di identificazione elettronica e la persona a cui questi si riferiscono, mettendo, inoltre, a disposizione dei terzi sistemi gratuiti per assicurare una corretta autenticazione.Tali norme riguardano solo aspetti transfrontalieri di identificazione elettronica, mentre rimane invariato il regime di emissione di mezzi di identificazione elettronica, che resta una prerogativa nazionale.
Una delle principali novità del Regolamento consiste nell'introduzione di norme a livello europeo in materia di servizi fiduciari (e-trust services), come la creazione e la verifica di marche temporali e sigilli elettronici, servizi di posta certificata, nonché la creazione e la convalida di certificati per l'autenticazione dei siti web. Servizi fiduciari conformi al regolamento potranno "circolare" liberamente nel mercato unico. Inoltre, sarà creato un marchio di fiducia UE per identificare i servizi fiduciari che soddisfino determinati e rigorosi requisiti, anche se l'uso del marchio di fiducia sarà fatto su base volontaria.
In aggiunta, è prescritta l'istituzione o il potenziamento di Organismi di vigilanza negli Stati membri e viene introdotto il meccanismo esplicito di mutua assistenza fra gli stessi Organismi al fine di facilitare il controllo transfrontaliero dei prestatori di servizi fiduciari.
Con il Regolamento europeo appena approvato, in sostanza, si è inteso creare ed omogeneizzare un quadro normativo comune al fine di migliorare ed incrementare la sicurezza e l'efficienza dei differenti processi elettronici, rispondendo, così, alle sfide poste dalla crescente evoluzione dei mezzi tecnologici che sempre più spesso trovano applicazione (es: l'accesso mobile e online o l'utilizzo di servizi Cloud e SaaS).
La nuova disciplina normativa si applicherà (con alcune eccezioni) a decorrere dal 1° luglio 2016 ed, allo stesso tempo, abrogherà la precedente direttiva 1999/93/CE (prevedendo determinate disposizioni transitorie).
Il provvedimento permetterà, in modo progressivo, di adottare a livello europeo un quadro tecnico-giuridico unico, omogeneo ed interoperabile in ambito di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, nonché per i servizi di raccomandata elettronica ed i servizi di certificazione per Autenticazione web.
Sicurezza, certezza giuridica, affidabilità, facile impiego, riservatezza e regole comuni adottate in un mercato unico, come quello transfrontaliero e transettoriale europeo, sono divenuti (rectius, sono sempre stati) requisiti fondamentali e necessari nelle transazioni elettroniche tra imprese, pubbliche amministrazioni, professionisti e cittadini.
Gli Stati membri dovranno cooperare intensamente e dare indicazioni pratiche per gli utenti nella fase di attuazione della nuova disciplina. Solo allora l'accettazione reciproca delle identità elettroniche e dei servizi fiduciari diventerà realtà ed il regolamento potrà contribuire efficacemente alla realizzazione del mercato unico interno.
Grazie al Regolamento sarà possibile dematerializzare a norma di legge con regole identiche in tutta l'UE; appare, però, chiaro che all'azione normativa delle istituzioni, europee e nazionali che siano, ed alle aspettative delle imprese deve corrispondere la capacità degli operatori del settore ICT di progettare e sviluppare soluzioni di alto valore tecnologico e di reale utilità per le parti coinvolte.
In definitiva, solo fornendo certezza sulla validità giuridica e la mutualità di tutti questi servizi, le imprese e i cittadini eleveranno a proprio modus operandi le interconnessioni digitali; in quest'ottica, eID ed ETS avranno lo scopo di creare un contesto normativo armonizzato e prevedibile atto a consentire interazioni elettroniche sicure e senza soluzione di continuità tra imprese, cittadini ed autorità pubbliche.
Vittorio Menicocci
Vai al testo del Regolamento UE n. 910/2014