di Lucia Izzo - Con un comunicato pubblicato in Gazzetta Ufficiale (n. 130 del 5 giugno 2019) l'Agenzia per l'Italia digitale ha reso noto la pubblicazione della determinazione n. 121 del 17 maggio 2019, con la quale sono state adottate le "Linee guida contenenti le regole tecniche e raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate".
Le linee guida Agid
[Torna su]
Le Linee guida (qui sotto allegate), emesse ai sensi dell'art. 71 del d.lgs. n. 82/2005 (Codice dell'amministrazione digitale), definiscono le specifiche tecniche cui sono destinatari i prestatori di servizi fiduciari qualificati ai sensi dell'art. 29 del CAD e del regolamento UE n. 910/2014 (eIDAS).
Il regolamento eIDAS
[Torna su]
Il regolamento eIDAS, rammenta l'Agenzia, dispone alcuni obblighi in capo ai QTSP (prestatore di servizi fiduciari qualificati ai sensi del regolamento eIDAS) che emettono certificati qualificati per la generazione di firme e sigilli elettronici e certificati qualificati di autenticazione di siti web; ancora, il regolamento individua i requisiti per la convalida delle firme elettroniche qualificate (art. 32) e, mutatis mutandis, dei sigilli elettronici qualificati (art. 40), come anche i requisiti per i certificati qualificati di autenticazione di siti web (art. 45) e per la validazione temporale elettronica qualificata (art. 42).
Tali disposizioni, dunque, individuano dei requisiti minimi che possono risultare non adeguati per la fruizione di servizi in rete offerti nello specifico contesto italiano. Un esempio in tal senso, come riporta il provvedimento, è l'assenza dell'obbligo di indicare nel certificato qualificato per la generazione della firma il codice fiscale del titolare, elemento indispensabile per diverse pubbliche amministrazioni italiane.
Le linee guida AgId
[Torna su]
Pertanto, le linee guida contengono, nel paragrafo 3 (Obblighi) alcune previsioni rese obbligatorie in forza o in attuazione del regolamento eIDAS, mentre nel paragrafo 4 (Raccomandazioni) indicazioni volte a garantire maggiormente l'interoperabilità e la fruizione dei servizi in rete nel contesto italiano.
Sebbene indicate come "raccomandazioni", sottolinea l'AgId, devono essere interpretate nel significato previsto nella RFC-2119; pertanto la loro applicazione è fortemente consigliata. Tuttavia, appare evidente che trattandosi di raccomandazioni e non di obblighi, la loro disapplicazione non può comportare l'invalidità di certificati, firme e sigilli elettronici qualificati.
Il paragrafo 5, invece, contiene alcune indicazioni per il processo di convalida di firme e sigilli elettronici. Le disposizioni contenute nelle regole tecniche che risultino in contrasto con future versioni del regolamento eIDAS o dei regolamenti esecutivi derivanti, dovranno essere disapplicate.
Scarica pdf AgiD linee guida certificati e sigilli elettronici qualificati