Entro il primo luglio 2020, la Commissione europea presenterà una specifica relazione sull’esito del riesame del regolamento 910/2014 noto comunemente come eIDAS, che ha iniziato ad essere pienamente applicato a partire dal 1° luglio 2016.
Lo scopo del riesame, peraltro stabilito nell’articolo 49 del regolamento, è quello di valutare l’applicazione di eIDAS anche per determinare l’opportunità di modificarne l’ambito di applicazione. Una specifica attenzione verrà posta sui temi della identificazione elettronica, della conservazione qualificata delle firme e dei sigilli elettronici qualificati, dei servizi elettronici di recapito certificato e dei certificati qualificati di autenticazione di siti web.
Nel seguito, utilizzando i dati ufficiali messi a disposizione dalla Commissione Europea, viene descritto lo stato dell’arte, con particolare attenzione al mercato interno dell’Unione e ad alcuni aspetti specifici come l’interoperabilità dei sistemi fiduciari e le criticità di alcune regole disomogenee tra gli Stati dell’Unione che penalizzano i prestatori insediati in Stati più “severi” nell’applicazione delle regole di eIDAS a specifico carico di questi ultimi.
La diffusione dei servizi fiduciari
Gli strumenti analitici disponibili consentono di ottenere numerosi dati interessanti sulla diffusione dei servizi fiduciari, sia a livello generale, che a livello nazionale.
Alla data del 6 maggio 2020 sono 29 i Paesi con un totale di 183 soggetti attivi nell’erogazione di servizi fiduciari qualificati.
I soggetti che erogano i servizi qualificati più diffusi sono divisi in
- 145 emettono certificati per la firma;
- 103 emettono marche temporali;
- 96 emettono certificati per il sigillo;
- 49 emettono certificati per l’autenticazione di siti web;
- 16 prestano servizi elettronici di recapito certificato (SERC).
Come era prevedibile, sono ampiamente in testa i soggetti che emettono certificati per la firma elettronica. È ancora bassa la diffusione dei SERC, sui quali si fornisce qualche dettaglio in più nel seguito.
Per quanto riguarda i singoli Stati, la Spagna ha 31 soggetti attivi, la Francia 22 e l’Italia 19.
I numeri presentati rappresentano una situazione di successo generale per la diffusione dell’eIDAS, almeno per i servizi “storici” già con regole stabilite con la Direttiva 1999/92/CE, oggi abrogata proprio dal regolamento eIDAS.
I SERC sono poco diffusi, tutti i soggetti attivi erogano servizi fiduciari basati su piattaforme proprietarie prevalentemente di tipo postale (analoghe alla nostra Posta Elettronica Certificata – PEC). Alcuni soggetti (in Spagna) realizzano servizi di SERC non postale a supporto di transazioni di fatturazione elettronica o di appalti online (e-marketplace).
Interessante anche il numero di soggetti (49) che emette certificati a supporto dell’autenticazione dei siti web tramite i protocolli di rete TLS/SSL.
L’Italia è ampiamente in testa per l’emissione di certificati per la firma digitale e apposizione delle stesse e con elevata probabilità anche per l’emissione di marche temporali qualificate.
I dati forniti dall’ AgID (fine anno 2019) indicano oltre 22 milioni di certificati qualificati attivi con quasi 1 miliardo e 700 milioni di sottoscrizioni remote (il dato è ricavato dai log dei server di sottoscrizione di tipo HSM).
Le marche temporali qualificate emesse, nello stesso periodo, sono oltre 700 milioni.
Il lettore che vuole approfondire trova il documento a questo collegamento.
Allo scenario evidenziato dobbiamo aggiungere la circostanza che il regolamento europeo eIDAS ha creato la prima struttura regolamentare per identità digitali affidabili a livello transfrontaliero (cross border).
Questo consente, in modo efficace, ai cittadini di accedere ai servizi governativi digitali in modalità transfrontaliera. Nel mercato unico interno si possono utilizzare firme e sigilli elettronici, marche temporali e servizi di recapito certificato.
Ad oggi, le strutture di identità digitale sono utilizzate in 15 Stati membri coinvolgendo il 60% della popolazione europea.
Le criticità di mercato e operative
La situazione è sostanzialmente positiva ma permangono alcune criticità che dovrebbero essere analizzate nel contesto del riesame indicato all’inizio del presente articolo.
L’esperienza maturata in questi primi quattro anni, ha evidenziato diverse criticità, sia a livello di mercato, che operative. Per quanto attiene alle regole di qualifica per i servizi fiduciari dovrebbero essere rese maggiormente coordinate e omogenee le regole di sicurezza ed economiche relative alla qualifica (risorse finanziarie adeguate, polizza assicurativa di responsabilità civile, ecc.).
Le difformità del capitale sociale o dell’ammontare della polizza assicurativa (articolo 24, paragrafo 1, lettera c) del regolamento eiDAS) hanno portato alcuni soggetti, specialmente PMI a qualificarsi all’estero per superare l’elevata barriera di ingresso italiana (la più alta in Europa per il capitale sociale). Le regole di sicurezza e di audit dovranno essere coordinate al regolamento europeo sulla protezione dei dati personali 679/2016 (GDPR) con il coinvolgimento dell’ENISA (l’Agenzia europea per la sicurezza).
Per quanto attiene alle regole operative dovrebbero essere stabilite delle regole di interoperabilità più dettagliate al fine di avere riscontri di elevata affidabilità sulla verifica delle firme.
Oggi a livello comunitario l’elevato numero di opzioni tecnologiche nei formati di sottoscrizioni non porta a procedure di verifica valide a livello comunitario.
Questo perché non ci sono di fatto obblighi per i prestatori di servizi fiduciari che emettono certificati qualificati per la firma e il sigillo elettronico in materia di generazione e verifica delle firme qualificate.
Sfruttando il lavoro di standardizzazione dell’ETSI sarebbe indispensabile avere certezza della validità di una firma qualificata transnazionale sostenuta da una maggiore rigidità di regole tecniche europee. La Commissione continua a sostenere le regole di mercato che però non si sono sviluppate.
Ragionamento a parte per i SERC qualificati. Al momento la maggior parte dei paesi coinvolti nel regolamento eIDAS utilizza sistemi di posta certificata basati su meccanismi proprietari.
La PEC italiana
Il caso della PEC italiana è il caso, ancora una volta, più interessante in termini di diffusione e utilizzo.
Sempre attingendo alle statistiche dell’AgID si viene a scoprire che nel primo bimestre del 2020 sono attive 11.122.114 caselle di PEC con un numero di messaggi scambiati pari a 383.836.000.
Il numero è certamente rilevante a testimonianza dei numerosi obblighi normativi nell’utilizzo della PEC come notifica a mezzo posta, elemento che non è presente in altre legislazioni europee.
Un caso particolare è in Francia dove esiste la raccomandata elettronica. In Italia è la PEC ad essere equivalente a una raccomandata con ricevuta di ritorno (al livello di notifica a mezzo posta).
La Commissione non si è ancora espressa sugli standard da adottare anche se da circa un anno ETSI ha emesso l’insieme completo degli stessi.
La conclusione non può che essere di augurio per il lavoro di revisione del regolamento che sarà anche l’occasione per eliminare nel testo in lingua italiana l’elevato numero di errori di traduzione e refusi oggi presenti
I rappresentati italiani ai tavoli europei dovranno portare il fondamentale contributo di esperienza nazionale, basato su numeri di diffusione che non lasciano dubbi sul successo del regolamento eIDAS.
Poi si dovranno migliorare le regole sopra indicate con l’attenzione allo sviluppo del mercato nazionale verso l’Europa e non viceversa.
