Il regolamento di esecuzione sui requisiti per i servizi di archiviazione elettronica qualificati stabilito nell’articolo 45 undecies del regolamento eIDAS 2.0 è stato approvato all’unanimità lo scorso 13 novembre nell’ambito del Comitato eIDAS.

Questo regolamento era molto atteso dal mercato italiano, anche con un certo timore, dopo che il regolamento eIDAS aveva introdotto i principi generali comunitari per l’archiviazione elettronica qualificata europea.

Archiviazione elettronica qualificata europea, cosa cambia

Un risultato positivo è l’approvazione, non scontata a priori, con il riferimento alla norma tecnica CEN/TS 18170:2025 (Requisiti funzionali per i servizi di archiviazione elettronica). La sua applicazione deve avvenire con specifici adattamenti per il contesto europeo, ma le sue regole garantiscono omogeneità all’attuale contesto nazionale.

Questa norma viene integrata con una serie di riferimenti tecnici, tra cui gli standard ETSI per le firme elettroniche e i servizi fiduciari e il modello OAIS (Open Archival Information System) conforme allo standard ISO 14721:2025.

Vediamo quali sono le nuove regole ricordando sempre il principio di presunzione di conformità. Un prestatore di servizio fiduciario che è conforme a quanto stabilito nel regolamento di esecuzione è direttamente qualificabile nel giudizio dell’organismo di valutazione della conformità. Negli altri casi deve essere dimostrata la conformità equivalente ai principi stabiliti nel regolamento eIDAS.

Gli obblighi di trasparenza e comunicazione

Per iniziare si nota il fatto che il regolamento mette in evidenza alcuni obblighi di trasparenza e comunicazione.

I fornitori di servizi di archiviazione elettronica qualificati (EATSP – Electronic Archiving Trust Service Providers) devono:

Notificare all’organismo di vigilanza qualsiasi modifica al servizio con almeno un mese di anticipo;

qualsiasi modifica al servizio con almeno un mese di anticipo; Comunicare l’eventuale cessazione del servizio con almeno tre mesi di preavviso;

con almeno tre mesi di preavviso; Fornire ai clienti e alle parti che utilizzano il servizio informazioni chiare, complete e facilmente accessibili sui termini e condizioni contrattuali;

Questi requisiti garantiscono che gli utenti dei servizi siano sempre informati e possano pianificare adeguatamente eventuali transizioni con altri prestatori o azioni di natura organizzativa. Il personale impiegato nei ruoli fiduciari deve possedere competenze specialistiche dimostrabili attraverso formazione formale, esperienza pratica o una combinazione delle due. Un elemento importante è l’obbligo di aggiornamento continuo: almeno ogni 12 mesi il personale deve ricevere formazione sulle nuove minacce e sulle attuali pratiche di sicurezza.

Archiviazione e sicurezza crittografica

Molto dettagliate le disposizioni sulla sicurezza crittografica che rappresentano probabilmente l’aspetto più tecnico e rigoroso di questa normativa. I requisiti che vengono stabiliti requisiti sono molto stringenti:

Nella protezione delle chiavi private, quando l’EATSP firma digitalmente oggetti o record, la chiave di sottoscrizione deve essere conservata e utilizzata esclusivamente all’interno di dispositivi certificati secondo uno dei seguenti schemi:

Common Criteria (ISO/IEC 15408) con certificazione EAL 4 o superiore; Lo schema europeo EUCC (basato sui Common Criteria) con certificazione EAL 4 o superiore; FIPS PUB 140-3, livello 3 (in via temporanea, fino al 31 dicembre 2030).

Gli EATSP devono monitorare costantemente la robustezza degli algoritmi crittografici utilizzati. Se un algoritmo dovesse risultare non più adeguato secondo la valutazione dei rischi, il fornitore deve aggiornare le politiche di archiviazione o creare nuovi profili per gestire i pacchetti di archiviazione (AIP in OAIS).

Un punto di riferimento fondamentale è costituito dai meccanismi crittografici concordati approvati dall’European Cybersecurity Certification Group e pubblicati dall’ENISA (ACM-ECCG).

Come stabilire l’origine dei dati da archiviare

Per stabilire l’origine dei dati da archiviare, requisito stabilito nella definizione stessa di archiviazione elettronica. Se si utilizzano firme elettroniche o sigilli elettronici, questi devono essere necessariamente qualificati, garantendo il massimo livello di affidabilità. Negli altri casi è il EATSP a definire il criterio utilizzato per soddisfare il requisito. La normativa impone controlli regolari sulla sicurezza dell’infrastruttura di rete:

scansioni delle vulnerabilità: almeno una volta al trimestre;

test di penetrazione: almeno una volta all’anno;

configurazione dei firewall: devono bloccare tutti i protocolli e gli accessi non necessari per il funzionamento del servizio.

Le varie componenti del sistema devono autenticarsi reciprocamente utilizzando tecniche crittografiche prima di comunicare tra loro.

L’affidabilità temporale degli eventi di archiviazione deve essere garantita, se utilizzate marche temporali, con evidenze qualificate ed emesse da fornitori fiduciari secondo in conformità allo standard ETSI EN 319 421.

Gli EATSP devono implementare sistemi di tracciamento e raccolta degli eventi conformi agli standard ETSI EN 319 401, sia per eventi critici, che non critici. Questo garantisce la possibilità di ricostruire la catena degli eventi e verificare la conformità operativa nel tempo anche visti gli obblighi relativi alla NIS 2.

Un elemento spesso poco considerato, ma fondamentale riguarda il piano di cessazione del servizio. La normativa richiede che gli EATSP predispongano un piano dettagliato conforme ai requisiti degli atti di esecuzione previsti dall’articolo 24, paragrafo 5 del regolamento eIDAS. Questo garantisce che, anche in caso di chiusura del servizio, i dati archiviati possano essere trasferiti in modo sicuro e la loro integrità preservata.

L’impatto del regolamento di esecuzione

Questo regolamento di esecuzione rappresenta un quadro di riferimento completo e rigoroso che definisce punti di riferimento elevato utilizzando gli standard di sicurezza e affidabilità per i servizi di archiviazione elettronica qualificata. L’approccio europeo privilegia la certificazione secondo standard internazionali riconosciuti, con particolare attenzione ai Common Criteria e agli schemi di certificazione europei.

Per i fornitori di servizi, l’adeguamento a questi requisiti richiede investimenti significativi in infrastrutture certificate, personale qualificato e processi di monitoraggio continuo. Tuttavia, questo livello di rigore è necessario per garantire che i documenti digitali possano essere conservati in modo sicuro e affidabile nel lungo periodo, mantenendo valore probatorio e conformità normativa.

Quando entra in vigore il nuovo regolamento

Lo standard sarà pubblicato nella Gazzetta Ufficiale comunitaria dopo la traduzione nelle lingue nazionali ed entrerà in vigore dopo 20 giorni dalla pubblicazione.

Questa circostanza dovrebbe attivare l’aggiornamento delle Linee Guida di AgiD sulla “Formazione, gestione e conservazione dei documenti informatici”. Gli aggiornamenti dovranno tenere in conto le nuove regole sulla cybersecurity richieste dalla direttiva NIS 2, in coordinamento con il regolamento eIDAS ma anche le nuove esigenze operative, da aggiornare negli allegati alle Linee Guida. Non ultima anche l’esigenza di aggiornamento delle regole per la qualifica dei servizi fiduciari e in particolare del limite, penalizzante a livello comunitario, di 5.000.000 di euro per il capitale sociale necessario per presentare la domanda di qualifica per qualsiasi servizio fiduciario.

Anche i previsti aggiornamenti del Codice dell’Amministrazione Digitale contribuiranno ad armonizzare le regole comunitarie con quelle nazionali.