Il Regolamento eIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n° 910/2014 sull’identità digitale - ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri.
Il regolamento eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e incrementa la sicurezza e l’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico nell’Unione Europea.
Il regolamento:
- fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro;
- stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche;
- istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.
Rispetto ai sistemi di identificazione elettronica, eIDAS prevede che ciascuno stato membro possa notificare i sistemi di identificazione elettronica forniti ai cittadini e alle aziende per consentire un reciproco riconoscimento.
Il regolamento eIDAS è stato emanato il 23 luglio 2014 e ha piena efficacia dal 1 luglio del 2016.
L'utilizzo dell'identità digitale SPID in Europa
L'Agenzia ha ultimato il processo che consente ai cittadini italiani di utilizzare la propria identità digitale SPID con credenziali di livello 2 e 3 (è facoltà degli Stati membri accettare il livello 1) per accedere ai servizi in rete delle pubbliche amministrazioni europee. Tale diritto decorre dal 10 settembre 2019 (12 mesi dopo la pubblicazione nella G.U.U.E. C318, corretta con C344), ma può essere anticipato volontariamente dagli altri Stati membri.
Interoperabilità delle firme elettroniche e dei sistemi di validazione temporale
Particolare rilevanza assume anche la piena interoperabilità a livello comunitario di particolari tipologie di firme elettroniche e dei sistemi di validazione temporale note in Italia rispettivamente come firma digitale e marca temporale.
Il Regolamento (articolo 25, comma 3) prescrive che:
”Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.”.
I formati che queste firme elettroniche qualificate devono possedere sono definiti nella Decisione di esecuzione (UE) 2015/1506 della Commissione dell'8 settembre 2015: fra quelli previsti, anche il formato PDF. Per verificare la validità delle firme elettroniche qualificate basate su certificati rilasciati da tutti i soggetti autorizzati in Europa, la Commissione europea ha reso disponibile un'applicazione open source, Il Digital Signature Service (DSS).
Obblighi derivanti
L'obbligo di riconoscere le firme elettroniche qualificate introdotto nel Regolamento eIDAS (art. 25, comma 3) deve essere onorato, altrimenti, oltre a non consentire l'esercizio di un diritto dei cittadini dell'unione, si incorre in una procedura di infrazione. Al fine di verificare che i propri sistemi di verifica delle firme elettroniche qualificate siano conformi alla normativa europea, si rende disponibili un documento di prova sottoscritto con una firma elettronica qualificata basata su un certificato qualificato rilasciato in Irlanda. Tale verifica deve andare a buon fine.