L’8 settembre 2015 sono stati emanati quattro atti normativi che danno esecuzione, introducendo alcune necessarie specifiche tecniche, al regolamento (UE) 910/2014, del Parlamento europeo e del Consiglio, del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche (anche conosciuto come Regolamento eIDAS, eIdentification and trusted services for electronic transactions in the internal market). Quest’ultimo ha lo scopo di realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea degli strumenti elettronici di identificazione, autenticazione e firma.
Queste le principali novità a seguito dell’emanazione della normativa di attuazione.
1. Quadro di interoperabilità
Il regolamento eIDAS prevede l’istituzione di un quadro unitario che permetta l’interoperabilità dei regimi nazionali di identificazione elettronica notificati alla Commissione. Ai fini della concreta attuazione del quadro di interoperabilità, il regolamento di esecuzione (UE) 2015/1501 ne stabilisce i requisiti tecnici e operativi. In particolare il regolamento si focalizza sull’importanza dei “nodi”, cioè punti di connessione collegati fra loro, facenti parte dell’architettura informatica di identificazione degli Stati membri. Essi intervengono nei processi di autenticazione transfrontaliera delle persone e sono in grado di scambiare informazioni tra loro. In questo modo, l’infrastruttura di identificazione elettronica nazionale di uno Stato membro può comunicare ed essere connessa alle infrastrutture di identificazione elettronica nazionale di altri Stati membri.
Trattandosi tuttavia di strumenti che trasmettono e ricevono dati personali, saranno applicabili le norme in materia di protezione dei dati personali di cui alla direttiva 95/46/CE. Nel caso di specie, i dati personali trasmessi tra i nodi vengono conservati al solo fine di ricostruire, nel caso di incidente, la sequenza dello scambio di messaggi al fine di stabilire il luogo e la natura dell’incidente.
2. Livelli di garanzia dei mezzi di identificazione
Il regolamento eIDAS prevede che il regime di identificazione personale di uno Stato membro debba essere notificato alla Commissione specificando i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione rilasciati. Il regolamento (UE) 2015/1502 è stato adottato allo scopo di assicurare che nei vari Stati membri ci sia un’interpretazione uniforme dei livelli di garanzia permettendo di inquadrare i livelli di garanzia secondo criteri e procedure comuni.
3. Elenchi di fiducia
Ai sensi dell’art. 22 del regolamento e-IDAS, tutti gli Stati devono istituire e mantenere degli elenchi di fiducia, che includano le informazioni relative ai prestatori di servizi fiduciari e ai servizi fiduciari da questi erogati. Gli elenchi di fiducia sono un elemento essenziale per instaurare la fiducia tra gli operatori di mercato in quanto permettono di distinguere, in maniera chiara, i prestatori qualificati da quelli che non lo sono. Essenziale è dunque la decisione (UE) 2015/1505, con la quale la Commissione fornisce le specifiche tecniche che permettano la creazione e successiva notificazione, alla Commissione stessa, di detti elenchi.
4. Formati riconoscibili di firma elettronica e sigillo elettronico
Il regolamento e-IDAS prevede che gli Stati membri, che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per usufruire di un proprio servizio pubblico online, debbano riconoscere le firme e i sigilli aventi formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento. Al fine di individuare in maniera omogenea i formati riconoscibili dagli Stati, soprattutto in luce del principio del riconoscimento reciproco, è stata emanata la decisione (UE) 2015/1506. Nel caso la firma o il sigillo abbiano un formato diverso da quelli specificamente elencati in decisione, lo Stato membro è comunque tenuto a riconoscerli, a condizione che sia prevista una procedura di convalida che permetta allo Stato membro di confermare la validità della firma o del sigillo emesso in un altro Stato membro.
*Giusella Finocchiaro è Professore Ordinario di Diritto di Internet e di Diritto Privato dell’Università di Bologna. Titolare dello Studio legale Finocchiaro di Bologna