Documento informatico, nel 2025 serve armonia tra norme UE e nazionali

Il regolamento eIDAS introduce due nuovi servizi fiduciari che devono essere integrati nell’ordinamento nazionale intervenendo sulla normativa di riferimento sul tema che è il Codice dell’Amministrazione Digitale (Decreto Legislativo 7 marzo 2005, n. 82 e successive modificazioni). I servizi citati sono “l’archiviazione elettronica di dati elettronici e di documenti elettronici” e “la registrazione di dati elettronici su un registro elettronico”. Il primo interagisce con la conservazione dei documenti informatici, il secondo con il protocollo informatico, i servizi basati su registri distribuiti o decentralizzati come le blockchain e gli smart contract.

In pratica è cruciale armonizzare la legislazione nazionale, anche tecnica, ai nuovi scenari per eliminare le differenze, le sovrapposizioni e sfruttare le opportunità offerte da queste normative comunitarie in termini di mercato interno, interoperabilità dei servizi e loro sicurezza. Sulla base di quanto fino a qui introdotto, descriviamo nel seguito i singoli temi.

Il nuovo regolamento eIDAS

Il regolamento eIDAS dopo le modifiche del 2024/1183 concentra la sua attenzione sull’identità digitale introdotta con il Portafoglio Europeo di Identità Digitale (European Digital Identity Wallet – EUDIW). Circa la metà del testo normativo è dedicata al Portafoglio. In questa sede è contestuale descrivere i temi dell’archiviazione elettronica e dei registri elettronici.

L’archiviazione elettronica è definita come “un servizio che consente la ricezione, la conservazione, la consultazione e la cancellazione di dati elettronici e documenti elettronici al fine di garantire la durabilità e leggibilità nonché di preservarne l’integrità, la riservatezza e la prova dell’origine per tutto il periodo di conservazione”.

Il registro elettronico è definito come “una sequenza di registrazioni di dati elettroniche che garantisce l’integrità di tali registrazioni e l’accuratezza dell’ordine cronologico di tali registrazioni”. Se questo servizio è fornito da un prestatore di servizi fiduciari qualificato e soddisfa i requisiti stabiliti nell’articolo 45 terdecies del regolamento può definirsi qualificato.

Per l’archiviazione elettronica gli effetti giuridici sono stabiliti nell’articolo 45 decies mentre i requisiti per i servizi di archiviazione elettronica qualificati sono stabiliti nell’articolo 45 undecies. Per il testo completo degli articoli citati rinviamo il lettore ai testi normativi. In questa sede si evidenzia l’analogia con la conservazione digitale dei documenti informatici stabilita nel CAD.

A tal proposito può essere utile riportare la parte di interesse in questa sede dell’articolo 44, comma 1-ter del CAD: “…il sistema di conservazione dei documenti informatici assicura, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida”. Una rapida lettura è sufficiente a rilevare le analogie e le differenze tra le norme europee e quelle nazionali.

A puro titolo di esempio si nota che nell’allegato 1 alle Linee guida sulla formazione, gestione e conservazione dei documenti informatici dedicato al “Glossario dei termini e degli acronimi”, l’autenticità è definita come “caratteristica in virtù della quale un oggetto deve considerarsi come corrispondente a ciò che era nel momento originario della sua produzione. Pertanto un oggetto è autentico se nel contempo è integro e completo, non avendo subito nel corso del tempo o dello spazio alcuna modifica non autorizzata. L’autenticità è valutata sulla base di precise evidenze”.

Il principio dell’autenticità

L’autenticità della nostra normativa è presente anche nelle norme comunitarie? Questo aspetto dovrebbe essere chiarito nelle norme di settore nell’ambito dello scenario generale aggiornato.

Per quanto attiene ai registri elettronici un passo avanti sarebbe l’emissione delle Linee guida ai sensi dell’articolo 8-ter del decreto legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 11. Per un giusto equilibrio con la nuova normativa comunitaria sarebbe utile un aggiornamento della normativa primaria appena citata e, successivamente, delle Linee guida che tengano conto dei regolamenti di esecuzione previsti dall’eIDAS. Le analogie tra i principi giuridici del protocollo informatico e i registri elettronici stabiliti in eIDAS sono evidenti già nelle definizioni, anche su questi argomenti sarebbe opportuno un adeguato intervento del Legislatore nazionale. Tutti questi temi non possono prescindere dalle norme sulla protezione dei dati personali ma anche dalle specificità sulla cybersecurity. L’interazione tra eIDAS 2 e NIS 2 è ben presente nei testi normativi e la descriviamo nel paragrafo seguente.

Regolamento eIDAS e NIS 2

Lo spirito generale dello scenario e degli obiettivi che si pone la Direttiva NIS 2 nella sua specifica interazione con il Regolamento eIDAS 2 è ottimamente sintetizzato nell’introduzione dello standard ETSI EN 319 401.

“Costruire la fiducia nell’ambiente online è fondamentale per lo sviluppo economico e sociale. La mancanza di fiducia, soprattutto a causa di una percepita mancanza di sicurezza, induce i consumatori, le imprese e le amministrazioni a esitare ad effettuare transazioni elettroniche e ad adottare nuovi servizi. I fornitori di servizi fiduciari sono spesso un elemento essenziale per stabilire la fiducia tra le parti che effettuano transazioni elettroniche, in particolare nelle reti pubbliche aperte, e possono essere utilizzati, ad esempio, per fornire informazioni sull’identità attendibili e contribuire a stabilire comunicazioni sicure tra le parti che effettuano transazioni.

Esempi di tali fornitori di servizi fiduciari sono gli emittenti di certificati a chiave pubblica, i fornitori di servizi di marcatura temporale, i fornitori di servizi di generazione o convalida di firme elettroniche remote. Affinché i partecipanti al commercio elettronico abbiano fiducia nella sicurezza di questi servizi fiduciari, devono avere fiducia che i fornitori di servizi fiduciari (TSP) abbiano stabilito una serie di procedure, processi e misure di sicurezza al fine di ridurre al minimo le minacce e i rischi operativi e finanziari associato.

Inoltre, la sicurezza informatica di tutti i servizi digitali essenziali è vitale per la trasformazione digitale dell’Europa con servizi digitali e transazioni elettroniche. La fornitura di servizi fiduciari eIDAS è identificata come un elemento essenziale dell’infrastruttura digitale europea. La Direttiva (UE) 2022/2555 [i.13] del Parlamento Europeo e del Consiglio del 14 dicembre 2022 recante misure per un livello comune elevato di cibersicurezza nell’Unione, che modifica il Regolamento (UE) 910/2014 e della Direttiva (UE) 2018/1972, e che abroga la Direttiva 2016/1148 (Direttiva NIS2 o NIS2) individua all’articolo 3 che i requisiti per le misure di gestione del rischio di sicurezza informatica sono applicabili, come entità essenziali, ai fornitori di servizi fiduciari qualificati di cui Regolamento eIDAS. Inoltre, poiché i servizi fiduciari eIDAS sono identificati come elemento fondamentale dell’infrastruttura digitale europea e NIS 2 è applicabile ai servizi fiduciari eIDAS, il presente documento mira anche a soddisfare i requisiti di NIS2” .

Servizi fiduciari e cybersecurity

Il documento ETSI EN 319 401 è intitolato “Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers e specifica le politiche di sicurezza di base da applicare alle pratiche operative e di gestione dei prestatori di servizi fiduciari (Trust Service Providers – TSP) indipendentemente dal servizio fornito, compresi i requisiti di sicurezza informatica conformi alla Direttiva NIS2. In questo scenario non sorprende che la Direttiva NIS 2 faccia riferimento decine di volte (comprese le note a piè di pagina, 23 volte) al trust e ai trust services.

Già nel preambolo con il Considerando (11) si auspica che i prestatori di servizi fiduciari “dovrebbero rientrare nell’ambito di applicazione della presente direttiva al fine di garantire un livello di requisiti di sicurezza e supervisione (la traduzione esatta sarebbe vigilanza) analogo a quello precedentemente stabilito in tale regolamento nei confronti dei prestatori di servizi fiduciari”.

Le regole per i prestatori di servizi fiduciari

I prestatori di servizi fiduciari sono indicati anche nel Considerando (84), nell’ambito della esigenza di coordinamento generale della sicurezza a livello dell’Unione. Un ulteriore aspetto di tale coordinamento è descritto nel Considerando (92). Dal punto di vista della complementarità tra eIDAS e NIS è di particolare interesse il Considerando (94) che si riporta integralmente di seguito:

“Gli obblighi in materia di cibersicurezza stabiliti nella presente direttiva dovrebbero essere considerati complementari ai requisiti imposti ai prestatori di servizi fiduciari ai sensi del regolamento (UE) n. 910/2014. È opportuno chiedere ai prestatori di servizi fiduciari di adottare tutte le misure adeguate e proporzionate per gestire i rischi posti ai loro servizi, anche in relazione ai clienti e ai terzi che vi fanno affidamento, nonché di segnalare gli incidenti a norma della presente direttiva. Tali obblighi in materia di cibersicurezza e segnalazione dovrebbero riguardare anche la protezione fisica dei servizi forniti. I requisiti per i prestatori di servizi fiduciari qualificati stabiliti all’articolo 24 del regolamento (UE) n. 910/2014 continuano ad applicarsi.”

I prestatori di servizi fiduciari operano in conformità alla NIS 2, ma l’articolo 24 “Requisiti per i prestatori di servizi fiduciari qualificati” continua ad applicarsi. I prestatori di servizi fiduciari sono presenti nel testo della Direttiva già nell’articolo 2 dedicato all’ambito di applicazione. Sono nel paragrafo 2, lettera a, punto ii), ma per un palese errore di traduzione leggiamo “prestatore di servizi di fiducia”.

Come appare evidente dai riferimenti richiamati, dunque, a tali soggetti si applica la Direttiva, in coordinamento con quanto stabilito nel 910/2014, modificato dal Regolamento 2024/1183. Ai sensi dell’articolo 3 della NIS 2 i prestatori di servizi fiduciari sono individuati come soggetti essenziali, quindi, ad essi si applicano le norme più “stringenti”, visti le criticità e l’impatto sulla società delle loro attività. Le sanzioni per questi soggetti sono più elevate . Per concludere la descrizione dei principali aspetti di coordinamento e interazione tra eIDAS 2 e NIS 2, può essere utile mettere in evidenza l’articolo 24, paragrafo 1, che stabilisce regole per l’“uso dei sistemi europei di certificazione della cibersicurezza” e in base al quale gli Stati membri possono imporre ai soggetti essenziali e importanti  prodotti certificati in Europa. Importante risulta anche la regola per cui “gli Stati membri incoraggiano i soggetti essenziali e importanti a utilizzare servizi fiduciari qualificati”.

Anche nel caso appena descritto la normativa nazionale di rango primario e tecnico dovrebbe essere aggiornata. Sul tema specifico sono coinvolte le Misure minime di sicurezza emesse da AgID con la circolare 18 aprile 2017, n. 2/2017 più volte referenziate nelle Linee guida sul documentale.

Impatti sulla normativa nazionale

Per quanto fin qui descritto la normativa nazionale dovrebbe essere aggiornata a livello primario (il CAD) e poi, di conseguenza, nelle Linee guida emesse da AgID ai sensi dell’articolo 71 del medesimo CAD. Gli adeguamenti normativi non possono contraddire le norme comunitarie, possono  integrarle sui temi non trattati. I servizi di e-archiving sono già definiti da eIDAS e nulla potrebbe aggiungere il nostro Legislatore e conseguentemente AgID sulla loro definizione e su quelli che sono gli effetti giuridici di tali servizi.

Un tema cruciale per il Legislatore sarebbe chiarire l’eventuale intenzione di parificare (o addirittura considerare prevalenti) i servizi di e-archiving a quelli di conservazione italiana intervenendo sugli artt. 43 e 44 del CAD e, per quanto riguarda i servizi offerti alla PA, sull’art. 34, sempre del CAD.

Ad oggi, infatti, se si deve conservare e/o esibire un documento informatico, questo dev’essere conservato secondo le regole tecniche (art. 43 del CAD) e tutte le ulteriori specifiche in ambiti particolari o di vigilanza (documenti fiscalmente rilevanti, assicurativi, bancari, lul) fanno riferimento al CAD e, a cascata, alle vigenti Linee guida di AgID.

Pertanto, ad oggi, l’utilizzo di un sistema di e-archiving, qualificato o meno, non permetterebbe di considerare come conservati a norma i nostri documenti informatici. Potranno, quindi, essere conservati a norma i nostri documenti tramite un servizio di e-archiving? E per i documenti della PA, servirà un servizio qualificato? O bisognerà comunque che AgID mantenga, nel rispetto della normativa europea, ulteriori criteri per la fornitura si servizi di conservazione alle PA (art 34 CAD)?

Purtroppo, in assenza di norme chiare, si rischia una confusione normativa ai danni del mercato nazionale e purtroppo, a favore di soggetti esteri che già si riferiscono alla normativa comunitaria, più generale e non ancora attiva in termini di regolamenti di esecuzione.

Le priorità da affrontare nel 2025

Lo scenario e le prospettive per il 2005 partono dall’esigenza di adeguare la normativa nazionale a quella comunitaria stabilendo chiarezza ed equilibrio con le prevalenti norme stabilite nel regolamento eIDAS. Si dovrà partire da scelte che eventualmente modifichino il CAD nei termini precedentemente esposti. Una volta definiti i nuovi principi AgID potrà aggiornare le Linee guida tenendo in esplicito riferimento i regolamenti di esecuzione della Commissione europea che saranno pubblicati anche sulla base dei documenti, specifiche e standard emessi dagli organismi CEN e ETSI. A tal proposito saranno disponibili a breve i primi documenti per le inchieste pubbliche. A breve si inizia con “General concepts for preservation of digital information” del CEN/TC 468/WG 1.

I regolamenti di esecuzione della Commissione saranno probabilmente influenzati anche dall’iniziativa comunitaria sull’archiviazione elettronica che è gestita per conto della Commissione europea dal Consorzio E-ARK.

Per approfondimenti su questo tema e su come questa iniziativa si inserisce nelle tematiche dell’archiviazione elettronica si rinvia al seguente collegamento della Commissione interessante anche per approfondire altri argomenti sul tema.

_

Note

NdA Ringrazio la presidente e il segretario generale di Anorc – Associazione nazionale operatori e responsabili della conservazione di contenuti digitale, nell’ordine Patrizia Sormani e Luigi Foglia, per alcuni idee e contributi inseriti nel testo.