Regolamento eIDAS 2: le nuove firme elettroniche incluse nel EUDI Wallet

Il Regolamento (EU) 2024/1183 (di seguito “eIDAS II” o il “Regolamento”), ha introdotto rilevanti novità anche in relazione alla disciplina delle firme elettroniche e degli altri servizi fiduciari prestati in Unione Europea.

Con specifico riferimento alle firme elettroniche il Regolamento, infatti, stabilisce i requisiti tecnici per le firme elettroniche a distanza, lacuna presente sotto la vigenza del vecchio testo e nuove regole in materia di conservazione. Ultima novità, che tuttavia potrebbe essere la più dirompente, riguarda il diritto degli utenti del EUDI Wallet di avere una firma elettronica gratuita inclusa nel Wallet stesso.

In questo contributo, che si pone in continuità con il precedente, saranno dunque esaminate le novità introdotte dal Regolamento (EU) 2024/1183 ora citate.

L'obbligo di disporre gratuitamente di una firma elettronica nel Portafoglio Elettronico

L'intento del Regolamento è quello di rendere disponibile, tra le funzioni del EUDI Wallet, anche il diritto di “poterlo utilizzare per firmare con firme elettroniche qualificate, per impostazione predefinita e gratuitamente, senza dover sottostare a ulteriori procedure amministrative. Ciò dovrebbe altresì consentire agli utenti di apporre firme o sigilli ad asserzioni o attributi autodichiarati” (considerando n. 19); in concreto, l'utilizzatore del Wallet deve avere tra le opzioni possibili quella di utilizzare una firma elettronica qualificata, equiparata ex art. 25, par. 2, alla sottoscrizione autografa.

Illustrata l'intenzione del Legislatore con l'esame del Considerando, è possibile esaminare l'articolato normativo il quale all'art. 5 bis, par. 5, primo comma, lett. g, stabilisce che gli Stati Membri “offrono a tutte le persone fisiche la possibilità di firmare mediante firme elettroniche qualificate per impostazione predefinita e gratuitamente”, riproducendo quasi pedissequamente la volontà espressa nel considerando sopra citato.

In sede di discussione, tuttavia, si è rilevato come detta disposizione avrebbe minato il mercato dei Qualified Trust Service Provider, i quali si sarebbero trovati costretti a dover offrire gratuitamente un prodotto attualmente a pagamento.

Il comma successivo accoglie pertanto le preoccupazioni di tali operatori economici, e riconosce in capo agli Stati Membri la facoltà di limitare, con misure proporzionate, l'uso gratuito della firma elettronica ai soli fini non professionali, mentre per questi ultimi l'utente dovrà attivare un servizio a pagamento, ben potendo integrarsi diversi tipi di firma sul Portafoglio Elettronico.

In questo senso spetterà ai singoli Legislatori nazionali identificare le casistiche in cui si sarà consentito un uso gratuito del servizio di firma rispetto a quando il medesimo dovrà essere a pagamento, parimenti sempre agli stessi Stati spetterà individuare le modalità migliori per adempiere all'obbligo imposto dalla nuova normativa; in ragione di ciò sarà necessario comprendere in primis quanto effettivamente un cittadino privato abbia potenzialmente bisogno di questo servizio (considerando, ad esempio, che in Italia il Codice dell'Amministrazione Digitale – D.lgs. 82/2005 prevede un meccanismo di attribuzione della paternità dei documenti informatici inviati alla Pubblica Amministrazione anche indipendentemente dall'apposizione di una firma elettronica, ma anche tramite identificazione del soggetto con un sistema di identità digitale). Attualmente, infatti, il servizio di firma può essere erogato una tantum, (si pensi ad esempio alle sottoscrizioni di contratti online in cui chi offre il prodotto mette a disposizione dell'utente un servizio di firma che verrà utilizzato solo in quell'occasione) oppure essere collegato alla durata della validità di un certificato qualificato in costanza della quale si possono effettuare un numero illimitato di firme.

Ulteriori dubbi sussistono poi in ordine al soggetto che dovrà fornire questo servizio, il quale sia se individuato tra gli Enti Pubblici, sia se privato, dovrà comunque essere qualificato per l'emissione delle firme elettroniche.

Il ruolo degli HSM

Ad ogni modo, qualsiasi sarà il soggetto che si farà carico di offrire gratuitamente questo servizio, sembra opportuno comprendere la sua operatività e le novità in materia di standard tecnici che lo governano.

Nel dettaglio, sembra chiaro che di per sé il dispositivo mobile, come Smartphone o Tablet su cui è presente il Wallet non possa (ancora) fungere, per motivi di sicurezza informatica, da dispositivo atto a generare firme elettroniche qualificate, per cui questo si limiterà o ad associarsi, tramite bluetooth o NFC, ad un dispositivo terzo deputato alla creazione della coppia di chiavi crittografiche asimmetriche, oppure ad ospitare degli applicativi necessari per attivare un Hardware Security Model (di seguito solo HSM). A monte di questo processo occorre rammentare che il Wallet ha la funzione di verificare l'identità del l'utente, ecco dunque che proprio sarà questa garanzia a poter far sì che l'utente possa autenticarsi per avviare il processo di firma remota tramite HSM.

All'interno del certificato qualificato dovrà inoltre essere contenuta la limitazione d'uso agli scopi non professionali, che sarà necessariamente (in riferimento all'Italia), conforme alle norme contenute nella Determinazione AgID 147/2019, la quale stabilisce che “eventuali ulteriori limiti d'uso sono inseriti nell'attributo explicitText del campo userNotice dell'estensione “certificatePolicies”.

Il rispetto di tale estensione costituisce un requisito fondamentale ai fini della validità della firma: avendo infatti stabilito che la sottoscrizione, se effettuata con lo strumento messo a disposizione gratuitamente nel Portafoglio Elettronico, non può spiegare i suoi effetti per fini professionali, bisogna verificare che sia rispettato questo limite; pertanto, ai controlli già effettuati per verificare l'integrità e l'autenticità del documento dovrà essere accompagnato questo ulteriore controllo.

La gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza

Dal diritto riconosciuto all'utente di poter disporre di una firma elettronica qualificata direttamente dal wallet e per impostazione predefinita dello stesso, discende inoltre la necessità di assicurare una corretta gestione dei dispositivi HSM sopra menzionati; invero, l'art. 29 bis, introduce un vero e proprio servizio fiduciario a sé stante rispetto ai precedenti.

Tale articolo prevede che i soggetti che possono gestire queste tipologie di hardware per la creazione di firme qualificate sono solo prestatori di servizi qualificati che:

“a) genera o gestisce dati per la creazione di una firma elettronica per conto del firmatario;

b) fatto salvo l'allegato II, punto 1, lettera d), duplica i dati per la creazione di una firma elettronica solo a fini di back-up, a condizione che siano soddisfatti i requisiti seguenti:

i) la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;

ii) il numero di insiemi di dati duplicati non deve eccedere il minimo necessario per garantire la continuità del servizio;

c) soddisfa i requisiti indicati nella relazione di certificazione dello specifico dispositivo qualificato per la creazione di una firma elettronica a distanza, rilasciata a norma dell'articolo 30”.

I nuovi requisiti tecnici

A differenza di token e smart card, tuttavia, per tali dispositivi che consentono la firma “a distanza”, non sono mai stati delineati a livello europeo dei requisiti tecnici di sicurezza, atteso che non sono mai stati contemplati dalla Decisione di esecuzione 2016/650 (ossia la norma che detta i criteri per la valutazione della sicurezza dei dispositivi per la creazione di firme e sigilli qualificati); in ragione di ciò il Regolamento impone nuovi standard mirati a fissare questi requisiti.

Entrando nello specifico è opportuno sottolineare che la Decisione di esecuzione ora citata non è stata ancora ufficialmente modificata al fine di ricomprendere anche gli HSM, tuttavia, posto che l'art. 30, par. 3 bis, impone alla Commissione di stabilire formati e procedure entro il 21 maggio 2025 mediante atti di esecuzione, la stessa ha incaricato lo European Telecommunications Standards Institute (di seguito solo ETSI), di modificare e sviluppare i necessari standard di riferimento che verranno poi impiegati come base per gli atti di esecuzione presenti nel testo. Le principali modifiche avranno luogo in relazione allo Standard ETSI TS 119 431-1 – Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 1: TS, rispetto e Standard ETSI TS 119 431-2 – Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers; Part 2: TSP service components supporting AdES digital signature creation, i quale dovranno essere aggiornati per specificare i requisiti di policy e sicurezza per i componenti di servizio dei trust service provider (TSP) che supportano la creazione di firme digitali qualificate conformi al regolamento eIDAS e che dovranno includere inoltre requisiti specifici per l'utilizzo di HSM remoti o dispositivi di creazione delle firme a distanza.

Analogamente, lo standard tecnico ETSI TS 119 432 attualmente alla versione V1.2.1. che definisce i protocolli per la creazione remota di firme elettroniche, dovrà essere aggiornato al fine di includere i requisiti per l'uso degli HSM. Quest'ultimo documento dovrà concentrarsi sull'interoperabilità e sulla sicurezza delle firme digitali create a distanza, stabilendo linee guida tecniche per i componenti coinvolti nel processo di firma.

Infine, dovrà essere modificato lo Standard CEN EN 419 241-1 – Trustworthy Systems Supporting Server Signing – Part 1: General System Security Requirements, che stabilisce i requisiti di sicurezza generali per i sistemi che forniscono servizi di firma elettronica a livello server, garantendo che tali sistemi siano sicuri, affidabili e conformi alle normative europee.

Conclusioni

L'introduzione di un diritto alla firma digitale elettronica qualificata a distanza comporta numerose novità tese a incrementare il grado di digitalizzazione degli utenti europei; d'altro canto, il Regolamento esaminato pone la responsabilità di delicate scelte di opportunità politica in capo ai legislatori nazionali, i quali dovranno ponderare, a seconda del mercato interno di riferimento, le strategie migliori. È questo il caso delle limitazioni dell'uso non professionale di cui abbiamo parlato nei precedenti paragrafi, da cui discendono scelte rilevanti in riferimento al soggetto erogatore ed alle modalità di fruizione del servizio. Accanto a queste scelte vi sono numerosi aggiornamenti di carattere tecnico in cui, giustamente, sono presenti presidi di sicurezza più elevati che richiederanno un aggiornamento dei dispositivi esistenti. Tra questi, gli Hardware Security Module (HSM) che dovranno essere compliant rispetto alle nuove normative. Ciò implica che i dispositivi più vecchi potrebbero dover essere sostituiti, creando opportunità per i produttori di dispositivi qualificati di investire in nuove tecnologie e migliorare la sicurezza cibernetica delle firme elettroniche, ma allo stesso tempo ciò potrebbe comportare dei costi molto elevati i quali si sommano agli investimenti richiesti per l'innalzamento del level of assurance da substantial ad high, per l'integrazione dei servizi fiduciari con l'EUDI Wallet.