Da domani entra nella piena operatività il regolamento Eidas su identificazione ed autenticazione elettronica, firme elettroniche e servizi fiduciari. Senza necessità di atti di recepimento, a differenza di quanto richiesto per le direttive, troverà finalmente applicazione il Regolamento Ue 910/2014, in vigore dal 17 settembre 2014. Le novità valgono per tutti gli atti, di natura pubblica (come la partecipazione a una gara d’appalto) o privata (come i contratti).
Ma per armonizzare la normativa interna sui servizi digitali contenuta nel Cad (Codice dell’amministrazione digitale, il Governo, in attuazione della più ampia delega per la riorganizzazione delle amministrazioni pubbliche (legge 124/2015, la riforma Madia), ha predisposto uno schema di decreto legislativo con modifiche ed integrazioni al Cad soprattutto su firme elettroniche e documenti informatici (si veda l’articolo a fianco), la cui decorrenza, inizialmente stabilita anch’essa dal 1° luglio 2016, è destinata a slittare: il decreto è ad oggi ancora all’esame del Parlamento.
Il regolamento Eidas vuol creare una base condivisa fra imprese, cittadini e autorità pubbliche, per migliorare l’efficacia di servizi elettronici pubblici e privati, transazioni e commercio elettronico nell’Ue, favorendo transazioni transfrontaliere più rapide e sicure che possono agevolare lo sviluppo economico e digitale. L’Eidas contiene perciò disposizioni per instaurare la fiducia negli ambienti online, dettando una normativa comune per il reciproco riconoscimento di identificazione ed autenticazione elettronica, firme ed altri servizi fiduciari.
Le disposizioni sono tutte caratterizzate dal principio di neutralità tecnologica: non impongono particolari soluzioni tecniche, ma solo requisiti tecnici minimali tali da garantire interoperabilità e livelli di sicurezza adeguati comuni ai diversi Stati membri.
Il superamento delle barriere tecnologiche transfrontaliere allo sviluppo di un mercato digitale europeo si fonda innanzitutto sull’identificazione elettronica, che il regolamento Eidas tiene distinta dall’autenticazione elettronica. L’identificazione è il processo di utilizzo di dati personali identificativi in forma elettronica, che rappresentano in modo univoco una persona, fisica o giuridica, o una persona fisica che rappresenta una persona giuridica. Invece, l’autenticazione elettronica è il processo elettronico che consente di confermare l’identificazione elettronica di una persona, fisica o giuridica oppure origine e integrità di dati in forma elettronica.
Lo schema di nuovo Cad, recependo il Regolamento, abrogherà perciò l’attuale nozione di identificazione informatica definita come la validazione dei dati attribuiti in modo esclusivo ed univoco ad un soggetto individuato nei sistemi informatici. Verrà abrogata la definizione di autenticazione, riferita oggi al documento informatico e definita proprio come la validazione del documento associando dati informatici relativi all’autore o alle circostanze, anche temporali, di sua redazione.
Il regolamento Eidas non interviene sui sistemi nazionali di gestione dell’identità elettronica – e sulle relative infrastrutture – istituiti negli Stati membri. Lo scopo della norma Ue è invece garantire la disponibilità di un’identificazione e un’autenticazione elettronica sicura per accedere ai servizi online transfrontalieri offerti dagli Stati membri.
La notifica da parte del Governo italiano del decreto del 24 ottobre 2014 che regolamenta lo Spid (Sistema pubblico per l’identità digitale) alla Commissione Ue farà sì che il Sistema nazionale sarà accettato dagli altri Stati membri. Per assicurare l’interoperabilità, lo Spid già si basa sulle specifiche OASIS SAML v2.0 diffuse a livello europeo e adottate nel progetto sperimentale Stork, condiviso su larga scala da molti Paesi europei, che mira a sviluppare un’infrastruttura comune per l’identità digitale, sia per le persone fisiche sia per quelle giuridiche.