Pubblicate le linee guida relative a certificati elettronici qualificati, firme e sigilli elettronici qualificati
di Michele Iaselli – Funzionario Ministero della Difesa, docente di informatica giuridica all’Università di Cassino, LUISS – Roma e Federico II – Napoli
Sul sito dell’Agenzia per l’Italia digitale è stata pubblicata la determinazione n. 121 del 17 maggio 2019 successivamente rettificata dalla determinazione n. 147/2019 con la quale sono state adottate le «Linee guida contenenti le regole tecniche e raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate».
Le Linee guida, emesse ai sensi dell’art. 71, D.Lgs. 7 marzo 2005, n. 82, definiscono le specifiche tecniche cui sono destinatari i prestatori di servizi fiduciari qualificati ai sensi dell’art. 29, D.Lgs. 7 marzo 2005, n. 82 e del Regolamento UE n. 910 del 2014 (eIDAS).
Il regolamento eIDAS dispone alcuni obblighi in capo ai prestatori di servizi fiduciari che emettono certificati qualificati per la generazione di firme e sigilli elettronici e certificati qualificati di autenticazione di siti web; individua i requisiti per la convalida delle firme elettroniche qualificate (art. 32) e, mutatis mutandis, dei sigilli elettronici qualificati (art. 40), come anche i requisiti per i certificati qualificati di autenticazione di siti web (art. 45) e per la validazione temporale elettronica qualificata (art. 42).
Tali disposizioni individuano dei requisiti minimi che possono risultare non adeguati per la fruizione di servizi in rete offerti nello specifico contesto italiano. Un esempio in tal senso è l’assenza dell’obbligo di indicare nel certificato qualificato per la generazione della firma il codice fiscale del titolare, elemento indispensabile per diverse pubbliche amministrazioni italiane.
Pertanto, il presente provvedimento, emanato ai sensi dell’art. 71 del CAD, contiene nel paragrafo 3 (Obblighi) alcune previsioni rese obbligatorie in forza o in attuazione del regolamento eIDAS, mentre nel paragrafo 4 (Raccomandazioni) indicazioni volte a garantire maggiormente l’interoperabilità e la fruizione dei servizi in rete nel contesto italiano. Sebbene indicate come “raccomandazioni” devono essere interpretate nel significato previsto nella RFC-2119; pertanto la loro applicazione è fortemente consigliata. E’ evidente che trattandosi di raccomandazioni e non di obblighi, la loro disapplicazione non può comportare l’invalidità di certificati, firme e sigilli elettronici qualificati. Il paragrafo 5 contiene alcune indicazioni per il processo di convalida di firme e sigilli elettronici.
Le disposizioni contenute nelle presenti regole tecniche che risultino in contrasto con future versioni del regolamento eIDAS o dei regolamenti esecutivi derivanti, devono essere disapplicate.
Nell’ambito dei servizi fiduciari qualificati volti all’emissione di certificati qualificati e ai sistemi di validazione temporale elettronica qualificata, i prestatori di servizi fiduciari qualificati sono liberi di utilizzare le funzioni di hash e gli algoritmi crittografici con lunghezza delle chiavi purché adeguati al fine di ottemperare a quanto prescritto dall’art. 24, paragrafo 2, lettera e) del regolamento eIDAS.
Ai fini dell’art. 21, paragrafo 2, e dell’art. 24, paragrafo 2, lettera a) del regolamento eIDAS, detti prestatori di servizi devono informare l’Agenzia in merito alla scelta effettuata e di come soddisfi quanto prescritto dall’art. 24, paragrafo 2, lettera e) del regolamento eIDAS.
Ai sensi dell’art. 24, paragrafo 2, lettera d) del regolamento eIDAS, i destinatari dei servizi devono essere informati in modo chiaro e completo anche in merito all’applicazione o eventuale disapplicazione delle raccomandazioni contenute nelle regole tecniche.
Il processo di convalida di una firma elettronica qualificata o di un sigillo elettronico qualificato conferma la validità delle stesse purché siano verificate le condizioni di cui all’art. 32 del regolamento eIDAS e siano generate conformemente a quanto stabilito negli atti di esecuzione emanati dalla Commissione Europea ai sensi del paragrafo 5 degli artt. 27 o 37 del regolamento eIDAS.
