COMPLIANCE

 

eIDAS 2: 

Innovazione e Sicurezza per l’Identità Digitale e Archiviazione Elettronica in Europa

 

Si apre un nuovo capitolo nell’ambito della normativa europea con l’entrata in vigore del regolamento europeo 2024/1183, noto anche come eIDAS 2. Questo regolamento, che modifica il precedente eIDAS 1 (n. 910/2014), porta con sé significativi cambiamenti destinati ad impattare sia i contribuenti che i fornitori di servizi legati alla conservazione documentale.

ANALISI DELLE DIFFERENZE: EIDAS 1 VS EIDAS 2 – LE PRINCIPALI VARIAZIONI NORMATIVE

Le novità che eIDAS 2 introdurrà rispetto all’attuale quadro normativo sono:

  1. Estensione dell’ambito: Inclusione di ulteriori servizi digitali transfrontalieri, come l’autenticazione e l’identificazione dei dispositivi.
  2. Normative comunitarie per la conservazione digitale: Introduzione di regole a livello europeo per la conservazione digitale dei documenti.
  3. Rafforzamento della sicurezza e della privacy: Miglioramenti nella sicurezza e nella protezione della privacy delle identità elettroniche e dei servizi fiduciari.
  4. Quadro normativo per le identità digitali: Creazione di un quadro per la generazione e l’utilizzo delle identità digitali, con portafogli di identità che consentono a individui e imprese di creare e utilizzare identità digitali senza necessità di verifica governativa.
  5. Semplificazione nei processi di appalto pubblico: Facilitazione dell’uso delle identità digitali e dei servizi fiduciari nei processi di appalto pubblico e miglioramento dell’interoperabilità tra i sistemi nazionali.

COERENZA NORMATIVA TRA EIDAS 2.0 E NORMATIVA ITALIANA – IL RUOLO CHIAVE DELLA CONSERVAZIONE DIGITALE DEI DOCUMENTI

Con eIDAS 2 viene introdotto il nuovo servizio fiduciario dell’archiviazione elettronica (e-archiving) che si affianca, alla conservazione qualificata delle firme e dei sigilli qualificati, già normata negli articoli 34 e 40 del primo regolamento eIDAS.

Un ruolo cardine nella definizione delle normative sul documento digitale è stato svolto dall’Italia, che si è distinta come pioniere con il Codice dell’Amministrazione Digitale (CAD) e le Linee Guida dell’Agenzia per l’Italia Digitale (AgID). Queste iniziative non solo hanno introdotto importanti disposizioni normative, ma hanno anche delineato figure professionali chiave per garantire una corretta formazione e gestione dei documenti digitali.

Tra queste figure, spiccano il Responsabile della Conservazione e il Responsabile del Servizio di Conservazione. Il primo, quale punto di riferimento interno delle aziende, sorveglia i processi legati alla formazione dei documenti digitali, possedendo competenze archivistiche, digitali e amministrative. Il secondo, invece, assume il ruolo di garante presso i fornitori dei servizi di conservazione, assicurando l’aderenza ai requisiti normativi.

Tuttavia, è importante notare che, nonostante la coerenza tra le disposizioni europee e italiane in merito alla definizione di Archiviazione Elettronica, vi è una differenza concettuale significativa. Mentre in Italia il concetto di Conservazione Digitale dei documenti informatici è ben definito attraverso disposizioni normative specifiche come il CAD e le LLGG, la definizione fornita in eIDAS 2.0 sembra essere più ampia e generica. Pur riflettendo l’importanza di proteggere e custodire nel tempo gli archivi di documenti e dati informatici, questa definizione potrebbe non includere la specificità e le disposizioni dettagliate presenti nel CAD italiano.

In merito a ciò nel testo del regolamento eIDAS 2.0 si fa riferimento al tema con il Considerando (66), riportato di seguito: 

“(66) Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono un’archiviazione elettronica sicura e affidabile al fine di consentire la conservazione a lungo termine di dati elettronici e documenti elettronici, nonché per i servizi fiduciari associati. Al fine di garantire la certezza giuridica, la fiducia e l’armonizzazione in tutti gli Stati membri, è opportuno istituire un quadro giuridico per i servizi di archiviazione elettronica qualificati, ispirato al quadro per gli altri servizi fiduciari di cui al presente regolamento. Il quadro giuridico per i servizi di archiviazione elettronica qualificati dovrebbe offrire ai prestatori di servizi fiduciari e agli utenti un pacchetto di strumenti efficiente che comprenda requisiti funzionali per il servizio di archiviazione elettronica, nonché chiari effetti giuridici in caso di utilizzo di un servizio di archiviazione elettronica qualificato. Tali disposizioni dovrebbero applicarsi ai documenti creati in formato digitale e ai documenti cartacei che sono stati scannerizzati e digitalizzati. Ove necessario, tali disposizioni dovrebbero consentire che i dati elettronici e i documenti elettronici conservati siano trasferiti su supporti o formati diversi al fine di estenderne la durabilità e la leggibilità oltre il periodo di validità tecnologica, evitando nel contempo, nella misura del possibile, le perdite e le alterazioni. Quando i dati elettronici e i documenti elettronici trasmessi al servizio di archiviazione elettronica contengono una o più firme elettroniche qualificate ovvero uno o più sigilli elettronici qualificati, il servizio dovrebbe utilizzare procedure e tecnologie in grado di estendere la loro affidabilità per il periodo di conservazione di tali dati, eventualmente ricorrendo all’uso di altri servizi fiduciari qualificati istituiti dal presente regolamento. Per la creazione delle prove di conservazione in caso di utilizzo di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, è opportuno utilizzare servizi fiduciari qualificati. Poiché i servizi di archiviazione elettronica non sono armonizzati dal presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni nazionali, in conformità del diritto dell’Unione, relative a tali servizi, quali disposizioni specifiche per i servizi integrati in un’organizzazione e utilizzati esclusivamente per gli “archivi interni” di tale organizzazione. Il presente regolamento non dovrebbe distinguere tra documenti creati in formato digitale e documenti fisici che sono stati digitalizzati”.

Il testo è chiaro nella descrizione dello scenario comunitario e nell’evidenziare la necessità di armonizzazione con altri servizi fiduciari qualificati. Pertanto, per valutare eventuali regole comuni tra Europa e Italia è indispensabile comprendere le definizioni appropriate e quanto stabilito nel testo di eIDAS 2.0:

art. 47)  “archiviazione elettronica”, un servizio che garantisce la ricezione, la conservazione, il reperimento e cancellazione dei dati e dei documenti informatici al fine di garantirne la durabilità e la leggibilità nonché preservarne l’integrità, riservatezza e prova dell’origine durante tutto il periodo di conservazione;

art. 48)   “servizio di archiviazione elettronica qualificato”, un servizio elettronico che soddisfa i requisiti di cui all’articolo 45 undecies”.

Entrando nello specifico della normativa operativa nella sezione 10 – Servizi di archiviazione elettronica, di cui vi riportiamo di seguito un estratto:

Art. 45 decies – Effetti giuridici dei servizi di archiviazione elettronica

  1. Ai dati e ai documenti informatici conservati mediante un servizio di archiviazione elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in giudizio per il solo motivo che sono in formato elettronico o non sono conservati mediante un servizio di archiviazione elettronica qualificato.
  2. I dati informatici e i documenti informatici conservati mediante un servizio di archiviazione elettronica qualificato godono della presunzione di integrità e di provenienza per tutta la durata del periodo di conservazione da parte del prestatore di servizi fiduciari qualificato.

Art. 45 undecies – Requisiti per i servizi di archiviazione elettronica qualificata

  1. I servizi di archiviazione elettronica qualificati soddisfano i seguenti requisiti:
    1. Sono forniti da prestatori di servizi fiduciari qualificati; 
    2. Utilizzano procedure e tecnologie atte a garantire la durabilità e la leggibilità dei dati elettronici oltre il periodo di validità tecnologica e almeno per tutto il periodo di conservazione legale o contrattuale, preservandone l’integrità e l’accuratezza della loro origine;
    3. Garantiscono che i dati elettronici siano conservati in modo tale da essere salvaguardati contro la perdita e l’alterazione, ad eccezione dei cambiamenti riguardanti il loro supporto o formato elettronico; 
    4. Consentono alle parti autorizzate di ricevere un rapporto in modo automatizzato che confermi che un dato elettronico recuperato da un archivio elettronico qualificato gode della presunzione di integrità dei dati dall’inizio del periodo di conservazione fino al momento del recupero.

La relazione di cui alla lettera d) del primo comma è fornita in modo affidabile ed efficiente e reca la firma elettronica qualificata o il sigillo elettronico qualificato del prestatore del servizio di archiviazione elettronica qualificato.

  1. Entro il 21 maggio 2025 la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, se necessario, stabilisce specifiche e procedure applicabili ai servizi di archiviazione elettronica qualificati. Si presume che i requisiti dei servizi di archiviazione elettronica qualificati siano rispettati ove un servizio di archiviazione elettronica qualificato sia conforme a tali norme, specifiche e procedure. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

NAVIGARE L’AGENDA NORMATIVA DI eIDAS 2 – PROSSIMI PASSI E IMPLICAZIONI CHIAVE

  • Settembre 2024 – Termine per inserire l’adozione di eIDAS 2 nel quadro legislativo di ogni stato membro.
  • Settembre 2024 – Giugno 2025 – Periodo di implementazione delle iniziative dei Fornitori di Servizi Fiduciari Qualificati (QTSP) in materia di Identità Digitale e Archiviazione elettronica.
  • Settembre 2026 – Termine per i QTSP per allinearsi ai requisiti eIDAS 2, mentre gli stati membri dovranno rilasciare il Portafoglio EUDI.

In conclusione, l’approccio europeo all’archiviazione elettronica presenta divergenze rispetto alle normative italiane attuali, soprattutto riguardo alla definizione dei concetti chiave. È probabile che nel prossimo futuro si assista a un processo di armonizzazione tra gli stati membri, mirato a stabilire regole e standard europei uniformi. L’Italia, con la sua esperienza pionieristica, potrebbe svolgere un ruolo fondamentale in questo processo. L’obiettivo sarà garantire un quadro normativo europeo coeso, promuovendo l’adozione delle tecnologie digitali e assicurando la sicurezza e l’efficienza nella gestione dei documenti digitali.

Per rimanere aggiornato seguici su LinkedIn!