A cura di Dino Esposito – Responsabile della Sicurezza delle Informazioni InfoCert
A quasi tre lustri dalla emissione della Direttiva 93/99/EC sulla firma elettronica, l’Unione Europea torna ad occuparsi, probabilmente in ritardo, del tema.
In questi 14 anni il panorama della firma elettronica in Europa è stato caratterizzato da interpretazioni sostanzialmente protezionistiche che, grazie al fatto che le Direttive devono essere trasposte nella legislazione nazionale, hanno permesso agli Stati Membri di predisporre artificiose barriere alla effettiva circolazione dei certificatori e, quindi, delle firme al di fuori dell’ambito nazionale. Esistevano gli strumenti giuridici e regolamentari per evitarlo, ma si è preferito il quieto vivere.
Anche sul piano tecnico, i bit e i byte, sottili differenze nell’interpretazioni degli standard erano sufficienti a rendere anche tecnicamente non compatibili le differenti soluzioni nazionali. Ne sappiamo qualcosa anche noi in Italia, dove solo grazie al lavoro di Assocertificatori si è riusciti a creare un terreno comune che permettesse di interoperare e permettesse, quindi, agli utenti la libera scelta del certificatore e della piattaforma di firma/verifica.
La prima svolta è arrivata nel 2006 con la cosiddetta Direttiva Servizi, entrata in vigore nel dicembre del 2009, che obbligava gli stati membri a essere interoperabili, anche sul piano elettronico, nell’offerta di servizi pubblici. Da questa direttiva sono scaturiti alcuni grandi progetti che hanno definito alcuni punti di riferimento tecnico per l’interoperabilità degli scambi documentali (SPOCS), dell’eProcurement (PEPPOL) ed dell’identificazione (STORK). Sullo sfondo, per tutti questi anni i tecnici hanno continuato, nell’ambito del CEN e, specialmente, di ETSI, a raffinare le specifiche, avendo ben chiaro in mente che senza un comune substrato tecnico nessuna reale interoperabilità si sarebbe raggiunta. Il primo risultato è stato l’adozione di un formato unico per quello che da noi si chiama l’elenco pubblico dei certificatori: la Trusted provider Status List.
Questa situazione sta per cambiare drasticamente. La Commissione, il Consiglio ed il Parlamento europei stanno lavorando all’emanazione di un regolamento che riprende ed allarga di molto gli scopi della Direttiva del 1999.
La prima grande novità sta proprio nello strumento legislativo adottato: il regolamento. Un regolamento europeo, contrariamente a quanto accade per le direttive, NON richiede un passaggio legislativo nei singoli paesi, ma entra immediatamente in vigore non appena pubblicato sulla Gazzetta Ufficiale dell’Unione. Niente più interpretazioni nazionali, quindi, ma un unico testo, uguale per tutti.
La seconda novità è che il campo di applicazione si amplia enormemente: non solo più firma, ma anche sistemi di Delivery (PEC o analoghi), servizi di marcatura temporale, servizi di validazione delle firme, fino alla conservazione ed alla certificazione dei siti web.
La terza novità è la modalità con cui verranno definiti i dettagli tecnici. Fermo restando che ETSI e CEN hanno ricevuto un nuovo mandato per rivedere il lavoro fatto in questi anni su base sostanzialmente volontaria e razionalizzare il tutto, la Commissione, sulla falsariga di quanto accade in Italia con le Deliberazioni (CNIPA/DIGITPA/AGID) viene delegata ad emanare le norme tecniche di dettaglio senza dover ripassare per il lungo, troppo lungo processo di produzione legislativa.
Il regolamento è attualmente nella fase finale di negoziazione tra i tre pilastri della costruzione europea (Commissione, Consiglio, Parlamento) e dovrebbe essere approvato entro marzo 2014, quando poi il Parlamento si scioglie per il rinnovo quinquennale.
Nelle prossime settimane, quando il testo apparirà più stabile, torneremo sul tema con un’analisi di dettaglio del contenuto.