Firme informatiche: notificate le linee guida AgID
Su Agenda Digitale, un articolo di Giovanni Manca presenta i contenuti delle “Linee guida contenenti le Regole tecniche e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate”, oggetto di recente notifica in ambito comunitario da parte dell’Agenzia per l’Italia Digitale (Agid).
La notifica di tale documento, spiega l’esperto in apertura, è un atto obbligatorio e ha lo scopo di armonizzare le regole nazionali al quadro generale definito con l’emanazione del regolamento europeo 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, noto con l’acronimo (eIDAS). Manca precisa che le linee guida non sono ancora definitive, perché nel corso della notifica sia la Commissione UE sia gli Stati membri potranno commentarle in vista della redazione finale del documento. Ciononostante, l’impianto generale viene giudicato ormai definito e dunque già passibile di valutazioni su quello che potrà essere il suo impatto. “Nelle more dell’applicazione di eventuali commenti comunitari - scrive a riguardo - possiamo comunque affermare che le linee guida sono un buon passo in avanti verso l’interoperabilità sia nazionale che comunitaria favorendo la convalida di firme e sigilli elettronici”.
L’aggiornamento della Deliberazione CNIPA, 21 maggio 2009, n. 45 (modificata nel 2010) - si legge nell’articolo - era indispensabile già da qualche tempo. Questo perché il coordinamento tra le regole europee in materia di certificati qualificati, convalida delle firme e dei sigilli qualificati e per la validazione temporale qualificata non era coerente e spesso si doveva agire sul principio che una norma nazionale che è in contrasto con il regolamento europeo (eIDAS) si deve ritenere abrogata.
Peraltro nel regolamento eIDAS le disposizioni sono tarate su requisiti minimi che possono risultare non adeguati per i servizi in rete nazionali.
Il tipico esempio è l’assenza dell’obbligo di indicare nel certificato per la generazione della firma elettronica il codice fiscale del titolare. Le PA italiane non possono operare senza questo dato e, comunque, un soggetto che opera economicamente in Italia è titolare di un codice fiscale.
Per ottemperare alle norme comunitarie queste linee guida sono quindi composte di obblighi e raccomandazioni. Le raccomandazioni sono “fortemente consigliate” ma la loro disapplicazione non può comportare la non validità di certificati, firme e sigilli elettronici.
Un apposito paragrafo viene dedicato alla convalida di firme e sigilli elettronici...