25 Ottobre 2016

L’evoluzione dei servisi di convalida delle firme elettroniche qualificate dal CAD al regolamento eIDAS

di Giuseppe Vitrani Scarica in PDF

L’entrata in vigore del Regolamento n. 910 dell’Unione Europea (meglio noto come eIDAS) apre nuove ed importanti opportunità per quanto concerne la verifica della validità delle firme digitali e, in generale, di tutte le firme elettroniche qualificate.

Per quanto riguarda la normativa interna il tema è attualmente ancora regolamentato dall’art. 14 dpcm 22 febbraio 2013, recante le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali; ivi è stato codificato infatti l’obbligo per i certificatori che rilasciano certificati qualificati di fornire almeno un sistema che consenta di effettuare la verifica delle firme elettroniche qualificate e delle firme digitali.

In particolare, il sistema in questione deve quantomeno:

  1. presentare lo stato di aggiornamento delle informazioni di validità dei certificati di certificazione presenti nell’elenco pubblico;
  2. visualizzare le informazioni presenti nel certificato qualificato, in attuazione di quanto stabilito nell’ 28, comma 3, del Codice, nonché le estensioni obbligatorie nel certificato qualificato (qcStatements), indicate nei provvedimenti di cui all’art. 4, comma 2;
  3. consentire l’aggiornamento, per via telematica, delle informazioni pubblicate nell’elenco pubblico dei certificatori;
  4. in caso di firme multiple, visualizzare l’eventuale dipendenza tra queste;
  5. visualizzare chiaramente l’esito della verifica dello stato dei certificati qualificati e di eventuali certificati di attributo secondo le modalità indicate nei provvedimenti di cui all’ 4, comma 2;
  6. evidenziare l’eventuale modifica del documento informatico dopo la sottoscrizione dello stesso;
  7. consentire di salvare il risultato dell’operazione di verifica su un documento informatico.

Tra le tante informazioni che devono essere fornite non si fa alcun cenno alla possibilità che, a fronte della visualizzazione di documenti recanti firme elettroniche ormai scadute (a causa della scadenza dei certificati utilizzati per la sottoscrizione) si possa comunque appurare, con valore di certificazione opponibili ai terzi, che nel momento in cui un dato documento venne sottoscritto digitalmente la firma elettronica era integra ed in corso di validità.

Ed in effetti le medesime regole tecniche in analisi prevedono altri e differenti strumenti per la validazione delle firme elettroniche: attribuzione di un protocollo, invio a mezzo PEC, versamento nel sistema di conservazione o, eventualmente, utilizzo di un sistema di marcatura temporale.

Come si vede, si tratta però di strumenti per così dire “esogeni”, nei quali il compito di convalidare la firma elettronica è affidato all’intervento di un terzo certificatore (es. la pubblica amministrazione che appone il protocollo, il soggetto che firma digitalmente la ricevuta di consegna della PEC), non invece al soggetto giuridico che eroga il servizio di firma digitale.

Molto dovrebbe però cambiare con l’entrata in vigore del Regolamento UE n. 910 del 2014, meglio noto come eIDAS, in particolar modo con l’entrata in vigore delle norme relative ai servizi di convalida delle firme qualificate (art. 32 e 33).

L’art. 32 prevede infatti che il certificatore di firma debba fornire, oltre ai dati già previsti dal suddetto art. 14 dpcm 22 febbraio ’13, anche la certificazione di validità del certificato qualificato al momento dell’apposizione della firma elettronica, ovvero un’attestazione ulteriore che attualmente non viene fornita dai certificatori italiani.

Trattandosi di normativa derivante da un regolamento comunitario, che ha dunque efficacia erga omnes a prescindere dall’aggiornamento delle regole tecniche, possiamo senza dubbio affermare che i certificatori già possono (e in realtà ad avviso di chi scrive debbono) integrare i servizi forniti, prevedendo altresì che il momento di generazione della firma venga attestato all’interno del documento informatico e non debba dipendere (come attualmente avviene) dalla data e ora indicate dal computer del firmatario, in modo da consentire una verifica oggettiva della validità del certificato qualificato in un dato momento.

Nell’ambito dell’analisi che stiamo conducendo merita inoltre menzione l’art. 33 del Regolamento eIDAS, che disciplina il servizio di convalida qualificato delle firme elettroniche qualificate, ovvero un servizio (che può essere reso solamente dai prestatori qualificati di servizi fiduciari) che “consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato ”.

Dall’utilizzo di siffatto servizio scaturirà un vero e proprio documento informatico sottoscritto dal certificatore qualificato con cui verrà dichiarato l’esito, ad un dato momento, del processo di verifica della firma qualificata. Si potrà in sostanza venire in possesso di un’attestazione ufficiale che sarà producibile anche in sede contenziosa laddove sorga l’esigenza di verificare la validità del documento informatico recante una firma elettronica qualificata.