Modifiche al regolamento eIDAS e impatti sulla conservazione digitale

Pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 28 agosto 2014, il regolamento UE n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (d’ora in poi regolamento eIDAS) è entrato in vigore il 17 settembre 2014, mentre la sua applicazione nell’ambito degli Stati membri è avvenuta con effetto dal 1° luglio 2016.

Oltre a definire diversi aspetti delle firme e dei sigilli elettronici, delle validazioni temporali elettroniche, dei servizi elettronici di recapito certificati e dell’autenticazione dei siti web, il regolamento eIDAS intervenne a introdurre l’identificazione elettronica, avviando nei fatti l’adozione nel nostro paese dello SPID, e dove al 20 settembre 2021 risultavano esse state rilasciate ben 24 milioni di identità SPID.

Ad oggi però soltanto 14 Stati membri su 27 hanno notificato almeno un regime di identificazione elettronica, e mentre 4 hanno notificato più di un regime, solo 7 sono gestiti in modalità mobile. Da rilevare poi che soltanto il 59% dei residenti dell’UE ha accesso a regimi di identificazione elettronica affidabili e sicuri a livello transfrontaliero. Era quindi necessario rivedere il regolamento eIDAS, intervenendo nel prevedere un’architettura tecnica e un quadro normativo comune, al fine di evitare lo svilupparsi di soluzioni di identificazione elettronica nazionali in grado di generare ulteriori frammentazioni all’interno della UE.

Con la pubblicazione della COM (2021) 281 final del 3 giugno 2021, ad oggetto Proposta di regolamento del parlamento Europeo e del consiglio che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea, oltre che intervenire ad armonizzare le soluzioni di identificazione elettronica, la proposta prevede l’introduzione di tre nuovi servizi fiduciari qualificati: l’archiviazione elettronica, i registri elettronici e la gestione di dispositivi per la creazione di firme e sigilli elettronici a distanza.

Con riguardo al servizio di archiviazione elettronica, va rilevato che molti Stati membri (tra cui l’Italia) hanno introdotto requisiti nazionali utili a fornire servizi sicuri e affidabili per consentire una  conservazione digitale a lungo termine dei documenti informatici. Era quindi necessario, al fine di garantire la certezza del diritto e la fiducia di imprese e cittadini, fornire un quadro giuridico che agevoli il riconoscimento transfrontaliero dei servizi di archiviazione elettronica qualificati.

All’art. 3 del regolamento eIDAS viene aggiunto il punto 43), ove viene definita l’archiviazione elettronica come “un servizio che consente la ricezione, la conservazione, la cancellazione e la trasmissione di dati o documenti elettronici al fine di garantire l’integrità, l’esattezza dell’origine e le caratteristiche giuridiche di tali dati o documenti per tutto il periodo di conservazione”.

Vanno subito rilevati almeno due aspetti:

1. Nella traduzione del documento dall’inglese all’italiano, mentre “electronic archiving” è stato correttamente tradotto con “archiviazione elettronica”, il termine “storage” è stato impropriamente tradotto con “conservazione”, quando invece il termine conservazione in inglese dovrebbe essere  “preservation”;
2. La suddetta definizione andrebbe rivista, sia perché la conservazione non è una  componente dell’archiviazione quanto piuttosto una fase ben distinta del ciclo di vita del documento informatico, sia perché non vengono riportate attività quali la formazione e la gestione, rilevando altresì che la trasmissione di dati o documenti elettronici non rientra nel concetto di archiviazione, mentre vi potrebbe rientrare quello di condivisione.

Sebbene da un primo esame, soprattutto in base ai termini impiegati, sembrerebbe che la proposta potesse riguardare la sola archiviazione elettronica (e non quindi la conservazione digitale), in realtà, esaminando anche altra documentazione a supporto, quale per esempio i documenti di lavoro e la valutazione d’impatto, il servizio a cui si fa riferimento sembrerebbe essere la conservazione digitale, ma di certo questo evidenzia la diversa sensibilità in tali ambiti esistente tra i diversi Stati membri.

Viene poi inserito l’art. 45 octies, a oggetto Servizi di archiviazione elettronica qualificati, ove viene testualmente riportato che:

“Un servizio di archiviazione elettronica qualificato per documenti elettronici può essere prestato soltanto da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l’affidabilità del documento elettronico oltre il periodo di validità tecnologica. Entro 12 mesi dall’entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili ai servizi di archiviazione elettronica. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2”.

Nel corso della conferenza stampa di presentazione della proposta di modifica, la vice-presidente Margrethe Vestager e il commissario Thierry Breton hanno rilevato che l’iter approvativo dovrebbe concludersi entro un anno, e quindi presumibilmente in giugno 2022, dopodiché, entro 12 mesi dall’entrata in vigore del regolamento, la Commissione, mediante atti di esecuzione stabilirà gli standard che dovranno essere adottati, e che potrebbero essere lo standard ETSI TS 119 511 (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques) ed ETSI TS 119 512 (Electronic Signatures and Infrastructures (ESI); Protocols for trust service providers providing long-term data preservation services).

Dal 1° gennaio 2022 si dovranno poi adottare le nuove linee guida AgID sulla formazione, gestione e conservazione dei documenti informatici, che si applicheranno alla PA, alle imprese e agli studi professionali, e che introdurranno rilevanti novità nell’ambito della gestione e conservazione dei documenti informatici, quale per esempio l’obbligo di redigere il manuale di conservazione e l’associazione dei nuovi metadati ai documenti informatici.

Sempre dal 1° gennaio 2022 entrerà in vigore il “Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici”, pubblicato di recente da AgID, che prevede di fatto l’istituzione di un marketplace per i servizi di conservazione quale sezione autonoma del Cloud Marketplace (https://cloud.italia.it/marketplace) cui si possono iscrivere i soggetti che intendono erogare servizi di conservazione dei documenti informatici per conto delle PA.

Insomma, il 2022 sembra essere l’anno della conservazione digitale, non solo in ambito Italiano ma anche Europeo, e questo potrebbe essere una incredibile opportunità per i conservatori del nostro paese, che avendo maturato uno straordinario bagaglio di competenze ed esperienza, potrebbero cimentarsi nel proporre i loro servizi oltralpe.