regolamento eIDAS

Introduzione al regolamento eIDAS e alla legalità della firma elettronica in Europa

Cos'è il regolamento eIDAS?

Il regolamento sull'identificazione elettronica, l'autenticazione e i servizi fiduciari è entrato in vigore nell'Unione europea il 1° luglio 2016. È stato creato per standardizzare i regolamenti per le firme e le transazioni elettroniche. Legalmente, è noto come regolamento UE n. 910/2014.

eIDAS è il sostituto della direttiva 1999 sulla firma elettronica. Assicura che tutti gli Stati membri rispettino gli stessi standard e regolamenti. eIDAS è stato progettato per correggere eventuali incongruenze, ridurre le esitazioni e costruire la fiducia tra i mercati interni per quanto riguarda le firme elettroniche e le transazioni. L'obiettivo era quello di garantire che i documenti elettronici con firma elettronica fossero riconosciuti e accettati in tutti gli Stati membri dell'UE.

Cosa copre il regolamento eIDAS?

Rispetto alla direttiva sulle firme elettroniche del 1999, eIDAS è più ampio. Oltre alle firme elettroniche, il regolamento eIDAS copre anche l'identificazione elettronica, la consegna, i servizi di archivio e l'autenticazione dei siti web.

eIDAS stabilisce un insieme standardizzato di regolamenti relativi all'identificazione elettronica e ai servizi fiduciari.

Identificazione elettronica

Nell'ambito del capitolo dell'identificazione elettronica, eIDAS offre una guida per assicurare che l'identificazione elettronica sia riconosciuta in tutti gli Stati membri dell'UE.

Servizi fiduciari

La direttiva sulle firme elettroniche del 1999 si è concentrata principalmente sulle firme elettroniche e le loro certificazioni.

Il regolamento eIDAS include un capitolo sui servizi di fiducia che fornisce una maggiore standardizzazione in relazione ai servizi di fiducia per l'autenticazione e le firme, tra cui:

  • Firme elettroniche
  • Certificati per le firme elettroniche
  • Guarnizioni elettroniche
  • Timbrature
  • Autenticazione del sito web
  • Servizi di consegna raccomandata elettronica

I prestatori di servizi fiduciari qualificati devono soddisfare i requisiti definiti dallo Stato membro e sono identificabili dal marchio fiduciario standard dell'UE.

Quali sono i vantaggi del regolamento eIDAS?

Con la direttiva sulle firme elettroniche, c'è stata una mancanza di uniformità in tutta l'UE. Ogni paese aveva la propria interpretazione del sistema. Questo significava che i livelli di sicurezza e di autenticazione richiesti erano molto variabili.

eIDAS presenta una serie di linee guida che beneficiano sia le imprese che i cittadini, anche sotto forma di:

  • Maggiore fiducia nelle transazioni online ed elettroniche
  • Riconoscimento dell'identificazione elettronica in tutti gli stati membri
  • Processo più veloce e semplificato per le transazioni transfrontaliere
  • Regolamenti sulla firma elettronica coerenti in tutta l'UE

Chi è interessato da eIDAS?

Chiunque conduca transazioni elettroniche usando firme elettroniche nell'UE è coperto dal regolamento eIDAS. Questo rende possibile alle imprese e ai consumatori di condurre le loro transazioni senza dover essere fisicamente presenti.

Mentre i consumatori che completano le transazioni elettroniche dovrebbero essere consapevoli dei regolamenti, l'onere della conformità ricade generalmente sul fornitore di servizi fiduciari.

A series of rectangles floating in the air, connected by a thin line some of which have checkmarks on them. Closest to the viewer is a rectangle with the symbol of a monochrome white hammer and gavel

eSignature Legality Guide

Learn the facts about electronic signature laws and local regulations that govern digital identities and digital certificates for e-signatures among EU member states and around the world.

Read More


Cosa si considera una firma elettronica secondo il regolamento eIDAS?

Le firme elettroniche secondo l'eIDAS includono qualsiasi dato in forma elettronica che è allegato a, o logicamente associato a, altri dati in forma elettronica, e che è usato dal firmatario per firmare. Non c'è nessun requisito per un tipo specifico di tecnologia da utilizzare quando si qualifica una firma elettronica sotto eIDAS.

eIDAS definisce tre livelli di garanzia per l'identificazione: basso, sostanziale e alto. Allo stesso modo, eIDAS ha stabilito tre categorie di firme elettroniche:

  1. Firme elettroniche
  2. Firme elettroniche avanzate
  3. Firme elettroniche qualificate

Mentre sono tutte valide come firme elettroniche, il tipo di firma influisce su quante prove sono necessarie per dimostrare che la firma è autentica.

Ecco le principali distinzioni tra i tre tipi di firme.

Tipi di firme elettroniche

La firma elettronica è prima di tutto un concetto giuridico. In generale, si tratta di avere una registrazione duratura dell'intenzione di un firmatario. Una firma digitale è diversa da una firma elettronica. La firma digitale si riferisce alla tecnologia di crittografia utilizzata nelle applicazioni di e-business e commercio elettronico, comprese le applicazioni di firma elettronica.  

Una firma elettronica è considerata una firma elettronica di base o semplice. Può essere un nome scritto a macchina o una copia di una firma scritta a mano. Dal momento che questi tipi di firme possono essere falsificate, il tribunale può richiedere più prove aggiuntive per dimostrare che la firma è autentica.


Firme elettroniche di base o semplici

La firma elettronica di base è neutrale dal punto di vista tecnologico. Significa che qualsiasi forma o processo elettronico è generalmente accettato, purché la firma elettronica risultante soddisfi tre requisiti di base per la firma. I requisiti per una firma elettronica sono che la firma deve essere:

  • Usato dalla persona associata alla firma
  • Usato in un modo che dimostra l'intenzione del firmatario
  • Associata al documento o ai dati che il firmatario intendeva firmare

Firme elettroniche avanzate (AES)

Una firma elettronica avanzata va oltre la firma elettronica di base, legando l'autenticazione alla firma e al documento. Questo attenua il rischio nelle transazioni commerciali, fornendo ulteriori prove che possono essere utilizzate per verificare l'autenticità della firma.È più difficile da falsificare e meno prove possono essere richieste dal tribunale per provare l'intenzione e l'autenticità della firma.

Oltre ai requisiti necessari per una firma elettronica semplice, una firma elettronica avanzata deve essere:

  • Collegato in modo univoco alla persona che utilizza la firma
  • In grado di identificare il firmatario
  • Creato in modo che il firmatario sia sicuro che sia sotto il suo esclusivo controllo
  • Collegato al documento, in modo che qualsiasi modifica fatta in seguito sia identificabile

Per il loro uso della firma elettronica, la maggior parte delle imprese e delle banche optano per la firma elettronica avanzata come forma standard di firma elettronica. Includendo la garanzia di autenticazione integrata, aumenta la sicurezza senza impattare sull'esperienza del cliente.

Firme elettroniche qualificate (QES)

Il termine "firma elettronica qualificata" è basato sul regolamento eIDAS, ma è simile a molte altre leggi in tutto il mondo che richiedono un certificato rilasciato da un'organizzazione accreditata.

La firma elettronica qualificata OneSpan è una firma elettronica avanzata che richiede anche un certificato digitale personale oltre a tutti gli altri requisiti standard. Il certificato digitale è una credenziale di identità elettronica sicura, personale e unica che deve essere rilasciata al firmatario in una forma che può tenere sotto il suo controllo.

Oltre ai requisiti della firma elettronica e della firma elettronica avanzata, una firma elettronica qualificata deve essere:

  • Creato utilizzando un dispositivo di creazione elettronica qualificata o di firma
  • Supportato da un certificato qualificato (rilasciato da un fornitore di servizi fiduciari qualificato; un esempio potrebbe essere itsme in Belgio)

Come una firma elettronica avanzata, è riconosciuta come equivalente a una firma scritta a mano. Tuttavia, se sfidato in una controversia, questo tipo di firma non richiede ulteriori prove da parte del giudice, ai sensi dell'articolo 25 di eIDAS.

La firma elettronica qualificata inverte l'onere della prova che normalmente si verifica durante una transazione digitale. Con le firme elettroniche semplici e le firme elettroniche avanzate, spetta all'organizzazione che inizia la transazione autenticare il firmatario. Ma, con una firma elettronica qualificata, il firmatario deve produrre il certificato digitale utilizzato per autenticarsi.

In pratica, altre forme di firma elettronica possono essere contestate in procedimenti legali e l'organizzazione che avvia la transazione può avere bisogno di provare al tribunale che è affidabile e originale; in breve, che ha effetto legale. Mentre alcuni paesi possono favorire l'ammissibilità delle firme elettroniche basate su certificati digitali, non possono negare l'ammissibilità del documento firmato in tribunale solo perché la firma è sotto forma di una firma elettronica di base o avanzata.

eIDAS and E-Signatures: A Legal Perspective

eIDAS and E-Signatures: A Legal Perspective

Lorna Brazell of Osbourne Clarke LLP navigates new eIDAS Regulation

Download the whitepaper

Che tipo di firma dovreste usare con eIDAS?

Il tipo di firma da utilizzare dipende dal tipo di transazione e dal livello di rischio (ad esempio, rischio di autenticazione, rischio legale, rischio di conformità, rischio di adozione, ecc. Secondo il libro bianco eIDAS and E-Signatures: A Legal Perspective, se la legge non specifica che una firma elettronica qualificata è necessaria perché un documento sia legale, una firma elettronica avanzata può essere sufficiente.

Ascoltate in prima persona da un'organizzazione europea, P&V Insurance in Belgio, il loro caso d'uso e come il loro team legale ha preso la decisione di adottare la firma elettronica avanzata al posto della firma elettronica qualificata. Per P&V Insurance, la domanda è diventata: come scegliere il giusto tipo di firma elettronica per ogni caso d'uso? Il caso d'uso iniziale sono le domande di assicurazione sulla vita - un processo a basso rischio in cui i requisiti di conformità sono minimi.
"La domanda di assicurazione non ha lo stesso livello di rischio della polizza, quindi una firma elettronica avanzata è sufficiente. Tuttavia, per i documenti che hanno bisogno di una forte applicabilità legale, come la polizza stessa o il modulo di cambiamento del beneficiario, abbiamo bisogno di firme elettroniche qualificate o anche di firme a inchiostro per essere conformi", dice Marc Lucion, Senior IT Project Manager.

Secondo il consulente generale dell'assicuratore, "Abbiamo consigliato all'azienda di usare firme elettroniche qualificate (con eID e PIN emessi dal governo) almeno per certi atti o contratti in funzione del rischio, della sensibilità o dell'importo. Tuttavia, abbiamo anche concordato che le firme elettroniche avanzate (con autenticazione e codice unico SMS) sono legalmente sufficienti per la maggior parte delle domande di assicurazione. In tutti i casi, i documenti firmati elettronicamente dovevano essere conservati e archiviati nei nostri sistemi". Leggi di più in questo case study: P&V Insurance pone le basi per la firma elettronica aziendale.

In sintesi

eIDAS risolve l'incoerenza delle transazioni elettroniche in tutti gli Stati membri dell'UE. Anche se può sembrare complesso, stabilendo una serie di standard di base, eIDAS aiuta a creare un ambiente elettronico senza soluzione di continuità. La maggiore fiducia nei processi elettronici favorirà una crescita economica e sociale più rapida a lungo termine in tutta l'UE. Come azienda, è importante familiarizzare con eIDAS e assicurarsi che la propria organizzazione sia conforme.

La soluzione di firma elettronica di OneSpan, OneSpan Sign, supporta tutti i tipi di firma secondo il regolamento eIDAS. Scopri di più su come OneSpan Sign è progettato per soddisfare i requisiti di firma elettronica nei paesi che hanno emanato leggi sulla firma elettronica.

Per ulteriori informazioni sulla legge sulla firma elettronica, e l'efficacia legale e l'applicabilità delle firme elettroniche per le tue transazioni commerciali o con un tipo specifico di accordo o contratto, visita la nostra guida sulla legalità della firma elettronica e consulta il tuo consulente legale.

Contattaci

Contatta uno dei nostri esperti di sicurezza per saperne di più su come le nostre soluzioni possono aiutarti con le tue esigenze di sicurezza digitale