La certificazione eIDAS garantisce la conformità dei prestatori di servizi fiduciari (TSP - Trust Service Providers o Prestatori di Servizi Fiduciari) e dei servizi da essi prestati per le interazioni elettroniche ai requisiti del Regolamento (UE) 910/2014.

Condividi:

eIDAS, cos'è?

Il volume di informazioni e dati digitali continua a crescere con il conseguente aumento delle difficoltà nella loro gestione e catalogazione, in sicurezza e senza rischi.

Il regolamento eIDAS è stato emanato il 23 luglio 2014 e ha piena efficacia dal 1 luglio del 2016, electronic IDentification Authentication and Signature, valido in materia di identificazione elettronica e servizi fiduciari per le interazioni e transazioni elettroniche (quali apposizione di firma digitale, sigilli o firme elettroniche, marche temporali, convalida di documenti con valore probatorio), che obbliga le aziende che basano la propria attività sul mercato digitale, ovvero i TSP o prestatori di servizi fiduciari, ad ottenere una certificazione da organismi terzi accreditati. 

DNV Business Assurance è stata tra i primi a ottenere l’accreditamento eIDAS da Accredia (certificazione di prodotto/servizio ISO/IEC 17065), ed è preparata ad affiancare i TSP come ente di terza parte.

Questo Regolamento ha l’obiettivo di garantire una solida base normativa alla quale appoggiarsi per aumentare la sicurezza e la fiducia di consumatori, autorità pubbliche e partner del settore impegnati in interazioni digitali, attraverso il coinvolgimento di OdC accreditati come DNV – Business Assurance.

Compito  dell’ente terzo è garantire sia la qualifica degli operatori di servizi fiduciari sia la conformità degli stessi alle normative nazionali e internazionali di riferimento.

Il regolamento eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e incrementa la sicurezza e l’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico nell’Unione Europea.

Fortemente voluto dalla Commissione Europea, e recepito in Italia dall'Agenzia per l'Italia Digitale (AgID), il regolamento EIDAS mira a creare un mercato unico digitale a livello europeo, favorendo l’impiego transfrontaliero dei servizi online.

La Certificazione eIDAS viene rilasciata da DNV a fronte della conformità dei requisiti espressi dalle seguenti specifiche Norme Europee:

Questa norma per disciplinare la sicurezza delle informazioni dei TSP:

• ETSI EN 319_401 - Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers

Queste norme specificano i requisiti per l'emissione di marche temporali (Time Stamping):

• ETSI EN 411-1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates - Part 1: General requirements
  
  
• ETSI EN 411-2 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates - Part 2: Requirements for trust service providers issuing EU qualified certificates
  
  
• ETSI EN 319 421 Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps
  
  
• ETSI EN 319 422 Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and time-stamp token profiles

Queste norme specificano i requisiti per il contenuto dei certificati emessi dai TSP:

• ETSI EN 319 412-1 Electronic Signatures and Infrastructures (ESI); Certificate Profiles - Part 1: Overview and common data structures
  
  
• ETSI EN 319 412-2 Electronic Signatures and Infrastructures (ESI); Certificate Profiles - Part 2: Certificate profile for certificates issued to natural persons
  
  
• ETSI EN 319 412-3 Electronic Signatures and Infrastructures (ESI); Certificate Profiles - Part 3: Certificate profile for certificates issued to legal persons
  
  
• ETSI EN 319 412-4 Electronic Signatures and Infrastructures (ESI); Certificate Profiles - Part 4: Certificate profile for web site certificates
  
  
• ETSI EN 319 412-5 Electronic Signatures and Infrastructures (ESI); Certificate Profiles - Part 5: QCStatements

Queste norme specificano i requisiti per il servizio elettronico di recapito certificato (Electronic Registered Delivery Services (ERDS) e Registered Electronic Mail (REM) Services):

• ETSI EN 319 521: Policy and security requirements for Electronic Registered Delivery Service Providers
• ETSI EN 319 522-1 ERDS Part 1: Framework and Architecture
• ETSI EN 319 522-2 ERDS Part 2: Semantic contents
• ETSI EN 319 522-3 ERDS Part 3: Formats
• ETSI EN 319 522-4-2 ERDS Part 4: Bindings; Sub-part 2: Evidence and identification bindings
• ETSI EN 319 531 Policy and security requirements for Registered Electronic Mail Service Providers
• ETSI EN 319 532-1 REM Part 1: Framework and architecture
• ETSI EN 319 532-2 REM Part 2: Semantic contents
• ETSI EN 319 532-3 REM Part 3: Formats
• ETSI EN 319 532-4 REM Part 4: Interoperability profiles

Questa norma specifica i requisiti per i servizi di conservazione di firme; sigilli o certificati elettronici relativi a tali servizi (Log Time Preservation):

• ETSI TS 119 511 Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques

I servizi eIDAS certificabili son i seguenti:

• Servizi di creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, certificati relativi a tali servizi;
• Servizi di creazione, verifica e convalida dei certificati di autenticazione di siti web;
• Servizi di conservazione di firme; sigilli o certificati elettronici relativi a tali servizi;
• servizi elettronici di recapito certificato;
• SPID il Sistema Pubblico di Identità Digitale.

La nostra metodologia

La certificazione è biennale e viene condotta secondo i requisiti delle ETSI definite per ciascun macro prodotto:

• Prestatori di servizi fiduciari e dei servizi da essi prestati a fronte del Regolamento (UE) 910/2014 e/o di specifiche disposizioni emanate dalle Autorità nazionali per i servizi coperti dallo Schema di Accreditamento.
  
  
• Prestatori del servizio fiduciario nazionale denominato SPID, in conformità all’Art. 24 del Regolamento e delle specifiche disposizioni dell’Autorità Nazionale, come indicato dallo schema di Accreditamento.
  
  

Durate e scadenze sono definite dalla Circolare Accredia e dai Regolamenti di Certificazione.

I vantaggi di una certificazione eIDAS

Se la certificazione diventa un elemento che rafforza la fiducia del consumatore, i benefici sono percepibili anche dai prestatori di Servizi Fiduciari certificati che si avvaleranno di una minore burocrazia e di una significativa riduzione delle spese amministrative. 
Nello specifico:

• il TSP può partecipare elettronicamente ad un appalto pubblico indetto dall'amministrazione di un altro Stato membro senza rischiare il blocco della sua firma elettronica a causa di requisiti nazionali specifici e/o di problemi di interoperabilità.
  
  
• L’introduzione del sigillo elettronico previsto dal Regolamento eIDAS (firma elettronica direttamente riferibile all’azienda e non al legale rappresentante) semplifica notevolmente la gestione amministrativo/giuridica dell’impresa.

I Servizi Fiduciari

I servizi fiduciari sono erogati da privati ma intervengono i quegli ambiti, come la determinazione dell’identità, la creazione ed il mantenimento delle firme elettroniche, il recapito certificato, ed altri ancora di nuova immissione, svincolati dall’intervento pubblico, svolgono un ruolo determinante nella facilitazione e la distribuzione dei processi sociali.

Questa delega, investita di questa alta responsabilità, è regolata da un Regolamento Europeo che è la più alta ed immediata forma di legislazione europea.

Offrire quindi questi servizi assicurando i cittadini della loro affidabilità e sicurezza diventa un imperativo sociale, questa assicurazione della corretta fornitura dei servizi viene affidata ad un processo di accreditamento presso organismi nazionali di vigilanza, AgID per l’Italia, di cui è parte essenziale la certificazione con Organismi di Certificazione come DNV Business Assurance.