eArchiving in eIDAS2: percorso, impatti e prossimi passi

creato il / aggiornato il / Di Maria Aida Cavalera / 0 Commenti

eIDAS 2 costituisce un aggiornamento del Regolamento originale eIDAS, risalente al 2014. Entrato in vigore il 20 maggio 2024, dieci anni dopo il primo Regolamento, eIDAS 2 si propone di rispondere alle nuove e sempre maggiori esigenze di mercato. In questo articolo, a cura dell’Osservatorio Digital B2b del Politecnico di Milano, scopriamo le principali novità introdotte dal Regolamento.

Cos’è e eIDAS 2

eIDAS 2 (acronimo di electronic IDentification, Authentication and trust Services 2), o eIDAS 2.0, o ancora Regolamento (UE) 2024/1183, è la revisione del regolamento eIDAS del 2014, o Regolamento UE n. 910/2014.

eIDAS nasce con l’obiettivo di rendere interoperabili giuridicamente e tecnicamente gli strumenti elettronici di identificazione, autenticazione e firma dei Paesi dell’Unione. eIDAS 2 si propone quindi di rinnovare e ampliare gli ambiti di applicazione del precedente Regolamento, attraverso diversi provvedimenti attuativi.

eIDAS 2: l’iter legislativo

Il Regolamento eIDAS 2 è entrato in vigore il 20 maggio 2024. Tuttavia, come previsto dal processo legislativo dell'UE, diverse sono state le fasi necessaria a garantire la sua piena attuazione. L’iter legislativo è infatti iniziato il 3 giugno 2021, con la pubblicazione della proposta di modifica di eIDAS da parte della Commissione Europea. Qualche settimana dopo – più precisamente il 29 giugno 2021 – è avvenuto un primo accordo tra il Consiglio dell'UE e il Parlamento Europeo sul nuovo Regolamento. Il 29 febbraio 2024 si è tenuto invece il voto in prima lettura da parte del Parlamento dell’UE e il 26 marzo da parte del Consiglio. Infine, il 20 maggio 2024 eIDAS 2 è entrato effettivamente in vigore.

Al momento sono già in fase di preparazione gli atti di esecuzione del nuovo Regolamento, che saranno disponibili entro due anni dalla pubblicazione. All’interno di tali atti saranno indicati i nuovi standard di riferimento per supportare l’adozione delle nuove disposizioni.

Quali nuovi principi introduce il regolamento europeo eIDAS 2?

eIDAS 2 ha comportato l’introduzione di diversi cambiamenti. Uno di questi è l'ampliamento della categoria dei servizi fiduciari. Tale modifica mira a supportare una vasta serie di servizi tecnologici, garantendo la loro interoperabilità a livello UE. Il fine è quello di evitare la frammentazione, con i relativi ostacoli, derivante dai differenti standard degli Stati membri.

eIDAS 2, per raggiungere questo scopo, ha previsto l'introduzione di quattro nuovi servizi fiduciari:

  • l’attestazione elettronica degli attributi;
  • la gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza;
  • i registri elettronici;
  • l’archiviazione elettronica.

Quest’ultimo, chiamato anche eArchiving, costituisce un servizio specifico per la conservazione digitale di dati e documenti elettronici. Si tratta, quindi, di un’importante innovazione per l’archiviazione, che implica evoluzioni particolarmente rilevanti per i conservatori europei.

eIDAS 2 e le proposte di modifica dell’eArchiving

All’interno di eIDAS 2 si assiste a una progressiva integrazione dei servizi di archiviazione elettronica tra i servizi fiduciari qualificati riconosciuti. L'eArchiving viene delineato come un servizio che copre ricezione, conservazione, recupero e cancellazione dei dati elettronici, garantendo durabilità, leggibilità, integrità, riservatezza e prova dell'origine dei dati per tutto il periodo di archiviazione.

All’interno dell’articolo 45 undecies, in particolare, vengono estesi per la prima volta i servizi di conservazione qualificati alle firme elettroniche e ai sigilli elettronici anche all’eArchiving. In questo modo si riconosce così l'importanza di preservare in modo autenticato e sicuro i documenti archiviati elettronicamente e i sigilli elettronici, oltre naturalmente alle firme elettroniche.

eIDAS 2.0, all’interno della nuova sezione 10 della proposta di legge, evidenzia inoltre l'importanza di stabilire requisiti nazionali per servizi di archiviazione digitale sicuri e affidabili nei diversi Stati membri. Da ciò emerge pertanto la necessità di un quadro giuridico che faciliti il riconoscimento dei servizi di archiviazione elettronica qualificati tra i diversi Paesi, e che aiuti nello sviluppo di nuove opportunità di mercato per i fornitori di servizi fiduciari nell'UE.

L’eArchiving è stato anche oggetto di modifiche da parte del Parlamento europeo e del Consiglio dell’EU, che hanno rivisto la proposta avanzata dalla Commissione europea. Nello specifico, è stata stabilita l'espansione dei nuovi requisiti normativi riguardanti la conservazione di documenti, che comprendono ora anche i documenti cartacei digitalizzati (e non più solo i documenti nativi digitali). Oltre a nuovi dettagli in merito alla conservazione dei documenti, Parlamento, Consiglio e Commissione europea hanno lavorato anche all’armonizzazione dell’archiviazione tra i diversi Stati membri. Particolare attenzione è stata riservata anche al trattamento dei dati in fase di conservazione dei documenti, che prevede le stesse regole sia per i documenti nativamente digitali, che per quelli cartacei digitalizzati.

Ulteriori cambiamenti introdotti riguardano l'espansione dei dettagli sulla reciproca riconoscibilità dei fornitori di eArchiving tra i Paesi dell’UE, come da articolo 24 bis, e il rafforzamento della validità legale dei dati e documenti elettronici conservati, come da articolo 45 decies.

Infine, secondo l’articolo 45 undecies sono stabiliti nuovi requisiti per i servizi di archiviazione elettronica qualificati, che devono essere forniti da operatori qualificati e rispettare nuove procedure.

I nuovi standard per i fornitori di servizi fiduciari qualificati di conservazione elettronica

Per quanto riguarda gli standard per i fornitori di servizi fiduciari qualificati di conservazione elettronica, questi non saranno specificati all’interno di eIDAS2, poiché verranno definiti negli atti di esecuzione. A tal proposito è stato appositamente studiato dal Comitato europeo di Standardizzazione (CEN) un piano strategico, volto a definire l’uniformità dei processi per l'architettura di riferimento dell'eArchiving. All’interno del CEN, il Comitato Tecnico (TC) 468, e più nello specifico il Working Group (WG) 1, intende mappare i diversi standard dei vari Paesi e promuovere i nuovi standard da seguire, attraverso un quadro normativo solido e armonizzato.

eIDAS 2: possibili rischi e implicazioni del Regolamento

Le novità introdotte da eIDAS 2 sull'eArchiving, seppur limitate, costituiscono indubbiamente un passo in avanti per la conservazione digitale dei documenti a livello europeo. Un aspetto cardine è pertanto il reciproco riconoscimento dei servizi di conservazione digitale tra gli Stati membri, simile a quanto avvenuto per le firme elettroniche con la prima versione di eIDAS. Tale prospettiva, a lungo andare, potrebbe semplificare e facilitare la realizzazione di un mercato unico europeo per la conservazione digitale. Questo scenario risulterebbe particolarmente vantaggioso per i fornitori italiani, che già adottano soluzioni avanzate, permettendo loro di offrire servizi in altri Paesi senza ulteriori riconoscimenti.

Non mancano, però, i rischi legati all’introduzione di eIDAS2, primo fra tutti il rischio che le attuali definizioni lascino eccessivo margine di interpretazione a decisori e legislatori sulla definizione di conservazione digitale a lungo termine finora accettata in Italia. Le diverse sensibilità giuridiche e archivistiche degli Stati membri potrebbero infatti condurre a servizi fiduciari di conservazione digitale che si discostano dalle metodologie rigorose dell’Italia. È pur vero che, in ogni caso, non si può prescindere dal modello OAIS (Open Archival Information System, registrato come ISO 14721), già adottato in Italia e in alcuni Stati membri.

Diversa è invece la situazione dei servizi dedicati alla sola conservazione delle evidenze digitali dei dati e dei documenti elettronici, in cui queste rimarrebbero registrate nei sistemi DMS (Document Management System), ECM (Enterprise Content Management) e ERP (Enterprise Resource Planning), mentre i dati e i documenti elettronici aziendali o della Pubblica Amministrazione rimarrebbero all’interno dei sistemi da loro utilizzati. In questo caso, il servizio di conservazione per l’integrità e la cronologia dei dati digitali si limita alla conservazione di catene di hash con marcatura temporale, mentre i dati e i documenti elettronici risiedono all’interno dei sistemi dell’organizzazione. Secondo i nuovi standard di eIDAS2 ciò non sarebbe nemmeno considerato eArchiving, in quanto i servizi di conservazione delle evidenze digitali non possono garantire la durabilità, la leggibilità, l'integrità, la riservatezza e la prova dell'origine richiesti.

Un ulteriore rischio per i conservatori italiani è rappresentato dal requisito di capitale sociale minimo di 5 milioni di euro per diventare Qualified Trust Service Provider. Attualmente, solo 14 delle 67 aziende provider – con valore del capitale sociale noto che rientrano nella lista dei 72 provider attualmente iscritti al marketplace dei servizi di conservazione di AgID – soddisfano il requisito di capitale sociale necessario per avviare il processo di riconoscimento e continuare così a operare nel campo della conservazione conformemente al nuovo quadro normativo.

In conclusione, possiamo affermare che l'attuazione di eIDAS 2 offrirà nuove opportunità, ma ora più che mai è cruciale definire chiaramente le soluzioni per la conservazione digitale per creare un unico mercato europeo. In tutto ciò l'Italia, con la sua avanzata normativa sulla digitalizzazione, potrebbe offrire preziosi spunti all'Europa.


L'articolo è stato scritto da Aida Cavalera, Analista Osservatorio Digital B2b, Politecnico di Milano e Umberto Zanini, Responsabile Area tecnico-normativa Osservatorio Digital B2b, Politecnico di Milano

Vuoi approfondire tutte le opportunità per la digitalizzazione del B2b?

Scopri il Programma

  • Autore

Analista dell'Osservatorio Digital B2b