La normativa primaria nazionale rappresentata, sul tema, dal Codice dell’Amministrazione digitale (Decreto Legislativo n.82/2005 e successive modificazioni – CAD) non fa riferimento a nessuna delle fattispecie stabilite nel Regolamento eIDAS per il Sigillo Elettronico.
L’unica eccezione è nell’articolo 35, comma 5 del CAD dove si stabilisce che
“5. La conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma elettronica qualificata o di un sigillo elettronico prescritti dall’allegato II del Regolamento eIDAS….”
La gerarchia delle fonti comunitarie rispetto a quelle nazionali, introduce il sigillo de jure anche nel nostro ordinamento.
Lo stesso CAD stabilisce nell’articolo 1, comma 1-bis che: “1-bis: Ai fini del presente Codice, valgono le definizioni dei cui all’articolo 3 del Regolamento eIDAS”.
Nell’Allegato al presente documento si riportano tutti i testi del citato Regolamento eIDAS che fanno riferimento al sigillo. In questa sede, quindi, si fa riferimento all’articolo o paragrafo specifico rinviando il lettore al testo completo in appendice.
Le principali definizioni sono nell’articolo 3 del Regolamento eIDAS, ai numeri 25), 26) e 27) ma il sigillo è citato anche nei numeri dal 28) al 32) e in altro testo normativo riportato nel già citato allegato.
Una particolare attenzione deve essere prestata all’articolo 35 del Regolamento eIDAS. In questo articolo si stabiliscono gli effetti giuridici dei sigilli elettronici e a questo principio si fa riferimento solo in questa sede normativa primaria.
Sulla base di questo articolo a un Sigillo Elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimento giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati. Quindi il Sigillo Elettronico “Semplice” o "Avanzato" è liberamente valutabile in giudizio.
Quando il Sigillo Elettronico è Qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato.
Quanto appena esposto esplicita il ruolo dei sigilli in termini di effetti giuridici a priori.
Per prima cosa, nei limiti di quanto disposto dal Regolamento eIDAS, gli effetti giuridici possono variare da Stato membro a Stato membro, sempre nell’ambito dei principi comunitari di non discriminazione e di neutralità tecnologica.
In ambito nazionale il Sigillo Elettronico Semplice è normato in particolari scenari (il sistema di fatturazione elettronica) ma è anche utilizzabile nell’ambito della Conservazione documentale secondo quanto stabilito nelle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” stabilite da AgID ai sensi dell’articolo 71 del CAD.
Il modo disomogeneo con il quale il sigillo elettronico avanzato è stabilito nelle Linee guida induce a ipotizzare che esso sia stato associato alla firma elettronica avanzata. Quest’ultima è regolamentata tecnicamente nel Titolo V del DPCM 22 febbraio 2013 mentre il sigillo elettronico semplice non ha nessuna regola tecnica nazionale di riferimento per il suo profilo.
Per quanto precedentemente descritto l’utilizzo di Sigilli non qualificati è previsto solo dalla normativa tecnica e ad essi è associato il solo effetto giuridico che possiamo sintetizzare nel concetto di “diritto ad esistere”.
Ben chiara la presunzione legale associata al Sigillo Elettronico Qualificato.
Pur non essendoci vincoli tecnici nazionali sia il Sigillo Elettronico Avanzato che quello Qualificato possono fare riferimento agli standard ETSI sul profilo di firma e per il certificato qualificato allo specifica struttura stabilita per il Sigillo Elettronico.
ALLEGATO
Riferimenti al sigillo elettronico nel regolamento eIDAS.
Nel seguito sono riportati tutti i riferimenti al sigillo elettronico nel regolamento europeo 910/2014 (eIDAS).
Riferimenti nelle premesse:
(50) Poiché attualmente le autorità competenti negli Stati membri utilizzano formati diversi di firme elettroniche avanzate per firmare elettronicamente i loro documenti, occorre garantire che almeno alcuni formati di firma elettronica possano essere supportati tecnicamente dagli Stati membri allorché ricevono documenti firmati elettronicamente. Analogamente, allorché le autorità competenti negli Stati membri fanno uso di sigilli elettronici, occorre garantire che supportino almeno alcuni formati di sigillo elettronico avanzato.
(58) Qualora una transazione richieda un sigillo elettronico qualificato di una persona giuridica, è opportuno che sia accettabile anche la firma elettronica qualificata del rappresentante autorizzato della persona giuridica.
(59) È opportuno che i sigilli elettronici fungano da prova dell’emissione di un documento elettronico da parte di una determinata persona giuridica, dando la certezza dell’origine e dell’integrità del documento stesso.
(60) I prestatori di servizi fiduciari che rilasciano certificati qualificati di sigilli elettronici dovrebbero attuare le misure necessarie per poter stabilire l’identità della persona giuridica rappresentante la persona fisica cui è fornito il certificato qualificato di sigillo elettronico, quando tale identificazione è necessaria a livello nazionale nel contesto di procedimenti giudiziari o amministrativi.
(61) È opportuno che il presente regolamento garantisca la conservazione a lungo termine delle informazioni, al fine di assicurare la validità giuridica delle firme elettroniche e dei sigilli elettronici nel lungo periodo, garantendo che possano essere convalidati indipendentemente da futuri mutamenti tecnologici.
(62) Al fine di garantire la sicurezza della validazione temporale elettronica qualificata, il presente regolamento dovrebbe richiedere l’uso di un sigillo elettronico avanzato o di una firma elettronica avanzata o di altri metodi equivalenti. È prevedibile che l’innovazione produca nuove tecnologie in grado di assicurare alla validazione temporale un livello di sicurezza equivalente. Ogni qualvolta venga utilizzato un metodo diverso dal sigillo elettronico avanzato o dalla firma elettronica avanzata, dovrebbe spettare al prestatore di servizi fiduciari qualificato dimostrare, nella relazione di valutazione di conformità, che tale metodo garantisce un livello equivalente di sicurezza e soddisfa gli obblighi previsti nel presente regolamento.
(64) Nel trattare i formati delle firme e dei sigilli elettronici avanzati, la Commissione dovrebbe basarsi sulle prassi, sulle norme e sulla legislazione esistente, in particolare la decisione 2011/130/UE della Commissione (Decisione 2011/130/UE, del 25 febbraio 2011, che istituisce requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 53 del 26.2.2011, pag. 66).
(65) Oltre ad autenticare il documento rilasciato dalla persona giuridica, i sigilli elettronici possono anche servire ad autenticare qualsiasi bene digitale della persona giuridica stessa. Quali codici di software o server.
Nell’articolato del regolamento troviamo quanto segue:
Articolo 3
Definizioni
24) «creatore di un sigillo», una persona giuridica che crea un sigillo elettronico;
25) «sigillo elettronico», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi;
26) «sigillo elettronico avanzato», un sigillo elettronico che soddisfi i requisiti sanciti all’articolo 36;
27) «sigillo elettronico qualificato», un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certifiCato qualificato per sigilli elettronici;
28) «dati per la creazione di un sigillo elettronico», i dati unici utilizzati dal creatore del sigillo elettronico per creare un sigillo elettronico;
29) «certificato di sigillo elettronico», un attestato elettronico che collega i dati di convalida di un sigillo elettronico a una persona giuridica e conferma il nome di tale persona;
30) «certificato qualificato di sigillo elettronico», un certificato di sigillo elettronico che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato III;
31) «dispositivo per la creazione di un sigillo elettronico», un software o hardware configurato utilizzato per creare un sigillo elettronico;
32) «dispositivo per la creazione di un sigillo elettronico qualificato», un dispositivo per la creazione di un sigillo elettronico che soddisfa mutatis mutandis i requisiti di cui all’allegato II;
40) «dati di convalida», dati utilizzati per convalidare una firma elettronica o un sigillo elettronico;
41) «convalida», il processo di verifica e conferma della validità di una firma o di un sigillo elettronico.
Riferimenti al sigillo elettronico si trovano
nell’articolo 24, paragrafo 1, lettera c)
c) mediante un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato rilasciato a norma della lettera a) o b);
nell’articolo 33, paragrafo 1, lettera b)
b) consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato.
La sezione 5 di del regolamento eIDAS è completamente dedicata ai sigilli elettronici:
SEZIONE 5
Sigilli elettronici
Articolo 35
Effetti giuridici dei sigilli elettronici
1. A un sigillo elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati.
2. Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato.
3. Un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto quale sigillo elettronico qualificato in tutti gli altri Stati membri.
Articolo 36
Requisiti dei sigilli elettronici avanzati
Un sigillo elettronico avanzato soddisfa i seguenti requisiti:
a) è connesso unicamente al creatore del sigillo;
b) è idoneo a identificare il creatore del sigillo;
c) è creato mediante dati per la creazione di un sigillo elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli elettronici; e
d) è collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati.
Articolo 37
Sigilli elettronici nei servizi pubblici
1. Se uno Stato membro richiede un sigillo elettronico avanzato per poter utilizzare i servizi online offerti da un organismo del settore pubblico, o per suo conto, tale Stato membro riconosce i sigilli elettronici avanzati, i sigilli elettronici avanzati basati su un certificato qualificato di sigillo elettronico e i sigilli elettronici qualificati che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.
2. Se uno Stato membro richiede un sigillo elettronico avanzato basato su un certificato qualificato per poter utilizzare i servizi online offerti da un organismo del settore pubblico, o per suo conto, tale Stato membro riconosce i sigilli elettronici avanzati basati su un certificato qualificato e i sigilli elettronici qualificati che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.
3. Gli Stati membri non richiedono, per l’utilizzo transfrontaliero in un servizio online offerto da un organismo del settore pubblico, un sigillo elettronico dotato di un livello di garanzia di sicurezza più elevato di quello del sigillo elettronico qualificato.
4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sigilli elettronici avanzati. Si presume che i requisiti per i sigilli elettronici avanzati di cui ai paragrafi 1 e 2 del presente articolo e all’articolo 36 siano rispettati ove un sigillo elettronico avanzato soddisfi dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.IT L 257/104 Gazzetta ufficiale dell’Unione europea 28.8.2014
5. Entro il 18 settembre 2015, e tenendo conto delle prassi, delle norme e degli atti giuridici dell’Unione vigenti, la Commissione, mediante atti di esecuzione, definisce i formati di riferimento dei sigilli elettronici avanzati o i metodi di riferimento nel caso in cui siano utilizzati formati alternativi. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Articolo 38
Certificati qualificati di sigilli elettronici
1. I certificati qualificati di sigilli elettronici soddisfano i requisiti di cui all’allegato III.
2. I certificati qualificati di sigilli elettronici non sono soggetti a requisiti obbligatori oltre ai requisiti di cui all’allegato III.
3. I certificati qualificati di sigilli elettronici possono includere attributi specifici aggiuntivi non obbligatori. Tali attributi non pregiudicano l’interoperabilità e il riconoscimento dei sigilli elettronici qualificati.
4. Qualora un certificato qualificato di un sigillo elettronico sia stato revocato dopo l’iniziale attivazione, esso decade della propria validità dal momento della revoca e la sua situazione non è ripristinata in nessuna circostanza.
5. Fatte salve le condizioni seguenti, gli Stati membri possono fissare norme nazionali in merito alla sospensione temporanea dei certificati qualificati di sigilli elettronici:
a) in caso di temporanea sospensione di un certificato qualificato di sigillo elettronico, il certificato perde la sua validità per il periodo della sospensione;
b) il periodo di sospensione è indicato chiaramente nella banca dati dei certificati e la situazione di sospensione è visibile, durante il periodo di sospensione, dal servizio che fornisce le informazioni sulla situazione del certificato.
6. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai certificati qualificati di sigilli elettronici. Si presume che i requisiti di cui all’allegato III siano stati rispettati ove un certificato qualificato di sigillo elettronico risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Articolo 39
Dispositivi per la creazione di un sigillo elettronico qualificato
1. L’articolo 29 si applica mutatis mutandis ai requisiti per i dispositivi per la creazione di un sigillo elettronico qualificato.
2. L’articolo 30 si applica mutatis mutandis alla certificazione dei dispositivi per la creazione di un sigillo elettronico qualificato.
3. L’articolo 31 si applica mutatis mutandis alla pubblicazione di un elenco di dispositivi per la creazione di un sigillo elettronico qualificato certificati.
Articolo 40
Convalida e conservazione dei sigilli elettronici qualificati
Gli articoli 32, 33 e 34 si applicano mutatis mutandis alla convalida e alla conservazione dei sigilli elettronici qualificati.IT 28.8.2014 Gazzetta ufficiale dell’Unione europea L 257/105
Poi il sigillo viene ulteriormente referenziato nell’articolo 42, paragrafo 1, lettera c)
c) è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente.
Nell’articolo 44, paragrafo 1, lettera d)
d) l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;
Nell’allegato I lettere g), h)
g) la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;
h) il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;
Infine, l’Allegato III è dedicato ai Requisiti per i certificati qualificati dei sigilli elettronici.
ALLEGATO III
REQUISITI PER I CERTIFICATI QUALIFICATI DEI SIGILLI ELETTRONICI
I certificati qualificati dei sigilli elettronici contengono:
a) un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di sigillo elettronico;
b) un insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e
- per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,
- per una persona fisica: il nome della persona;
c) almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;
d) i dati di convalida del sigillo elettronico che corrispondono ai dati per la creazione di un sigillo elettronico;
e) l’indicazione dell’inizio e della fine del periodo di validità del certificato;
f) il codice di identità del certificato che deve essere unico per il prestatore di servizi fiduciari qualificato;
g) la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;
h) il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;
i) l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;
j) qualora i dati per la creazione di un sigillo elettronico connessi ai dati di convalida del sigillo elettronico siano ubicati in un dispositivo per la creazione di un sigillo elettronico qualificato, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.IT 28.8.2014 Gazzetta ufficiale dell’Unione europea L 257/113.