Photo by Hello Lightbulb on Unsplash

Sigillo elettronico, ecco alcuni casi d’uso

di Giovanni Manca, vicepresidente Anorc – Cantiere Documenti digitali

 

Giovanni Manca prosegue la sua analisi, normativa e tecnologica, sul rapporto che intercorre tra identità digitale e firma elettronica. Leggi anche “Documenti digitali, perché su identità e firma è una questione aperta” – “Documenti, sigillo elettronico: caratteristiche e possibili utilizzi” e “Documenti, identità e firma elettronica: perché l’unica certezza rimane spid

 

Come è noto il sigillo elettronico qualificato beneficia di un pieno riconoscimento legale grazie al Regolamento 910/2014 (eIDAS). In questo scenario di regole europee i sigilli elettronici garantiscono l’integrità dei dati, individuano il creatore del sigillo con un elevato livello di certezza e assicurano la validità dell’origine del sigillo (rendendo arduo per il creatore del sigillo il ripudio dell’apposizione del medesimo ai dati).

Vista la totale novità di questa evidenza informatica nell’ordinamento comunitario e nazionale, è importante richiamare la circostanza che il sigillo elettronico (qualificato) è generato da una persona giuridica ovvero, applicando il Regolamento eIDAS, non ha valore legale la generazione di un sigillo elettronico da parte di una persona fisica. Peraltro quest’ultima può generare firme elettroniche. Risulta sempre valido il concetto che il sigillo elettronico e la firma elettronica sono simili salvo l’applicazione della separazione legale per la persona giuridica e quella fisica.

Le caratteristiche di sicurezza di queste fattispecie sono derivabili dalle tecnologie utilizzate che, come già detto, sono simili. In particolare l’utilizzo di crittografia a chiave pubblica rende realizzabile l’integrità dei dati ai quali è stato applicato il sigillo, ma anche l’origine degli stessi. Il creatore del sigillo è la persona giuridica alla quale è stata univocamente assegnata la chiave privata utilizzata per la generazione del sigillo stesso.

Sempre questi meccanismi crittografici consentono di associare il non ripudio del sigillo apposto ai dati. Sempre in analogia con la sottoscrizione elettronica, il certificato digitale utilizzato per il sigillo consente (al massimo livello di certezza quando il certificato è qualificato) l’identificazione del creatore del sigillo. Naturalmente l’identità di chi appone il sigillo è nota tramite le regole che si applicano ai prestatori di servizi fiduciari per l’associazione di una persona fisica alla fattispecie giuridica.

Il Regolamento eIDAS ci consente anche di svincolare la generazione del sigillo elettronico dall’operatore umano. Infatti l’apposizione del sigillo può essere effettuata mediante un procedimento automatico. Questa opzione consente, per analogia, di applicare il sigillo in una serie di scenari dove, ad oggi, viene utilizzata la sottoscrizione con procedura automatica (ex articolo 35, comma 3 del nostro CAD). La sottoscrizione con procedura automatica è utilizzata per stabilire l’origine e l’integrità di flussi di dati di elevata numerosità (referti clinici, fatture, particolare contrattualistica, ecc.). La disponibilità del sigillo è utile perché nella maggioranza dei casi l’operazione deve essere ricondotta ad una persona giuridica e la firma è oggi utilizzata perché ancora non è pienamente operativo il sigillo ovvero per la necessità di aggiornamenti normativi.

Sempre al fine di chiarire i corretti scenari legali e organizzativi del sigillo elettronico è utile ricordare che il sigillo non è di una persona fisica, i dati sigillati non hanno necessariamente una validità giuridica o un senso logico a priori. I dati sigillati non possono garantire la loro riservatezza, quindi devono essere associati ai dati dei meccanismi di cifratura adeguati, meglio prima di apporre il sigillo. Il sigillo elettronico non sostituisce una marca temporale e non garantisce l’integrità permanente dei dati. Quindi per i sigilli (come per le firme e i rispettivi certificati) è indispensabile realizzare la Long Term Data Preservation.

Il dettaglio degli utilizzi pratici del sigillo elettronico (qualificato) non sono oggetto del presente articolo. In questa sede, invece, si vuole fornire una bussola per aiutare l’orientamento tra le possibili applicazioni. In alcuni casi il sigillo potrebbe essere applicato, ma la normativa vigente non lo consente, quindi dovrebbe essere modificata. In altri casi il passaggio dalla sottoscrizione all’apposizione del sigillo non costituisce una semplificazione del procedimento amministrativo, ma solo un’azione di coordinamento e coerenza con le fattispecie giuridiche.

Prima di esaminare alcuni possibili casi d’uso del sigillo elettronico è utile richiamare in modo completo l’articolo 35 del Regolamento eIDAS.

 

  1. A un sigillo elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati.

  2. Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato.

  3. Un sigillo elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto quale sigillo elettronico qualificato in tutti gli altri Stati membri.

 

I paragrafi 2 e 3 di questo articolo ci forniscono chiari messaggi sulle circostanze a fronte delle quali è indispensabile utilizzare un sigillo qualificato. In ogni caso sarebbe opportuno utilizzare almeno un sigillo elettronico avanzato, visto che per questa fattispecie sono disponibili delle specifiche tecniche comunitarie (ETSI) anche ai fini dell’interoperabilità trans frontaliera e trans settoriale.

Il sigillo elettronico è la forma digitale del “timbro” su carta, l’apposizione di un sigillo elettronico dovrebbe rendere immediatamente evidente l’origine di un documento elettronico riportando i dati identificativi della persona giuridica, un po’ come la carta intestata di una società; ovviamente il suo utilizzo sarà per quei documenti sui quali non è obbligatoria una sottoscrizione autografa nemmeno nel mondo cartaceo: si pensi in ambito commerciale ai documenti informativi o – relativamente alla documentazione giuridicamente rilevante – alla documentazione sulle condizioni generali di contratto che riportano nell’intestazione i dati dell’operatore commerciale e rispetto ai quali si vogliano dare le adeguate garanzie circa la loro provenienza, anche con l’utilizzo di tecniche automatiche di verifica.

L’apposizione di sigilli “sequenziali” può consentire di tracciare le successive modifiche nell’ambito di un ciclo di vita documentale. In ambito notarile si possono individuare ambiti di utilizzo innovativi.
In altri settori l’utilizzo del sigillo elettronico potrebbe rendere immediatamente individuabili le evidenze informatiche dirette a garantire esclusivamente l’origine e l’integrità dei dati, che debbono avere un uso controllato all’interno della persona giuridica a cui si riferiscono ma non necessariamente personale, ciò rispetto agli strumenti di firma che invece presuppongono un utilizzo personale e diretto e che hanno lo scopo dell’appropriazione giuridica da parte del firmatario e non quello di “congelare” il contenuto del documento.

E’ evidente, a questo punto, che possiamo indicare come principali scenari per l’utilizzo del sigillo elettronico (qualificato) la fatturazione elettronica (dove il sigillo è già applicato alle ricevute di accettazione), i procedimenti che coinvolgono flussi elevati di dati, tipicamente in ambito clinico o amministrativo nei casi dove è soddisfatto il requisito della definizione a priori del flusso e dell’omogeneità dei dati. In altre parole in tutti quei casi dove l’esame del contenuto del documento informatico non è cruciale perché non derivato da procedimenti di formazione automatici (Es.: referti clinici di esami di laboratorio, referti di radiologia).

Il sigillo può essere utilizzato al posto della firma nei procedimenti di formazione del contrassegno elettronico utilizzato nelle procedure di produzione di copie conformi. Il sigillo elettronico qualificato può sostituire la firma in alcune passaggi della conservazione digitale (Es. la sottoscrizione del Pacchetto di Versamento). In questo scenario sono indispensabili delle modifiche normative. Qualcuno ipotizza l’utilizzo del sigillo anche nelle architetture di blockchain e registri distribuiti. L’ipotesi è seducente, ma al momento il mondo della “catena di blocchi” e quello dell’eIDAS, pur presentando similitudini tecnologiche, sono decisamente separati sul piano legale e realizzativo.

 

 

Foto di Hello Lightbulb