eIDAS, in vigore le disposizioni recanti specifiche tecniche per i servizi di archiviazione elettronica qualificati
I sistemi di conservazione devono implementare meccanismi avanzati come marcature temporali qualificate, validazione a lungo termine e migrazione delle prove crittografiche, assicurando che il valore legale del documento firmato o sigillato possa essere dimostrato anche decenni dopo l’apposizione iniziale
Sulla Gazzetta Ufficiale UE è stato pubblicato il regolamento di esecuzione UE 2025/2532 che definisce le specifiche tecniche per i servizi di archiviazione elettronica qualificati previsti da eIDAS 2.0. Il documento è entrato in vigore il 6 gennaio 2026 e rappresenta un passaggio rilevante per chi opera nella conservazione digitale.
Il regolamento stabilisce requisiti operativi precisi basati sulla norma CEN/TS 18170 e ETSI EN 319 401, introducendo obblighi che modificano sostanzialmente l’approccio alla conservazione. Il tema centrale è l’estensione dell’affidabilità delle firme elettroniche qualificate e dei sigilli elettronici oltre il loro periodo di validità tecnologica, per tutto il periodo di conservazione legale o contrattuale.
Questo significa che i sistemi di conservazione devono implementare meccanismi avanzati per contrastare l’obsolescenza tecnologica, come marcature temporali qualificate, validazione a lungo termine e migrazione delle prove crittografiche, assicurando che il valore legale del documento firmato o sigillato possa essere dimostrato anche decenni dopo l’apposizione iniziale.
Le implicazioni operative sono concrete. I prestatori qualificati dovranno garantire che le chiavi private utilizzate per firmare oggetti digitali siano conservate in dispositivi certificati almeno EAL4 secondo Common Criteria o equivalenti EUCC. Gli algoritmi crittografici devono essere conformi ai meccanismi approvati dal gruppo europeo per la certificazione della cibersicurezza. Le marcature temporali devono essere qualificate. La vulnerability scanning diventa trimestrale, i penetration test annuali sono obbligatori.
Il regolamento introduce anche obblighi specifici sulla cessazione del servizio, richiedendo piani documentati e notifiche all’organismo di vigilanza con almeno tre mesi di anticipo. Questo aspetto viene spesso sottovalutato nella selezione dei fornitori di conservazione, ma determina la continuità dell’accesso ai documenti in caso di problemi del prestatore.
Per chi già utilizza servizi di conservazione, la domanda operativa è se il fornitore attuale sia qualificato o intenda qualificarsi secondo questi requisiti, e se questa qualificazione sia necessaria per la tipologia di documenti conservati. Per chi deve selezionare nuovi servizi, diventa necessario distinguere tra semplice archiviazione elettronica e archiviazione qualificata, valutando costi e benefici in relazione agli obblighi normativi specifici del proprio settore.
Il regolamento include la norma ISO 14721:2025 (modello OAIS) tra i riferimenti normativi, ma richiede l’integrazione con specifiche tecniche aggiuntive contenute in CEN/TS 18170 e ETSI EN 319 401. L’applicazione del modello OAIS da sola non garantisce automaticamente la conformità ai requisiti eIDAS per i servizi qualificati.
Le specifiche tecniche richieste sono stringenti e richiedono investimenti in infrastrutture crittografiche, processi di monitoraggio continuo e competenze specialistiche aggiornate almeno ogni 12 mesi sulle minacce emergenti.
_______
*Daniela Lucia Calabrese, LawaL Legal & Tax Advisory
Tutela dei marchi, in Cina regole più severe sui depositi in malafede
di Gianluca De Cristofaro e Fabio Giacopello
