eIDAS V2 lancia un servizio fiduciario a lungo atteso: l’archiviazione elettronica

Punti chiave da ricordare

• L’archiviazione elettronica è un pilastro essenziale della prova digitale, ma finora ha sofferto della mancanza di una chiara definizione legale, fonte di incertezza giuridica.
• Il regolamento eIDAS V2 introduce per la prima volta un servizio di archiviazione elettronica di fiducia riconosciuto e interoperabile a livello europeo.
• L’archiviazione elettronica qualificata garantisce la durata, la leggibilità, l’integrità, la riservatezza e la prova dell’origine dei documenti per tutto il loro periodo di conservazione.
• I documenti archiviati in un reparto qualificato beneficiano di una presunzione di integrità e di origine, migliorando notevolmente il loro valore probatorio davanti ai tribunali.
• eIDAS V2 armonizza le pratiche di archiviazione in Europa e rappresenta un importante passo avanti per la sicurezza legale di aziende e gruppi transfrontalieri.

Archiviazione elettronica e diritto delle prove

Un servizio di archiviazione elettronica deve fornire le stesse garanzie per i documenti elettronici di quelle fornite da un servizio di archiviazione fisica per i documenti cartacei. Per gli avvocati, la più importante di queste èimpedire il deterioramento del contenuto del documento, che, nel mondo digitale, corrisponde alla garanzia di integrità per tutto il suo ciclo di vita. Questo requisito fondamentale è sancito dal Codice Civile francese (art. 1366), che afferma che “Un documento elettronico ha lo stesso valore probatorio di un documento cartaceo, a condizione che la persona da cui proviene possa essere debitamente identificata e che sia redatto e conservato in condizioni che ne garantiscano l’integrità “.

Oltre alla garanzia di integrità, l’affidabilità di un servizio di archiviazione elettronica dipende da numerose condizioni tecniche e organizzative. Queste sono oggetto di un consenso internazionale relativamente omogeneo e rappresentano uno ‘stato dell’arte’ concretizzato da una serie di norme e standard tecnici riconosciuti a livello di un determinato Paese o regione del mondo. Ma da un punto di vista legale, i metodi per l’archiviazione affidabile dei documenti nella sfera privata sono affrontati solo raramente dalle leggi nazionali. Questo è in particolare il caso della Francia, dove attualmentenon esiste una definizione legale di archiviazione elettronica.

Definizione di un servizio di archiviazione elettronica di fiducia

La prima versione del regolamento eIDAS, pubblicata il 23 luglio 2014, ha posto le basi per i primi servizi fiduciari europei. Questi hanno riscosso vari gradi di successo, con le firme elettroniche, i timbri elettronici e le marche temporali più riconosciute fino ad oggi. L’archiviazione elettronica non è stata menzionata in eIDAS V1.

Il testo finale del regolamento eIDAS V2 è stato pubblicato dalla Commissione Europea il 20 maggio 2024. Era molto atteso per la parte dedicata all’identità digitale e, in particolare, al futuro ‘portafoglio’ europeo, ed è quasi facile dimenticare che sancisce anche il nuovo servizio fiduciario dell’archiviazione elettronica. Questo nuovo servizio rappresenta una duplice sfida per la legge francese.

In primo luogo, in assenza di una definizione giuridica, il valore legale di un sistema di archiviazione elettronica non era chiaro. Certo, un certo numero di standard AFNOR sono riferimenti molto riconosciuti in Francia, in particolare lo standard AFNOR NF Z 42 013 (associato alla certificazione NF 461) o lo standard AFNOR NF Z 42 026 per la digitalizzazione. Ma questo significa che un sistema di archiviazione elettronica non è affidabile perché non è conforme a uno di questi standard? Ovviamente no, ma in assenza di un riferimento legale, è difficile per un avvocato difendere un sistema di archiviazione non collegato a questi riferimenti noti.

In secondo luogo, il parametro di riferimento per la conformità di un servizio di archiviazione elettronica varia da un Paese all’altro, anche in Europa. Lo standard AFNOR Z 42 013 beneficia anche di un nome ISO europeo (14641-1), ma è ben lontano dall’essere l’unico riferimento nella cultura tecnica e di sicurezza dei nostri vicini in termini di archiviazione elettronica. Questa dispersione è una fonte di difficoltà per i gruppi stabiliti in diversi Paesi europei quando implementano un servizio di archiviazione centralizzato per tutti i loro stabilimenti nazionali, in quanto hanno difficoltà a creare sistemi che garantiscano una buona efficienza giudiziaria in tutti i Paesi interessati.

Quindi, anche se potrebbe passare del tempo tra la pubblicazione di eIDAS V2 e l’effettiva disponibilità di servizi di archiviazione qualificati, l’introduzione di questo nuovo servizio nella legislazione europea è già un passo avanti per la sicurezza legale e giudiziaria delle prove digitali.

Presentazione del servizio di archiviazione elettronica eiDAS V2

Definizioni legali di servizio di archiviazione elettronica e servizio di archiviazione elettronica qualificato

Il Regolamento eIDAS V2 introduce due nuove definizioni nella legislazione francese: archiviazioneelettronica earchiviazione elettronica qualificata.

L’archiviazione elettronica si riferisce a un servizio che assicura la ricezione, l’archiviazione, il recupero e l’eliminazione di dati o documenti elettronici in modo tale da garantirne la durata e la leggibilità, e da preservarne l’integrità, la riservatezza e la prova dell’origine, per tutto il periodo di conservazione[1].

Quando è qualificato, il servizio di archiviazione elettronica deve soddisfare i seguenti requisiti:

• Deve essere fornito da un fornitore di servizi qualificato e di fiducia ;
• Utilizziamo procedure e tecnologie per garantire che i dati elettronici siano durevoli e leggibili oltre la data di scadenza tecnologica e almeno durante il periodo di conservazione legale o contrattuale, preservandone l’integrità e l’accuratezza dell’origine;
• Garantire che i dati elettronici siano archiviati in modo tale da proteggerli dalla perdita o dall’alterazione, in base a qualsiasi modifica derivante dal trasferimento di supporti o formati elettronici;
• Garantire che le parti autorizzate ricevano automaticamente un rapporto che confermi che i dati elettronici estratti da un archivio elettronico qualificato hanno una presunzione di integrità dal momento in cui vengono inseriti nell’archivio fino al momento in cui vengono rimossi. Questo rapporto deve essere fornito in modo affidabile ed efficace e deve recare la firma o il sigillo elettronico qualificato del fornitore di servizi di archiviazione elettronica qualificata.

L’archiviazione elettronica è ora inclusa nell’ elenco dei servizi fiduciari definiti dal Regolamento eIDAS e, seguendo la stessa logica degli altri servizi qualificati del Regolamento eIDAS:

• Un servizio di archiviazione qualificato in uno Stato membro è riconosciuto come tale in tutti gli Stati membri (interoperabilità dei servizi qualificati);
• Un documento elettronico archiviato in un servizio di archiviazione qualificato beneficia di una presunzione di integrità e di origine per tutto il periodo di archiviazione.

Infine, il Regolamento specifica che le disposizioni del diritto nazionale relative agli archivi pubblici o nazionali degli Stati membri non sono interessate dal nuovo servizio fiduciario, che può continuare a essere gestito in conformità alle disposizioni esistenti a livello locale.

Documenti ammissibili: documento elettronico nativo – copia affidabile di un documento cartaceo scansionato

Il regolamento eIDAS V2 stabilisce che sia i documenti elettronici nativi che i documenti cartacei digitalizzati possono beneficiare del servizio di archiviazione elettronica. Pertanto, non appena un documento digitalizzato viene inserito in un sistema di archiviazione qualificato, è ragionevole supporre che beneficerà del servizio di archiviazione elettronica. presunzione di integrità prevista dall’Art. 1379 del Codice Civile e del relativo decreto di attuazione. . Potremmo anche sognare che il legislatore francese sostituisca il riferimento al decreto del 2016, che è rimasto in gran parte lettera morta, con un riferimento al servizio di archiviazione qualificato nel Regolamento eIDAS.

Migrazione di media e formati

Se un documento deve essere conservato per un periodo di tempo molto lungo, è possibile che i supporti su cui è memorizzato, o il suo formato, diventino obsoleti. Il Regolamento eIDAS V2 prevede espressamente lapossibilità di migrare il supporto o il formato, a condizione ovviamente dievitare qualsiasi perdita o alterazione, ossia di preservare l’integrità informativa del documento.

Documenti garantiti da una firma o da un sigillo elettronico qualificato

Per i documenti che sono stati oggetto di una firma elettronica qualificata o di un sigillo , il servizio di archiviazione deve offrire strumenti perestendere la loro affidabilità per l’intero periodo di conservazione [2].

Standard

Il servizio di archiviazione qualificato dovrà beneficiare di uno standard di riferimento che spieghi e sviluppi le specifiche funzionali molto generali stabilite dal Regolamento eIDAS V2. La Commissione ha 12 mesi di tempo dalla pubblicazione del regolamento per redigere un elenco di standard di riferimento, mediante atti di esecuzione. Spetterà poi a ciascuna autorità di vigilanza nazionale (in Francia, l’ANSSI) certificare che un servizio di archiviazione elettronica è conforme a questi standard , in modo da poter rivendicare lo status di qualificato. La Francia sarà ben posizionata con i suoi standard AFNOR/ISO. Tuttavia, dato che esistono altri riferimenti, è difficile prevedere cosa emergerà dai negoziati che si svolgeranno nei gruppi di lavoro ad hoc, anche se si spera di raggiungere rapidamente un accordo, in modo che il tanto atteso servizio di archiviazione elettronica qualificata possa essere implementato senza ritardi.

[1] Art3, punto 47 eIDASv2

[2] Art.33 eIDAS V2