Dal timbro su carta al sigillo elettronico qualificato
Il Qualified electronic Seal Certificate (QeSeal), o sigillo elettronico qualificato, è simile a una firma elettronica qualificata, con la differenza che non afferisce a una persona fisica, bensì a una persona giuridica.
In altre parole, se da una firma è possibile individuare con certezza un soggetto attraverso il suo nome, cognome e codice fiscale, da un sigillo elettronico si può risalire con certezza a una persona giuridica attraverso la sua denominazione, partita IVA o codice fiscale, senza avere però alcun riferimento alla persona fisica che ha materialmente utilizzato le credenziali per generare tale sigillo. Per semplificare ulteriormente il concetto possiamo dire che il sigillo elettronico è l’equivalente informatico del timbro su carta.
Il sigillo elettronico è stato introdotto nell’ordinamento italiano con l’emanazione del Regolamento eIDAS (Regolamento UE n°910/2014 sull’identità digitale), che lo definisce un insieme di “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi” e serve a garantire la provenienza, l’autenticità e l’integrità di un documento informatico o di un altro bene digitale sul quale è apposto. In Italia, il QeSeal è disciplinato da Agid, con le sue Linee guida sulla formazione, gestione e conservazione dei documenti informatici.
Per meglio comprendere che cos’è il QeSeal e a cosa serve è necessario ricordare che ai sensi del regolamento eIDAS, esistono due tipi di sigillo elettronico:
-
Sigillo elettronico avanzato (AdESeal): è un sigillo elettronico che deve soddisfare i requisiti sanciti all’articolo 36:
- È connesso unicamente al creatore del sigillo;
- È idoneo a identificare il creatore del sigillo;
- È creato mediante dati per la creazione di un sigillo elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli elettronici;
- È collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica dei suddetti dati;
- Sigillo elettronico qualificato (QeSeal): è un sigillo elettronico avanzato creato da un dispositivo per la creazione di un QeSeal e basato su un certificato qualificato per sigilli elettronici. I certificati qualificati di sigilli elettronici devono soddisfare i requisiti illustrati nell’allegato III del Regolamento UE n°910/2014.
In base a quanto stabilito dall’articolo 35 del Regolamento eIDAS, quando il sigillo elettronico è qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato. Inoltre, un QeSeal basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto in tutti gli altri Stati membri.
Come si ottiene un sigillo elettronico qualificato e quando usarlo?
Per ottenere un sigillo elettronico qualificato è necessario rivolgersi a una Certification Authority eIDAS abilitata ad emettere i sigilli. In genere, i prestatori di servizi fiduciari, soggetti pubblici o privati che, sotto la vigilanza di AgID, emettono certificati qualificati (per la firma digitale) e certificati di autenticazione (per le carte nazionali dei servizi), forniscono anche il servizio di QeSeal.
Come abbiamo già detto, l’uso sigillo elettronico qualificato garantisce l’origine e l’integrità del documento informatico pertanto i casi d’uso sono numerosi:
- Fotografie;
- Disegni;
- Progetti;
- Cartelle cliniche e referti;
- Documentazione commerciale;
- Processi di protocollazione;
- Autenticazione di beni digitali come, ad esempio, software;
- Scansioni;
- Fatture elettroniche;
- Visure camerali;
- Ricevute dei sistemi di PEC.