In attesa della pubblicazione delle nuove regole di qualifica per i fornitori di servizi fiduciari (Qualified Trust Service Provider – QTSP), vediamo quali sono le migliori strategie per anticipare i tempi e arrivare preparati al processo di qualificazione dei servizi, con un’attenzione particolare a quelli di e-Archiving.
Con un Decreto che sembrerebbe essere in dirittura di arrivo, verranno definite, ai sensi dell’art. 29 del D.Lgs 82/2005 – CAD, le nuove regole per la qualifica dei servizi fiduciari: tra le principali novità, si auspica un abbassamento dei minimi di capitale sociale richiesti ai QTSP e un allineamento dovuto al nuovo art. 21 del Regolamento eIDAS.
Proprio il citato art. 21 definisce i requisiti essenziali del percorso di qualifica che i fornitori possono intraprendere se vogliono ottenere tale riconoscimento: i prestatori di servizi fiduciari che intendono avviare la prestazione di un servizio dovranno “notificare all’organismo di vigilanza nazionale (AgID per l’Italia) la loro intenzione insieme a una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità che conferma il rispetto dei requisiti di cui al presente regolamento e all’articolo 21 della direttiva (UE) 2022/2555.”
Il fornitore che intenda qualificarsi dovrà, quindi, garantire anche il rispetto dei requisiti previsti dalla Direttiva NIS 2, con particolare riferimento all’art. 21 della stessa, recepita in Italia con D.lgs. 138/2024.
Infine, per quanto riguarda l’e-Archiving, con Regolamento di esecuzione 2025/2532 del 16 dicembre 2025, sono state individuate le norme di riferimento e le specifiche applicabili ai servizi di archiviazione elettronica qualificati, di seguito riportate per una breve consultazione:
- Requisiti generali per la qualifica dei fornitori di servizi fiduciari: art. 24 del Reg. 910/2014 + ETSI 319 401 V. 3.1.1
- Requisiti di sicurezza NIS2: D.Lgs 138/2024 e in particolare il CAPO IV contenente gli obblighi in materia di gestione del rischio per la sicurezza informatica e la notifica degli incidenti
- Requisiti specifici per l’e-Archiving: Art. 45undecies del Reg. 910/2014 + CEN/TS 18170:2025
- Requisiti facoltativi per i servizi di conservazione qualificati delle firme elettroniche qualificate e dei sigilli elettronici qualificati: ETSI TS 119 511 V1.1.1 e ETSI TS 119 172-4 V1.1.1.
- Modalità di presentazione ad AgID della domanda di qualificazione: in attesa di approvazione del nuovo Decreto ex art. 29 del CAD si dovrebbe ancora applicare, per quanto compatibile con l’attuale quadro normativo, il Regolamento emanato da AgID con Determinazione 185/2017.
I requisiti specifici per l’e-Archiving: lo standard CEN/TS 18170:2025
In ambito di e-Archiving, particolare attenzione merita lo standard CEN/TS 18170:2025 che definisce un complesso framework composto da 240 requisiti funzionali per il servizio di archiviazione elettronica e 205 requisiti aggiuntivi specifici per i fornitori fiduciari del servizio (Trust Service Provider). Questi requisiti sono progettati per garantire che i documenti digitali siano conservati in modo sicuro, accessibile e con pieno valore legale per tutto il periodo di conservazione.
Le principali categorie di criteri previsti sono così sintetizzate:
- Requisiti generali per i Fornitori di servizi fiduciari di e-Archiving (E-Archiving Trust Service Provider – EATSP)
Il EATSP deve operare in un ambiente conforme a politiche di sicurezza rigorose (basate sullo standard ETSI EN 319 401) e garantire:
– Competenze del personale: Il team deve includere esperti con competenze avanzate sia in ambito archivistico e sia in ambito di archiviazione elettronica
– Politiche e Procedure: Il provider deve sviluppare e mantenere aggiornate una Electronic Archiving Policy (che descriva obiettivi, standard di sicurezza e framework normativo) e una Practice Statement (che dettagli le procedure operative).
– Piani di terminazione: Il provider deve avere un piano documentato e aggiornato per la gestione dell’eventuale cessazione del servizio, inclusa la restituzione dei dati ai sottoscrittori.
– Contrattualistica Obbligatoria:
Service Agreement: Deve definire obbligatoriamente la gestione della distruzione fisica dei dati dopo il periodo di conservazione, le responsabilità delle parti, la localizzazione geografica degli storage e le procedure di ripristino in caso di perdita.
Submission Agreement: Accordo necessario tra provider e sottoscrittore per specificare i formati accettati, i metadati obbligatori, i protocolli di trasferimento e i tempi di conservazione.
- Requisiti Infrastrutturali e di Sicurezza
– Localizzazione UE: Tutti i componenti dell’infrastruttura di memorizzazione e di elaborazione devono essere situati all’interno dell’Unione Europea.
– Sicurezza fisica e logica: Devono essere implementati controlli granulari sugli accessi, monitoraggio crittografico e protezione delle reti.
– Ridondanza Geografica: I pacchetti di archiviazione (AIP) devono essere conservati in almeno due località geograficamente remote per prevenire perdite dovute a disastri naturali o rischi politici.
– Separazione dei Dati: I documenti elettronici devono essere separati almeno per sottoscrittore, fisicamente o logicamente.
- Requisiti Funzionali del Servizio
I requisiti funzionali coprono l’intero ciclo di vita dei pacchetti informativi secondo il modello OAIS di cui allo standard ISO 14721:
– Ricezione e Ingest (SIP o PdV): Il TSP deve verificare l’integrità, la provenienza e la conformità del formato del pacchetto ricevuto.
– Archiviazione e Conservazione (AIP o PdA): Ogni pacchetto deve avere un identificatore unico e fisso. Il sistema deve eseguire periodicamente controlli di integrità ricalcolando il digest (hash) dei dati. Il TSP deve garantire la leggibilità a lungo termine tramite la conversione dei formati obsoleti.
– Ricerca e Recupero (DIP o PdD): Fornire funzioni di ricerca basate su metadati o identificatori unici, garantendo che i risultati siano visibili solo ai soggetti autorizzati.
– Conversione di Formato (Riversamento): In caso di rischio di obsolescenza, il servizio deve implementare processi di conversione per garantire la leggibilità futura, tracciando l’operazione come evento critico.
– Cancellazione: Al termine del periodo di conservazione, la cancellazione deve essere definitiva (impedendo il recupero dei file) e registrata nell’audit trail.
- Requisiti di Tracciabilità e Integrità (Audit Trail)
Preliminarmente gli eventi vengono distinti in critici e non critici:
– Audit Trail: Tutti gli eventi critici (come l’ingest, la conversione di formato o la cancellazione) devono essere registrati in un registro protetto contro le alterazioni tramite firme digitali o catene di integrità (hash chaining).
– Report di Integrità: Il sistema deve essere in grado di generare automaticamente un rapporto che attesti l’integrità dei dati dal momento dell’archiviazione fino al recupero.
- Requisiti di Sostenibilità Ambientale (Green Archiving)
Per la prima volta, i TSP sono incoraggiati ad adottare un approccio sostenibile, preferendo tecnologie di memorizzazione a basso impatto ambientale (come lo storage offline per il lungo periodo) e certificando i datacenter secondo la norma EN ISO 50001.
Su questo tema, Digitalaw organizzerà presto un webinar che sarà trasmesso su Digeat TV , in cui i Consulenti dello Studio Legale Lisi daranno il loro contributo. Insieme a ospiti d’eccezione, saranno approfondite alcune questioni ancora aperte e che meritano alcuni importanti chiarimenti.
