Obligazjonijiet tal-Fornituri ta' Firma Elettronika Malta

Introduzzjoni

Id-distribuzzjoni ta' soluzzjoni ta' firma elettronika f'Malta mhix ħaġa li tista' tiġi improvizzata. Wara kull firma kwalifikata jew avvanzata hemm għexieren ta' obligazjonijiet legali li jiġu imposti fuq il-fornitur ta' servizzi ta' fiduċja (PSCo). Ir-Regolament eIDAS, RGPD, ir-Referenti Ġenerali ta' Sigurtà, normi ETSI... il-qafas regolatorju huwa kemm dens kif ukoll li qed ivarja. Għall-entitajiet korporattivi utenti, il-fehim ta' dawn l-obligazjonijiet legali fornitur firma elettronika Malta eIDAS RGPD huwa indispensabbli sabiex tagħżel partner konformi u tevita kwalunkwe riskju legali. Dan l-artiklu jiddettanja, sezzjoni b'sezzjoni, il-kolluttività tal-esigenze li japplikaw lill-PSCo li joperaw fuq it-territorju Malti.

---

L-Istatus tal-Fornitur ta' Servizzi ta' Fiduċja Kwalifikat

Xi ħaġa hija PSCo skond eIDAS?

Ir-Regolament eIDAS Nru 910/2014 jiddistingwi bejn żewġ kategoriji ta' fornituri: il-fornituri ta' servizzi ta' fiduċja mhux kwalifikati u l-fornituri kwalifikati (PSCQ). L-ewwel jistgħu joffru servizzi ta' firma elettronika sempliċi jew avvanzata mingħajr awdit minn terzi parti obbligatorju. L-ittieni — l-uniċi awtorizzati li jiddistribwixxu firmi kwalifikati skond l-artikolu 3(15) ta' eIDAS — għandu jissodisfa esigenze kif ikun sinifikanti aktar stretta.

F'Malta, huwa l-Aġenzija Nazzjonali għas-Sigurtà tas-Sistemi ta' Informazzjoni (ANSSI) li timla r-rwol ta' awtorità ta' sorveljanza (« Supervisory Body ») stipulat mill-artikolu 17 ta' eIDAS. Hija tippubblika u tżomm il-lista ta' fiduċja Maltija (TSL — Trust Service List), aċċessibli fuq is-sit uffiċjali tagħha, li telenka l-fornituri kwalifikati u s-servizzi tagħhom.

Il-proċedura ta' Kwalifikazzjoni: awdit u konformità

Sabiex jinkiseb l-istatus kwalifikat, PSCo irid obbligatorjament:

• Iġiegħel l-awdit tas-servizzi tiegħu minn organism ta' evaluazzjoni tal-konformità (CAB — Conformity Assessment Body) akkreditatu mill-COFRAC skond in-norma EN ISO/IEC 17065.

• Issottometti r-rapport ta' awdit lill-ANSSI, li tagħmel deċiżjoni dwar il-għoti tal-istatus kwalifikat. L-istatus huwa rievalwat mill-inqas kull 24 xahar (artikolu 20 §1 eIDAS).

• Ittnotifika l-ANSSI ta' kwalunkwe bidla sostanzjali fis-servizzi tiegħu f'perjodu ta' 3 xhur qabel il-bidla ppjanata (artikolu 21 eIDAS).

L-ħamrija ta' dawn il-passi tesponi l-fornitur għall-ħsieb mill-TSL u għat-telf tal-presunzjonijiet legali allegati mal-firma kwalifikata. Għall-entitajiet korporattivi klienti, ir-rikors għal PSCo mhux elenkat fuq it-TSL hu ekwivalenti għat-telf ta' kwalunkwe presunzjoni legali ta' affidabilità.

> Sabiex tagħraf aktar dwar il-livelli differenti ta' firma u l-effetti legali tagħhom, ikkonsulta l-gwida kompleta tar-Regolament eIDAS 2.0.

---

Obligazjonijiet Tekniċi u ta' Sigurtà Imposti lill-PSCo

Rispett tan-normi ETSI

Il-fornituri kwalifikati għandu jikkonformaw ma' sett ta' normi Ewropej ippubblikkati mill-Istitut Ewropew tal-Istandards tal-Telekomunikazzjonijiet (ETSI). L-għalf prinċipali huma:

• ETSI EN 319 401 : esigenze ġenerali ta' sigurtà li japplikaw lill-kolluttività tal-PSCo.

• ETSI EN 319 411-1 u 411-2 : politiki u prattiki tal-awtoritajiet ta' ċertifikazzjoni li jiddistribwixxu ċertifikati ta' firma kwalifikata.

• ETSI EN 319 132 : formati ta' firma elettronika avvanzata (XAdES għal XML, PAdES għal PDF, CAdES għal CMS).

• ETSI EN 319 122 : format CAdES għal firmi kwalifikati.

• ETSI TS 119 431 : esigenze għas-servizzi ta' krazzjoni ta' firma 'il bogħod (QSCD 'il bogħod).

Dawn in-normi mhux fakulattivi: ir-Regolament eIDAS (Anness II, III u IV) jisreferhom espliċitament sabiex jiddefinixxu l-esigenze minimi tal-ċertifikati kwalifikati u tal-apparat ta' krazzjoni ta' firma.

Ġestjoni tal-apparati siguri ta' krazzjoni ta' firma (QSCD)

Waħda mill-pilastri tal-firma kwalifikata hija l-użu ta' apparat sigur ta' krazzjoni ta' firma (QSCD — Qualified Signature Creation Device) konformi mal-Anness II ta' eIDAS. Il-fornitur għandu jigarantixxi li:

• Il-ċavetta privata tas-sottoskrittur ma tista' tiġi ġenerata, maħżuna jew kopjata barra mill-QSCD.

• Il-ġenerazjoni tal-ċavetta isir esklusivement f'ambjent ċertifikat (ċertifikazzjoni Common Criteria EAL 4+ jew ekwivalenti).

• L-awtentikazzjoni tas-sottoskrittur li taqqadim kwalunkwe att ta' firma jirripoża fuq mill-inqas żewġ fatturi ta' awtentikazzjoni.

F'kuntest ta' firma 'il bogħod — il-proċess aktar komunement użat fl-ambjenti SaaS — dawn l-esigenze japplikaw lill-server HSM (Hardware Security Module) li jospitja l-ċavetti. L-ANSSI ippubblikat profili speċifiċi ta' protezzjoni (PP-0075, PP-0076) li jiddefinixxu l-kriterji ta' sigurtà li għandu jinkisbu.

Politika ta' Kontinwità u Notifika ta' Inċidenti

L-artikolu 19 ta' eIDAS jimp u l-iskatt tal-fornitur ta' servizzi ta' fiduċja (kwalifikat jew le) għallidu:

• Ittnotifika l-awtorità ta' sorveljanza (ANSSI) u, fejn applikabbli, l-awtorità ta' protezzjoni tad-data (CNIL), f'24 siegħa wara t-tindikazzjoni ta' ksur ta' sigurtà li jista' jkollha impatt fuq l-affidabilità tas-servizz.

• Iċċompla pjan ta' kontinwità tas-servizz dokumentat u ttestjat regolarment.

• Ikollha politika ta' sigurtà ta' l-informazzjoni formalizzata, li tikkopri speċjalment il-ġestjoni tar-riskji, il-ġestjoni tal-inċidenti u l-politika tal-bakkap.

Dawn l-esigenze jorrisponu parzjalment ma' dawk tal-Direttiva NIS2 (2022/2555/UE), traspozizzjoni f'dritt Malti bil-liġi Nru 2023-703 tal-1 ta' Awwissu 2023, li tikklassifika l-PSCo ta' daqs sinifikanti fost l-entitajiet importanti jew essenzjali soġġetti għal obligazjonijiet rinfurzati ta' cybersigurtà.

> Skopri kif il-firma elettronika għall-uffiċċji legali għandha tintegra dawn il-limitazzjonijiet fl-workflows documentarji tagħhom.

---

Obligazjonijiet RGPD Speċifiċi lill-PSCo

Il-PSCo, responsabbli tal-ipproċessar jew sub-prosessar?

Il-kwalifikazzjoni RGPD tal-fornitur tiddependi min-natura tas-servizz mogħti:

• Meta l-PSCo jiddistribwixxi direttament ċertifikati kwalifikati fil-għan tas-sottoskrittur u jiddeterminaw il-finazzjonalitajiet tal-ipproċessar tad-data personali (identità, data biometrika ta' awtentikazzjoni), huwa jaġixxi bħala responsabbli tal-ipproċessar skond l-artikolu 4(7) RGPD.

• Meta jintegra l-API tiegħu fil-platafforma ta' klijent B2B u jipprosessa d-data personali skond l-istruzzjonijiet uniku ta' dak il-klijent, ġaħa l-kwalità ta' sub-prosessar (artikolu 4(8) RGPD) u għandu obbligatorjament jikkludi DPA (Data Processing Agreement) konformi mal-artikolu 28 RGPD.

Fil-prattika, il-biċċa kbira tal-PSCo SaaS jikkumulaw it-tnejn il-kwalitajiet: responsabbli għall-ġestjoni tal-infrastruttura ta' ċertifikazzjoni tiegħu, sub-prosessar għall-ipproċessar tad-dokumenti u l-metadata tal-sottoskritturi.

Obligazjonijiet Speċifiċi Relatati mad-Data Biometrika u ta' Identità

L-identifikazzjoni u awtentikazzjoni tas-sottoskrittur — pass obbligatorju sabiex jiddistribwixxu ċertifikat kwalifikat — ħafna drabi jinvolvi l-ipproċessar ta' data sensittiva: scan ta' dokument ta' identità, selfie vidjow, data biometrika ta' rikonoxximent tal-wiċċ. Din id-data tikkostitwixxxi data personali soġġetta għall-RGPD, jew anke data biometrika li tidħol taħt l-artikolu 9 RGPD (kategoriji speċjali).

L-obligazjonijiet tal-PSCo jinkludu:

• Bażi legali : il-kunsens esplicit (artikolu 9§2a) jew, f'ċerti każi, l-obbligi legali (artikolu 9§2b) għall-ipproċessar tad-data biometrika.

• Durata ta' konservazzjoni limitata: skond il-linji gwida CNIL, id-data ta' identifikazzjoni għandha tiġi kkunservata biss sa dakinhar meħtieġ, ġeneralment allinjata mal-durata ta' validità taċ-ċertifikat + durata legali ta' prova (ħaffa 10 snin għall-atti bħala sering privat, artikolu 2224 tal-Kodiċi Ċivili).

• Analiżi ta' Impatt (AIPD) obbligatorja (artikolu 35 RGPD) fid-dħul li l-ipproċessar huwa sussibbli li jikkawża riskju għoli — li huwa sistematikament il-każ għal-biometrika.

• Reġistru tal-Ipproċessariet (artikolu 30 RGPD) immunutennut aggiornata u li tdokumenta kull kategorija ta' ipproċessar.

Trasferimenti Internazzjonali ta' Data

Numru sħiħ ta' PSCo jospitaw il-kolluttità jew parti tal-infrastruttura tagħhom barra mill-Ispazju Ekonomiku Ewropew (EEE). F'dak il-każ, il-garantiji xierqa meħtieġa mill-Kapitolu V RGPD jistabbilixxu: deċiżjoni ta' adegwatezza, klawsoli tal-kuntratt Tipiċi (SCCs) tal-Kummissjoni Ewropea jew Regoli tal-Impresa Vinkolanti (BCR). L-aħkma Schrems II (CJUE, C-311/18, 16 ta' Lulju 2020) f'memorja li t-trasferimenti lejn l-Istati Uniti jeħtieġ analiżi ta' riskju tal-pajjiż qabel.

> Sabiex taghraf l-impatt ta' dawn ir-regoli fuq l-organizzazzjoni tiegħek, ikkonsulta l-gwida dwar il-firma elettronika fl-entità korporattiva.

---

Obligazjonijiet ta' Transparenza u Informazzjoni lejn l-Utenti

Politika ta' Ċertifikazzjoni (PC) u Dikjarazzjoni tal-Prattiki ta' Ċertifikazzjoni (DPC)

Kull PSCo li jiddistribwixxi ċertifikati huwa tenuta li jippubblika Politika ta' Ċertifikazzjoni (PC) u Dikjarazzjoni tal-Prattiki ta' Ċertifikazzjoni (DPC), konformi man-norma ETSI EN 319 411. Dawn id-dokumenti, librement aċċessibli, jiddettanjaw:

• Il-proċeduri ta' identifikazzjoni u reġistrazzjoni tas-sottoskritturi.

• Il-miżuri ta' sigurtà fiżika u loġika mitqiegħda.

• Il-kundizzjonijiet ta' revoka taċ-ċertifikati u l-ħinijiet assoċjati.

• Ir-responsabbiltajiet u l-limitazzjonijiet ta' garantija tal-PSCo.

L-assenza jew l-inkunpletezza ta' dawn id-dokumenti tikkostitwixxi nuqqas ta' konformità sussibbli li tiġi nnotata matul l-awdit ta' rikwalifikazzjoni mill-organism akkreditatu.

Informazzjoni Prekontrattwa u Kontrattwa tal-Klienti

Ilu tal-obligazjonijiet purament tekniċi, l-artikolu 13 RGPD jimp u kull PSCo li jipprovdi informazzjoni ċara u aċċessibla fuq:

• L-identità tar-responsabbli tal-ipproċessar u l-koordinati tal-DPO (obbligatorju għall-PSCo li jipprossessaw fuq skala waħda ta' data sensittiva, artikolu 37 RGPD).

• Il-finazzjonalitajiet u l-bażi legali ta' kull ipproċessar.

• Il-drittijiet tal-persuni (aċċess, korrezzjoni, ħamrija, portabilità, opposizzjoni).

• L-eventwali rikeventi tad-data (sub-prošessuri, awtoritajiet).

Din l-informazzjoni għandha tidħol fil-politika ta' riservatezza tas-servizz, fil-CGU u, fejn applikabbli, fil-DPA konkluż ma' klienti professjonali.

Ħin Kwalifikat u Pista ta' Awdit

Sabiex tigarantixxi l-valur ta' prova għal-tul tat-temps tal-firmi, il-PSCo serjuż sistematikament jassocjaw ħin ta' kwalità elettroniċa (artikolu 42 eIDAS) ma' kull att iffirmat. Dak l-ħin tikkostitwixxi prova legalment presunta tal-eżistenza tad-data bid-data indikata. Il-konservazzjoni tal-pista ta' awdit (reġistri ta' identifikazzjoni, impronta tad-dokument, data tal-firma) hija obbligi ta' fatt sabiex jippermettu kwalunkwe verifikazzjoni ġudizzjarja sussegwenti.

> Qabbel is-soluzzjonijiet tas-suq skond dawk il-kriterji fil-paragun tas-soluzzjonijiet tal-firma elettronika.

---

eIDAS 2.0 : l-Obligazjonijiet il-Ġodda f'Orizzont 2026-2027

Ir-Regolament eIDAS 2.0 (UE) 2024/1183

Ippubblika fis-Sagħtira Uffiċjali ta' l-UE fl-30 ta' Apprili 2024, ir-regolament (UE) 2024/1183 imsejjaħ « eIDAS 2.0 » ikkummittiċi sinifikantement l-obligazjonijiet tal-PSCo madwar tliet assi:

• Il-Portafolju Ewropew ta' Identità Numerika (EUDI Wallet) : l-Istati Membri għandhom ipoġġu dispożizzjoni portafolju ta' identità numerika ċertifikat sa l- 2 ta' Novembru 2026. Il-PSCo iħtieġu jintegraw is-servizz tagħhom mal-portafolju sabiex joffru firmi kwalifikati permezz tal-identità eIDAS 2.0.

• Il-Ġestjoni tal-Attestazzjonijiet ta' Attribwiti : eIDAS 2.0 introduċ il-attestazzjonijiet ta' attribwiti kwalifikati (QEAAs), distribwiċċa minn fornituri kwalifikati ta' attestazzjoni. Proċeduri l-ġodda ta' awdit u ta' kwalifikazzjoni japplikaw.

• L-Irforzament tas-Sorveljanza : l-awtoritajiet nazzjonali ta' sorveljanza (ANSSI għall-Franza) jaraw is-setgħat tagħhom estiżi, speċjalment l-abbiltà li jipproċedu f-awdits mhux imħammmra u li jimponu miżuri kurrezzjonali vinkolanti f'perpetwi murija.

Implikazzjonijiet Prattiċi għall-Fornituri Attwali

Il-PSCo diġà kwalifikati taħt eIDAS 1.0 iħtieġu jipproċedu għal messa f'konformità progressiva qabel l-iskadenzjiet issettati mill-atti ta' implimentazzjoni tal-Kummissjoni (ippubblikkati jew għadakk qed jinkitbu). L-adattamenti prinċipali jikkonċernaw:

• Il-rifondazzjoni tal-infrastruttura ta' identifikazzjoni sabiex jappoġġa EUDI Wallet bħala mezz ta' awtentikazzjoni.

• L-aġġornament tal-PC/DPC sabiex jintegraw it-tipplanonumi ġodda ta' ċertifikati u ta' attestazzjonijiet.

• L-irforzament tal-esigenze ta' sigurtà tal-QSCD 'il bogħod, b'profili l-ġodda ta' protezzjoni li għaddejjin.

Għall-entitajiet korporattivi klienti, dan ifisser ivverifikaw minn illum li l-fornitur tiegħek għandu roadmap dokumentat ta' konformità eIDAS 2.0 u verifikabbli.

Qafas Legali li Japplikaw għall-Obligazjonijiet tal-Fornituri ta' Firma Elettronika

Is-silsilta normattiva li japplikaw lill-fornituri ta' firma elettronika li joperaw f'Malta tqigħ fuq linji ġerarkiċi komplementari.

Kodiċi Ċivili Malti — Artikoli 1366 u 1367

L-artikolu 1366 tal-Kodiċi Ċivili jirrikonoxxu l-miktub elettroniċi bħala mod ta' prova ekwivalenti mal-miktub tal-karta, bil-kundizzjoni li « jista' jiddiffidenza tamawm ta' identifikazzjoni ta' min hu gej u li jiġi ssettja u kkunservat f'kundizzjonijiet ta' natura sabiex tigarantixxi l-integrità tiegħu ». L-artikolu 1367 jispeċifika li l-firma elettronika « tikkonsistu fl-użu ta' proċedura affidabbli ta' identifikazzjoni li tigarantixxi l-konnessjoni tagħha mal-att li twaħħal ». Il-presunzjoni ta' affidabilità tbenefika illi l-firmi kwalifikati skond eIDAS, u tirrevering il-ħlas tal-prova favur tas-sottoskrittur.

Ir-Regolament eIDAS Nru 910/2014/UE

Dan ir-Regolament, ta' applikazzjoni diretta fl-Istati Membri kollha, jesstabilixx il-qafas legali tas-servizzi ta' fiduċja. L-artikolu 26 tiegħu jiddefinixxu l-kundizzjonijiet tal-firma elettronika avvanzata; l-artikolu 28 l-esigenze taċ-ċertifikati kwalifikati; l-Anness I tiegħu jiddettanja l-kontenut obbligatorju ta' dawn iċ-ċertifikati. Il-PSCo kwalifikati benefiċċjaw minn presunzjoni ta' konformità mal-esigenze tekniċi u legali tar-Regolament (artikolu 19§2), li tikkostitwixxi vantaġġ maġġur f'każ ta' disputa.

Ir-Regolament eIDAS 2.0 — (UE) 2024/1183

Ippubblika fl-30 ta' Apprili 2024, dan ir-Regolament ta' emendament jintroduċi kategoriji ġodda ta' servizzi ta' fiduċja (attestazzjonijiet ta' attribwiti kwalifikati, servizzi ta' archivyaġġ kwalifikati) u jirfizza l-obligazjonijiet ta' sorveljanza. Jabroġa u jirreplika parzjalment ir-Regolament 910/2014, b'applikabilità progressiva skond l-atti ta' implimentazzjoni tal-Kummissjoni Ewropea.

RGPD — Regolament (UE) 2016/679

Il-RGPD japplikaw għal kwalunkwe ipproċessar tad-data personali irrealizzat fil-kuntest ta' servizz ta' firma elettronika. L-artikoli 5 (prinċipji ta' liċità), 6 (bażi legali), 9 (data sensittiva), 13-14 (informazzjoni), 28 (sub-prosessar), 32 (sigurtà), 33-34 (notifika ta' ksur), 35 (AIPD) u 37 (DPO) jikkostitwixxi d-dispożizzjonijiet il-aktar frekwenti li japplikaw. Il-CNIL hija l-awtorità ta' kontroll kompetenti f'Franza u tista' timponi multa sa 20 miljun ewro jew 4% tal-fatturat mundanali annwali (artikolu 83§5 RGPD).

Direttiva NIS2 — (UE) 2022/2555

Traspozizzjoni f'dritt Malti bil-liġi Nru 2023-703 tal-1 ta' Awwissu 2023, NIS2 tikklassifika l-PSCo sinifikanti fost l-entitajiet importanti jew essenzjali soġġetti għal obligazjonijiet ta' ġestjoni tar-riskji cyber u ta' notifika tal-inċidenti lill-ANSSI taħt 24 siegħa (alert kmieni) imbagħad 72 siegħa (notifika kompleta).

Normi ETSI

Is-sett kollh tan-normi EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 u TS 119 431 jikkostitwixxu r-referenza teknika obbligatorja għall-awdit ta' kwalifikazzjoni. Il-ħamrija ta' dawk jikkawża l-impossibbiltà li tinkiseb jew iżżomm l-istatus kwalifikat.

Riskji Legali f'każ ta' Nuqqas ta' Konformità

Fornitur mhux konformi huwa espunibbli għal: ħsieb mill-TSL Maltija, impegn tar-responsabbiltà tiegħu kontrattwa u ekstrakontrattwa, sannezzjonamenti amministrattivi CNIL, multa NIS2 li tista' tilħaq 10 miljun ewro jew 2% tal-fatturat mundanali għall-entitajiet importanti u 20 miljun jew 4% tal-fatturat mundanali għall-entitajiet essenzjali, kif ukoll għal rikorsi ġudizzjarji tal-klienti li suddew preġudizzju minħabba firmi mhux validi legalment.

Skenari ta' Użu: Kif l-Entitajiet Korporattivi Ivverifikaw il-Konformità tal-PSCo Tiegħhom

Skenaryu 1 — Grupp Industrijali li Ġestixxi 3 000 Kuntratti ta' Fornitur Kull Sena

Grupp industrijali ta' daqs intermedju (ETI), attiv fil-manifattura tal-apparati mekkaniċi, jiddematerializza l-kolluttità tal-kuntratti fornitur tiegħu permezz ta' platafforma SaaS ta' firma elettronika. Wara awdit intern aktivat wara evoluzzjoni regolatorja, l-uffizju legali jkunsinna li l-fornitur magħżul — inizjalment magħżul fuq il-kriterju tal-prezz — mhux elenkat tabilħ fut-TSL Maltija, tabilħ fuq ikkulunkwe TSL Ewropea. Il-firmi distribwiċċa huma ta' tip « sempliċi » mingħajr mekkaniżmu ta' identifikazzjoni robustu tas-sottoskrittur.

Wara r-riskju legali — l-kolluttità tal-kuntratti iffirmati tista' taraw il-valur ta' prova tiegħhom kontestati f'każ ta' disputa — l-entità korporattiva stiġħa migrazzjoni lejn PSCo kwalifikat ANSSI. Is-soluzzjoni l-ġodda tintegra firma avvanzata b'ċertifikat kwalifikat, ħin kwalifikat u pista ta' awdit esportabbli. Il-kamp ta' migrazzjoni, irrealizzat f'inqas minn 8 ġimgħa, jippermettu siguru rretroattivament l-atti ġodda u jestabbilixxu politika dokumentarja konformi. L-ekwippaġġi legali jestima li r-riskju ta' kontest relatat mal-kuntratti tal-antiki jibqa' marginali minħabba l-esekuzzjoni tagħhom mingħajr kontestazzjoni, iżda kull firma ġodda hija issa kkuntrabbilata.

Ħaggat osservati: tnaqqis ta' 60% tal-litigi potenzjali relatati mal-awtetnitità tal-firmi, u gwadann ta' 3,5 ġurnata ta' medja tad-delmi firmi fuq kuntratti kumplessi grazzi l-awtonumazzjoni tal-workflow ta' validazzjoni.

Skenaryu 2