Embed Size (px)
Citation preview
Associazione Nazionale per Operatori e Responsabili
della Conservazione Digitale
www.anorc.it mail: [email protected]
Nuovo CAD, Regolamento UE eIDAS.Come cambia la sicurezza nella gestione e la
conservazione digitale.
Giovanni MancaPresidente ANORC
8 giugno 2016 (Security Summit - Roma)
2
Argomenti
Il Regolamento UE 910/2014.
Cosa cambia nell’ordinamento italiano sul piano
tecnico e strategico.
Altro e considerazioni finali.
3
Lo scenario di riferimento
Regolamento (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E
DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE.
In vigore il ventesimo giorno successivo alla pubblicazione in
GUCE (28 agosto 2014).
Pienamente applicabile dal 1 luglio 2016.
Una serie articoli e paragrafi si applicano in tempi intermedi
come dettagliato nel paragrafo 2 dell’articolo 52.4
Cosa cambia rispetto alla 1999/93 - 1
La Direttiva stabiliva regole per il mondo delle sottoscrizioniinformatiche.
Le Regole riguardavano anche i certificatori e le regole«tecnologicamente neutre» per la loro organizzazione.
Il quadro fornito dalla Direttiva trattava le firme elettronichesenza fornire un quadro transfrontaliero e transettorialecompleto per transazioni elettroniche sicure, affidabili e difacile impiego. Una carenza fortemente patita dal mercato hariguardato l’affidabilità delle CA (trust chain) e l’interoperabilitàdelle sottoscrizioni.
La Direttiva è abrogata con effetto dal 1° luglio 2016.5
Cosa cambia rispetto alla 99/93 - 2
Nel Regolamento scompaiono i certificatori e compaiono
i Trust Service Provider (TSP).
I TSP erogano i servizi fiduciari che sono definiti nell’art. 3,
numero 16 del Regolamento.
Tali servizi fiduciari possono essere qualificati e il TSP può
essere qualificato (TSPQ).
Vengono introdotto altre tipologie di servizi fiduciari.
6
Cosa cambia rispetto alla 99/93 - 3
La validazione temporale elettronica, il sigillo elettronico, i
servizi elettronici di recapito certificato.
La creazione, verifica e convalida di certificati di
autenticazione di siti web.
La conservazione di firme, sigilli o certificati elettronici
relativi ai servizi fiduciari.
Se cambia la Direttiva deve cambiare anche il Codice
dell’amministrazione digitale.7
Argomenti
Il Regolamento UE 910/2014.
Cosa cambia nell’ordinamento italiano sul piano
tecnico e strategico.
Altro e considerazioni finali.
8
CAD – eIDAS (identità digitale)
L’identità del titolare è nazionale e viene conferita secondo leregole nazionali.
Ci può essere un riconoscimento reciproco tra Stati membri seviene notificato alla Commissione lo schema di identificazioneelettronica (eID).
L’ammissibilità della notifica è regolamentata nell’articolo 7 delRegolamento.
Il contenuto della notifica è regolamentato nell’articolo 9.
Nel CAD è presente lo SPID, che è uno schema notificabile, mache non è influenzato dal Regolamento.
9
CAD – eIDAS (TSP)
Non sono più ammissibili i certificatori anche qualificati e
accreditati. Sono ammissibili solo i TSP e i TSPQ.
Nuove regole per ottenere lo status di TSPQ e per la vigilanza.
Nuovo ruolo per AgID come autorità di vigilanza notificata.
CAD da modificare negli articoli dal 26 al 37.
Le modifiche dovrebbero essere tali da garantire il passato, non
violare il Regolamento, non appesantire il testo del CAD.1
0
CAD – eIDAS (Qualifica)
La qualifica si ottiene con un notifica ad AgID da parte del TSPche ha allegata una relazione di valutazione della conformitàrilasciata da un organismo di valutazione della conformità.
AgID verifica se quanto notificato rispetta il Regolamento. Incaso positivo concede la qualifica e provvede ad aggiornare lacosiddetta Trust List (Elenco di fiducia).
Il fattore Q implica la vigilanza che è svolta da AgID ma con uncoinvolgimento diretto di organismi di valutazione dellaconformità.
Nel CAD deve essere rivisto completamente l’articolo 29.1
1
CAD – eIDAS (Sicurezza per i TSP)
Tutto il Regolamento richiede forte attenzione agli aspetti di
sicurezza.
Massima attenzione al data breach, ruolo attivo di ENISA e
reciproca cooperazione tra Stati membri.
I casi internazionali di violazione di CA come il gravissimo caso
di DigiNotar nei Paesi Bassi hanno portato ad un Regolamento
(ancora una volta nell’UE) attendo agli aspetti di sicurezza.
Nel CAD non servono specifici interventi. Già è presente l’art.
51 ma non ci sono le Regole tecniche da esso previste.1
2
CAD – eIDAS (Certificatori)
Il certificatore che emette certificati qualificati per la firmadiventa uno specifico TSPQ.
Nell’articolo 24 del Regolamento vengono stabiliti i requisitiper i prestatori di servizi fiduciari qualificati.
Tantissime di queste regole sono la naturale evoluzione diquanto già stabilito nella Direttiva 1999/93/CE.
Nel CAD si può abrogare l’art. 26 e coordinare il Regolamentocon il CAD tendendo in conto di ulteriori elementi già presentinel nostro ordinamento che non sono in contrasto con ilRegolamento (art. 32 del CAD).
1
3
CAD – eIDAS (QSCD e Firma remota)
Il Regolamento prevede esplicitamente la firma elettronica a
distanza (premessa 52).
Gli SSCD diventano QSCD e si applicano gli artt. 29, 30 e 31 del
Regolamento. Molti elementi sul tema ricalcano la Direttiva ma
viene prevista la pubblicazione di un elenco di dispositivi per la
creazione di una firma elettronica qualificata certificati.
I dispositivi già certificati ai sensi dell’art. 3, paragrafo 4 della
Direttiva sono conformi al Regolamento.
Nel CAD si deve aggiornare l’art. 35. 1
4
CAD – eIDAS (RED e PEC)
Registered Electronic Delivery (RED). Gli effetti giuridici sono stabilitinell’art. 43 del Regolamento. I Requisiti per i RED qualificati nell’art.44.
La PEC potrebbe non essere completamente conforme al REDQperché, ad esempio, non garantisce con un elevato livello di sicurezzal’identificazione del mittente e non garantisce l’identificazione deldestinatario prima della trasmissione dei dati.
In ogni caso i RED non devono essere necessariamente associati aservizi di posta elettronica visto che i requisiti possono esseresoddisfatti anche in altro modo.
Nel nostro ordinamento la PEC è delegificata nel DPR 68/2005. E’presumibile che il domicilio digitale venga associato al sistema ItaliaLogin. L’art. 48 del CAD dovrebbe essere coordinato con eIDAS.
1
5
CAD – eIDAS (Conservazione)
Rispetto alla bozza iniziale del Regolamento del giugno 2012 laconservazione è stata molto semplificata.
Il tema è introdotto per l’utilizzo di procedure e tecnologie ingrado di estendere l’affidabilità della firma elettronicaqualificata oltre il periodo di validità tecnologica.
L’art. 34 del Regolamento indica anche che la Commissionepuò pubblicare atti di esecuzione sul tema.
Non è indispensabile intervenire sul CAD ma sarebbe utilecoordinare le regole di accreditamento e vigilanza con lasituazione comunitaria.
1
6
CAD – eIDAS (Firme elettroniche) - 1
Poco cambia nelle sottoscrizioni informatiche.
Viene leggermente modificata la definizione di firma
elettronica, viene confermata la neutralità tecnologica della
firma elettronica avanzata (FEA) e la firma qualificata conferma
i suoi effetti giuridici equivalenti a quelli di firma autografa.
L’efficacia probatoria della FEA e delle firme qualificate stabilita
nel CAD non è influenzata dal Regolamento.
Potrebbe essere utile un intervento sull’art. 20 del CAD ma
questo non è conseguenza del Regolamento. 1
7
CAD – eIDAS (Firme elettroniche) - 2
I certificati qualificati diventano tre. Firma elettronica, sigilloelettronico e autenticazione di siti web.
La FEA al momento non ha regole tali da garantirnel’interoperabilità a livello comunitario.
La FEA grafometrica non suscita, al momento, particolareinteresse nell’ambito della UE ma non si può escludere che nelmedio periodo venga pubblicato uno standard di origine ETSIsu interoperabilità e sicurezza di questo tipo di FEA.
E’ opportuno ricordare che vengono introdotte anche regoleper la validazione temporale anche qualificata in modoanalogo al nostro ordinamento. 1
8
CAD – eIDAS (Sigillo elettronico)
Il sigillo elettronico che può essere anche avanzato equalificato è definito come (art. 3, n. 25): dati in formaelettronica, acclusi oppure connessi tramite associazione logicaad altri dati in forma elettronica per garantire l’origine el’integrità di questi ultimi.
Mutatis mutandis firma elettronica e sigillo elettronico siassomigliano molto sul piano definitorio. E si assomiglianoanche sul piano delle possibili realizzazioni tecnologiche.
E’ utile ricordare che il Regolamento introduce anche ildispositivo per la creazione di un sigillo elettronico qualificato.
L’introduzione del sigillo nel CAD non è indispensabile e neappesantirebbe il testo. 1
9
CAD – eIDAS (Cooperazione tra Stati membri)
Il ruolo di AgID deve essere adeguato a quanto stabilito
nell’art. 12 del Regolamento in materia di schemi nazionali di
identificazione elettronica.
Sul tema è stata pubblicato il primo atto di esecuzione del
Regolamento. La Decisione 296/2015 del 24 febbraio 2015.
Queste nuove regole non hanno impatti sul CAD perché AgID è
definita al di fuori di questo Codice.
Ulteriori atti di esecuzione sono comunque previsti entro il 18
settembre 2015. 2
0
Argomenti
Il Regolamento UE 910/2014.
Cosa cambia nell’ordinamento italiano sul piano
tecnico e strategico.
Altro e considerazioni finali.
2
1
Impatti sulla sicurezza
Abrogazione articolo 50-bis. Disaster recovery e Business
continuity rinviate alle RRTT.
Modifiche all’art. 51.
Per AgID nuovi compiti e l’esplicita assegnazione del
CERT PA.
Si attendono sempre le RRTT per esattezza, disponibilità,
accessibilità, integrità e riservatezza dei dati, dei sistemi e
delle infrastutture. 2
2
La nuova gestione documentale
Varie modifiche sulla gestione dei documenti amministrativi.
Un art. 44 completamente modificato.
Maggiore peso e alla gestione documentale e minore alla
conservazione digitale.
Art. 43, comma 1-bis.
Se il documento informatico è conservato per legge da una pubblicaamministrazione, cessa l’obbligo di conservazione a carico dei cittadini edelle imprese che possono in ogni momento richiedere accesso ai sensidelle regole tecniche di cui all’articolo 71.
Il Consiglio di Stato ha chiesto modifiche. 2
3
La nuova conservazione digitale
La conservazione digitale nazionale non è influenzata
dall’eIDAS che stabilisce Regole per la conservazione delle
firme, dei sigilli elettronici e dei certificati digitali.
La commissione UE non ha il potere di regolamentare la
conservazione digitale dei documenti.
Quando saranno disponibili le regole ETSI sul tema,
comunque, ci sarà bisogno di uno specifico e adeguato
coordinamento tra regole nazionali e UE.
2
4
L’eIDAS non è indolore per il nostro ordinamento e nonsolo per quanto attiene alla normativa primaria.
Gli atti di esecuzione e delegati della Commissioneconterranno tutte le indicazioni operative perconsentire di applicare quanto stabilito nelRegolamento in modalità tecnologicamente neutra.
La riconosciuta esperienza italiana deve essere gestita alivello europeo perché è fonte di opportunità di crescitaeconomica.
L’attenta lettura del nuovo CAD permetterà di fare piùefficaci valutazioni sui temi trattati.
Considerazioni Finali
2
5
Per maggiori informazioni e richiedere le modalitàdi adesione ad ANORC ecco i nostri contatti:
c/o D&L Department srlvia Mario Stampacchia, 2173100 Lecce
Tel e Fax: 0832 25.60.65Cell: 3277027035
Ufficio di Presidenza: [email protected]: [email protected]: [email protected]: [email protected]: [email protected]
