Successfully reported this slideshow.
Your SlideShare is downloading. ×

Regolamento EIDAS - G. Allegrezza

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 43 Ad

Regolamento EIDAS - G. Allegrezza

Download to read offline

Una Panoramica sul Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE)

Una Panoramica sul Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE)

Advertisement
Advertisement

More Related Content

Slideshows for you (20)

Viewers also liked (20)

Advertisement

Similar to Regolamento EIDAS - G. Allegrezza (20)

Recently uploaded (20)

Advertisement

Regolamento EIDAS - G. Allegrezza

  1. 1. Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 In materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE) Marzo 2015A cura di Guido Allegrezza 1
  2. 2.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 2
  3. 3.  Promuovere ed agevolare la nascita di un quadro tecnico-giuridico unico, omogeneo e interoperabile a livello europeo, relativamente ai Trusted Services (servizi fiduciari), per migliorare l’efficacia dei servizi elettronici pubblici e privati, delle transazioni elettroniche e del commercio elettronico nell'Unione europea  Per i Trusted Services la fiducia verso il prestatore è essenziale e gli operatori sono sottoposti a vigilanza e controllo da parte degli stati membri, per garantire certezza e fiducia (firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, raccomandata elettronica, certificazione per autenticazione web) Marzo 2015A cura di Guido Allegrezza 3
  4. 4.  Da una Direttiva soggetta al recepimento, si passa ad un Regolamento Europeo pienamente in vigore, senza ulteriori passaggi intermedi;  La Commissione Europea è investita del potere di emanare atti esecutivi, che sono direttamente operativi nell’ambito delle disposizioni del Regolamento;  È istituito un quadro tecnico-giuridico per servizi fiduciari transfrontalieri armonico, unitario ed interoperabile, nel cui ambito i paesi membri mantengono ampi margini di manovra rispetto all’adozione di tecnologie e processi operativi, pur nel rispetto degli elementi comuni adottati come riferimento (standard tecnologici, definizioni, concetti giuridici, valore legale degli strumenti definiti ed adottati, ecc.);  Nasce la figura del prestatore di servizi fiduciari riconosciuto a livello europeo, che si attiene agli standard di riferimento ed è sottoposto a specifica vigilanza. Marzo 2015A cura di Guido Allegrezza 4
  5. 5. LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 5 COMMISSIONE UE STATO MEMBRO REGIME DI IDENTIFICAZIONE (sistema di identificazione elettronica per persone fisiche o giuridiche) Organismo di valutazione della conformità Servizi fiduciari Prestatore Servizi qualificati Elenco di fiducia SERVIZIO FIDUCIARIO • Creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, recapito certificato (con i rispettivi certificati elettronici) • Creazione, verifica e convalida di certificati di autenticazione web • Conservazione di firme, sigilli o relativi certificati elettronici NotificaElenco regimi di identificazione Regolamento
  6. 6.  La Commissione mantiene la potestà di emanare atti di esecuzione e delegati per completare ed integrare la normativa  Pubblica ed aggiorna l’elenco dei regimi di identificazione elettronica  Mette a disposizione degli Stati Membri la relazione annuale di ogni organismo di vigilanza  Pubblica gli elenchi di fiducia con le informazioni sui prestatori di servizi fiduciari qualificati ed i servizi fiduciari qualificati da essi prestati.  Mette a disposizione degli Stati Membri i nomi e gli indirizzi degli organismi deputati alla verifica della conformità dei dispositivi per la creazione di una firma elettronica qualificata  Redige, pubblica e mantiene l’elenco di dispositivi per la creazione di una firma elettronica qualificata certificati  Entro l’1/7/20 riesamina l’applicazione del regolamento e presenta una relazione al Parlamento europeo e al Consiglio valuta l’opportunità di modificare l’ambito di applicazione del regolamento o sue disposizioni specifiche. Poi, ogni 4 anni presenta una relazione sui progressi compiuti nella realizzazione degli obiettivi. Marzo 2015A cura di Guido Allegrezza 6
  7. 7.  77 considerazioni preliminari  Capo I – Disposizioni Generali (artt. 1 – 5)  Capo II - Identificazione Elettronica (artt. 6 -12)  Capo III – Servizi Fiduciari (artt. 13 – 45) ◦ Sezione 1 – Aspetti generali (artt. 13 – 16) ◦ Sezione 2 – Vigilanza (artt. 17 – 19) ◦ Sezione 3 – Servizi fiduciari qualificati (artt. 20 – 24) ◦ Sezione 4 – Firme elettroniche (artt. 25 – 34) ◦ Sezione 5 – Sigilli elettronici (artt. 35 – 40) ◦ Sezione 6 – Validazione temporale elettronica (artt.41 – 42) ◦ Sezione 7 – Servizi elettronici di recapito certificato (artt.. 43 – 44) ◦ Sezione 8 – Autenticazione dei siti web (art. 45)  Capo IV – Documenti Elettronici (art. 46)  Capo V – Delega di potere e disposizioni di esecuzione (artt. 47 – 48)  Capo VI – Disposizioni finali (artt. 49 – 52)  Allegato I – Requisiti per i certificati qualificati di firma elettronica  Allegato II - Requisiti per i dispositivi per la creazione di una firma elettronica Qualificata  Allegato III – Requisiti per i certificati qualificati dei sigilli elettronici Marzo 2015A cura di Guido Allegrezza 7
  8. 8.  Il regolamento è in vigore dal 17/09/2014  Sono applicate dal 17/09/14 le disposizioni contenute negli articoli: 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 e 48  Il resto del Regolamento si applica dall’1/07/2016, tranne:  Gli articoli 7, 8.1, 8.2, 9, 10, 11 e 12.1 che si applicano dal 18/09/15  L’art. 6 che si applica dal 18/09/18  Con effetto dall’1/07/16 la Direttiva 1999/93/CEE è abrogata Marzo 2015A cura di Guido Allegrezza 8
  9. 9. A partire dall’1/07/2016:  I dispositivi per la creazione di una firma sicura conformi all’art. 3.4 Dir. 1999/93/CE, sono considerati dispositivi per la creazione di una firma elettronica qualificata a norma EIDAS  i certificati qualificati rilasciati a persone fisiche a norma della Dir. 1999/93/CE sono considerati fino alla loro scadenza dei certificati qualificati di firma elettronica a norma EIDAS  Per essere considerato prestatore di servizi fiduciari qualificato a norma EIDAS Il certificatore che rilascia certificati qualificati a norma della Dir. 1999/93/CE deve presentare entro l’1/07/17 presenta una relazione di valutazione della conformità all’organismo di vigilanza Marzo 2015A cura di Guido Allegrezza 9
  10. 10. 7 atti di esecuzione devono essere adottare entro un anno dall’entrata in vigore:  3 atti di esecuzione sull'eID: Cooperazione tra Stati Membri (art. 12.7), Quadro di interoperabilità (art. 12.8), Livelli di garanzia eID (art. 8.3)  4 atti di esecuzione sui servizi fiduciari: Formati di firma elettronica (art. 27.4) e sigilli elettronici(art. 37.4), Elenchi di fiducia (art.22.5), Marchio di fiducia UE (art.23.3) Per gli atti secondari per i quali il regolamento non prevede uno specifico obbligo si valuterà caso per caso sulla base dei seguenti principi:  Certezza giuridica  Bisogni di mercato  Disponibilità delle norme tecniche  Compatibilità delle norme tecniche con i requisiti del Regolamento  Attività dell'Organismo Europeo di cooperazione per l'accreditamento previsto dal Regolamento 765/2008/CE  Risultati dell'approccio non regolamentare (attivita ENISA in base all' art. 19 eIDAS) Marzo 2015A cura di Guido Allegrezza 10
  11. 11.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 11
  12. 12.  Identificazione Elettronica: processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica.  Mezzi di Identificazione Elettronica: un’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online.  Dati di Identificazione Personale: insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica.  Regime di Identificazione Elettronica: sistema di identificazione elettronica per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche.  Autenticazione: processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica Marzo 2015A cura di Guido Allegrezza 12
  13. 13.  I mezzi di identificazione elettronica rilasciati in un altro Stato membro possono essere utilizzati per l’accesso ai servizi online di un organismo pubblico di un altro Stato membro per cui è richiesta l’identificazione elettronica se:  sono rilasciati in un regime di identificazione elettronica riconosciuto (art. 9)  il loro livello di garanzia è pari o superiore a quello richiesto per accedere al servizio online e deve corrispondere al livello di garanzia significativo o elevato;  per l’accesso al servizio è utilizzato il livello di garanzia significativo o elevato  Se un mezzo di identificazione elettronica è rilasciato in un regime di identificazione elettronica riconosciuto con basso livello di garanzia la sua ammissibilità ai fini dell’autenticazione transfrontaliera è rimessa al singolo organismo che eroga il servizio online Marzo 2015A cura di Guido Allegrezza 13
  14. 14.  Basso: fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona. Corrisponde al Livello LoA2 ISO/IES DIS 29115, con lo scopo di ridurre il rischio di uso abusivo o alterazione dell’identità;  Significativo: fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona. Corrisponde al Livello LoA3 ISO/IES DIS 29115, con lo scopo di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità;  Elevato: fornisce un grado di sicurezza più elevato dei mezzi di identificazione elettronica aventi un livello di garanzia significativo. Corrisponde al Livello LoA4 ISO/IES DIS 29115, con lo scopo di impedire l’uso abusivo o l’alterazione dell’identità. Marzo 2015A cura di Guido Allegrezza 14
  15. 15.  I mezzi di identificazione elettronica nell’ambito del regime di identificazione elettronica: sono rilasciati dallo Stato membro notificante, su suo incarico o a titolo indipendente da altri soggetti e sono riconosciuti dallo Stato membro; possono essere utilizzati per accedere almeno a un servizio che è fornito da un organismo del settore pubblico e che richiede l’identificazione elettronica nello Stato membro notificante assieme al regime di identificazione elettronica, soddisfano i requisiti di almeno uno dei livelli di garanzia  Il regime deve essere interoperabile  L’autenticazione transfrontaliera è gratuita quando effettuata in relazione a un servizio online prestato da un organismo del settore pubblico  … Marzo 2015A cura di Guido Allegrezza 15
  16. 16.  Lo Stato membro notificante :  Garantisce che i dati di identificazione rappresentano unicamente la persona fisica o giuridica cui sono stati attribuiti al momento dell’identificazione elettronica, conformemente alle specifiche tecniche, norme e procedure relative al pertinente livello di garanzia  Garantisce la disponibilità dell’autenticazione online per consentire di confermare i dati di identificazione personale  Non impone requisiti tecnici specifici sproporzionati alle parti facenti affidamento sulla certificazione che intendono effettuare tale autenticazione, (tali da impedire o ostacolare notevolmente l’interoperabilità dei regimi di identificazione elettronica notificati);  La parte che rilascia i mezzi di identificazione elettronica assicura che siano attribuiti alla persona identificata conformemente alle specifiche, norme e procedure tecniche relative al pertinente livello di garanzia Marzo 2015A cura di Guido Allegrezza 16
  17. 17.  Entro settembre 2016 sarà costituito l’elenco UE dei regimi di identificazione, costituito dall’insieme dei regimi di identificazione notificati dai singoli Stati Membri, interoperabili e fondati sul principio della cooperazione fra Stati (art. 12)  Ciascuno Stato Membro notifica alla Commissione e agli altri Stati Membri eventuali violazioni della sicurezza di un proprio regime di identificazione con affidabilità transfrontaliera e provvede alla sua revoca o sospensione. Se viene posto rimedio notifica il ripristino del regime, in caso contrario entro 3 mesi dalla revoca o sospensione comunica il suo definitivo ritiro Marzo 2015A cura di Guido Allegrezza 17
  18. 18.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 18
  19. 19.  Servizio Fiduciario: servizio elettronico fornito normalmente dietro remunerazione e consistente di: 1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure 2. creazione, verifica e convalida di certificati di autenticazione di siti web; oppure 3. conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;  Prestatore di Servizi Fiduciari: persona fisica o giuridica che presta uno o più servizi fiduciari (qualificato o non qualificato);  Organismo di Valutazione della Conformità: organismo accreditato dal regolamento (CE) n. 765/2008 (art. 2,13) come competente a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati; Marzo 2015A cura di Guido Allegrezza 19
  20. 20.  Il prestatore di servizi fiduciari adotta misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare degli effetti negativi di eventuali incidenti.  Entro 24 ore dalla conoscenza di eventi di violazioni della sicurezza o di perdite di integrità con impatto significativo sui servizi fiduciari o sui dati personali, il prestatore di servizi fiduciari notifica l’accaduto all’organismo di vigilanza ed eventualmente ad altri organismi (ad es. l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati);  Analoga notifica è dovuta alla persona fisica o giuridica, se la violazione o la perdita possono avere effetti negativi su di essa  Se la violazione o la perdita riguarda due o più Stati membri, l’organismo di vigilanza informa gli organismi di vigilanza negli altri Stati membri interessati e l’ENISA. Se l’evento è di interesse pubblico, informa il pubblico o impone di farlo al prestatore di servizi fiduciari. Marzo 2015A cura di Guido Allegrezza 20
  21. 21.  Il prestatore di servizi fiduciari risponde dei danni causati con dolo o negligenza a persone fisiche e giuridiche derivanti da mancato adempimento dei suoi obblighi:  Se il prestatore di servizio fiduciario è qualificato, deve dimostrare l’assenza di dolo o negligenza;  Se il prestatore di servizio fiduciario non è qualificato, l’onere della prova della negligenza e del è a carico di chi denuncia il danno;  Il prestatore di servizi fiduciari non risponde dei danni derivanti dall’uso dei servizi se:  Informa debitamente e preventivamente gli utilizzatori delle loro limitazioni d’uso, e  Se le limitazioni sono riconoscibili da parte di terzi  Ove possibile, i servizi fiduciari prestati e i prodotti destinati all’utilizzatore finale impiegati per la prestazione di detti servizi sono resi accessibili alle persone con disabilità (art. 14) Marzo 2015A cura di Guido Allegrezza 21
  22. 22.  Effettua due tipi di vigilanza, per assicurare la conformità dei servizi erogati al regolamento :  preventiva e a posteriori sui prestatori di servizi fiduciari qualificati  su segnalazione ed a posteriori sui prestatori di servizi fiduciari non qualificati  Impone ai prestatori di servizi fiduciari di porre rimedio agli inadempimenti al regolamento  Ha l’obbligo reciproco di assistenza verso gli altri organismi di vigilanza (salvo le eccezioni previste), in particolare per richieste di informazioni e misure di vigilanza  Una volta all’anno trasmette all’ENISA una sintesi delle notifiche di violazione di sicurezza e perdita di integrità pervenute dai prestatori di servizi fiduciari. Marzo 2015A cura di Guido Allegrezza 22
  23. 23.  Servizio Fiduciario Qualificato: servizio fiduciario che soddisfa i seguenti requisiti : 1. Il prestatore è sottoposto almeno ogni 24 mesi alla verifica a proprie spese della sussistenza dei requisiti richiesti dal regolamento (art. 20); 2. L’organismo di vigilanza può in qualunque momento effettuare a spese del prestatore un audit di verifica della conformità al regolamento (art. 20); 3. È stato verificato, qualificato ed iscritto negli elenchi di fiducia dall’organismo di vigilanza (artt. 21 e 22)  Prestatore di Servizi Fiduciari Qualificato: prestatore di servizi fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore di servizi fiduciari qualificato  I Prestatori di servizi fiduciari qualificati possono utilizzare e-Mark U Trust, il marchio di fiducia UE Marzo 2015A cura di Guido Allegrezza 23
  24. 24.  Quando rilascia un certificato qualificato per un servizio fiduciario, verifica l’identità ed eventuali attributi specifici della persona fisica o giuridica che lo ha richiesto;  Rende disponibili in modo automatizzato affidabile, gratuito ed efficiente informazioni sulla validità e sulla revoca di ogni certificato rilasciato, anche dopo la scadenza del certificato;  Inoltre, fra i numerosi requisiti richiesti, si segnalano:  Impiego di personale dotato di competenza, affidabilità, esperienza e qualifiche necessarie e  Dotazione di idonee coperture finanziarie ed assicurative  Comportamenti trasparenti verso i richiedenti e verso l’organismo di vigilanza  Impiego di tecnologie affidabili e protette da alterazioni ed adozione di adeguate misure contro falsificazione furto di dati  Registra e mantiene accessibili anche dopo la cessazione dell’attività le informazioni relative ai dati ricevuti e rilasciati, con specifico riguardo alle prove richieste in procedimenti giudiziali e alla continuità del servizio  (all. 2) Quando gestiscono dati per la creazione di una firma elettronica per conto del firmatario possono duplicarli solo per back-up, purché:  la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza di quelli originali;  il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio. Marzo 2015A cura di Guido Allegrezza 24
  25. 25.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 25
  26. 26. LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 26 Firma Elettronica: dati in forma elettronica acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare; Firma Elettronica Avanzata: firma elettronica connessa unicamente al firmatario, idonea ad identificarlo, creata mediante dati per al creazione di una firma elettronica che il firmatario può utilizzare sotto il proprio esclusivo controllo con elevato livello di sicurezza e collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni loro successiva modifica (art. 26); Firma Elettronica Qualificata: firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche
  27. 27.  Firma Elettronica: ha gli effetti giuridici e il valore di prova riconosciuto dall’ordinamento nazionale alla firma autografa  Le Firme Elettroniche Avanzate emesse negli stati membri possono essere utilizzate nei servizi on line del settore pubblico di un qualunque altro stato membro se sono conformi alle prescrizioni emanate dalla Commissione  Se la Firma Elettronica Qualificata è basata su un certificato qualificato rilasciato in un Stato membro, è riconosciuta come firma elettronica qualificata in ogni Stato membro. Marzo 2015A cura di Guido Allegrezza 27
  28. 28. Il Regolamento prescrive alcuni requisiti specifici per il valido utilizzo delle firme elettroniche qualificate in merito a: Certificati qualificati necessari per la firma qualificata; Dispositivi per la creazione della firma; Certificazione dei dispositivi per la creazione della firma Convalida della firma Conservazione della firma Marzo 2015A cura di Guido Allegrezza 28
  29. 29. I certificati qualificati necessari per la firma qualificata contengono: a. Indicazione che è stato rilasciato quale certificato qualificato di firma elettronica; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica o nome della persona fisica; c. nome o pseudonimo del firmatario; d. dati di convalida della firma elettronica (corrispondenti ai dati utilizzati per la creazione della firma elettronica); e. inizio e fine del periodo di validità del certificato; f. codice univoco di identità del certificato; g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che rilascia il certificato, con indicazione del luogo di disponibilità gratuita per le verifiche e dell’ubicazione dei servizi per verificare la validità del certificato qualificato; h. se del caso, indicazione del fatto che i dati per la creazione di una firma elettronica connessi ai dati di convalida sono ubicati in un dispositivo per la creazione di una firma elettronica qualificata Marzo 2015A cura di Guido Allegrezza 29
  30. 30. I dispositivi per la creazione di una firma elettronica qualificata garantiscono almeno che: a. i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica: 1. Sono ragionevolmente riservati; 2. possono comparire in pratica una sola volta; 3. non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili; 4. possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi. b. non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma. c. la generazione o la gestione dei dati per la creazione di una firma elettronica per conto del firmatario può essere effettuata solo da un prestatore di servizi fiduciari qualificato. Marzo 2015A cura di Guido Allegrezza 30
  31. 31.  La conformità dei dispositivi per la creazione di una firma elettronica è certificata da appropriati organismi pubblici o privati designati dagli Stati membri e inseriti nell’elenco pubblicato dalla Commissione  La certificazione si basa su uno dei seguenti elementi: a. un processo di valutazione di sicurezza condotto conformemente a una delle norme per la valutazione di sicurezza dei prodotti informatici incluse nell’elenco pubblicato dalla Commissione b. un processo diverso che utilizzi livelli di sicurezza comparabili e che sia stato notificato alla Commissione. Tale processo può essere utilizzato solo in assenza di una norma per la valutazione di sicurezza dei prodotti informatici oppure quando è in corso un processo di valutazione di sicurezza a. Gli Stati membri notificano alla Commissione le informazioni sulla certificazione dei dispositivi certificati dagli organismi. Marzo 2015A cura di Guido Allegrezza 31
  32. 32.  Il sistema utilizzato per convalidare la firma elettronica qualificata fornisce alla parte facente affidamento sulla certificazione il risultato corretto del processo di convalida e consente di rilevare eventuali questioni attinenti alla sicurezza.  I servizi di convalida e conservazione qualificata delle firme elettroniche qualificate possono essere forniti solo da prestatori qualificati che utilizzano procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica;  La firma elettronica qualificata è valida se: a. il certificato utilizzato al momento della firma era valido, conforme al regolamento e rilasciato da un prestatore di servizi fiduciari qualificato; b. i dati di convalida corrispondano a quelli trasmessi alla parte facente affidamento sulla certificazione; c. l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione; d. l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione; e. la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata e possieda tutti i requisiti di validità di una firma elettronica avanzata; f. l’integrità dei dati firmati non sia stata compromessa. Marzo 2015A cura di Guido Allegrezza 32
  33. 33.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 33
  34. 34. LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 34 Sigillo Elettronico: dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi; Sigillo Elettronico Avanzato: sigillo elettronico connesso unicamente al creatore del sigillo, idoneo a identificarlo, creato mediante dati che questi può (con un elevato livello di sicurezza) usare sotto il proprio controllo e che è collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni loro successiva modifica; Sigillo Elettronico Qualificato: sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici
  35. 35.  Sigillo Elettronico: ha gli effetti giuridici riconosciuti dall’ordinamento nazionale in materia di validità o garanzia di autenticità o integrità  I Sigilli Elettronici Avanzati emessi negli stati membri possono essere utilizzati nei servizi on line del settore pubblico di un qualunque altro stato membro se sono conformi alle prescrizioni emanate dalla Commissione  Se il Sigillo Elettronico Qualificato è basato su un certificato qualificato rilasciato in un Stato membro, è riconosciuto come firma elettronica qualificata in ogni Stato membro.  Si applicano ai Sigilli Elettronici Qualificati le stesse disposizioni previste per le Firme Elettroniche Qualificate relativamente ai dispositivi per la creazione di sigilli elettronici qualificati, alla loro certificazione, all’elenco di dispositivi e alla convalida. Marzo 2015A cura di Guido Allegrezza 35
  36. 36. I certificati qualificati necessari per il sigillo qualificato contengono: a. indicazione che è stato rilasciato quale certificato qualificato di sigillo elettronico; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica o nome della persona fisica c. almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali; d. dati di convalida del sigillo elettronico (corrispondenti ai dati per la creazione di un sigillo elettronico); e. inizio e fine del periodo di validità del certificato; f. codice univoco di identità del certificato; g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che rilascia il certificato, con indicazione del luogo di disponibilità gratuita per le verifiche e dell’ubicazione dei servizi per verificare la validità del certificato qualificato h. se del caso, indicazione del fatto che i dati per la creazione di un sigillo elettronico connessi ai dati di convalida sono ubicati in un dispositivo per la creazione di un sigillo elettronico qualificato Marzo 2015A cura di Guido Allegrezza 36
  37. 37.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 37
  38. 38. LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 38 Validazione Temporale Elettronica: dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento Validazione Temporale Elettronica Qualificata: una validazione temporale elettronica che collega la date e l’ora ai dati in modo da escludere ragionevolmente la possibilità di loro modifiche non rilevabili, che si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato e che è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente
  39. 39.  Validazione Temporale Elettronica: ha gli effetti giuridici riconosciuti dall’ordinamento nazionale in materia di garanzia temporale e di integrità dei dati associati  La data e l’ora che indica una Validazione Temporale Elettronica Qualificata si presumono accurate  I dati associati alla data e all’ora di una Validazione Temporale Elettronica Qualificata si presumono integri  (errore nel testo) Se la Validazione Temporale Elettronica Qualificata è basata su un certificato qualificato rilasciato in un Stato membro, è riconosciuta come Validazione Temporale Elettronica Qualificata in ogni Stato membro. Marzo 2015A cura di Guido Allegrezza 39
  40. 40.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 40
  41. 41.  I dati inviati e ricevuti mediante un Servizio Elettronico di Recapito Certificato hanno gli effetti giuridici riconosciuti dall’ordinamento in materia di notifica postale  I dati del Servizio Elettronico di Recapito Certificato Qualificato relativi ai dati inviati dal mittente identificato e a quelli ricevuti dal destinatario identificato si presumono integri  La data e l’ora dell’invio e la ricezione indicate dal Servizio Elettronico di Recapito Certificato Qualificato si presumono accurati  Il servizio Elettronico di Recapito Certificato Qualificato: a. È fornito da un prestatore di servizi fiduciari qualificati; b. garantisce con un elevato livello di sicurezza l’identificazione del mittente e del destinatario prima della trasmissione dei dati; c. invio e ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati; d. qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi; e. data e ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata. Marzo 2015A cura di Guido Allegrezza 41
  42. 42.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 42
  43. 43. Il certificato qualificato di autenticazione di siti web contiene: a. Indicazione che è stato rilasciato quale certificato qualificato di autenticazione di sito web; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica cui è stato rilasciato o nome della persona fisica cui è stato rilasciato (con indicazione delle pseudonimo, se utilizzato); c. elementi dell’indirizzo (almeno città e Stato del soggetto cui è rilasciato); d. nome del dominio o dei domini gestiti dal soggetto cui è rilasciato; e. indicazione di inizio e fine del periodo di validità; f. il codice di identità del certificato (unico per il prestatore di servizi fiduciari qualificato); g. la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che lo rilascia; h. il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato è disponibile gratuitamente per la verifica; i. l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato. Marzo 2015A cura di Guido Allegrezza 43

×