Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la conservazione digitale.
Giovanni Manca Presidente ANORC
8 giugno 2016 (Security Summit - Roma)
Le nuove competenze per la digitalizzazione e la privacy
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la conservazione digitale
1. Associazione Nazionale per Operatori e Responsabili
della Conservazione Digitale
www.anorc.it mail: segreteria@anorc.it
2. Nuovo CAD, Regolamento UE eIDAS.
Come cambia la sicurezza nella gestione e la
conservazione digitale.
Giovanni Manca
Presidente ANORC
8 giugno 2016 (Security Summit - Roma)
2
3. Argomenti
Il Regolamento UE 910/2014.
Cosa cambia nell’ordinamento italiano sul piano
tecnico e strategico.
Altro e considerazioni finali.
3
4. Lo scenario di riferimento
Regolamento (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E
DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE.
In vigore il ventesimo giorno successivo alla pubblicazione in
GUCE (28 agosto 2014).
Pienamente applicabile dal 1 luglio 2016.
Una serie articoli e paragrafi si applicano in tempi intermedi
come dettagliato nel paragrafo 2 dell’articolo 52.
4
5. Cosa cambia rispetto alla 1999/93 - 1
La Direttiva stabiliva regole per il mondo delle sottoscrizioni
informatiche.
Le Regole riguardavano anche i certificatori e le regole
«tecnologicamente neutre» per la loro organizzazione.
Il quadro fornito dalla Direttiva trattava le firme elettroniche
senza fornire un quadro transfrontaliero e transettoriale
completo per transazioni elettroniche sicure, affidabili e di
facile impiego. Una carenza fortemente patita dal mercato ha
riguardato l’affidabilità delle CA (trust chain) e l’interoperabilità
delle sottoscrizioni.
La Direttiva è abrogata con effetto dal 1° luglio 2016.5
6. Cosa cambia rispetto alla 99/93 - 2
Nel Regolamento scompaiono i certificatori e compaiono
i Trust Service Provider (TSP).
I TSP erogano i servizi fiduciari che sono definiti nell’art. 3,
numero 16 del Regolamento.
Tali servizi fiduciari possono essere qualificati e il TSP può
essere qualificato (TSPQ).
Vengono introdotto altre tipologie di servizi fiduciari.
6
7. Cosa cambia rispetto alla 99/93 - 3
La validazione temporale elettronica, il sigillo elettronico, i
servizi elettronici di recapito certificato.
La creazione, verifica e convalida di certificati di
autenticazione di siti web.
La conservazione di firme, sigilli o certificati elettronici
relativi ai servizi fiduciari.
Se cambia la Direttiva deve cambiare anche il Codice
dell’amministrazione digitale.
7
8. Argomenti
Il Regolamento UE 910/2014.
Cosa cambia nell’ordinamento italiano sul piano
tecnico e strategico.
Altro e considerazioni finali.
8
9. CAD – eIDAS (identità digitale)
L’identità del titolare è nazionale e viene conferita secondo le
regole nazionali.
Ci può essere un riconoscimento reciproco tra Stati membri se
viene notificato alla Commissione lo schema di identificazione
elettronica (eID).
L’ammissibilità della notifica è regolamentata nell’articolo 7 del
Regolamento.
Il contenuto della notifica è regolamentato nell’articolo 9.
Nel CAD è presente lo SPID, che è uno schema notificabile, ma
che non è influenzato dal Regolamento.
9
10. CAD – eIDAS (TSP)
Non sono più ammissibili i certificatori anche qualificati e
accreditati. Sono ammissibili solo i TSP e i TSPQ.
Nuove regole per ottenere lo status di TSPQ e per la vigilanza.
Nuovo ruolo per AgID come autorità di vigilanza notificata.
CAD da modificare negli articoli dal 26 al 37.
Le modifiche dovrebbero essere tali da garantire il passato, non
violare il Regolamento, non appesantire il testo del CAD.
1
0
11. CAD – eIDAS (Qualifica)
La qualifica si ottiene con un notifica ad AgID da parte del TSP
che ha allegata una relazione di valutazione della conformità
rilasciata da un organismo di valutazione della conformità.
AgID verifica se quanto notificato rispetta il Regolamento. In
caso positivo concede la qualifica e provvede ad aggiornare la
cosiddetta Trust List (Elenco di fiducia).
Il fattore Q implica la vigilanza che è svolta da AgID ma con un
coinvolgimento diretto di organismi di valutazione della
conformità.
Nel CAD deve essere rivisto completamente l’articolo 29.
1
1
12. CAD – eIDAS (Sicurezza per i TSP)
Tutto il Regolamento richiede forte attenzione agli aspetti di
sicurezza.
Massima attenzione al data breach, ruolo attivo di ENISA e
reciproca cooperazione tra Stati membri.
I casi internazionali di violazione di CA come il gravissimo caso
di DigiNotar nei Paesi Bassi hanno portato ad un Regolamento
(ancora una volta nell’UE) attendo agli aspetti di sicurezza.
Nel CAD non servono specifici interventi. Già è presente l’art.
51 ma non ci sono le Regole tecniche da esso previste.1
2
13. CAD – eIDAS (Certificatori)
Il certificatore che emette certificati qualificati per la firma
diventa uno specifico TSPQ.
Nell’articolo 24 del Regolamento vengono stabiliti i requisiti
per i prestatori di servizi fiduciari qualificati.
Tantissime di queste regole sono la naturale evoluzione di
quanto già stabilito nella Direttiva 1999/93/CE.
Nel CAD si può abrogare l’art. 26 e coordinare il Regolamento
con il CAD tendendo in conto di ulteriori elementi già presenti
nel nostro ordinamento che non sono in contrasto con il
Regolamento (art. 32 del CAD).
1
3
14. CAD – eIDAS (QSCD e Firma remota)
Il Regolamento prevede esplicitamente la firma elettronica a
distanza (premessa 52).
Gli SSCD diventano QSCD e si applicano gli artt. 29, 30 e 31 del
Regolamento. Molti elementi sul tema ricalcano la Direttiva ma
viene prevista la pubblicazione di un elenco di dispositivi per la
creazione di una firma elettronica qualificata certificati.
I dispositivi già certificati ai sensi dell’art. 3, paragrafo 4 della
Direttiva sono conformi al Regolamento.
Nel CAD si deve aggiornare l’art. 35. 1
4
15. CAD – eIDAS (RED e PEC)
Registered Electronic Delivery (RED). Gli effetti giuridici sono stabiliti
nell’art. 43 del Regolamento. I Requisiti per i RED qualificati nell’art.
44.
La PEC potrebbe non essere completamente conforme al REDQ
perché, ad esempio, non garantisce con un elevato livello di sicurezza
l’identificazione del mittente e non garantisce l’identificazione del
destinatario prima della trasmissione dei dati.
In ogni caso i RED non devono essere necessariamente associati a
servizi di posta elettronica visto che i requisiti possono essere
soddisfatti anche in altro modo.
Nel nostro ordinamento la PEC è delegificata nel DPR 68/2005. E’
presumibile che il domicilio digitale venga associato al sistema Italia
Login. L’art. 48 del CAD dovrebbe essere coordinato con eIDAS.
1
5
16. CAD – eIDAS (Conservazione)
Rispetto alla bozza iniziale del Regolamento del giugno 2012 la
conservazione è stata molto semplificata.
Il tema è introdotto per l’utilizzo di procedure e tecnologie in
grado di estendere l’affidabilità della firma elettronica
qualificata oltre il periodo di validità tecnologica.
L’art. 34 del Regolamento indica anche che la Commissione
può pubblicare atti di esecuzione sul tema.
Non è indispensabile intervenire sul CAD ma sarebbe utile
coordinare le regole di accreditamento e vigilanza con la
situazione comunitaria.
1
6
17. CAD – eIDAS (Firme elettroniche) - 1
Poco cambia nelle sottoscrizioni informatiche.
Viene leggermente modificata la definizione di firma
elettronica, viene confermata la neutralità tecnologica della
firma elettronica avanzata (FEA) e la firma qualificata conferma
i suoi effetti giuridici equivalenti a quelli di firma autografa.
L’efficacia probatoria della FEA e delle firme qualificate stabilita
nel CAD non è influenzata dal Regolamento.
Potrebbe essere utile un intervento sull’art. 20 del CAD ma
questo non è conseguenza del Regolamento. 1
7
18. CAD – eIDAS (Firme elettroniche) - 2
I certificati qualificati diventano tre. Firma elettronica, sigillo
elettronico e autenticazione di siti web.
La FEA al momento non ha regole tali da garantirne
l’interoperabilità a livello comunitario.
La FEA grafometrica non suscita, al momento, particolare
interesse nell’ambito della UE ma non si può escludere che nel
medio periodo venga pubblicato uno standard di origine ETSI
su interoperabilità e sicurezza di questo tipo di FEA.
E’ opportuno ricordare che vengono introdotte anche regole
per la validazione temporale anche qualificata in modo
analogo al nostro ordinamento. 1
8
19. CAD – eIDAS (Sigillo elettronico)
Il sigillo elettronico che può essere anche avanzato e
qualificato è definito come (art. 3, n. 25): dati in forma
elettronica, acclusi oppure connessi tramite associazione logica
ad altri dati in forma elettronica per garantire l’origine e
l’integrità di questi ultimi.
Mutatis mutandis firma elettronica e sigillo elettronico si
assomigliano molto sul piano definitorio. E si assomigliano
anche sul piano delle possibili realizzazioni tecnologiche.
E’ utile ricordare che il Regolamento introduce anche il
dispositivo per la creazione di un sigillo elettronico qualificato.
L’introduzione del sigillo nel CAD non è indispensabile e ne
appesantirebbe il testo. 1
9
20. CAD – eIDAS (Cooperazione tra Stati membri)
Il ruolo di AgID deve essere adeguato a quanto stabilito
nell’art. 12 del Regolamento in materia di schemi nazionali di
identificazione elettronica.
Sul tema è stata pubblicato il primo atto di esecuzione del
Regolamento. La Decisione 296/2015 del 24 febbraio 2015.
Queste nuove regole non hanno impatti sul CAD perché AgID è
definita al di fuori di questo Codice.
Ulteriori atti di esecuzione sono comunque previsti entro il 18
settembre 2015. 2
0
21. Argomenti
Il Regolamento UE 910/2014.
Cosa cambia nell’ordinamento italiano sul piano
tecnico e strategico.
Altro e considerazioni finali.
2
1
22. Impatti sulla sicurezza
Abrogazione articolo 50-bis. Disaster recovery e Business
continuity rinviate alle RRTT.
Modifiche all’art. 51.
Per AgID nuovi compiti e l’esplicita assegnazione del
CERT PA.
Si attendono sempre le RRTT per esattezza, disponibilità,
accessibilità, integrità e riservatezza dei dati, dei sistemi e
delle infrastutture. 2
2
23. La nuova gestione documentale
Varie modifiche sulla gestione dei documenti amministrativi.
Un art. 44 completamente modificato.
Maggiore peso e alla gestione documentale e minore alla
conservazione digitale.
Art. 43, comma 1-bis.
Se il documento informatico è conservato per legge da una pubblica
amministrazione, cessa l’obbligo di conservazione a carico dei cittadini e
delle imprese che possono in ogni momento richiedere accesso ai sensi
delle regole tecniche di cui all’articolo 71.
Il Consiglio di Stato ha chiesto modifiche. 2
3
24. La nuova conservazione digitale
La conservazione digitale nazionale non è influenzata
dall’eIDAS che stabilisce Regole per la conservazione delle
firme, dei sigilli elettronici e dei certificati digitali.
La commissione UE non ha il potere di regolamentare la
conservazione digitale dei documenti.
Quando saranno disponibili le regole ETSI sul tema,
comunque, ci sarà bisogno di uno specifico e adeguato
coordinamento tra regole nazionali e UE.
2
4
25. L’eIDAS non è indolore per il nostro ordinamento e non
solo per quanto attiene alla normativa primaria.
Gli atti di esecuzione e delegati della Commissione
conterranno tutte le indicazioni operative per
consentire di applicare quanto stabilito nel
Regolamento in modalità tecnologicamente neutra.
La riconosciuta esperienza italiana deve essere gestita a
livello europeo perché è fonte di opportunità di crescita
economica.
L’attenta lettura del nuovo CAD permetterà di fare più
efficaci valutazioni sui temi trattati.
Considerazioni Finali
2
5
27. Per maggiori informazioni e richiedere le modalità
di adesione ad ANORC ecco i nostri contatti:
c/o D&L Department srl
via Mario Stampacchia, 21
73100 Lecce
Tel e Fax: 0832 25.60.65
Cell: 3277027035
Ufficio di Presidenza: ufficio.presidenza@anorc.it
Segreteria: segreteria@anorc.it
Direzione: direzione@anorc.it
Comunicazione: comunicazione@anorc.it
Pec: anorc@pec.it