il regolamento eidas: scenario e prime indicazioni operative...il regolamento (ue) n. 910/2014 del...
TRANSCRIPT
S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Il Regolamento Eidas: scenario e prime indicazioni operative
GIUSEPPE MANTESE
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 2
Lo stato dell’arte dei servizi online in Europa il mercato unico digitale è ancora embrionale
Fonte: Commissione europea
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 3
Il Regolamento Eidas: cosa è Il Regolamento (UE) n. 910/2014 del Parlamento Europeo e del Consiglio dell’Unione Europea “in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE”, è stato pubblicato il 28 agosto 2014 nella Gazzetta Ufficiale dell’Unione Europea (Official Journal of the European Union, L. 257).
Il Regolamento è conosciuto anche con l’acronimo eIDAS, “electronic IDentification Authentication and Signature Trattandosi di un regolamento comunitario deve essere applicato in tutti i suoi elementi nell'intera Unione europea e non vi è necessità, come invece accade con una direttiva, di un recepimento da parte del singolo Stato membro Ue
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 4
Fonte: Commissione europea
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 5
Il Regolamento Eidas: cosa disciplina
•le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro; •i servizi fiduciari, in particolare per le transazioni elettroniche; •l’istituzione di un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 6
Il Regolamento Eidas: cosa disciplina
Fonte: Commissione europea
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 7
Il Regolamento Eidas: ambito di applicazione
1. si applica ai regimi di identificazione elettronica che sono stati notificati da uno Stato membro, nonché ai prestatori di servizi fiduciari che sono stabiliti nell’Unione;
2. non si applica alla prestazione di servizi fiduciari che sono utilizzati esclusivamente nell’ambito di sistemi chiusi contemplati dal diritto nazionale o da accordi conclusi tra un insieme definito di partecipanti;
3. non pregiudica il diritto nazionale o comunitario legato alla conclusione e alla validità di contratti o di altri vincoli giuridici o procedurali relativi alla forma.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 8
Il Regolamento Eidas: tempistiche
Fonte: Commissione europea
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 9
Il Regolamento Eidas: l’identificazione elettronica
Una premessa
Nel mondo digitale esiste il bisogno di riconoscere le persone quando queste “si presentano” per utilizzare un servizio - tipicamente - su Internet. Per esempio, tutti noi quando vogliamo usare la posta elettronica forniamo delle credenziali digitali, username e password, che permettono al gestore del servizio di riconoscerci e abilitarci all’uso del servizio stesso.
Ci sono diverse tipologie di identità e credenziali digitali. Esse differiscono in base al livello di sicurezza che sono in grado di garantire.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 10
Il Regolamento Eidas: le definizioni inerenti l’identificazione elettronica
Identificazione elettronica il processo per cui si fa uso di dati di identificazione
personale in forma elettronica che rappresentano
un’unica persona fisica o giuridica, o un’unica persona
fisica che rappresenta una persona giuridica
Mezzi di identificazione
elettronica
un’unità materiale e/o immateriale contenente dati di
identificazione personale e utilizzata per l’autenticazione
per un servizio online
Dati di identificazione
personale
un insieme di dati che consente di stabilire l’identità di
una persona fisica o giuridica, o di una persona fisica che
rappresenta una persona giuridica
Regime di identificazione
elettronica
un sistema di identificazione elettronica per cui si
forniscono mezzi di identificazione elettronica alle
persone fisiche o giuridiche, o alle persone fisiche che
rappresentano persone giuridiche
Autenticazione un processo elettronico che consente di confermare
l’identificazione elettronica di una persona fisica o
giuridica, oppure l’origine e l’integrità di dati in forma
elettronica
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 11
Il Regolamento Eidas:
Fonte: Commissione europea
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 12
Il Regolamento Eidas: i Servizi fiduciari Per servizio fiduciario (trust service) va inteso un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi: •creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; •creazione, verifica e convalida di certificati di autenticazione di siti web; •conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
Un servizio fiduciario che soddisfa i requisiti stabiliti nel Regolamento (in particolare le disposizioni dagli artt. 20 al 24) viene definito servizio fiduciario qualificato.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 13
Il Regolamento Eidas: i Servizi fiduciari
Fonte: Commissione europea
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 14
Il Regolamento Eidas: il Sigillo elettronico 1/2:
Per sigillo elettronico s’intende un insieme di “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”. Il sigillo elettronico viene creato da una persona giuridica. Per creare un sigillo elettronico si possono utilizzare sia dispositivi software sia hardware opportunamente configurati. Nel regolamento sono disciplinati tre differenti categorie di sigilli: i sigilli elettronici; i sigilli elettronici avanzati; i sigilli elettronici qualificati.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 15
Il Regolamento Eidas: il Sigillo elettronico 2/2: Nei “considerando” del Regolamento si precisa quanto segue:
(58) Qualora una transazione richieda un sigillo elettronico qualificato di una persona giuridica, è opportuno che sia accettabile anche la firma elettronica qualificata del rappresentante autorizzato della persona giuridica. (59) È opportuno che i sigilli elettronici fungano da prova dell’emissione di un documento elettronico da parte di una determinata persona giuridica, dando la certezza dell’origine e dell’integrità del documento stesso. (65) Oltre ad autenticare il documento rilasciato dalla persona giuridica, i sigilli elettronici possono anche servire ad autenticare qualsiasi bene digitale della persona giuridica stessa, quali codici di software o server.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 16
Il Regolamento Eidas: Altri Servizi fiduciari
Il perimetro dei servizi fiduciari evidenziati nel Regolamento non è però da considerarsi esaustivo e completo. “È opportuno che gli Stati membri mantengano la libertà di definire altri tipi di servizi fiduciari oltre a quelli inseriti nell’elenco ristretto di servizi fiduciari di cui al presente regolamento, ai fini del loro riconoscimento a livello nazionale quali servizi fiduciari qualificati.” (Al punto 25 dei considerando del Regolamento)
Il Regolamento inoltre permette agli Stati membri di mantenere o introdurre disposizioni nazionali, conformemente al diritto dell’Unione, in materia di servizi fiduciari, nella misura in cui tali servizi non siano pienamente armonizzati dal Regolamento medesimo. Tuttavia, i servizi fiduciari conformi al Regolamento devono godere della libera circolazione nel mercato interno.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 17
Il Regolamento Eidas: Effetti giuridici dei documenti elettronici
Il Regolamento conferma a livello unionale il principio di neutralità tecnologica rispetto alla forma elettronica di un documento. L’art. 46 del Regolamento prevedendo che ad un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica, rafforza il principio di neutralità tecnologica.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 18
Il Regolamento Eidas: Effetti giuridici delle firme
elettroniche
1. A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate.
2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa.
3. Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 19
Il Regolamento eIDAS e gli impatti sul Codice dell’Amministrazione digitale (CAD) 1/2
Il Regolamento e i suoi correlati atti di esecuzione, emanati e in corso di emanazione, disciplinando una serie di materie già presidiate dal Codice dell'Amministrazione Digitale (CAD) e dalle Regole tecniche ad esso collegate, richiederà pertanto una serie di interventi, da parte del legislatore, per modificare ed integrare alcune delle disposizioni normative interne appena sopracitate, attualmente vigenti. In particolare il comma 1 lettera p dell’articolo 1 della legge n. 124 del 7 agosto 2015 ha incaricato il Governo di adeguare l'ordinamento alla disciplina europea in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche e pertanto alle disposizioni previste nel Regolamento.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 20
Il Regolamento eIDAS e gli impatti sul Codice dell’Amministrazione digitale (CAD) 2/2
I punti principali di adeguamento del CAD dovrebbero riguardare almeno: •un’armonizzazione delle definizioni; •un ampliamento delle tipologie delle sottoscrizioni informatiche e dei certificati qualificati (firma elettronica, sigillo elettronico e autenticazione web); •un aggiornamento delle regole di accreditamento per disciplinare i prestatori di servizi fiduciari qualificati; •un aggiornamento di alcune regole tecniche esistenti quali il DPCM 22 febbraio 2013 in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 21
Lo SPID cosa è
Lo SPID è il Sistema pubblico dell'identità digitale, istituito ai sensi dell'art. 64 del CAD. Lo SPID è un sistema di credenziali informatiche uniche ed interoperabili che dovrebbe consentire agli utenti di accedere a tutti i siti e servizi offerti dalla PA italiana. Al sistema SPID possono inoltre aderire servizi commerciali in Italia ed nell’Unione Europea che potranno così superare la criticità di dover registrare ex novo ed in maniera sicura e certa i propri clienti, utilizzando a tal fine lo SPID medesimo.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 22
Lo SPID soggetti coinvolti
I soggetti pubblici o privati che partecipano allo SPID sono: a) i gestori dell'identità digitale; b) i gestori degli attributi qualificati; c) i fornitori di servizi; d) Agenzia per l'Italia Digitale e) gli utenti.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 23
Lo SPID - i soggetti coinvolti: I Gestori dell’identità digitale •Ottengono l’accreditamento •Verificano l’identità degli utenti utilizzando anche i servizi previsti da apposita convenzione •Assegnano e gestiscono l’identità digitale •Rendono disponibili e gestiscono gli attributi dell’utente •Rendono disponibile gratuitamente alle pubbliche amministrazioni il servizio di autenticazione •Possiedono requisiti organizzativi e societari sostanzialmente uguali a quelli necessari per l’accreditamento dei certificatori di firma digitale.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 24
Lo SPID - i soggetti coinvolti: I Fornitori di servizi •Ottengono l’accreditamento •Inoltrano le richieste di identificazione informatica dell’utente ai gestori dell’identità digitale •Non discriminano gli utenti in base al gestore dell’identità digitale che l’ha fornita •Sono liberi di scegliere il livello di sicurezza delle identità digitali necessari per accedere allo specifico servizio •Sottoscrivono la convenzione predisposta •Possono fruire di servizi di autenticazione offerti dai gestori di identità UE
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 25
Lo SPID: schema semplificato di funzionamento
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 26
Lo SPID e i livelli di sicurezza
L’identità SPID è costituita da credenziali con caratteristiche differenti in base al livello di sicurezza richiesto per l’accesso al servizio.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 27
Il Regolamento eIDAS e lo SPID
Il Governo italiano ha notificato alla Commissione europea il DPCM 24 ottobre 2014 disciplinante lo SPID. Pertanto lo SPID dovrebbe diventare un regime di identificazione riconosciuto e accettato anche dagli altri Stati membri. Inoltre lo SPID si basa sulle specifiche OASIS SAML v2.0 diffuse a livello unionale ed adottate nel progetto sperimentale europeo Stork che ha come obiettivo primario lo sviluppo di un infrastruttura comune per l’identità digitale.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO 28
FINE PRESENTAZIONE
Grazie per l’attenzione!
Giuseppe Mantese Commissione Informatica ODCEC Milano