regolamento eidas - g. allegrezza

43
Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 In materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE) Marzo 2015 A cura di Guido Allegrezza 1

Upload: guido-allegrezza

Post on 17-Jul-2015

399 views

Category:

Technology


0 download

TRANSCRIPT

Page 1: Regolamento EIDAS - G. Allegrezza

Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 In materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE)

Marzo 2015A cura di Guido Allegrezza 1

Page 2: Regolamento EIDAS - G. Allegrezza

Aspetti generali del Regolamento EIDAS

Regimi di Identificazione Elettronica

Servizio fiduciario

Aspetti specifici dei servizi fiduciari (firma,

certificati, sigilli, validazione temporale)

Marzo 2015A cura di Guido Allegrezza 2

Page 3: Regolamento EIDAS - G. Allegrezza

Promuovere ed agevolare la nascita di un quadro tecnico-giuridico unico,

omogeneo e interoperabile a livello europeo, relativamente ai Trusted

Services (servizi fiduciari), per migliorare l’efficacia dei servizi elettronici

pubblici e privati, delle transazioni elettroniche e del commercio elettronico

nell'Unione europea

Per i Trusted Services la fiducia verso il prestatore è essenziale e gli

operatori sono sottoposti a vigilanza e controllo da parte degli stati

membri, per garantire certezza e fiducia (firme elettroniche, sigilli elettronici,

validazioni temporali elettroniche, documenti elettronici, raccomandata

elettronica, certificazione per autenticazione web)

Marzo 2015A cura di Guido Allegrezza 3

Page 4: Regolamento EIDAS - G. Allegrezza

Da una Direttiva soggetta al recepimento, si passa ad un Regolamento

Europeo pienamente in vigore, senza ulteriori passaggi intermedi;

La Commissione Europea è investita del potere di emanare atti esecutivi,

che sono direttamente operativi nell’ambito delle disposizioni del

Regolamento;

È istituito un quadro tecnico-giuridico per servizi fiduciari transfrontalieri

armonico, unitario ed interoperabile, nel cui ambito i paesi membri

mantengono ampi margini di manovra rispetto all’adozione di tecnologie e

processi operativi, pur nel rispetto degli elementi comuni adottati come

riferimento (standard tecnologici, definizioni, concetti giuridici, valore legale

degli strumenti definiti ed adottati, ecc.);

Nasce la figura del prestatore di servizi fiduciari riconosciuto a livello

europeo, che si attiene agli standard di riferimento ed è sottoposto a

specifica vigilanza.

Marzo 2015A cura di Guido Allegrezza 4

Page 5: Regolamento EIDAS - G. Allegrezza

LOGO PARTNER

Marzo 2015A cura di Guido Allegrezza 5

COMMISSIONE UE

STATO MEMBRO

REGIME DI IDENTIFICAZIONE

(sistema di identificazione elettronica per persone fisiche o

giuridiche)

Organismo di valutazione

della conformità

Servizi fiduciari Prestatore

Servizi

qualificatiElenco di

fiducia

SERVIZIO FIDUCIARIO

• Creazione, verifica e convalida di

firme elettroniche, sigilli elettronici,

validazioni temporali elettroniche,

recapito certificato (con i rispettivi

certificati elettronici)

• Creazione, verifica e convalida di

certificati di autenticazione web

• Conservazione di firme, sigilli o

relativi certificati elettronici

NotificaElenco regimi di

identificazione

Regolamento

Page 6: Regolamento EIDAS - G. Allegrezza

La Commissione mantiene la potestà di emanare atti di esecuzione e delegati per

completare ed integrare la normativa

Pubblica ed aggiorna l’elenco dei regimi di identificazione elettronica

Mette a disposizione degli Stati Membri la relazione annuale di ogni organismo di

vigilanza

Pubblica gli elenchi di fiducia con le informazioni sui prestatori di servizi fiduciari

qualificati ed i servizi fiduciari qualificati da essi prestati.

Mette a disposizione degli Stati Membri i nomi e gli indirizzi degli organismi deputati

alla verifica della conformità dei dispositivi per la creazione di una firma elettronica

qualificata

Redige, pubblica e mantiene l’elenco di dispositivi per la creazione di una firma

elettronica qualificata certificati

Entro l’1/7/20 riesamina l’applicazione del regolamento e presenta una relazione al

Parlamento europeo e al Consiglio valuta l’opportunità di modificare l’ambito di

applicazione del regolamento o sue disposizioni specifiche. Poi, ogni 4 anni presenta

una relazione sui progressi compiuti nella realizzazione degli obiettivi.

Marzo 2015A cura di Guido Allegrezza 6

Page 7: Regolamento EIDAS - G. Allegrezza

77 considerazioni preliminari

Capo I – Disposizioni Generali (artt. 1 – 5)

Capo II - Identificazione Elettronica (artt. 6 -12)

Capo III – Servizi Fiduciari (artt. 13 –45) ◦ Sezione 1 – Aspetti generali (artt. 13 –

16)

◦ Sezione 2 – Vigilanza (artt. 17 – 19)

◦ Sezione 3 – Servizi fiduciari qualificati (artt. 20 – 24)

◦ Sezione 4 – Firme elettroniche (artt. 25 –34)

◦ Sezione 5 – Sigilli elettronici (artt. 35 –40)

◦ Sezione 6 – Validazione temporale elettronica (artt.41 – 42)

◦ Sezione 7 – Servizi elettronici di recapito certificato (artt.. 43 – 44)

◦ Sezione 8 – Autenticazione dei siti web (art. 45)

Capo IV – Documenti Elettronici (art. 46)

Capo V – Delega di potere e disposizioni di esecuzione (artt. 47 –48)

Capo VI – Disposizioni finali (artt. 49 –52)

Allegato I – Requisiti per i certificati qualificati di firma elettronica

Allegato II - Requisiti per i dispositivi per la creazione di una firma elettronica Qualificata

Allegato III – Requisiti per i certificati qualificati dei sigilli elettronici

Marzo 2015A cura di Guido Allegrezza 7

Page 8: Regolamento EIDAS - G. Allegrezza

Il regolamento è in vigore dal 17/09/2014

Sono applicate dal 17/09/14 le disposizioni contenute negli articoli:

9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3,

32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 e 48

Il resto del Regolamento si applica dall’1/07/2016, tranne:

Gli articoli 7, 8.1, 8.2, 9, 10, 11 e 12.1 che si applicano dal 18/09/15

L’art. 6 che si applica dal 18/09/18

Con effetto dall’1/07/16 la Direttiva 1999/93/CEE è abrogata

Marzo 2015A cura di Guido Allegrezza 8

Page 9: Regolamento EIDAS - G. Allegrezza

A partire dall’1/07/2016:

I dispositivi per la creazione di una firma sicura conformi all’art. 3.4 Dir.

1999/93/CE, sono considerati dispositivi per la creazione di una firma

elettronica qualificata a norma EIDAS

i certificati qualificati rilasciati a persone fisiche a norma della Dir.

1999/93/CE sono considerati fino alla loro scadenza dei certificati qualificati di

firma elettronica a norma EIDAS

Per essere considerato prestatore di servizi fiduciari qualificato a norma

EIDAS Il certificatore che rilascia certificati qualificati a norma della Dir.

1999/93/CE deve presentare entro l’1/07/17 presenta una relazione di

valutazione della conformità all’organismo di vigilanza

Marzo 2015A cura di Guido Allegrezza 9

Page 10: Regolamento EIDAS - G. Allegrezza

7 atti di esecuzione devono essere adottare entro un anno dall’entrata in vigore:

3 atti di esecuzione sull'eID: Cooperazione tra Stati Membri (art. 12.7),

Quadro di interoperabilità (art. 12.8), Livelli di garanzia eID (art. 8.3)

4 atti di esecuzione sui servizi fiduciari: Formati di firma elettronica (art.

27.4) e sigilli elettronici(art. 37.4), Elenchi di fiducia (art.22.5), Marchio di

fiducia UE (art.23.3)

Per gli atti secondari per i quali il regolamento non prevede uno specifico obbligo

si valuterà caso per caso sulla base dei seguenti principi:

Certezza giuridica

Bisogni di mercato

Disponibilità delle norme tecniche

Compatibilità delle norme tecniche con i requisiti del Regolamento

Attività dell'Organismo Europeo di cooperazione per l'accreditamento previsto dal

Regolamento 765/2008/CE

Risultati dell'approccio non regolamentare (attivita ENISA in base all' art. 19

eIDAS)

Marzo 2015A cura di Guido Allegrezza 10

Page 11: Regolamento EIDAS - G. Allegrezza

Aspetti generali del Regolamento EIDAS

Regimi di Identificazione Elettronica

Servizio fiduciario

Aspetti specifici dei servizi fiduciari (firma,

certificati, sigilli, validazione temporale)

Marzo 2015A cura di Guido Allegrezza 11

Page 12: Regolamento EIDAS - G. Allegrezza

Identificazione Elettronica: processo per cui si fa uso di dati di

identificazione personale in forma elettronica che rappresentano un’unica

persona fisica o giuridica, o un’unica persona fisica che rappresenta una

persona giuridica.

Mezzi di Identificazione Elettronica: un’unità materiale e/o immateriale

contenente dati di identificazione personale e utilizzata per l’autenticazione

per un servizio online.

Dati di Identificazione Personale: insieme di dati che consente di stabilire

l’identità di una persona fisica o giuridica, o di una persona fisica che

rappresenta una persona giuridica.

Regime di Identificazione Elettronica: sistema di identificazione elettronica

per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o

giuridiche, o alle persone fisiche che rappresentano persone giuridiche.

Autenticazione: processo elettronico che consente di confermare

l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e

l’integrità di dati in forma elettronica

Marzo 2015A cura di Guido Allegrezza 12

Page 13: Regolamento EIDAS - G. Allegrezza

I mezzi di identificazione elettronica rilasciati in un altro Stato

membro possono essere utilizzati per l’accesso ai servizi online di un

organismo pubblico di un altro Stato membro per cui è richiesta

l’identificazione elettronica se: sono rilasciati in un regime di identificazione elettronica riconosciuto (art. 9)

il loro livello di garanzia è pari o superiore a quello richiesto per accedere al

servizio online e deve corrispondere al livello di garanzia significativo o elevato;

per l’accesso al servizio è utilizzato il livello di garanzia significativo o elevato

Se un mezzo di identificazione elettronica è rilasciato in un regime di

identificazione elettronica riconosciuto con basso livello di garanzia

la sua ammissibilità ai fini dell’autenticazione transfrontaliera è

rimessa al singolo organismo che eroga il servizio online

Marzo 2015A cura di Guido Allegrezza 13

Page 14: Regolamento EIDAS - G. Allegrezza

Basso: fornisce un grado di sicurezza limitato riguardo all’identità pretesa o

dichiarata di una persona. Corrisponde al Livello LoA2 ISO/IES DIS 29115,

con lo scopo di ridurre il rischio di uso abusivo o alterazione dell’identità;

Significativo: fornisce un grado di sicurezza significativo riguardo all’identità

pretesa o dichiarata di una persona. Corrisponde al Livello LoA3 ISO/IES DIS

29115, con lo scopo di ridurre significativamente il rischio di uso abusivo

o alterazione dell’identità;

Elevato: fornisce un grado di sicurezza più elevato dei mezzi di

identificazione elettronica aventi un livello di garanzia significativo.

Corrisponde al Livello LoA4 ISO/IES DIS 29115, con lo scopo di impedire

l’uso abusivo o l’alterazione dell’identità.

Marzo 2015A cura di Guido Allegrezza 14

Page 15: Regolamento EIDAS - G. Allegrezza

I mezzi di identificazione elettronica nell’ambito del regime di identificazione

elettronica:

sono rilasciati dallo Stato membro notificante, su suo incarico o a

titolo indipendente da altri soggetti e sono riconosciuti dallo Stato

membro;

possono essere utilizzati per accedere almeno a un servizio che è

fornito da un organismo del settore pubblico e che richiede

l’identificazione elettronica nello Stato membro notificante

assieme al regime di identificazione elettronica, soddisfano i

requisiti di almeno uno dei livelli di garanzia

Il regime deve essere interoperabile

L’autenticazione transfrontaliera è gratuita quando effettuata in relazione a

un servizio online prestato da un organismo del settore pubblico

Marzo 2015A cura di Guido Allegrezza 15

Page 16: Regolamento EIDAS - G. Allegrezza

Lo Stato membro notificante :

Garantisce che i dati di identificazione rappresentano unicamente la

persona fisica o giuridica cui sono stati attribuiti al momento

dell’identificazione elettronica, conformemente alle specifiche tecniche,

norme e procedure relative al pertinente livello di garanzia

Garantisce la disponibilità dell’autenticazione online per consentire di

confermare i dati di identificazione personale

Non impone requisiti tecnici specifici sproporzionati alle parti facenti

affidamento sulla certificazione che intendono effettuare tale

autenticazione, (tali da impedire o ostacolare notevolmente

l’interoperabilità dei regimi di identificazione elettronica notificati);

La parte che rilascia i mezzi di identificazione elettronica assicura

che siano attribuiti alla persona identificata conformemente alle

specifiche, norme e procedure tecniche relative al pertinente livello di

garanzia

Marzo 2015A cura di Guido Allegrezza 16

Page 17: Regolamento EIDAS - G. Allegrezza

Entro settembre 2016 sarà costituito l’elenco UE dei regimi di

identificazione, costituito dall’insieme dei regimi di identificazione

notificati dai singoli Stati Membri, interoperabili e fondati sul principio

della cooperazione fra Stati (art. 12)

Ciascuno Stato Membro notifica alla Commissione e agli altri Stati

Membri eventuali violazioni della sicurezza di un proprio regime di

identificazione con affidabilità transfrontaliera e provvede alla sua

revoca o sospensione. Se viene posto rimedio notifica il ripristino del

regime, in caso contrario entro 3 mesi dalla revoca o sospensione

comunica il suo definitivo ritiro

Marzo 2015A cura di Guido Allegrezza 17

Page 18: Regolamento EIDAS - G. Allegrezza

Aspetti generali del Regolamento EIDAS

Regimi di Identificazione Elettronica

Servizio fiduciario

Aspetti specifici dei servizi fiduciari (firma,

certificati, sigilli, validazione temporale)

Marzo 2015A cura di Guido Allegrezza 18

Page 19: Regolamento EIDAS - G. Allegrezza

Servizio Fiduciario: servizio elettronico fornito normalmente dietro

remunerazione e consistente di: 1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni

temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a

tali servizi; oppure

2. creazione, verifica e convalida di certificati di autenticazione di siti web; oppure

3. conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;

Prestatore di Servizi Fiduciari: persona fisica o giuridica che presta

uno o più servizi fiduciari (qualificato o non qualificato);

Organismo di Valutazione della Conformità: organismo accreditato

dal regolamento (CE) n. 765/2008 (art. 2,13) come competente a

effettuare la valutazione della conformità del prestatore di servizi

fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati;

Marzo 2015A cura di Guido Allegrezza 19

Page 20: Regolamento EIDAS - G. Allegrezza

Il prestatore di servizi fiduciari adotta misure per prevenire e minimizzare

l’impatto degli incidenti di sicurezza e informare degli effetti negativi di

eventuali incidenti.

Entro 24 ore dalla conoscenza di eventi di violazioni della sicurezza o di

perdite di integrità con impatto significativo sui servizi fiduciari o sui dati

personali, il prestatore di servizi fiduciari notifica l’accaduto all’organismo di

vigilanza ed eventualmente ad altri organismi (ad es. l’ente nazionale

competente per la sicurezza delle informazioni o l’autorità di protezione dei

dati);

Analoga notifica è dovuta alla persona fisica o giuridica, se la violazione o la

perdita possono avere effetti negativi su di essa

Se la violazione o la perdita riguarda due o più Stati membri, l’organismo di

vigilanza informa gli organismi di vigilanza negli altri Stati membri interessati e

l’ENISA. Se l’evento è di interesse pubblico, informa il pubblico o impone di

farlo al prestatore di servizi fiduciari.

Marzo 2015A cura di Guido Allegrezza 20

Page 21: Regolamento EIDAS - G. Allegrezza

Il prestatore di servizi fiduciari risponde dei danni causati con dolo o

negligenza a persone fisiche e giuridiche derivanti da mancato

adempimento dei suoi obblighi: Se il prestatore di servizio fiduciario è qualificato, deve dimostrare l’assenza

di dolo o negligenza;

Se il prestatore di servizio fiduciario non è qualificato, l’onere della prova della

negligenza e del è a carico di chi denuncia il danno;

Il prestatore di servizi fiduciari non risponde dei danni derivanti

dall’uso dei servizi se: Informa debitamente e preventivamente gli utilizzatori delle loro limitazioni d’uso, e

Se le limitazioni sono riconoscibili da parte di terzi

Ove possibile, i servizi fiduciari prestati e i prodotti destinati

all’utilizzatore finale impiegati per la prestazione di detti servizi sono

resi accessibili alle persone con disabilità (art. 14)

Marzo 2015A cura di Guido Allegrezza 21

Page 22: Regolamento EIDAS - G. Allegrezza

Effettua due tipi di vigilanza, per assicurare la conformità dei servizi

erogati al regolamento : preventiva e a posteriori sui prestatori di servizi fiduciari qualificati

su segnalazione ed a posteriori sui prestatori di servizi fiduciari non qualificati

Impone ai prestatori di servizi fiduciari di porre rimedio agli

inadempimenti al regolamento

Ha l’obbligo reciproco di assistenza verso gli altri organismi di

vigilanza (salvo le eccezioni previste), in particolare per richieste di

informazioni e misure di vigilanza

Una volta all’anno trasmette all’ENISA una sintesi delle notifiche di

violazione di sicurezza e perdita di integrità pervenute dai prestatori di

servizi fiduciari.

Marzo 2015A cura di Guido Allegrezza 22

Page 23: Regolamento EIDAS - G. Allegrezza

Servizio Fiduciario Qualificato: servizio fiduciario che soddisfa i

seguenti requisiti :1. Il prestatore è sottoposto almeno ogni 24 mesi alla verifica a proprie spese della

sussistenza dei requisiti richiesti dal regolamento (art. 20);

2. L’organismo di vigilanza può in qualunque momento effettuare a spese del

prestatore un audit di verifica della conformità al regolamento (art. 20);

3. È stato verificato, qualificato ed iscritto negli elenchi di fiducia dall’organismo di

vigilanza (artt. 21 e 22)

Prestatore di Servizi Fiduciari Qualificato: prestatore di servizi

fiduciari che presta uno o più servizi fiduciari qualificati e cui

l’organismo di vigilanza assegna la qualifica di prestatore di servizi

fiduciari qualificato

I Prestatori di servizi fiduciari qualificati

possono utilizzare e-Mark U Trust,

il marchio di fiducia UE

Marzo 2015A cura di Guido Allegrezza 23

Page 24: Regolamento EIDAS - G. Allegrezza

Quando rilascia un certificato qualificato per un servizio fiduciario, verifica l’identità ed

eventuali attributi specifici della persona fisica o giuridica che lo ha richiesto;

Rende disponibili in modo automatizzato affidabile, gratuito ed efficiente informazioni

sulla validità e sulla revoca di ogni certificato rilasciato, anche dopo la scadenza del

certificato;

Inoltre, fra i numerosi requisiti richiesti, si segnalano: Impiego di personale dotato di competenza, affidabilità, esperienza e qualifiche necessarie e

Dotazione di idonee coperture finanziarie ed assicurative

Comportamenti trasparenti verso i richiedenti e verso l’organismo di vigilanza

Impiego di tecnologie affidabili e protette da alterazioni ed adozione di adeguate misure contro falsificazione

furto di dati

Registra e mantiene accessibili anche dopo la cessazione dell’attività le informazioni relative ai dati ricevuti e

rilasciati, con specifico riguardo alle prove richieste in procedimenti giudiziali e alla continuità del servizio

(all. 2) Quando gestiscono dati per la creazione di una firma elettronica per conto del

firmatario possono duplicarli solo per back-up, purché: la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza di quelli originali;

il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio.

Marzo 2015A cura di Guido Allegrezza 24

Page 25: Regolamento EIDAS - G. Allegrezza

Aspetti generali del Regolamento EIDAS

Regimi di Identificazione Elettronica

Servizio fiduciario

Aspetti specifici dei servizi fiduciari (firma,

certificati, sigilli, validazione temporale)◦ Firma Elettronica

◦ Sigillo Elettronico

◦ Validazione Temporale

◦ Servizi Elettronici di Recapito Certificato

◦ Autenticazione Web

Marzo 2015A cura di Guido Allegrezza 25

Page 26: Regolamento EIDAS - G. Allegrezza

LOGO PARTNER

Marzo 2015A cura di Guido Allegrezza 26

Firma Elettronica: dati in forma elettronica acclusi oppure connessi tramite

associazione logica ad altri dati elettronici e utilizzati dal firmatario per

firmare;

Firma Elettronica Avanzata: firma elettronica connessa unicamente al

firmatario, idonea ad identificarlo, creata mediante dati per al creazione di

una firma elettronica che il firmatario può utilizzare sotto il proprio

esclusivo controllo con elevato livello di sicurezza e collegata ai dati

sottoscritti in modo da consentire l’identificazione di ogni loro successiva

modifica (art. 26);

Firma Elettronica Qualificata: firma elettronica avanzata creata da un

dispositivo per la creazione di una firma elettronica qualificata e basata

su un certificato qualificato per firme elettroniche

Page 27: Regolamento EIDAS - G. Allegrezza

Firma Elettronica: ha gli effetti giuridici e il valore di prova

riconosciuto dall’ordinamento nazionale alla firma autografa

Le Firme Elettroniche Avanzate emesse negli stati membri possono

essere utilizzate nei servizi on line del settore pubblico di un

qualunque altro stato membro se sono conformi alle prescrizioni

emanate dalla Commissione

Se la Firma Elettronica Qualificata è basata su un certificato

qualificato rilasciato in un Stato membro, è riconosciuta come firma

elettronica qualificata in ogni Stato membro.

Marzo 2015A cura di Guido Allegrezza 27

Page 28: Regolamento EIDAS - G. Allegrezza

Il Regolamento prescrive alcuni requisiti specifici per

il valido utilizzo delle firme elettroniche qualificate in

merito a:

Certificati qualificati necessari per la firma

qualificata;

Dispositivi per la creazione della firma;

Certificazione dei dispositivi per la creazione della

firma

Convalida della firma

Conservazione della firma

Marzo 2015A cura di Guido Allegrezza 28

Page 29: Regolamento EIDAS - G. Allegrezza

I certificati qualificati necessari per la firma qualificata contengono:a. Indicazione che è stato rilasciato quale certificato qualificato di firma elettronica;

b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari

qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il

prestatore è stabilito, nome e numero di registrazione della persona giuridica o

nome della persona fisica;

c. nome o pseudonimo del firmatario;

d. dati di convalida della firma elettronica (corrispondenti ai dati utilizzati per la

creazione della firma elettronica);

e. inizio e fine del periodo di validità del certificato;

f. codice univoco di identità del certificato;

g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che

rilascia il certificato, con indicazione del luogo di disponibilità gratuita per le

verifiche e dell’ubicazione dei servizi per verificare la validità del certificato

qualificato;

h. se del caso, indicazione del fatto che i dati per la creazione di una firma elettronica

connessi ai dati di convalida sono ubicati in un dispositivo per la creazione di una

firma elettronica qualificata

Marzo 2015A cura di Guido Allegrezza 29

Page 30: Regolamento EIDAS - G. Allegrezza

I dispositivi per la creazione di una firma elettronica qualificata garantiscono

almeno che:

a. i dati per la creazione di una firma elettronica utilizzati per creare una firma

elettronica:

1. Sono ragionevolmente riservati;

2. possono comparire in pratica una sola volta;

3. non possono, con un grado ragionevole di sicurezza, essere derivati e la

firma elettronica è attendibilmente protetta da contraffazioni compiute con

l’impiego di tecnologie attualmente disponibili;

4. possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da

parte di terzi.

b. non alterano i dati da firmare né impediscono che tali dati siano presentati al

firmatario prima della firma.

c. la generazione o la gestione dei dati per la creazione di una firma elettronica per

conto del firmatario può essere effettuata solo da un prestatore di servizi fiduciari

qualificato.

Marzo 2015A cura di Guido Allegrezza 30

Page 31: Regolamento EIDAS - G. Allegrezza

La conformità dei dispositivi per la creazione di una firma elettronica è

certificata da appropriati organismi pubblici o privati designati dagli

Stati membri e inseriti nell’elenco pubblicato dalla Commissione

La certificazione si basa su uno dei seguenti elementi:

a. un processo di valutazione di sicurezza condotto conformemente a una

delle norme per la valutazione di sicurezza dei prodotti informatici incluse

nell’elenco pubblicato dalla Commissione

b. un processo diverso che utilizzi livelli di sicurezza comparabili e che sia

stato notificato alla Commissione. Tale processo può essere utilizzato

solo in assenza di una norma per la valutazione di sicurezza dei prodotti

informatici oppure quando è in corso un processo di valutazione di

sicurezza

a. Gli Stati membri notificano alla Commissione le informazioni sulla

certificazione dei dispositivi certificati dagli organismi.

Marzo 2015A cura di Guido Allegrezza 31

Page 32: Regolamento EIDAS - G. Allegrezza

Il sistema utilizzato per convalidare la firma elettronica qualificata fornisce alla parte

facente affidamento sulla certificazione il risultato corretto del processo di convalida e

consente di rilevare eventuali questioni attinenti alla sicurezza.

I servizi di convalida e conservazione qualificata delle firme elettroniche qualificate

possono essere forniti solo da prestatori qualificati che utilizzano procedure e tecnologie

in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di

validità tecnologica;

La firma elettronica qualificata è valida se:a. il certificato utilizzato al momento della firma era valido, conforme al regolamento e rilasciato da un

prestatore di servizi fiduciari qualificato;

b. i dati di convalida corrispondano a quelli trasmessi alla parte facente affidamento sulla certificazione;

c. l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente

affidamento sulla certificazione;

d. l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla

certificazione;

e. la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata e

possieda tutti i requisiti di validità di una firma elettronica avanzata;

f. l’integrità dei dati firmati non sia stata compromessa.

Marzo 2015A cura di Guido Allegrezza 32

Page 33: Regolamento EIDAS - G. Allegrezza

Aspetti generali del Regolamento EIDAS

Regimi di Identificazione Elettronica

Servizio fiduciario

Aspetti specifici dei servizi fiduciari (firma,

certificati, sigilli, validazione temporale)◦ Firma Elettronica

◦ Sigillo Elettronico

◦ Validazione Temporale

◦ Servizi Elettronici di Recapito Certificato

◦ Autenticazione Web

Marzo 2015A cura di Guido Allegrezza 33

Page 34: Regolamento EIDAS - G. Allegrezza

LOGO PARTNER

Marzo 2015A cura di Guido Allegrezza 34

Sigillo Elettronico: dati in forma elettronica, acclusi oppure connessi

tramite associazione logica ad altri dati in forma elettronica per

garantire l’origine e l’integrità di questi ultimi;

Sigillo Elettronico Avanzato: sigillo elettronico connesso

unicamente al creatore del sigillo, idoneo a identificarlo, creato

mediante dati che questi può (con un elevato livello di sicurezza)

usare sotto il proprio controllo e che è collegato ai dati cui si

riferisce in modo da consentire l’identificazione di ogni loro

successiva modifica;

Sigillo Elettronico Qualificato: sigillo elettronico avanzato creato

da un dispositivo per la creazione di un sigillo elettronico

qualificato e basato su un certificato qualificato per sigilli

elettronici

Page 35: Regolamento EIDAS - G. Allegrezza

Sigillo Elettronico: ha gli effetti giuridici riconosciuti dall’ordinamento

nazionale in materia di validità o garanzia di autenticità o integrità

I Sigilli Elettronici Avanzati emessi negli stati membri possono essere

utilizzati nei servizi on line del settore pubblico di un qualunque altro stato

membro se sono conformi alle prescrizioni emanate dalla Commissione

Se il Sigillo Elettronico Qualificato è basato su un certificato qualificato

rilasciato in un Stato membro, è riconosciuto come firma elettronica qualificata

in ogni Stato membro.

Si applicano ai Sigilli Elettronici Qualificati le stesse disposizioni previste per le

Firme Elettroniche Qualificate relativamente ai dispositivi per la creazione di

sigilli elettronici qualificati, alla loro certificazione, all’elenco di dispositivi e alla

convalida.

Marzo 2015A cura di Guido Allegrezza 35

Page 36: Regolamento EIDAS - G. Allegrezza

I certificati qualificati necessari per il sigillo qualificato

contengono:a. indicazione che è stato rilasciato quale certificato qualificato di sigillo elettronico;

b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che

lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e

numero di registrazione della persona giuridica o nome della persona fisica

c. almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono

nei documenti ufficiali;

d. dati di convalida del sigillo elettronico (corrispondenti ai dati per la creazione di un sigillo

elettronico);

e. inizio e fine del periodo di validità del certificato;

f. codice univoco di identità del certificato;

g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che rilascia il

certificato, con indicazione del luogo di disponibilità gratuita per le verifiche e dell’ubicazione

dei servizi per verificare la validità del certificato qualificato

h. se del caso, indicazione del fatto che i dati per la creazione di un sigillo elettronico connessi ai

dati di convalida sono ubicati in un dispositivo per la creazione di un sigillo elettronico

qualificato

Marzo 2015A cura di Guido Allegrezza 36

Page 37: Regolamento EIDAS - G. Allegrezza

Aspetti generali del Regolamento EIDAS

Regimi di Identificazione Elettronica

Servizio fiduciario

Aspetti specifici dei servizi fiduciari (firma,

certificati, sigilli, validazione temporale)◦ Firma Elettronica

◦ Sigillo Elettronico

◦ Validazione Temporale

◦ Servizi Elettronici di Recapito Certificato

◦ Autenticazione Web

Marzo 2015A cura di Guido Allegrezza 37

Page 38: Regolamento EIDAS - G. Allegrezza

LOGO PARTNER

Marzo 2015A cura di Guido Allegrezza 38

Validazione Temporale Elettronica: dati in forma elettronica che

collegano altri dati in forma elettronica a una particolare ora e data,

così da provare che questi ultimi esistevano in quel momento

Validazione Temporale Elettronica Qualificata: una validazione

temporale elettronica che collega la date e l’ora ai dati in modo da

escludere ragionevolmente la possibilità di loro modifiche non

rilevabili, che si basa su una fonte accurata di misurazione del

tempo collegata al tempo universale coordinato e che è apposta

mediante una firma elettronica avanzata o sigillata con un sigillo

elettronico avanzato del prestatore di servizi fiduciari qualificato o

mediante un metodo equivalente

Page 39: Regolamento EIDAS - G. Allegrezza

Validazione Temporale Elettronica: ha gli effetti giuridici riconosciuti

dall’ordinamento nazionale in materia di garanzia temporale e di

integrità dei dati associati

La data e l’ora che indica una Validazione Temporale Elettronica

Qualificata si presumono accurate

I dati associati alla data e all’ora di una Validazione Temporale

Elettronica Qualificata si presumono integri

(errore nel testo) Se la Validazione Temporale Elettronica

Qualificata è basata su un certificato qualificato rilasciato in un Stato

membro, è riconosciuta come Validazione Temporale Elettronica

Qualificata in ogni Stato membro.

Marzo 2015A cura di Guido Allegrezza 39

Page 40: Regolamento EIDAS - G. Allegrezza

Aspetti generali del Regolamento EIDAS

Regimi di Identificazione Elettronica

Servizio fiduciario

Aspetti specifici dei servizi fiduciari (firma,

certificati, sigilli, validazione temporale)◦ Firma Elettronica

◦ Sigillo Elettronico

◦ Validazione Temporale

◦ Servizi Elettronici di Recapito Certificato

◦ Autenticazione Web

Marzo 2015A cura di Guido Allegrezza 40

Page 41: Regolamento EIDAS - G. Allegrezza

I dati inviati e ricevuti mediante un Servizio Elettronico di Recapito Certificato hanno

gli effetti giuridici riconosciuti dall’ordinamento in materia di notifica postale

I dati del Servizio Elettronico di Recapito Certificato Qualificato relativi ai dati inviati

dal mittente identificato e a quelli ricevuti dal destinatario identificato si presumono

integri

La data e l’ora dell’invio e la ricezione indicate dal Servizio Elettronico di Recapito

Certificato Qualificato si presumono accurati

Il servizio Elettronico di Recapito Certificato Qualificato:a. È fornito da un prestatore di servizi fiduciari qualificati;

b. garantisce con un elevato livello di sicurezza l’identificazione del mittente e del destinatario prima della

trasmissione dei dati;

c. invio e ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di

un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei

dati;

d. qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al

destinatario dei dati stessi;

e. data e ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale

elettronica qualificata.

Marzo 2015A cura di Guido Allegrezza 41

Page 42: Regolamento EIDAS - G. Allegrezza

Aspetti generali del Regolamento EIDAS

Regimi di Identificazione Elettronica

Servizio fiduciario

Aspetti specifici dei servizi fiduciari (firma,

certificati, sigilli, validazione temporale)◦ Firma Elettronica

◦ Sigillo Elettronico

◦ Validazione Temporale

◦ Servizi Elettronici di Recapito Certificato

◦ Autenticazione Web

Marzo 2015A cura di Guido Allegrezza 42

Page 43: Regolamento EIDAS - G. Allegrezza

Il certificato qualificato di autenticazione di siti web contiene:a. Indicazione che è stato rilasciato quale certificato qualificato di autenticazione di sito web;

b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che

lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e

numero di registrazione della persona giuridica cui è stato rilasciato o nome della persona

fisica cui è stato rilasciato (con indicazione delle pseudonimo, se utilizzato);

c. elementi dell’indirizzo (almeno città e Stato del soggetto cui è rilasciato);

d. nome del dominio o dei domini gestiti dal soggetto cui è rilasciato;

e. indicazione di inizio e fine del periodo di validità;

f. il codice di identità del certificato (unico per il prestatore di servizi fiduciari qualificato);

g. la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari

qualificato che lo rilascia;

h. il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico

avanzato è disponibile gratuitamente per la verifica;

i. l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può

rivolgere per informarsi sulla validità del certificato qualificato.

Marzo 2015A cura di Guido Allegrezza 43