impatti sulla normativa nazionale Daniele Tumietto - UNINFO

Slides:



Advertisements
Presentazioni simili
La nuova Classificazione dei rifiuti Seminario DPT Politiche Ambientali 30 luglio 2015.
Advertisements

Unità d’apprendimento
Principali Direttive di prodotto applicabili alle macchine maggio 2016
Claudio G. Distefano Coordinamento Fatturazione Elettronica PA Agenzia per l’Italia Digitale Fatturazione Elettronica verso la PA.
Sportelli telematici polifunzionali Un’opportunità per la digitalizzazione della Pubblica Amministrazione.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
La Direttiva Bolkestein
La gestione telematica dei Certificati di Origine
AGYO – Adempimenti 13 Settembre Chiara Benini.
(servizi di interesse economico generale)
Documenti informatici nuove modalità operative
L’identificazione Digitale del Professionista
Prof. Cesare Stefanelli
Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Istituzioni di Diritto Pubblico Prof. F. S. Marini
Il transitorio USTIF - ANSF
Dematerializzazione, Sicurezza ed Amministrazione Trasparente
La «Riforma del Terzo settore» e la legge sul «Dopo di noi»
Credito e Finanza Confindustria
SIRU-FSE 2014/20 ACCESSI WEB AdA AdC ALTRI SS. II. REGOLAMENTI UE
E. Bovo – Servizio Affari Legali INFN
COMUNICAZIONE ISTITUZIONALE l’Ufficio Relazioni con il Pubblico
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
TRACCIABILITA’ E SANZIONI
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Le fonti del diritto I diversi atti normativi
Modulo 3 Costituzione del consorzio dei partner
DIRITTO DELL’UNIONE EUROPEA
DIRETTIVA mifid II NOVEMBRE 2017.
DIRITTO DELL’UNIONE EUROPEA L’adattamento dell’ordinamento italiano
diritto e regolazione pubblica dell’economia – II semestre
Bando Voucher Digitalizzazione
Utilizzo del lavoro di altri Revisori
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
diritto e regolazione pubblica dell’economia – II semestre
SIOPE+ Il quadro normativo
G.D.P.R. – Sintesi e proposizione
La Fatturazione Elettronica
REGISTRO 2.0.
Comitato Paritetico Strategia Nazionale Biodiversità
Il nuovo Regolamento Generale UE 2016/679
Rete Regionale Veneta per le Casse Edili
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
Fondo Europeo di Sviluppo Regionale
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
 PROTOCOLLO DI INTESA tra Il Ministro per la pubblica amministrazione e l’innovazione e il Ministro della Giustizia per l’ innovazione digitale.
LEGGE 31 MAGGIO 1995, N. 218 L’articolo 64 della Legge 218/1995 stabilisce quali sono le condizioni ed i requisiti che le sentenze debbono contenere per.
Posta Elettronica Certificata
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
CITTADINANZA DIGITALE
I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA
Il modello del “comune digitale” come opportunità per una innovazione tecnologica, organizzativa e culturale (La trasformazione digitale) a cura di Donato.
‘Piattaforma SUAP cmcastelli
HOTEL DESENZANO Viale Cavour 40/42 Desenzano del Garda (Brescia)
FATTURA ELETTRONICA.
Oggetti a firma: operatività di oggi e introduzione nuovo processo
La conservazione dei documenti nell’attuale scenario normativo
Leggi, teoria e pratica.
Il Regolamento eIDAS e le modifiche al CAD ed al PCT
General Data Protection Regulation
Specialist Area Fiscale / Digital Journalist
Aspetti normativi del D.Lvo n. 196 del 2003
Corso di Diritto dell’Unione
Le linee guida AGID per le competenze digitali
DIRETTIVA 2016/ LUGLIO 2016.
Fatturazione Elettronica
La FORMAZIONE nel contratto di assunzione dei Custodi Forestali
“Aiuti di Stato e Leader”
Transcript della presentazione:

impatti sulla normativa nazionale Daniele Tumietto - UNINFO eIDAS impatti sulla normativa nazionale Daniele Tumietto - UNINFO Webinar FPA - 12 maggio 2016

Definizioni di eIDAS eIdentification eAuthentication processo in cui si usano i dati di autenticazione personale in forma elettronica eAuthentication processo elettronico che consente di confermare identificazione elettronica, origine, integrità di dati in forma elettronica L’identificazione elettronica indica il processo in cui si usano i dati di autenticazione personale in forma elettronica che rappresentano univocamente una persona fisica o una persona legale o una persona fisica che rappresenti una persona legale, ad esempio per accedere a servizi online. L’autenticazione elettronica è il processo elettronico che consente di confermare l’identificazione elettronica o l’origine e l’integrità di dati in forma elettronica. L'istituzione del Sistema Pubblico per la gestione dell'Identità Digitale di cittadini e imprese (SPID) è un sistema italiano che nasce con ambizioni europee con il quale le pubbliche amministrazioni e i privati potranno consentire l'accesso in rete ai propri servizi. Il Regolamento istituisce un regime di mutuo riconoscimento delle identità elettroniche europee e SPID ha le caratteristiche adeguate perché il suo utilizzo sia possibile anche al di fuori del territorio italiano.

Definizioni di eIDAS eSignature FE: dati allegati o connessi con associazione logica ad altri dati usati per firmare. FEA: con anche questi requisiti: connessa unicamente al firmatario, idonea ad identificare il firmatario, sotto controllo esclusivo del firmatario, collegata ai dati sottoscritti consentendo l’identificazione di ogni successiva modifica. FEQ: con anche questi requisiti: creata da un dispositivo qualificato per la creazione di FE, basata su un Certificato Elettronico Qualificato. Le definizioni sono molto simili a quelle contenute nella Direttiva 1999/93/EC sulle firme elettroniche attualmente in vigore, introducendo però la definizione precisa di FEQ che non era stata formulata in modo specifico. La Firma Elettronica A seconda delle caratteristiche questo tipo di firma è definita in: Firma Elettronica Avanzata (FEA) Firma Elettronica Qualificata (FEQ)

Definizioni di eIDAS eSeal Sigillo Elettronico Sigillo Elettronico Avanzato Non possono aver negati effetti giuridici e l’ammissibilità come prova in giudizio se non hanno requisiti del SEQ. Sigillo Elettronico Qualificato Godono di presunzione legale di integrità e provenienza dei dati Il Sigillo Elettronico è una novità: simile alla firma elettronica ma apposta da una persona giuridica, serve a garantire l’origine e l’integrità dei dati ad esso associati. Come per la Firma Elettronica, anche per il Sigillo Elettronico vi sono le definizioni di Sigillo Elettronico Avanzato e di Sigillo Elettronico Qualificato. Al sigillo elettronico e sigillo elettronico avanzato, non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali qualora non soddisfacesse i requisiti del sigillo elettronico qualificato. Un sigillo elettronico qualificato gode della presunzione legale (inversione dell’onere della prova) di integrità e provenienza dei dati cui il sigillo elettronico qualificato è associato. Esistono poi i servizi fiduciari di cui parlerà Andrea Caccia.

Definizioni di eIDAS servizio fiduciario: servizio elettronico consistente in : creazione, verifica e convalida di FE, SE o validazioni temporali, servizi di recapito certificato e certificati relativi a tali servizi, oppure creazione, verifica e convalida di certificati di autenticazione di siti web, oppure conservazione di FE, SE o certificati elettronici di tali servizi servizio fiduciario qualificato è un servizio fiduciario che soddisfa i requisiti definiti nel regolamento eIDAS Con il termine servizio fiduciario si indica un insieme di servizi elettronici, forniti in genere a pagamento.  Un servizio fiduciario che soddisfa determinati requisiti stabiliti dal Regolamento eIDAS e fornisce garanzie superiori in termini di sicurezza e qualità del servizio viene detto “qualificato” ed è sottoposto a vigilanza da un apposito organismo nazionale (l’Agenzia per l’Italia Digitale in Italia) secondo quanto stabilito nella Sezione 2 nel Regolamento.

Efficacia giuridica di eIDAS da Direttiva a Regolamento Europeo Con l’entrata in vigore del Regolamento rivoluziona fortemente il quadro normativo vigente, sia in Italia che negli altri Stati membri, centralizzando anche l’emissione degli atti di esecuzione che dovranno richiamare sempre, con l’eccezione di pochi casi specifici, le norme degli enti di standardizzazione il cui uso in passato è sempre stato discrezionale, minando così gravemente la possibilità di garantire l’interoperabilità. Questo Regolamento crea un nuovo contesto giuridico e tecnico che, pur essendo fondato sul principio di neutralità tecnologica in modo da poter recepire in futuro nuove tecnologie che dovessero diffondersi, grazie all’uso di strumenti di legislazione secondaria, consente di individuare in modo preciso gli standard di riferimento il cui uso consente di garantire l’interoperabilità, consentendo lo sviluppo di servizi fiduciari digitali che garantiscono un livello di affidabilità uniforme nell’Unione, in modo da promuovere la fiducia nelle transazioni elettroniche e favorire così la creazione e la diffusione del mercato digitale unico europeo. La nuova normativa si occupa, sia nel pubblico che nel privato, di identità, firme, sigilli, validazioni temporali e documenti elettronici, servizi di recapito elettronico, servizi di autenticazione e certificazione dei siti web e più in generale di tutti i servizi digitali in cui la fiducia nella controparte è elemento essenziale. Appare immediatamente chiaro, in un contesto di sempre maggiore diffusione del digitale nei processi aziendali e della pubblica amministrazione l’esigenza di avere garanzie chiare sull’identificazione delle controparti, sul valore legale dei documenti e della relativa trasmissione e, in generale, dei servizi digitali resi disponibili.

Il riconoscimento reciproco Informare dell'esistenza di un sistema nazionale identificazione elettronica per l'accesso ai propri servizi pubblici Riconoscere i sistemi di identificazione elettronica notificati da altri Stati membri per l'accesso transfrontaliero ai servizi on-line Deve fornire una sistema di autenticazione online gratuito per la sua identificazione elettronica notificata È responsabile per l'identificazione univoca delle persone e per l'autenticazione Può consentire al settore privato di utilizzare sistemi di identificazione notificati. Il Regolamento eIDAS indica i compiti degli organismi di vigilanza (art.17), uno per Stato membro, e le modalità di mutua assistenza (art. 18) con l’intento di stabilire grazie alla cooperazione tra questi organismi un quadro di riferimento per la vigilanza uniforme sul territorio dell’Unione. I requisiti di sicurezza e gli obblighi per tutti i prestatori di servizi fiduciari (art.19) sono: - l’adozione di misure tecniche e organizzative opportune per gestire i rischi sulla sicurezza dei servizi offerti, misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti; - l’obbligo di notificare all’organismo di vigilanza appena possibile, comunque entro 24 ore dal rilevamento, le violazioni di sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari forniti, o sui dati personali custoditi. Nel caso in cui vi sia la probabilità che una violazione della sicurezza o perdita di integrità abbia effetti negativi su una persona fisica o giuridica, occorre notificare la violazione o la perdita anche a quest’ultima; quando la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza che riceve la notifica informa gli organismi di vigilanza degli altri Stati membri interessati e l’Agenzia dell'Unione europea per la sicurezza delle reti e dell’informazione (ENISA); l’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione pervenute dai fornitori di servizi fiduciari.

Vigilanza sui fornitori di servizi fiduciari adozione misure tecniche e organizzative per gestire i rischi sulla sicurezza dei servizi offerti adozione misure per prevenire gli incidenti di sicurezza informare le parti interessate degli effetti negativi di eventuali incidenti violazioni di sicurezza o le perdite di integrità significative devono essere notificate all’ente di vigilanza (entro 24 ore dal rilevamento) in caso di violazione della sicurezza o la perdita di integrità con effetti negativi su una persona fisica o giuridica, notifica va fatta anche a quest’ultimi soggetti

CAD eIDAS PEC conservazione documenti Obbligo certificazione fornitore Obbligo piano di continuità Notifica violazioni Sigillo elettronico Creazione e validazione FE e SE Conservazione FE, SE e certificati Recapito certificato Il Regolamento eIDAS rappresenta un passo avanti importante verso l’obiettivo del Mercato unico digitale, con l’ambizione di costruire un quadro di riferimento sicuro ed interoperabile per le transazioni elettroniche. Trattandosi di un Regolamento la sua entrata in vigore non è soggetta a recepimento, questo garantisce regole certe ed uniformi su tutto il territorio dell’Unione ma, ove le norme preesistenti non venissero allineate, eliminando tutte quelle parti che sarebbero soggette ad abrogazione implicita e creando i raccordi con la nuova normativa Per l’Italia, Paese leader internazionale su queste tematiche, il Regolamento eIDAS rappresenta quindi un’opportunità ed un rischio: opportunità è chiaramente quella di un mercato molto più ampio per le imprese nazionali che la sapranno cogliere e si apriranno ai mercati esteri, rischio è legato non solo alla scarsa propensione di PMI italiane ad operare sui mercati esteri, ma anche a quello di non riuscire a dotarsi per tempo di un nuovo quadro normativo (CAD) che tenga conto di queste importanti novità.

PROBLEMI IRRISOLTI eIDAS – CAD Quale evoluzione? Tutte le PA devono riconoscere tutti gli strumenti di identificazione che saranno notificati sarà obbligatorio riconoscerli (es.Ita x spid e altri paesi), Obbligo di riconoscimento delle FEQ emesse da stati membri Per i servizi fiduciari cooperazione dei controlli Per quanto riguarda la normativa Italiana va osservato che il Codice dell’Amministrazione Digitale (CAD) è proprio in questo periodo in fase di revisione, anche per adeguarla alle disposizioni del Regolamento EU/910/2014 “eIDAS”. Problema armonizzazione

Certificati SSL e servizi fiduciari eIDAS Certificati SSL e servizi fiduciari Andrea Caccia - UNINFO Webinar FPA - 12 maggio 2016

I provvedimenti UE - Roadmap

Come si applica il Regolamento eIDAS COME SI APPLICA IL REG. eIDAS

I servizi fiduciari (Trusted Services) Con il termine servizio fiduciario si indica un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi: creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, servizi di recapito elettronico certificato, certificati relativi a tali servizi; oppure creazione, verifica e convalida di certificati di autenticazione di siti web; oppure conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

I servizi fiduciari qualificati I servizi fiduciari di: Emissione certificati per firme e sigilli elettronici Verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, Recapito elettronico certificato, Emissione di certificati di autenticazione di siti web conservazione di firme, sigilli o certificati elettronici relativi a tali servizi. Possono chiedere al proprio ente di vigilanza (AgID per l'Italia) di ottenere la qualificazione

Qualificazione dei servizi fiduciari

«sigillo elettronico», dati in forma elettronica, acclusi o connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi «sigillo elettronico qualificato», un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici «certificato di autenticazione di sito web», un attestato che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato «certificato qualificato di autenticazione di sito web», un certificato di autenticazione di sito web che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato IV Nel caso di servizi fiduciari qualificati: presunzione legale (inversione dell'onere della prova) Il Regolamento eIDAS indica i compiti degli organismi di vigilanza (art.17), uno per Stato membro, e le modalità di mutua assistenza (art. 18) con l’intento di stabilire grazie alla cooperazione tra questi organismi un quadro di riferimento per la vigilanza uniforme sul territorio dell’Unione. I requisiti di sicurezza e gli obblighi per tutti i prestatori di servizi fiduciari (art.19) sono: - l’adozione di misure tecniche e organizzative opportune per gestire i rischi sulla sicurezza dei servizi offerti, misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti; - l’obbligo di notificare all’organismo di vigilanza appena possibile, comunque entro 24 ore dal rilevamento, le violazioni di sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari forniti, o sui dati personali custoditi. Nel caso in cui vi sia la probabilità che una violazione della sicurezza o perdita di integrità abbia effetti negativi su una persona fisica o giuridica, occorre notificare la violazione o la perdita anche a quest’ultima; quando la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza che riceve la notifica informa gli organismi di vigilanza degli altri Stati membri interessati e l’Agenzia dell'Unione europea per la sicurezza delle reti e dell’informazione (ENISA); l’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione pervenute dai fornitori di servizi fiduciari.