Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGiacomo Manzo Modificato 7 anni fa
1
impatti sulla normativa nazionale Daniele Tumietto - UNINFO
eIDAS impatti sulla normativa nazionale Daniele Tumietto - UNINFO Webinar FPA - 12 maggio 2016
2
Definizioni di eIDAS eIdentification eAuthentication
processo in cui si usano i dati di autenticazione personale in forma elettronica eAuthentication processo elettronico che consente di confermare identificazione elettronica, origine, integrità di dati in forma elettronica L’identificazione elettronica indica il processo in cui si usano i dati di autenticazione personale in forma elettronica che rappresentano univocamente una persona fisica o una persona legale o una persona fisica che rappresenti una persona legale, ad esempio per accedere a servizi online. L’autenticazione elettronica è il processo elettronico che consente di confermare l’identificazione elettronica o l’origine e l’integrità di dati in forma elettronica. L'istituzione del Sistema Pubblico per la gestione dell'Identità Digitale di cittadini e imprese (SPID) è un sistema italiano che nasce con ambizioni europee con il quale le pubbliche amministrazioni e i privati potranno consentire l'accesso in rete ai propri servizi. Il Regolamento istituisce un regime di mutuo riconoscimento delle identità elettroniche europee e SPID ha le caratteristiche adeguate perché il suo utilizzo sia possibile anche al di fuori del territorio italiano.
3
Definizioni di eIDAS eSignature
FE: dati allegati o connessi con associazione logica ad altri dati usati per firmare. FEA: con anche questi requisiti: connessa unicamente al firmatario, idonea ad identificare il firmatario, sotto controllo esclusivo del firmatario, collegata ai dati sottoscritti consentendo l’identificazione di ogni successiva modifica. FEQ: con anche questi requisiti: creata da un dispositivo qualificato per la creazione di FE, basata su un Certificato Elettronico Qualificato. Le definizioni sono molto simili a quelle contenute nella Direttiva 1999/93/EC sulle firme elettroniche attualmente in vigore, introducendo però la definizione precisa di FEQ che non era stata formulata in modo specifico. La Firma Elettronica A seconda delle caratteristiche questo tipo di firma è definita in: Firma Elettronica Avanzata (FEA) Firma Elettronica Qualificata (FEQ)
4
Definizioni di eIDAS eSeal Sigillo Elettronico
Sigillo Elettronico Avanzato Non possono aver negati effetti giuridici e l’ammissibilità come prova in giudizio se non hanno requisiti del SEQ. Sigillo Elettronico Qualificato Godono di presunzione legale di integrità e provenienza dei dati Il Sigillo Elettronico è una novità: simile alla firma elettronica ma apposta da una persona giuridica, serve a garantire l’origine e l’integrità dei dati ad esso associati. Come per la Firma Elettronica, anche per il Sigillo Elettronico vi sono le definizioni di Sigillo Elettronico Avanzato e di Sigillo Elettronico Qualificato. Al sigillo elettronico e sigillo elettronico avanzato, non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali qualora non soddisfacesse i requisiti del sigillo elettronico qualificato. Un sigillo elettronico qualificato gode della presunzione legale (inversione dell’onere della prova) di integrità e provenienza dei dati cui il sigillo elettronico qualificato è associato. Esistono poi i servizi fiduciari di cui parlerà Andrea Caccia.
5
Definizioni di eIDAS servizio fiduciario:
servizio elettronico consistente in : creazione, verifica e convalida di FE, SE o validazioni temporali, servizi di recapito certificato e certificati relativi a tali servizi, oppure creazione, verifica e convalida di certificati di autenticazione di siti web, oppure conservazione di FE, SE o certificati elettronici di tali servizi servizio fiduciario qualificato è un servizio fiduciario che soddisfa i requisiti definiti nel regolamento eIDAS Con il termine servizio fiduciario si indica un insieme di servizi elettronici, forniti in genere a pagamento. Un servizio fiduciario che soddisfa determinati requisiti stabiliti dal Regolamento eIDAS e fornisce garanzie superiori in termini di sicurezza e qualità del servizio viene detto “qualificato” ed è sottoposto a vigilanza da un apposito organismo nazionale (l’Agenzia per l’Italia Digitale in Italia) secondo quanto stabilito nella Sezione 2 nel Regolamento.
6
Efficacia giuridica di eIDAS
da Direttiva a Regolamento Europeo Con l’entrata in vigore del Regolamento rivoluziona fortemente il quadro normativo vigente, sia in Italia che negli altri Stati membri, centralizzando anche l’emissione degli atti di esecuzione che dovranno richiamare sempre, con l’eccezione di pochi casi specifici, le norme degli enti di standardizzazione il cui uso in passato è sempre stato discrezionale, minando così gravemente la possibilità di garantire l’interoperabilità. Questo Regolamento crea un nuovo contesto giuridico e tecnico che, pur essendo fondato sul principio di neutralità tecnologica in modo da poter recepire in futuro nuove tecnologie che dovessero diffondersi, grazie all’uso di strumenti di legislazione secondaria, consente di individuare in modo preciso gli standard di riferimento il cui uso consente di garantire l’interoperabilità, consentendo lo sviluppo di servizi fiduciari digitali che garantiscono un livello di affidabilità uniforme nell’Unione, in modo da promuovere la fiducia nelle transazioni elettroniche e favorire così la creazione e la diffusione del mercato digitale unico europeo. La nuova normativa si occupa, sia nel pubblico che nel privato, di identità, firme, sigilli, validazioni temporali e documenti elettronici, servizi di recapito elettronico, servizi di autenticazione e certificazione dei siti web e più in generale di tutti i servizi digitali in cui la fiducia nella controparte è elemento essenziale. Appare immediatamente chiaro, in un contesto di sempre maggiore diffusione del digitale nei processi aziendali e della pubblica amministrazione l’esigenza di avere garanzie chiare sull’identificazione delle controparti, sul valore legale dei documenti e della relativa trasmissione e, in generale, dei servizi digitali resi disponibili.
7
Il riconoscimento reciproco
Informare dell'esistenza di un sistema nazionale identificazione elettronica per l'accesso ai propri servizi pubblici Riconoscere i sistemi di identificazione elettronica notificati da altri Stati membri per l'accesso transfrontaliero ai servizi on-line Deve fornire una sistema di autenticazione online gratuito per la sua identificazione elettronica notificata È responsabile per l'identificazione univoca delle persone e per l'autenticazione Può consentire al settore privato di utilizzare sistemi di identificazione notificati. Il Regolamento eIDAS indica i compiti degli organismi di vigilanza (art.17), uno per Stato membro, e le modalità di mutua assistenza (art. 18) con l’intento di stabilire grazie alla cooperazione tra questi organismi un quadro di riferimento per la vigilanza uniforme sul territorio dell’Unione. I requisiti di sicurezza e gli obblighi per tutti i prestatori di servizi fiduciari (art.19) sono: - l’adozione di misure tecniche e organizzative opportune per gestire i rischi sulla sicurezza dei servizi offerti, misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti; - l’obbligo di notificare all’organismo di vigilanza appena possibile, comunque entro 24 ore dal rilevamento, le violazioni di sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari forniti, o sui dati personali custoditi. Nel caso in cui vi sia la probabilità che una violazione della sicurezza o perdita di integrità abbia effetti negativi su una persona fisica o giuridica, occorre notificare la violazione o la perdita anche a quest’ultima; quando la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza che riceve la notifica informa gli organismi di vigilanza degli altri Stati membri interessati e l’Agenzia dell'Unione europea per la sicurezza delle reti e dell’informazione (ENISA); l’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione pervenute dai fornitori di servizi fiduciari.
8
Vigilanza sui fornitori di servizi fiduciari
adozione misure tecniche e organizzative per gestire i rischi sulla sicurezza dei servizi offerti adozione misure per prevenire gli incidenti di sicurezza informare le parti interessate degli effetti negativi di eventuali incidenti violazioni di sicurezza o le perdite di integrità significative devono essere notificate all’ente di vigilanza (entro 24 ore dal rilevamento) in caso di violazione della sicurezza o la perdita di integrità con effetti negativi su una persona fisica o giuridica, notifica va fatta anche a quest’ultimi soggetti
9
CAD eIDAS PEC conservazione documenti Obbligo certificazione fornitore
Obbligo piano di continuità Notifica violazioni Sigillo elettronico Creazione e validazione FE e SE Conservazione FE, SE e certificati Recapito certificato Il Regolamento eIDAS rappresenta un passo avanti importante verso l’obiettivo del Mercato unico digitale, con l’ambizione di costruire un quadro di riferimento sicuro ed interoperabile per le transazioni elettroniche. Trattandosi di un Regolamento la sua entrata in vigore non è soggetta a recepimento, questo garantisce regole certe ed uniformi su tutto il territorio dell’Unione ma, ove le norme preesistenti non venissero allineate, eliminando tutte quelle parti che sarebbero soggette ad abrogazione implicita e creando i raccordi con la nuova normativa Per l’Italia, Paese leader internazionale su queste tematiche, il Regolamento eIDAS rappresenta quindi un’opportunità ed un rischio: opportunità è chiaramente quella di un mercato molto più ampio per le imprese nazionali che la sapranno cogliere e si apriranno ai mercati esteri, rischio è legato non solo alla scarsa propensione di PMI italiane ad operare sui mercati esteri, ma anche a quello di non riuscire a dotarsi per tempo di un nuovo quadro normativo (CAD) che tenga conto di queste importanti novità.
10
PROBLEMI IRRISOLTI eIDAS – CAD
Quale evoluzione? Tutte le PA devono riconoscere tutti gli strumenti di identificazione che saranno notificati sarà obbligatorio riconoscerli (es.Ita x spid e altri paesi), Obbligo di riconoscimento delle FEQ emesse da stati membri Per i servizi fiduciari cooperazione dei controlli Per quanto riguarda la normativa Italiana va osservato che il Codice dell’Amministrazione Digitale (CAD) è proprio in questo periodo in fase di revisione, anche per adeguarla alle disposizioni del Regolamento EU/910/2014 “eIDAS”. Problema armonizzazione
11
Certificati SSL e servizi fiduciari
eIDAS Certificati SSL e servizi fiduciari Andrea Caccia - UNINFO Webinar FPA - 12 maggio 2016
12
I provvedimenti UE - Roadmap
13
Come si applica il Regolamento eIDAS
COME SI APPLICA IL REG. eIDAS
14
I servizi fiduciari (Trusted Services)
Con il termine servizio fiduciario si indica un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi: creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, servizi di recapito elettronico certificato, certificati relativi a tali servizi; oppure creazione, verifica e convalida di certificati di autenticazione di siti web; oppure conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
15
I servizi fiduciari qualificati
I servizi fiduciari di: Emissione certificati per firme e sigilli elettronici Verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, Recapito elettronico certificato, Emissione di certificati di autenticazione di siti web conservazione di firme, sigilli o certificati elettronici relativi a tali servizi. Possono chiedere al proprio ente di vigilanza (AgID per l'Italia) di ottenere la qualificazione
16
Qualificazione dei servizi fiduciari
17
«sigillo elettronico», dati in forma elettronica, acclusi o connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi «sigillo elettronico qualificato», un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici «certificato di autenticazione di sito web», un attestato che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato «certificato qualificato di autenticazione di sito web», un certificato di autenticazione di sito web che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato IV Nel caso di servizi fiduciari qualificati: presunzione legale (inversione dell'onere della prova) Il Regolamento eIDAS indica i compiti degli organismi di vigilanza (art.17), uno per Stato membro, e le modalità di mutua assistenza (art. 18) con l’intento di stabilire grazie alla cooperazione tra questi organismi un quadro di riferimento per la vigilanza uniforme sul territorio dell’Unione. I requisiti di sicurezza e gli obblighi per tutti i prestatori di servizi fiduciari (art.19) sono: - l’adozione di misure tecniche e organizzative opportune per gestire i rischi sulla sicurezza dei servizi offerti, misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti; - l’obbligo di notificare all’organismo di vigilanza appena possibile, comunque entro 24 ore dal rilevamento, le violazioni di sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari forniti, o sui dati personali custoditi. Nel caso in cui vi sia la probabilità che una violazione della sicurezza o perdita di integrità abbia effetti negativi su una persona fisica o giuridica, occorre notificare la violazione o la perdita anche a quest’ultima; quando la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza che riceve la notifica informa gli organismi di vigilanza degli altri Stati membri interessati e l’Agenzia dell'Unione europea per la sicurezza delle reti e dell’informazione (ENISA); l’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione pervenute dai fornitori di servizi fiduciari.
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.