UNAPPA 30/06/2016 – FORUM PA

http://www.forumpa.it/pa-digitale/cosa-cambia-con-eidas-per-le-registration-authority

Massimiliano Nicotra Avvocato – Membro del Comitato Scientifico Unappa
Identificazione a norma eIDAS e ruolo delle Registration Authority

Il Regolamento (UE) n. 910/2014 (Regolamento eIDAS), introducendo un’innovazione rispetto alla direttiva n. 99/1993/CE che precedentemente aveva disciplinato in maniera uniforme le firme elettroniche nell’ambito dell’Unione Europea, prevede espressamente all’art. 24 le modalità e gli obblighi di verifica da parte dei prestatori di servizi fiduciari qualificati dell’identità del soggetto (persona fisica o persona giuridica) a cui è rilasciato il certificato.

Tale articolo stabilisce le modalità con cui si deve identificare il richiedente del servizio fiduciario qualificato: a) mediante la presenza fisica concreta del soggetto; b) a distanza, mediante mezzi di identificazione elettronica rilasciati in presenza concreta del soggetto e che soddisfano il livello di garanzia “significativo” od “elevato” di cui all’art. 8 del medesimo Regolamento eIDAS; c) mediante un certificato di firma elettronica qualificato o di un sigillo rilasciati in base alle due modalità precedenti; d) mediante altri metodi di identificazione riconosciuti a livello nazionale, che forniscano garanzia equivalente, sotto il profilo dell’affidabilità, alla presenza fisica. In tali ipotesi la garanzia equivalente deve essere confermata da un organismo di valutazione della conformità.

Il richiamo ai livelli di garanzia previsti dall’art. 8 se da una parte consente di escludere che un servizio fiduciario qualificato possa essere rilasciato sulla base di un’identificazione di livello “basso” del richiedente, dall’altra parte impone un approfondimento sui requisiti necessari affinché un’identificazione possa essere ritenuta di livello “significativo” od “elevato”. A ciò soccorre il Regolamento di esecuzione (UE) n. 2015/1502 della Commissione Europea dell’8 settembre 2015, il cui allegato agli articoli 2.1.2 e 2.1.3 disciplina nel dettaglio le modalità con cui controllare e verificare l’identità delle persone fisiche e giuridiche che richiedono uno strumento di identificazione elettronica (controlli e verifiche che, per il richiamo operato dall’art. 24, devono ritenersi imposti anche in caso di rilascio di un servizio fiduciario qualificato).

Sintetizzando il livello “significativo” richiede, oltre a quanto richiesto dal livello “basso”, in alternativa:

la verifica del possesso di una prova dell’identità del richiedente e l’adozione di misure idonee a ridurre al minimo il rischio che tale identità non corrisponda a quella dichiarata (ossia la verifica che la prova esibita sia valida);
l’esibizione di un documento di identità di cui sia verificata la validità;
l’utilizzo di procedure già utilizzate da altro soggetto (pubblico o privato) per un fine diverso dal rilascio dell’identità elettronica, che diano garanzie equivalenti a quello significativo;
il rilascio tramite altro mezzo di identificazione notificato di livello significativo o elevato.

A sua volta, il livello “elevato” si basa sui seguenti requisiti alternativi (oltre a quelli previsti dal livello “basso” e “significativo”):

La verifica di una fotografia o di una prova biometrica di identificazione, riconosciute nello Stato membro, con verifica della validità in virtù di una fonte autorevole nonché il confronto di una o più caratteristiche fisiche del richiedente;
L’utilizzo di procedure già utilizzate da altro soggetto (pubblico o privato) per un fine diverso dal rilascio dell’identità elettronica, che diano garanzie equivalenti a quello elevato, adottando azioni che convalidino i risultati di dette procedure;
Il rilascio tramite altro mezzo di identificazione notificato di livello elevato con adozione di azioni per convalidare i risultati della precedente procedura di rilascio;
Ed infine, se non è presentata fotografia o prova biometrica, l’adozione di procedure analoghe a quelle utilizzate nello Stato membro per l’ottenimento della fotografia o della prova biometrica.

Il quadro normativo eIDAS in tema di identificazione del soggetto che richiede servizi fiduciari qualificati (o che richiede mezzi di identificazione elettronica) appare quindi completo e rimane da verificare l’impatto del medesimo sulla normativa italiana.

Com’è noto, in Italia fino ad oggi i certificatori accreditati avevano quale principale obbligo quello di “identificare con certezza” il richiedente del certificato, formulazione che nel nostro Paese è stata introdotta dapprima dal D.P.R. n. 513/1997 e poi trasfusa e ripresa nelle varie normative che si sono succedute in tema di firma digitale e firme elettroniche in genere.

E’ facile comprendere che nell’impianto generale dei servizi di certificazione l’identificazione del richiedente il certificato assume un ruolo cardine, dato che il grado di “fiducia” riconosciuto agli strumenti di identificazione a distanza, quali firme elettroniche o altri mezzi, risiede proprio nell’accuratezza ed affidabilità della procedura di identificazione del titolare.

La struttura organizzativa che è stata storicamente adottata dai certificatori accreditati, pur non essendo espressamente stabilito nella normativa italiana, ha ricalcato quanto previsto dalla letteratura tecnica in tema di Public Key Infrastructure (PKI) nella quale a fianco di una Certification Authority (che provvede alla emissione e gestione dei certificati) vengono individuate una o più Registration Authority (ossia soggetti che identificano e registrano i richiedenti i certificati).

Tutti i manuali operativi dei certificatori italiani prevedono la possibilità di individuare dei soggetti (denominati “Uffici di Registrazione”, “Centri di Registrazione”, e così via) ai quali, attraverso appositi mandati vengono affidate una serie di attività propedeutiche all’emissione dei certificati digitali, tra le quali, appunto, l’identificazione certa del richiedente il certificato. Coloro che svolgono materialmente tali attività assumono varie denominazioni (Registration Authority Officer (RAO), Incaricati alla Registrazione, etc.) e ricevono una formazione specifica da parte dei certificatori.

Tale situazione di fatto è stata indirettamente riconosciuta dal T.U. n. 445/2000 poi trasfuso in parte nel d.l.vo n. 82/2005 (Codice dell’Amministrazione Digitale – CAD).

L’art. 32, 4° comma del CAD, stabilisce infatti che “Il certificatore è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi.”. La disciplina della responsabilità dell’identificazione del soggetto in caso di delega a terzi di tale attività conferisce, indirettamente, legittimità per l’ordinamento italiano a detta delega, ossia all’affidamento a terzi soggetti dell’attività tipica di una Registration Authority.

La possibilità di delegare a terzi l’attività di identificazione dei soggetti richiedenti una firma elettronica qualificata è confermata dal Regolamento eIDAS, il cui articolo 24, 1° comma, secondo paragrafo, stabilisce che “Le informazioni di cui al primo comma sono verificate dal prestatore di servizi fiduciari qualificato direttamente o ricorrendo ad un terzo conformemente al diritto nazionale”, con ciò consacrando anche in ambito europeo lo schema delle PKI già da tempo in uso in Italia.

Lo strumento più utilizzato, ad oggi, è il mandato da parte del certificatore al terzo soggetto con cui, appunto, lo si incarica di compiere una serie di atti idonei ad identificare i richiedenti, nel rispetto della normativa, dei Manuali Operativi e delle istruzioni specifiche contenute nell’incarico. Per la normativa italiana la responsabilità dell’identificazione rimane comunque, anche in caso di mandato, in capo al certificatore che potrà essere chiamato a rispondere verso i terzi che abbiano fatto affidamento sulla validità del documento sottoscritto. La presenza del mandato, però, rende possibile al certificatore agire in via di regresso nei confronti del mandatario che nello svolgimento delle attività di identificazione non si sia attenuto alle prescrizioni indicategli.

A chiudere il cerchio anche il sistema penale tutela la correttezza del processo di identificazione punendo sia il soggetto che fornisce false informazioni al momento della richiesta della firma elettronica (art. 495 bis c.p.) sia il certificatore che “viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato” (art. 640 quinquies c.p.).

A questo punto non ci si può esimere dal presentare alcune considerazioni sul futuro dei soggetti che svolgono le attività di identificazione per conto delle Certification Authority. Tenendo a mente che secondo il Regolamento eIDAS ciascun servizio dovrà essere qualificato mediante apposite relazioni ed audit da organismi di valutazione della conformità, appare evidente che anche le procedure con cui è effettuata l’identificazione dei richiedenti dovranno essere oggetto di tali valutazioni, includendo anche la verifica di requisiti organizzativi, di professionalità (ed onorabilità) adeguata di coloro che materialmente pongono in essere dette procedure.

I prestatori di servizi fiduciari italiani, quindi, dovranno quantomeno adottare delle procedure di selezione e formazione specifica per coloro che delegheranno a svolgere tali attività, in modo da poter garantire il corretto svolgimento delle stesse. Ciò a maggior ragione tenendo conto della normativa europea, che prevede specifiche caratteristiche dei riconoscimenti effettuati per garantire i livelli di identificazione “significativo” ed “elevato”.

Tutto ciò implica il superamento delle attuali modalità con cui si è proceduto ad individuare tali soggetti, dato che in questi anni si è verificato un ampliamento delle categorie a cui sono stati materialmente affidati tali compiti alcune volte anche a discapito della certezza della procedura (i casi più frequenti di abusi relativi alle firme digitali riguardano ipotesi in cui il soggetto delegato dal certificatore ha dolosamente rilasciato un certificato qualificato a chi non lo aveva richiesto).

I tempi e le normative, invece, sembrano essere maturi per poter delineare in maniera più precisa la figura della Registration Authority, ossia di un soggetto che professionalmente svolge l’attività di identificazione dei richiedenti i servizi fiduciari, o comunque servizi relativi all’identità elettronica, che abbia requisiti di professionalità più elevati, una struttura organizzativa adeguata ed onorabilità idonei a garantire quantomeno la correttezza del suo operato, e che, anche da un punto di vista patrimoniale, possa effettivamente dare sicurezza di poter essere chiamato a rispondere dei propri errori od omissioni.

La necessità di dover verificare tali condizioni nelle Registration Authority è stabilita nello stesso Regolamento eIDAS, il cui art. 24, 2° comma, lett. b) prevede che il prestatore dei servizi fiduciari è tenuto ad impiegare “subcontraenti” dotati delle competenze, dell’affidabilità, dell’esperienza e qualifiche necessarie, i quali devono aver ricevuto apposita formazione in materia di norme di sicurezza e di protezione dei dati personali.

I maggiori vincoli imposti in materia di qualificazione dei prestatori fiduciari e delle procedure da essi applicate, la delicatezza che assume l’accertamento dell’identità per il rilascio degli strumenti elettronici di identificazione, la necessità che tali procedure siano idonee a garantire i livelli previsti in ambito europeo, richiedono che i soggetti chiamati al loro compimento abbiano requisiti organizzativi, professionali e morali tali da poter garantire il loro corretto, valido e veritiero svolgimento. In sintesi, soggetti che operino quali Registration Authority assumendo le relative responsabilità verso i prestatori dei servizi e verso i consociati e garantendo l’adeguatezza del profilo professionale rispetto al compito che sono delegati a svolgere.

D’altra parte, solo figure di tal genere potranno assolvere all’ulteriore e delicato compito di informare correttamente ed esaurientemente i richiedenti sulle caratteristiche degli strumenti di identificazione elettronica e sui servizi fiduciari richiesti, agevolando il diffondersi di una cultura digitale tra gli utenti che richiedono tali servizi per farli diventare consapevoli utilizzatori degli stessi.

—————
CORRIERE DELLA SERA

AGENDA DIGITALE

Entra in vigore la firma digitale, la chiave per il mercato europeo

L’autenticazione viene riconosciuta da tutti i Paesi agevolando quindi gli scambi. L’Italia però resta indietro sulla velocità delle connessioni: siamo al 54 posto nel mondo

Alessio Lana

Fatta l’Europa è il momento di fare il mercato unico digitale europeo. Dal primo luglio entra a pieno regime la firma digitale, un mezzo veloce e facile per permettere l’accelerazione degli scambi online di beni, merci e servizi senza subire gli intoppi tipici della vecchia carta. Nata dal regolamento europeo eIDAS (electronic IDentification and Authentication Services) del 2014, la firma digitale si propone di superare tre ostacoli che ancora gravano sullo sviluppo del mercato dematerializzato continentale, ovvero la sua frammentazione a livello di singole nazioni, la mancanza di interoperabilità tra gli stati e soprattutto la criminalità cibernetica. La nostra sigla sotto forma di bit permette insomma di avere un mezzo di identificazione e autenticazione elettronica riconosciuto da tutti i Paesi europei agevolando quindi gli scambi. La firma digitale infatti permette non solo di sottoscrivere un documento informatico ma anche di verificare l’identità del firmatario, la provenienza del documento e di garantire che le informazioni contenute al suo interno non sono state alterate. Le imprese possono quindi operare su base transfrontaliera evitando gli ostacoli «cartacei» nell’interazione con la pubblica amministrazione e cautelarsi da eventuali truffe mentre i cittadini possono accedere ai servizi di altri Paesi come l’assistenza sanitaria semplicemente in un clic.

SMART CARD E CHIAVETTE

Al momento la firma digitale può essere richiesta da tutte le persone fisiche (per le persone giuridiche c’è il cosiddetto sigillo digitale), ovvero cittadini, amministratori e dipendenti di società e pubbliche amministrazioni, tramite certificatori accreditati riportati in una tabella pubblicata online dall’Agenzia per l’Italia digitale (AgID). Va detto che più che di firma però si dovrebbe parlare di «firme digitali», visto che al momento ci sono diverse tecnologie che consentono di apporre la propria sigla sui documenti. Tra le più diffuse c’è la smart card, una scheda simile alla carta di credito che consente di firmare tramite un apposito lettore collegato al computer e un software dedicato. La Business Key è una chiavetta Usb che non ha bisogno di software aggiuntivo: basta inserirla e il gioco è fatto. Da ultimo c’è la firma remota. È basata su un app o su web e può essere utilizzata anche da cellulare. Ogni certificatore poi propone le proprie soluzioni e garantisce la compatibilità con determinati sistemi operativi. Ci sono tecnologie valide solo su Windows o Mac e altre che estendono la loro portata a iOS, Android e Linux. Va da sé che a seconda della tecnologia scelta e della compatibilità il prezzo della sigla digitale varia parecchio ma si va comunque da una ventina di euro fino a un centinaio. Dall’altra parte dello spettro troviamo poi i software per la verifica della firma, che AgID riassume in una pagina del proprio sito.

SULLA CONNETTIVITÀ ANCORA STENTIAMO

Mentre da una parte si va avanti con il digitale dall’altra l’Italia stenta. A rilevarlo è l’ultimo Rapporto sullo stato di Internet pubblicato da Akamai. Il nostro Paese nel 2016 è sceso di tre posizioni nella velocità media di connessione piazzandosi al non certo onorevole 54° posto a livello mondiale e al 28simo in Europa. Nonostante l’aumento del 98 per cento rispetto all’ultimo trimestre del 2015, ad oggi da noi si viaggia in media a 8,2 Mbps contro i 29 del leader mondiale, la Corea del Sud, i 21,3 della Norvegia (21,3 Mbps) e i 20,6 della Svezia (20,6 Mbps). Tra l’altro la perdita di posizioni arriva in un trimestre in cui ben cinque Paesi europei sono entrati nella top ten, vale a dire la Svizzera (18,7 Mbps), la Lettonia (18,3 Mbps), i Paesi Bassi (17,9 Mbps), la Repubblica Ceca (17,8 Mbps) e la Finlandia (17,7 Mbps).
Lieve aumento sul fronte dell’adozione della banda larga, vale a dire le connessioni che superano i 4 Mbps. Il nostro Paese ha registrato un aumento del 5,7% rispetto al trimestre precedente e del 20 per cento anno su anno raggiungendo l’83% del totale. Rispetto al 2015 crescono del 135 per cento le connessioni high broadband, quelle sopra i 10Mbps, mentre solo il 7 per cento sono uguali o superiori ai 15 Mbps, anche se in crescita di 168 punti percentuali rispetto allo scorso anno. Da ultimo ecco i dati mobili: la velocità media in questo caso raggiunge i 10,8 Mbps ma offre picchi medi di 70,5 Mbps. I primi della classe globali in questo caso sono il Regno Unito con la media delle connessioni mobile pari a 27,9 Mbps e il Belgio che si è classificato al secondo posto con 19,4 Mbps.

Alessio Lana
30 giugno 2016 | 12:51
© RIPRODUZIONE RISERVATA
————————–
Documenti digitali. Domani diventa pienamente operativo il regolamento europeo Eidas, per gli atti pubblici e quelli privati

Firma elettronica modello Ue
IL SOLE 24 ORE
Le nuove regole introducono la differenza tra l’identificazione e l’autenticazione

Da domani entra nella piena operatività il regolamento Eidas su identificazione ed autenticazione elettronica, firme elettroniche e servizi fiduciari. Senza necessità di atti di recepimento, a differenza di quanto richiesto per le direttive, troverà finalmente applicazione il Regolamento Ue 910/2014, in vigore dal 17 settembre 2014. Le novità valgono per tutti gli atti, di natura pubblica (come la partecipazione a una gara d’appalto) o privata (come i contratti).
Ma per armonizzare la normativa interna sui servizi digitali contenuta nel Cad (Codice dell’amministrazione digitale, il Governo, in attuazione della più ampia delega per la riorganizzazione delle amministrazioni pubbliche (legge 124/2015, la riforma Madia), ha predisposto uno schema di decreto legislativo con modifiche ed integrazioni al Cad soprattutto su firme elettroniche e documenti informatici (si veda l’articolo a fianco), la cui decorrenza, inizialmente stabilita anch’essa dal 1° luglio 2016, è destinata a slittare: il decreto è ad oggi ancora all’esame del Parlamento.
Il regolamento Eidas vuol creare una base condivisa fra imprese, cittadini e autorità pubbliche, per migliorare l’efficacia di servizi elettronici pubblici e privati, transazioni e commercio elettronico nell’Ue, favorendo transazioni transfrontaliere più rapide e sicure che possono agevolare lo sviluppo economico e digitale. L’Eidas contiene perciò disposizioni per instaurare la fiducia negli ambienti online, dettando una normativa comune per il reciproco riconoscimento di identificazione ed autenticazione elettronica, firme ed altri servizi fiduciari.
Le disposizioni sono tutte caratterizzate dal principio di neutralità tecnologica: non impongono particolari soluzioni tecniche, ma solo requisiti tecnici minimali tali da garantire interoperabilità e livelli di sicurezza adeguati comuni ai diversi Stati membri.
Il superamento delle barriere tecnologiche transfrontaliere allo sviluppo di un mercato digitale europeo si fonda innanzitutto sull’identificazione elettronica, che il regolamento Eidas tiene distinta dall’autenticazione elettronica. L’identificazione è il processo di utilizzo di dati personali identificativi in forma elettronica, che rappresentano in modo univoco una persona, fisica o giuridica, o una persona fisica che rappresenta una persona giuridica. Invece, l’autenticazione elettronica è il processo elettronico che consente di confermare l’identificazione elettronica di una persona, fisica o giuridica oppure origine e integrità di dati in forma elettronica.
Lo schema di nuovo Cad, recependo il Regolamento, abrogherà perciò l’attuale nozione di identificazione informatica definita come la validazione dei dati attribuiti in modo esclusivo ed univoco ad un soggetto individuato nei sistemi informatici. Verrà abrogata la definizione di autenticazione, riferita oggi al documento informatico e definita proprio come la validazione del documento associando dati informatici relativi all’autore o alle circostanze, anche temporali, di sua redazione.
Il regolamento Eidas non interviene sui sistemi nazionali di gestione dell’identità elettronica – e sulle relative infrastrutture – istituiti negli Stati membri. Lo scopo della norma Ue è invece garantire la disponibilità di un’identificazione e un’autenticazione elettronica sicura per accedere ai servizi online transfrontalieri offerti dagli Stati membri.
La notifica da parte del Governo italiano del decreto del 24 ottobre 2014 che regolamenta lo Spid (Sistema pubblico per l’identità digitale) alla Commissione Ue farà sì che il Sistema nazionale sarà accettato dagli altri Stati membri. Per assicurare l’interoperabilità, lo Spid già si basa sulle specifiche OASIS SAML v2.0 diffuse a livello europeo e adottate nel progetto sperimentale Stork, condiviso su larga scala da molti Paesi europei, che mira a sviluppare un’infrastruttura comune per l’identità digitale, sia per le persone fisiche sia per quelle giuridiche.