Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale. mail:

Documenti analoghi
EIDAS e SPID, un orizzonte di sviluppo non solo per la PA. Andrea Zapparoli Manzoni Senior Manager IRM Cyber Security Services KPMG Advisory SpA

Il Regolamento Eidas: scenario e prime indicazioni operative

Sistemi di identificazione elettronica Il Regolamento europeo. 910/2014 (eidas) quali opportunità per l economia del Paese SENATO DELLA REPUBBLICA

Firme elettroniche e documenti informatici

Paolo Monachina. Il S.I. del POR FSE 2014/20 Scambio elettronico dei dati

30 dicembre 2010, n.235)

VI Forum Centri Servizi Digitali. Le firme elettroniche nel CAD La firma grafometrica Milano, 20 giugno 2013

La PA digitale in Europa

Telecom Italia Trust Technologies Marco Pitorri, Sales

Perugia, 13 settembre Avv. Maurizio Reale

Gruppi di Lavoro istituiti da DigitPA per la attuazione del CAD

Questioni teoriche e prassi operativa nel PCT

La firma digitale e la posta elettronica certificata

Le modifiche al Codice dell amministrazione digitale, modifiche e cambiamenti per gli enti locali. Giovanni MANCA

DOCUMENTO INFORMATICO E FIRME ELETTRONICHE

La gestione informatica dei documenti. Identità digitale e firme elettroniche

EMENDAMENTI IT Unita nella diversità IT 2012/0146(COD) Progetto di relazione Marita Ulvskog (PE v01-00)

Firma Digitale e Posta Elettronica Certificata: Sample Test

LE MODIFICHE AL CODICE DELL AMMINISTRAZIONE DIGITALE. PRIME BREVI NOTE

Documento informatico, firme elettroniche e conservazione nel CAD

Strumenti per la Cittadinanza Digitale

FIRMA DIGITALE E POSTA ELETTRONICA CERTIFICATA. Syllabus Versione 2.0

Regione Campania DISCIPLINARE DI ORGANIZZAZIONE INTERNA DEL SERVIZIO DI FIRMA ELETTRONICA

Direttive concernenti le comunicazioni con le pubbliche amministrazioni e lo scambio di documenti per via telematica.

CODICE DELL AMMINISTRAZIONE DIGITALE - D. LGS. 82/2005 AGGIORNATO AL D. LGS. 179/2016 PROTOCOLLO INFORMATICO

Il processo di trasformazione della Pubblica Amministrazione PER LA PA LOCALE

La trasmissione di documenti informatici mediante la posta elettronica certificata: fondamenti giuridici e regole tecniche. D.P.R. n.

Sanità 2.0: quali strumenti per le Strutture Sanitarie?

DECRETO LEGISLATIVO RECEPIMENTO DELLA DIRETTIVA 1999/93/CE SULLA FIRMA ELETTRONICA IL PRESIDENTE DELLA REPUBBLICA

1) fornisce al mittente la prova dell avvenuta spedizione di un messaggio.

CNS Firma Digitale Carta Nazionale dei Servizi

firma digitale tra sicurezza per l utente ed esigenza della Rete

IC-GEN-Presentazione Smart Firma Digitale e PEC

INDICE SOMMARIO. Avvertenze... Guida alla consultazione... COSTITUZIONE DELLA REPUBBLICA ITALIANA. Costituzione della Repubblica italiana...

IL CODICE DELL AMMINISTRAZIONE DIGITALE

Le novità del 2016 per la pubblica amministrazione digitale

Strumenti per la digitalizzazione della P.A.

FIRMA ELETTRONICA AVANZATA

LA DEMATERIALIZZAZIONE DEI PROCESSI DI GESTIONE DOCUMENTALE

FEA, biometria, privacy e compliance: il nuovo scenario europeo. Lecce 24 giugno 2016 Grand Hotel Tiziano e dei Congressi (Via Porta d'europa)

Servizio di Firma Elettronica Avanzata BMW Bank GmbH Succursale Italiana Caratteristiche tecniche e conformità

Intesa Spa Ottobre 2015

Dematerializzare i documenti? Prima occorre dematerializzare (bene e a norma) il processo

La dematerializzazione dei documenti a scuola

Spid, il servizio per gli enti

I Professionisti della digitalizzazione documentale e della privacy

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. P.A. e informazioni. Ignoranza informatica nella P.A.

Cittadinanza e Amminisrazione Digitale Lodi - 18 giugno maggio 2016 LODI. Cittadinanza e Amministrazione Digitale

Il nuovo CAD. Prof. Avv. Giusella Finocchiaro. Studio legale Finocchiaro.

Gestione Documentale e Dematerializzazione: Sample Test

FEA, biometria, privacy e compliance: il nuovo scenario europeo. Lecce 24 giugno 2016 Grand Hotel Tiziano e dei Congressi (Via Porta d'europa)

Dicembre La Firma Digitale

Hotel Massimo D Azeglio, via Cavour 18

E un sistema di comunicazione simile alla posta elettronica. standard a cui si aggiungono delle caratteristiche di sicurezza e

I nuovi scenari sul protocollo informatico

Conservazione dei documenti informatici fiscali: quadro normativo di riferimento e prospettive

APPROVVIGIONAMENTO DI UN SERVIZIO DI POSTA ELETTRONICA CERTIFICATA PER L ARMA DEI CARABINIERI

Gestione e organizzazione Software e piattaforme per l'ufficio e il lavoro collaborativo secondo il Codice dell Amministrazione Digitale CAD

Decreto legislativo 7 marzo 2005, n. 82

A.R.T..A. Agenzia Regionale Toscana per le Erogazioni in Agricoltura

Decreto legislativo 7 marzo 2005, n. 82 Codice dell'amministrazione digitale. G.U. 16 maggio 2005, n Supplemento Ordinario n.

IDENTITA DIGITALE IN ITALIA ED EUROPA: REGOLAMENTO EUROPEO SU EIDAS, SPID E DDU. SINTESI GIURIDICA E TECNOLOGICA. Giovanni MANCA Advisory Board ANORC

PEC OBBLIGATORIA PER PROFESSIONISTI E IMPRESE

Firma elettronica e firma digitale

Il Codice dell amministrazione digitale e la digitalizzazione della P.A.

SISTEMA UNIFICATO D IDENTITA DIGITALE

Parte Prima La ricerca di documentazione giuridica con il computer

REGIONE CALABRIA DIPARTIMENTO N. 10 LAVORO, POLITICHE DELLA FAMIGLIA, FORMAZIONE PROFESSIONALE, COOPERAZIONE E VOLONTARIATO.

ALLEGATO 13 PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

ALLEGATO B REGOLE TECNICHE

LA DIGITALIZZAZIONE DELL ATTIVITÀ DEGLI ENTI PUBBLICI

FEA, biometria, privacy e compliance: il nuovo scenario europeo. Lecce 24 giugno 2016 Grand Hotel Tiziano e dei Congressi (Via Porta d'europa)

Eventi Info-formativi 2017

FEA, biometria, privacy e compliance: il nuovo scenario europeo. Lecce 24 giugno 2016 Grand Hotel Tiziano e dei Congressi (Via Porta d'europa)

Certificatore Accreditato Poste Italiane S.p.A. Servizio Postecert Firma Digitale

Bozza D.P.C.M. gg mm Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 44 e 44 bis del Codice IL PRESIDENTE

Università degli Studi di Napoli Federico II Servizi per l egovernment. La diffusione della firma digitale in Ateneo

REGOLAMENTO DI ESECUZIONE (UE) 2015/2378 DELLA COMMISSIONE

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI Documento n. 8 Allegato al manuale di gestione

Il nuovo codice dell amministrazione digitale e il processo telematico Le notifiche a mezzo pec

Allegato Tecnico Pubblica Amministrazione. Specificità del Contratto (rif. Manuale del Sistema di Conservazione)

DECRETO N DATA 07/11/2016

EIPASS Personale ATA MODULO 3 Posta Elettronica Certificata (PEC) Prof. Luca Basteris Prof.ssa Maria Cristina Daperno

FEA, biometria, privacy e compliance: il nuovo scenario europeo. Lecce 24 giugno 2016 Grand Hotel Tiziano e dei Congressi (Via Porta d'europa)

un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro,

Federica TANLONGO, Consortium GARR, Roma (RM) Sandro TUMINI, Università Politecnica delle Marche, Ancona (AN)

Il Paese che cambia passa da qui.

CONSERVAZIONE DIGITALE

GESTIONE DOCUMENTALE E DEMATERIALIZZAZIONE. Syllabus Versione 2.0

Documento informatico e firme elettroniche nel CAD

Gennaio. SUAP On Line i pre-requsiti informatici: indirizzo PEC

Due certezze necessarie nei rapporti con la pubblica amministrazione digitale: la sicurezza dei documenti e il riconoscimento del cittadino.

DIGITALIZZAZIONE PA PRINCIPALI ADEMPIMENTI PER GLI ORDINI

La Comunicazione Elettronica Certificata (CEC-PAC): limiti e opportunità di utilizzo

di Gea Arcella notaio in Buja

F ORMATO EUROPEO PER IL CURRICULUM VITAE

Il quadro normativo (fiscale) di riferimento in tema di fattura elettronica e archiviazione elettronica

La sede legale virtuale dell impresa. Michele Bossi

L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE

CODICE DELL AMMINISTRAZIONE DIGITALE

Transcript:

Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale www.anorc.it mail: segreteria@anorc.it

Nuovo CAD, Regolamento UE eidas. Come cambia la sicurezza nella gestione e la conservazione digitale. Giovanni Manca Presidente ANORC 8 giugno 2016 (Security Summit - Roma) 2

Argomenti Il Regolamento UE 910/2014. Cosa cambia nell ordinamento italiano sul piano tecnico e strategico. Altro e considerazioni finali. 3

Lo scenario di riferimento Regolamento (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. In vigore il ventesimo giorno successivo alla pubblicazione in GUCE (28 agosto 2014). Pienamente applicabile dal 1 luglio 2016. Una serie articoli e paragrafi si applicano in tempi intermedi come dettagliato nel paragrafo 2 dell articolo 52. 4

Cosa cambia rispetto alla 1999/93-1 La Direttiva stabiliva regole per il mondo delle sottoscrizioni informatiche. Le Regole riguardavano anche i certificatori e le regole «tecnologicamente neutre» per la loro organizzazione. Il quadro fornito dalla Direttiva trattava le firme elettroniche senza fornire un quadro transfrontaliero e transettoriale completo per transazioni elettroniche sicure, affidabili e di facile impiego. Una carenza fortemente patita dal mercato ha riguardato l affidabilità delle CA (trust chain) e l interoperabilità delle sottoscrizioni. La Direttiva è abrogata con effetto dal 1 luglio 2016. 5

Cosa cambia rispetto alla 99/93-2 Nel Regolamento scompaiono i certificatori e compaiono i Trust Service Provider (TSP). I TSP erogano i servizi fiduciari che sono definiti nell art. 3, numero 16 del Regolamento. Tali servizi fiduciari possono essere qualificati e il TSP può essere qualificato (TSPQ). Vengono introdotto altre tipologie di servizi fiduciari. 6

Cosa cambia rispetto alla 99/93-3 La validazione temporale elettronica, il sigillo elettronico, i servizi elettronici di recapito certificato. La creazione, verifica e convalida di certificati di autenticazione di siti web. La conservazione di firme, sigilli o certificati elettronici relativi ai servizi fiduciari. Se cambia la Direttiva deve cambiare anche il Codice dell amministrazione digitale. 7

Argomenti Il Regolamento UE 910/2014. Cosa cambia nell ordinamento italiano sul piano tecnico e strategico. Altro e considerazioni finali. 8

CAD eidas (identità digitale) L identità del titolare è nazionale e viene conferita secondo le regole nazionali. Ci può essere un riconoscimento reciproco tra Stati membri se viene notificato alla Commissione lo schema di identificazione elettronica (eid). L ammissibilità della notifica è regolamentata nell articolo 7 del Regolamento. Il contenuto della notifica è regolamentato nell articolo 9. Nel CAD è presente lo SPID, che è uno schema notificabile, ma che non è influenzato dal Regolamento. 9

CAD eidas (TSP) Non sono più ammissibili i certificatori anche qualificati e accreditati. Sono ammissibili solo i TSP e i TSPQ. Nuove regole per ottenere lo status di TSPQ e per la vigilanza. Nuovo ruolo per AgID come autorità di vigilanza notificata. CAD da modificare negli articoli dal 26 al 37. Le modifiche dovrebbero essere tali da garantire il passato, non violare il Regolamento, non appesantire il testo del CAD. 1 0

CAD eidas (Qualifica) La qualifica si ottiene con un notifica ad AgID da parte del TSP che ha allegata una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità. AgID verifica se quanto notificato rispetta il Regolamento. In caso positivo concede la qualifica e provvede ad aggiornare la cosiddetta Trust List (Elenco di fiducia). Il fattore Q implica la vigilanza che è svolta da AgID ma con un coinvolgimento diretto di organismi di valutazione della conformità. Nel CAD deve essere rivisto completamente l articolo 29. 1 1

CAD eidas (Sicurezza per i TSP) Tutto il Regolamento richiede forte attenzione agli aspetti di sicurezza. Massima attenzione al data breach, ruolo attivo di ENISA e reciproca cooperazione tra Stati membri. I casi internazionali di violazione di CA come il gravissimo caso di DigiNotar nei Paesi Bassi hanno portato ad un Regolamento (ancora una volta nell UE) attendo agli aspetti di sicurezza. Nel CAD non servono specifici interventi. Già è presente l art. 51 ma non ci sono le Regole tecniche da esso previste. 1 2

CAD eidas (Certificatori) Il certificatore che emette certificati qualificati per la firma diventa uno specifico TSPQ. Nell articolo 24 del Regolamento vengono stabiliti i requisiti per i prestatori di servizi fiduciari qualificati. Tantissime di queste regole sono la naturale evoluzione di quanto già stabilito nella Direttiva 1999/93/CE. Nel CAD si può abrogare l art. 26 e coordinare il Regolamento con il CAD tendendo in conto di ulteriori elementi già presenti nel nostro ordinamento che non sono in contrasto con il Regolamento (art. 32 del CAD). 1 3

CAD eidas (QSCD e Firma remota) Il Regolamento prevede esplicitamente la firma elettronica a distanza (premessa 52). Gli SSCD diventano QSCD e si applicano gli artt. 29, 30 e 31 del Regolamento. Molti elementi sul tema ricalcano la Direttiva ma viene prevista la pubblicazione di un elenco di dispositivi per la creazione di una firma elettronica qualificata certificati. I dispositivi già certificati ai sensi dell art. 3, paragrafo 4 della Direttiva sono conformi al Regolamento. Nel CAD si deve aggiornare l art. 35. 1 4

CAD eidas (RED e PEC) Registered Electronic Delivery (RED). Gli effetti giuridici sono stabiliti nell art. 43 del Regolamento. I Requisiti per i RED qualificati nell art. 44. La PEC potrebbe non essere completamente conforme al REDQ perché, ad esempio, non garantisce con un elevato livello di sicurezza l identificazione del mittente e non garantisce l identificazione del destinatario prima della trasmissione dei dati. In ogni caso i RED non devono essere necessariamente associati a servizi di posta elettronica visto che i requisiti possono essere soddisfatti anche in altro modo. Nel nostro ordinamento la PEC è delegificata nel DPR 68/2005. E presumibile che il domicilio digitale venga associato al sistema Italia Login. L art. 48 del CAD dovrebbe essere coordinato con eidas. 1 5

CAD eidas (Conservazione) Rispetto alla bozza iniziale del Regolamento del giugno 2012 la conservazione è stata molto semplificata. Il tema è introdotto per l utilizzo di procedure e tecnologie in grado di estendere l affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica. L art. 34 del Regolamento indica anche che la Commissione può pubblicare atti di esecuzione sul tema. Non è indispensabile intervenire sul CAD ma sarebbe utile coordinare le regole di accreditamento e vigilanza con la situazione comunitaria. 1 6

CAD eidas (Firme elettroniche) - 1 Poco cambia nelle sottoscrizioni informatiche. Viene leggermente modificata la definizione di firma elettronica, viene confermata la neutralità tecnologica della firma elettronica avanzata (FEA) e la firma qualificata conferma i suoi effetti giuridici equivalenti a quelli di firma autografa. L efficacia probatoria della FEA e delle firme qualificate stabilita nel CAD non è influenzata dal Regolamento. Potrebbe essere utile un intervento sull art. 20 del CAD ma questo non è conseguenza del Regolamento. 1 7

CAD eidas (Firme elettroniche) - 2 I certificati qualificati diventano tre. Firma elettronica, sigillo elettronico e autenticazione di siti web. La FEA al momento non ha regole tali da garantirne l interoperabilità a livello comunitario. La FEA grafometrica non suscita, al momento, particolare interesse nell ambito della UE ma non si può escludere che nel medio periodo venga pubblicato uno standard di origine ETSI su interoperabilità e sicurezza di questo tipo di FEA. E opportuno ricordare che vengono introdotte anche regole per la validazione temporale anche qualificata in modo analogo al nostro ordinamento. 1 8

CAD eidas (Sigillo elettronico) Il sigillo elettronico che può essere anche avanzato e qualificato è definito come (art. 3, n. 25): dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l origine e l integrità di questi ultimi. Mutatis mutandis firma elettronica e sigillo elettronico si assomigliano molto sul piano definitorio. E si assomigliano anche sul piano delle possibili realizzazioni tecnologiche. E utile ricordare che il Regolamento introduce anche il dispositivo per la creazione di un sigillo elettronico qualificato. L introduzione del sigillo nel CAD non è indispensabile e ne appesantirebbe il testo. 1 9

CAD eidas (Cooperazione tra Stati membri) Il ruolo di AgID deve essere adeguato a quanto stabilito nell art. 12 del Regolamento in materia di schemi nazionali di identificazione elettronica. Sul tema è stata pubblicato il primo atto di esecuzione del Regolamento. La Decisione 296/2015 del 24 febbraio 2015. Queste nuove regole non hanno impatti sul CAD perché AgID è definita al di fuori di questo Codice. Ulteriori atti di esecuzione sono comunque previsti entro il 18 settembre 2015. 2 0

Argomenti Il Regolamento UE 910/2014. Cosa cambia nell ordinamento italiano sul piano tecnico e strategico. Altro e considerazioni finali. 2 1

Impatti sulla sicurezza Abrogazione articolo 50-bis. Disaster recovery e Business continuity rinviate alle RRTT. Modifiche all art. 51. Per AgID nuovi compiti e l esplicita assegnazione del CERT PA. Si attendono sempre le RRTT per esattezza, disponibilità, accessibilità, integrità e riservatezza dei dati, dei sistemi e delle infrastutture. 2 2

La nuova gestione documentale Varie modifiche sulla gestione dei documenti amministrativi. Un art. 44 completamente modificato. Maggiore peso e alla gestione documentale e minore alla conservazione digitale. Art. 43, comma 1-bis. Se il documento informatico è conservato per legge da una pubblica amministrazione, cessa l obbligo di conservazione a carico dei cittadini e delle imprese che possono in ogni momento richiedere accesso ai sensi delle regole tecniche di cui all articolo 71. Il Consiglio di Stato ha chiesto modifiche. 2 3

La nuova conservazione digitale La conservazione digitale nazionale non è influenzata dall eidas che stabilisce Regole per la conservazione delle firme, dei sigilli elettronici e dei certificati digitali. La commissione UE non ha il potere di regolamentare la conservazione digitale dei documenti. Quando saranno disponibili le regole ETSI sul tema, comunque, ci sarà bisogno di uno specifico e adeguato coordinamento tra regole nazionali e UE. 2 4

Considerazioni Finali L eidas non è indolore per il nostro ordinamento e non solo per quanto attiene alla normativa primaria. Gli atti di esecuzione e delegati della Commissione conterranno tutte le indicazioni operative per consentire di applicare quanto stabilito nel Regolamento in modalità tecnologicamente neutra. La riconosciuta esperienza italiana deve essere gestita a livello europeo perché è fonte di opportunità di crescita economica. L attenta lettura del nuovo CAD permetterà di fare più efficaci valutazioni sui temi trattati. 2 5

Contatti Giovanni Manca e-mail: mncgnn59@gmail.com 2 6

Per maggiori informazioni e richiedere le modalità di adesione ad ANORC ecco i nostri contatti: c/o D&L Department srl via Mario Stampacchia, 21 73100 Lecce Tel e Fax: 0832 25.60.65 Cell: 3277027035 Ufficio di Presidenza: ufficio.presidenza@anorc.it Segreteria: segreteria@anorc.it Direzione: direzione@anorc.it Comunicazione: comunicazione@anorc.it Pec: anorc@pec.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back