eiDAS i kwalifikowane usługi dostawcze: czym są i jak bardzo są rozpowszechnione

Opublikowany: 2022-10-27

W tym poście skupimy się na głównym i aktualnym problemie, z kilkoma ważnymi aktualizacjami na horyzoncie. Zaczniemy od kwestii technicznych i legislacyjnych, ale mają one na co dzień wpływ na życie nas wszystkich: zarówno jako jednostek, jak i firm.

Mowa o elektronicznej usłudze kwalifikowanej poświadczonej dostawy, znanej jako SERCQ. Warto więc zacząć od ram związanych z obowiązującymi przepisami; przejdziemy do tego w następnej sekcji.

Następnie przyjrzymy się różnicom między SERCQ (Qualified Certified Electronic Delivery Service) i SERC (Certified Electronic Delivery Service), a następnie skupimy się na PEC , który jest specyficzny dla włoskiego ekosystemu cyfrowego i legislacyjnego. W tym miejscu należy zauważyć, że w tej dziedzinie pojawiają się nowe rozwiązania, a wszystkie z nich mają na celu umieszczenie PEC w jednolitych normach europejskich.

Przejdźmy w kolejności.

Nowe wezwanie do działania

Kwalifikowana usługa dostarczania certyfikatów elektronicznych i eIDAS

Rozpakujmy szybko kolejny akronim, który kryje się za tą dyskusją: eIDAS (electronic IDentification, Authentication and Trust Services) to europejskie rozporządzenie 910/2014, które koncentruje się na identyfikacji elektronicznej i usługach zaufania dla transakcji elektronicznych na rynku wewnętrznym.

eIDAS zapewnia wspólną podstawę regulacyjną dla bezpiecznych interakcji elektronicznych między obywatelami, przedsiębiorstwami i administracjami publicznymi w Unii Europejskiej . Ponadto eIDAS zajmuje się bezpieczeństwem, przejrzystością i efektywnością usług elektronicznych oraz transakcji e-biznesowych i e-commerce.

Rozporządzenie to wprowadziło między innymi Certyfikowaną Usługę Doręczenia Elektronicznego ( SERC ) oraz Kwalifikowaną Certyfikowaną Usługę Doręczenia Elektronicznego ( SERCQ ). Te dwa akronimy mogą być mylące i mylące. W rzeczywistości musimy zwrócić szczególną uwagę, ponieważ istnieją decydujące różnice między tymi dwoma systemami , które mają decydujący wpływ na poziomie prawnym i biurokratycznym, bardziej ogólnie.

W związku z tym najbardziej interesują nas artykuły 43 i 44. Wyjaśnimy je szczegółowo poniżej:

  • Artykuł 43: Skutki prawne certyfikowanej usługi doręczenia drogą elektroniczną
  1. Danym przesłanym i otrzymanym za pomocą certyfikowanej usługi doręczenia elektronicznego nie można podważyć skutków prawnych i dopuszczalności jako dowodu w postępowaniu sądowym tylko ze względu na ich formę elektroniczną lub z powodu niespełnienia wymagań kwalifikowanej usługi doręczenia drogą elektroniczną.
  2. Dane wysyłane i odbierane przez kwalifikowaną certyfikowaną usługę doręczania elektronicznego podlegają domniemaniu integralności danych, przesłaniu takich danych przez zidentyfikowanego nadawcę, ich odebraniu przez zidentyfikowanego odbiorcę oraz dokładności daty i godziny wysłania i odbioru wskazanej przez kwalifikowana certyfikowana usługa dostawy elektronicznej.
  • Artykuł 44: Wymagania dotyczące kwalifikowanych certyfikowanych usług doręczania drogą elektroniczną
  1. Kwalifikowane certyfikowane usługi doręczeń elektronicznych muszą spełniać następujące wymagania:

a) są świadczone przez co najmniej jednego kwalifikowanego dostawcę usług zaufania;

b) zapewniają identyfikację nadawcy z wysokim poziomem bezpieczeństwa;

c) zapewnić identyfikację odbiorcy przed przekazaniem danych;

d) wysyłanie i odbieranie danych są zabezpieczone zaawansowanym podpisem elektronicznym lub zaawansowaną pieczęcią elektroniczną kwalifikowanego dostawcy usług zaufania, aby wykluczyć możliwość niewykrywalnych zmian danych;

e) wszelkie zmiany danych niezbędnych do ich wysłania lub otrzymania są wyraźnie wskazane nadawcy i odbiorcy danych;

f) data i godzina wysłania i odbioru oraz wszelkie zmiany danych są oznaczone kwalifikowanym elektronicznym znacznikiem czasu.

Jeżeli dane są przekazywane między co najmniej dwoma kwalifikowanymi dostawcami usług zaufania, wymogi określone w lit. a)–f) mają zastosowanie do wszystkich kwalifikowanych dostawców usług zaufania.

2. Komisja może w drodze aktów wykonawczych określić numery referencyjne norm mających zastosowanie do procesów wysyłania i otrzymywania danych. W przypadku gdy proces wysyłania i otrzymywania danych spełnia te standardy, domniemywa się zgodność z wymogami, o których mowa w ust. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust.

Różnice między certyfikowaną usługą doręczenia elektronicznego (SERC) a kwalifikowaną certyfikowaną usługą doręczenia elektronicznego (SERCQ)

Tutaj dochodzimy do drażliwego i ważnego punktu, dotyczącego różnic między SERC i SERCQ . Przytoczone powyżej rozporządzenie eIDAS jest pod tym względem wyczerpujące. Ale podsumujmy to poniżej, ostro i wyraźnie.

SERC umożliwia przesyłanie danych pomiędzy stronami trzecimi drogą elektroniczną, dostarcza dowodów dotyczących przetwarzania przesłanych danych, w tym dowodów, że dane zostały wysłane i odebrane oraz chroni przesyłane dane przed ryzykiem utraty, kradzieży lub nieuprawnionej modyfikacji. Spełnia również wymagane zasady „dokładności daty i godziny nadania i odbioru”. W SERC brakuje przede wszystkim gwarancji, o wysokim poziomie bezpieczeństwa, identyfikacji nadawcy. A potem odbiorcy, na etapach poprzedzających transmisję danych. A takie właśnie cechy i standardy gwarantuje elektroniczna usługa kwalifikowanej poświadczonej dostawy (SERCQ). W kontekście Unii Europejskiej systemy SERC i SERCQ są obecnie szeroko rozpowszechnione na wszystkich poziomach. Włochy pod tym względem są anomalią.

Obecnie PEC mamy tylko we Włoszech. Jednak włoskie ustawodawstwo pozwala już na korzystanie z usług SERCQ: przetłumaczone, to tylko kwestia czasu, zanim rozprzestrzenią się one szeroko również tutaj. Wcześniejsze przygotowanie może być ważną przewagą konkurencyjną.

Zwróć też uwagę na inny aspekt. Na horyzoncie jest kilka ważnych wydarzeń wyłącznie na froncie PEC, które mogą wkrótce dostosować się do standardów SERCQ. Porozmawiamy o tym w następnej sekcji.

Przyszłość PEC wskazuje na SERCQ

Wszyscy znamy PEC (Certified Electronic Mail). Jest to obecnie narzędzie codziennego użytku dla dużego segmentu profesjonalistów i nie tylko. Według najnowszych dostępnych danych istnieje ponad 14 milionów aktywnych adresów PEC ; podczas gdy w 2016 r. było ich od 7 do 8 mln.

W uproszczeniu można powiedzieć, że PEC odpowiada staremu listowi poleconemu z potwierdzeniem odbioru; i, jak wskazaliśmy powyżej, jest to osobliwość ogólnowłoska, która jednak dostosowuje się do standardów europejskich. Ale chodźmy po kolei.

Pewne jest to, że PEC można uznać za Certyfikowaną Usługę Elektronicznej Dostawy (SERC), ponieważ spełnia wymogi określone w cytowanym przez nas powyżej art. 43 rozporządzenia eIDAS. Uważaj jednak: nie można tego uznać za kwalifikowaną certyfikowaną usługę dostawy elektronicznej (SERCQ).

W rzeczywistości rozróżnienie to jest to, co już wyizolowaliśmy powyżej: gwarancje dla nadawcy i odbiorcy. W szczególności w chwili obecnej nie ma przepisu dotyczącego pewnej weryfikacji tożsamości wnioskodawcy korzystającego z skrzynki PEC. Ponadto nie ma również wymogu poddawania się przez operatora obowiązkowym audytom zgodności przez wyznaczone organy. Oto dlaczego spam i niektóre oszustwa czasami trafiają nawet do skrzynek odbiorczych certyfikowanych skrzynek pocztowych: PEC ma uproszczone (a tym samym mniej bezpieczne) procedury identyfikacji osób żądających (na przykład lżejsze i łatwiejsze do uniknięcia niż te przewidziane dla SPID).

Dobra wiadomość jest jednak taka, że ​​PEC nie stoi w miejscu . Jej ewolucja jest dyskutowana od jakiegoś czasu, a ścieżka wydaje się już dobrze wytyczona w kierunku włączenia jej do grona Kwalifikowanych Certyfikowanych Usług Doręczenia Elektronicznego.

Na tej ścieżce należy pamiętać o dwóch akronimach: ETSI i REM . ETSI to Europejski Instytut Norm Telekomunikacyjnych. Są to standardy dedykowane ogólnoeuropejskiej interoperacyjności systemów podpisu cyfrowego i systemów REM. A oto nasz drugi akronim: polecona poczta elektroniczna. Protokoły REM zawierają już włoski PEC.

Nie gubiąc się w szczegółach technicznych, wystarczy powiedzieć, że w 2019 r. powołano grupę roboczą między Digital Italy Agency, operatorami PEC, Uninfo i Assocertificatori, która finalizuje zasady techniczne niezbędne do „podniesienia rangi” PEC , aby mógł być zgodne z europejskimi standardami wymaganymi dla kwalifikowanej certyfikowanej usługi doręczeń elektronicznych (SERCQ).

Ma to na celu uniknięcie tworzenia alternatywnych narzędzi. W rzeczywistości zastąpienie narzędzia tak powszechnie używanego i wdrażanego jak CEM byłoby powolne, bardzo nieefektywne iz pewnością nieopłacalne.

Poza compliance – możliwości dojrzałej cyfryzacji

Kiedy mówimy o cyfryzacji, tożsamości cyfrowej, systemach uwierzytelniania i certyfikacji, nie wolno nam nigdy o tym zapominać: to nie tylko spełnienie, ale możliwości do wykorzystania . Przede wszystkim są ogromne zalety w zakresie bezpieczeństwa, przejrzystości, wygody i zwiększonej wydajności.

Ale jest jeszcze jedno słowo kluczowe, o którym zawsze należy pamiętać: integracja . To słowo klucz, które jest absolutnie decydujące, gdy przechodzimy ze sfery osób prywatnych do sfery firm.

Krótko mówiąc, prawdziwa rewolucja, która zamienia się w spiralę ciągłej optymalizacji!