eiDAS e serviços de entrega qualificados: o que são e quão difundidos estão

Publicados: 2022-10-27

Neste post, vamos nos concentrar em uma questão importante e atual, com algumas atualizações importantes no horizonte. Começaremos por questões técnicas e legislativas, mas estas têm um impacto diário na vida de todos nós: tanto como indivíduos como como empresas.

Estamos falando do Serviço Eletrônico de Entrega Certificada Qualificada, conhecido como SERCQ. É bom começar, portanto, pelo arcabouço relacionado à regulamentação vigente; chegaremos a isso na próxima seção.

Em seguida, veremos as diferenças entre o SERCQ (Serviço de entrega eletrônica certificado qualificado) e o SERC (Serviço de entrega eletrônica certificado) e, em seguida, focaremos no PEC , que é específico do ecossistema digital e legislativo italiano. Aqui, observe que novos desenvolvimentos estão chegando neste campo, e todos eles visam colocar o PEC dentro dos padrões europeus unificados.

Vamos prosseguir em ordem.

Nova chamada para ação

Serviço qualificado de entrega de certificados eletrônicos e eIDAS

Vamos descompactar rapidamente outra sigla que está por trás dessa discussão: eIDAS (Electronic IDentification, Authentication and trust Services) é o Regulamento Europeu 910/2014 que se concentra na identificação eletrônica e serviços de confiança para transações eletrônicas no mercado interno.

O eIDAS fornece uma base regulatória comum para interações eletrônicas seguras entre cidadãos, empresas e administrações públicas na União Europeia . Além disso, o eIDAS aborda a segurança, transparência e eficácia dos serviços eletrônicos e transações de e-business e e-commerce.

Entre outras coisas, este regulamento introduziu o Serviço de Entrega Eletrônica Certificado ( SERC ) e o Serviço de Entrega Eletrônica Certificado Qualificado ( SERCQ ). Essas duas siglas podem ser enganosas e confusas. De fato, devemos estar atentos, pois existem diferenças decisivas entre os dois sistemas , que têm impactos decisivos no nível jurídico e burocrático de maneira mais geral.

Nesse sentido, os artigos 43 e 44 são os que mais nos interessam. Vamos explicá-los em detalhes abaixo:

  • Artigo 43.º: Os efeitos jurídicos de um serviço de entrega eletrónica certificado
  1. Os dados enviados e recebidos por meio de um serviço de entrega eletrónica certificado não terão os seus efeitos jurídicos negados e a sua admissibilidade como meio de prova em processo judicial apenas pela sua forma eletrónica ou por não cumprirem os requisitos do serviço de entrega eletrónica certificado qualificado.
  2. Os dados enviados e recebidos por serviço de entrega eletrónica certificado qualificado gozam da presunção de integridade dos dados, o envio desses dados pelo remetente identificado, a sua receção pelo destinatário identificado e a exatidão da data e hora de envio e receção indicadas pelo serviço de entrega eletrônica certificado qualificado.
  • Artigo 44: Requisitos para serviços de entrega eletrônica certificados qualificados
  1. Os serviços de entrega eletrônica certificados qualificados devem atender aos seguintes requisitos:

a) Devem ser prestados por um ou mais prestadores de serviços de confiança qualificados;

(b) garantir a identificação do remetente com alto nível de segurança;

(c) assegurar a identificação do destinatário antes da transmissão dos dados;

(d) o envio e o recebimento dos dados são garantidos por uma assinatura eletrônica avançada ou selo eletrônico avançado de um prestador de serviços de confiança qualificado, de modo a excluir a possibilidade de alterações indetectáveis ​​nos dados;

(e) quaisquer alterações nos dados necessárias para enviá-los ou recebê-los sejam claramente indicadas ao remetente e destinatário dos dados;

(f) a data e hora de envio e recebimento e qualquer alteração nos dados são indicadas por um carimbo de hora eletrônico qualificado.

Quando os dados são transferidos entre dois ou mais prestadores de serviços de confiança qualificados, os requisitos das alíneas a) af) aplicam-se a todos os prestadores de serviços de confiança qualificados.

2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas aplicáveis ​​aos processos de envio e recebimento de dados. Presume-se o cumprimento dos requisitos referidos no n.º 1 sempre que o processo de envio e receção de dados cumpra essas normas. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.º, n.º 2.

As diferenças entre o serviço de entrega eletrônica certificado (SERC) e o serviço de entrega eletrônica certificado qualificado (SERCQ)

Aqui, chegamos a um ponto sensível e importante, o que diz respeito às diferenças entre SERC e SERCQ . O regulamento eIDAS que citamos acima é exaustivo a esse respeito. Mas vamos resumi-lo abaixo, de forma nítida e clara.

O SERC permite a transmissão de dados entre terceiros eletronicamente, fornece evidências sobre o processamento dos dados transmitidos, incluindo evidências de que os dados foram enviados e recebidos, e protege os dados transmitidos contra o risco de perda, roubo ou modificação não autorizada. Também atende aos princípios exigidos de “precisão de data e hora de envio e recebimento”. O que falta ao SERC são garantias, com altos níveis de segurança, da identificação do remetente, em primeiro lugar. E depois do destinatário, nas etapas anteriores à transmissão dos dados. E são justamente essas características e padrões que são garantidos pelo Serviço Eletrônico de Entrega Qualificada (SERCQ). No contexto da União Européia, os sistemas SERC e SERCQ são agora difundidos, em todos os níveis. A Itália, a este respeito, é uma anomalia.

Atualmente, temos apenas PEC na Itália. A legislação italiana, no entanto, já permite o uso dos serviços SERCQ: traduzidos, é apenas uma questão de tempo até que eles se espalhem amplamente aqui também. Preparar-se para isso com antecedência pode ser uma importante vantagem competitiva.

Além disso, preste atenção a outro aspecto. Há alguns desenvolvimentos importantes no horizonte apenas na frente do PEC, que podem em breve se adaptar aos padrões SERCQ. Falaremos sobre isso na próxima seção.

O futuro do PEC aponta para o SERCQ

O PEC (Correio Eletrônico Certificado) é algo com o qual todos estamos familiarizados. Agora é uma ferramenta cotidiana para um grande segmento de profissionais e outros. De acordo com os últimos dados disponíveis, existem mais de 14 milhões de endereços PEC ativos ; enquanto, em 2016, eram entre 7 e 8 milhões.

Simplificando, pode-se dizer que o PEC corresponde à antiga carta registrada com aviso de recebimento; e, como apontamos acima, é uma peculiaridade totalmente italiana que, no entanto, está se adaptando aos padrões europeus. Mas prossigamos em ordem.

O certo é que o PEC pode ser considerado um Certified Electronic Delivery Service (SERC), pois atende aos requisitos estabelecidos no artigo 43 do regulamento eIDAS que citamos acima. Cuidado, no entanto: não pode ser considerado um Serviço de Entrega Eletrônica Certificado Qualificado (SERCQ).

A distinção, de fato, é o que já isolamos logo acima: as garantias do remetente e do destinatário. Em particular, atualmente, não há previsão de verificação segura da identidade do requerente da caixa PEC. Além disso, também não há exigência de que o operador seja submetido a auditorias de conformidade obrigatórias por órgãos designados. Eis por que o spam e alguns golpes às vezes chegam à caixa de entrada de caixas de correio certificadas: o PEC tem procedimentos mais simplificados (portanto, menos seguros) para identificar os solicitantes (mais leves e mais contornáveis, por exemplo, do que os fornecidos pelo SPID).

A boa notícia, porém, é que a PEC não está parada . A sua evolução tem vindo a ser discutida há algum tempo, e o caminho parece já bem marcado no sentido da sua inclusão entre os Serviços Certificados de Entrega Eletrónica Qualificada.

Há duas siglas a serem lembradas nesse caminho: ETSI e REM . O ETSI é o Instituto Europeu de Normas de Telecomunicações. Esses são os padrões dedicados à interoperabilidade em toda a União Europeia de sistemas de assinatura digital e sistemas REM. E aqui está nosso segundo acrônimo: Correio Eletrônico Registrado. Os protocolos REM já incluem o PEC italiano.

Sem se perder em tecnicismos, basta dizer que em 2019 foi criado um grupo de trabalho entre a Agência Itália Digital, operadores do PEC, Uninfo e Assocertificatori que está finalizando as regras técnicas necessárias para fazer o PEC “rank up” para que ele possa estar em conformidade com os padrões europeus exigidos para o Qualified Certified Electronic Delivery Service (SERCQ).

Isso é para evitar a criação de ferramentas alternativas. Na verdade, suplantar uma ferramenta tão amplamente utilizada e implantada como o CEM seria lento, muito ineficiente e certamente antieconômico.

Além da conformidade – as oportunidades da digitalização madura

Quando falamos de sistemas de digitalização, identidade digital, autenticação e certificação, nunca devemos esquecer isso: não são apenas realizações, mas oportunidades a serem aproveitadas . Em primeiro lugar, as grandes vantagens em termos de segurança, transparência, conveniência e maior eficiência.

Mas há uma palavra-chave adicional que deve ser sempre lembrada: integração . Esta é uma palavra-chave absolutamente decisiva quando passamos do âmbito dos particulares para o das empresas.

Em suma, uma verdadeira revolução, que se transforma numa espiral de otimização contínua!