eiDAS și servicii de livrare calificate: ce sunt și cât de răspândite sunt

În această postare, ne vom concentra pe o problemă majoră și de actualitate, cu câteva actualizări importante la orizont. Vom începe cu aspecte tehnice și legislative, dar acestea au un impact zilnic asupra vieții tuturor: atât ca persoane fizice, cât și ca companii.

Vorbim despre Serviciul Electronic de Livrare Certificată Calificată, cunoscut sub numele de SERCQ. E bine să începem, așadar, cu cadrul legat de reglementările actuale; vom ajunge la asta în secțiunea următoare.

În continuare, ne vom uita la diferențele dintre SERCQ (Serviciul de livrare electronică certificată calificat) și SERC (Serviciul de livrare electronică certificată) și apoi ne vom concentra pe PEC , care este specific ecosistemului digital și legislativ italian. Aici, rețineți că apar noi dezvoltări în acest domeniu și toate au ca scop plasarea PEC în standardele europene unificate.

Să procedăm în ordine.

Serviciu calificat de livrare de certificate electronice și eIDAS

Să despachetăm rapid un alt acronim care se află în spatele acestei discuții: eIDAS (Electronic IDentification, Authentication and trust Services) este Regulamentul European 910/2014 care se concentrează pe identificarea electronică și serviciile de încredere pentru tranzacțiile electronice de pe piața internă.

eIDAS oferă o bază de reglementare comună pentru interacțiunile electronice sigure între cetățeni, întreprinderi și administrațiile publice din Uniunea Europeană . În plus, eIDAS abordează securitatea, transparența și eficacitatea serviciilor electronice și a tranzacțiilor de afaceri electronice și de comerț electronic.

Printre altele, acest regulament a introdus Serviciul de livrare electronică certificată ( SERC ) și Serviciul de livrare electronică certificată calificat ( SERCQ ). Aceste două acronime pot fi înșelătoare și confuze. De fapt, trebuie să acordăm o atenție deosebită, întrucât există diferențe decisive între cele două sisteme , care au impacturi decisive la nivel legal și birocratic în general.

În acest sens, articolele 43 și 44 ne interesează cel mai mult. Pe acestea le vom explica în detaliu mai jos:

• Articolul 43: Efectele juridice ale unui serviciu de livrare electronică certificată

1. Datele trimise și primite prin intermediul unui serviciu de livrare electronică certificată nu li se refuză efectele juridice și admisibilitatea ca probă în proceduri judiciare doar din cauza formei lor electronice sau pentru că nu îndeplinesc cerințele serviciului de livrare electronică certificată calificat.
2. Datele trimise și primite de către serviciul de livrare electronic certificat calificat se bucură de prezumția de integritate a datelor, de transmiterea acestor date de către expeditorul identificat, de primirea acestora de către destinatarul identificat și de exactitatea datei și orei de trimitere și primire indicate de către serviciu de livrare electronică certificat calificat.

• Articolul 44: Cerințe pentru serviciile de livrare electronică certificate calificate

1. Serviciile de livrare electronice certificate calificate trebuie să îndeplinească următoarele cerințe:

(a) sunt furnizate de unul sau mai mulți furnizori de servicii de încredere calificați;

(b) să asigure identificarea expeditorului cu un nivel ridicat de securitate;

(c) să asigure identificarea destinatarului înainte de transmiterea datelor;

(d) trimiterea și primirea datelor sunt securizate printr-o semnătură electronică avansată sau un sigiliu electronic avansat al unui furnizor de servicii de încredere calificat, astfel încât să excludă posibilitatea unor modificări nedetectabile ale datelor;

(e) orice modificări ale datelor necesare pentru trimiterea sau primirea acestora sunt indicate în mod clar expeditorului și destinatarului datelor;

(f) data și ora trimiterii și primirii și orice modificare a datelor sunt indicate printr-o ștampilă electronică calificată.

În cazul în care datele sunt transferate între doi sau mai mulți furnizori de servicii de încredere calificați, cerințele de la literele (a)-(f) se aplică tuturor furnizorilor de servicii de încredere calificați.

(2) Comisia poate stabili, prin intermediul actelor de punere în aplicare, numerele de referință ale standardelor aplicabile proceselor de trimitere și primire a datelor. Conformitatea cu cerințele menționate la alineatul (1) se presupune dacă procesul de trimitere și primire a datelor îndeplinește standardele respective. Aceste acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Diferențele dintre serviciul de livrare electronică certificată (SERC) și serviciul de livrare electronică certificată calificat (SERCQ)

Aici ajungem la un punct sensibil și important, cel privind diferențele dintre SERC și SERCQ . Regulamentul eIDAS pe care l-am citat mai sus este exhaustiv în acest sens. Dar haideți să o rezumam mai jos, clar și clar.

SERC permite transmiterea de date între terți pe cale electronică, oferă dovezi cu privire la prelucrarea datelor transmise, inclusiv dovezi că datele au fost trimise și primite și protejează datele transmise de riscul de pierdere, deteriorare prin furt sau modificare neautorizată. De asemenea, îndeplinește principiile cerute de „acuratețea datei și orei trimiterii și primirii”. Ceea ce lipsește SERC sunt garanțiile, cu niveluri ridicate de securitate, de identificare a expeditorului, în primul rând. Și apoi a destinatarului, în etapele anterioare transmiterii datelor. Și acestea sunt tocmai caracteristicile și standardele care sunt garantate de Serviciul Electronic pentru Livrare Certificată Calificată (SERCQ). În contextul Uniunii Europene, sistemele SERC și SERCQ sunt acum răspândite, la toate nivelurile. Italia, în acest sens, este o anomalie.

În prezent, avem PEC doar în Italia. Legislația italiană, însă, permite deja utilizarea serviciilor SERCQ: tradus, este doar o chestiune de timp până când acestea se răspândesc pe scară largă și aici. Pregătirea în avans pentru aceasta poate fi un avantaj competitiv important.

De asemenea, acordați atenție unui alt aspect. Există câteva evoluții importante la orizont doar pe frontul PEC, care s-ar putea adapta în curând la standardele SERCQ. Vom vorbi despre asta în secțiunea următoare.

Viitorul PEC îndreaptă spre SERCQ

PEC (Poșta electronică certificată) este ceva cu care suntem familiarizați cu toții. Acum este un instrument de zi cu zi pentru un segment mare de profesioniști și alții. Conform celor mai recente date disponibile, există peste 14 milioane de adrese PEC active ; în timp ce, în 2016, erau între 7 și 8 milioane.

Simplificand, se poate spune ca PEC corespunde cu vechea scrisoare recomandata cu confirmare de confirmare; și, așa cum am subliniat mai sus, este o particularitate integral italiană care, totuși, se adaptează la standardele europene. Dar haideți să mergem în ordine.

Cert este că PEC poate fi considerat un Serviciu de Livrare Electronică Certificat (SERC), deoarece îndeplinește cerințele prevăzute la articolul 43 din regulamentul eIDAS pe care l-am citat mai sus. Atenție, totuși: nu poate fi considerat un serviciu de livrare electronică certificată (SERCQ).

Distincția, de fapt, este ceea ce am izolat deja chiar mai sus: garanțiile asupra expeditorului și destinatarului. În special, în prezent, nu există nicio prevedere pentru o anumită verificare a identității solicitantului casetei PEC. În plus, nu există nicio cerință ca operatorul să fie supus auditurilor de conformitate obligatorii de către organismele desemnate. Iată de ce spam-ul și unele escrocherii ajung uneori chiar și în căsuța de e-mail a cutiilor poștale certificate: PEC are proceduri mai simplificate (deci mai puțin sigure) pentru identificarea solicitanților (mai ușoare și mai eludabile, de exemplu, decât cele prevăzute pentru SPID).

Vestea bună, însă, este că PEC nu stă pe loc . Evoluția sa se discută de ceva vreme încoace, iar drumul pare deja bine marcat în direcția includerii sale în rândul Serviciilor de Livrare Electronică Certificată Calificată.

Există două acronime de reținut pe această cale: ETSI și REM . ETSI este Institutul European de Standarde de Telecomunicații. Acestea sunt standardele dedicate interoperabilității la nivelul Uniunii Europene a sistemelor de semnătură digitală și a sistemelor REM. Și aici este al doilea nostru acronim: Registered Electronic Mail. Protocoalele REM includ deja PEC italian.

Fără să ne pierdem în aspecte tehnice, este suficient să spunem că în 2019 a fost înființat un grup de lucru între Agenția Digital Italia, operatorii PEC, Uninfo și Assocertificatori care finalizează regulile tehnice necesare pentru ca PEC să se „umple” astfel încât să poată să fie conforme cu standardele europene cerute pentru Serviciul de livrare electronică certificată calificată (SERCQ).

Acest lucru este pentru a evita crearea de instrumente alternative. De fapt, înlocuirea unui instrument la fel de utilizat și implementat pe scară largă precum CEM ar fi lentă, foarte ineficientă și cu siguranță neeconomică.

Dincolo de conformitate – oportunitățile unei digitalizări mature

Când vorbim despre digitizare, identitate digitală, autentificare și sisteme de certificare, nu trebuie să uităm niciodată acest lucru: acestea nu sunt doar împliniri, ci oportunități de profitat . În primul rând, există marile avantaje în ceea ce privește securitatea, transparența, comoditatea și eficiența sporită .

Însă există un cuvânt cheie suplimentar care ar trebui să fie întotdeauna reținut: integrarea . Acesta este un cuvânt cheie care este absolut decisiv atunci când trecem de la tărâmul persoanelor private la cel al companiilor.

Pe scurt, o adevărată revoluție, care se transformă într-o spirală de optimizare continuă!