Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

FIRMA ELETTRONICA QUALIFICATA E SIGILLO ELETTRONICO QUALIFICATO: PUBBLICATE LE NORME PER VALUTARE LA SICUREZZA DEI PRODOTTI DELLE TECNOLOGIE DELLE INFORMAZIONI

di Daniele Tumietto

Sono state pubblicate nella Gazzetta Ufficiale UE le norme per valutare la sicurezza dei prodotti delle tecnologie delle informazioni applicabili alla certificazione dei dispositivi per la creazione di una firma elettronica qualificata o per la creazione di un sigillo elettronico qualificato.

pdf-icon

Il Regolamento Europeo n. 910 del 23 luglio 2014 “eIDAS” dal 1° luglio 2016 ha progressivamente iniziato a sostituire la Direttiva 1999/93/CE riguardante le firme elettroniche, modificando il contesto normativo interno con importanti novità e nuovi servizi che riguarderanno prima le Pubbliche Amministrazioni e poi imprese che professionisti.

Nel grafico sottostante è indicata la tempificazione dell’avvio di eIDAS:
timeline_eidas_per_web_max-01

Con l’utilizzo dello strumento giuridico del Regolamento, l’Unione Europea ha scelto la strada di emanare nuove norme che diventino immediatamente leggi di tutti gli Stati membri una volta che sia avvenuta la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, senza la necessità di dover emanare norme interne di recepimento e demandando agli atti di esecutivi della Commissione Europea le regole tecniche di attuazione, che devono richiamare gli standard emanati dagli enti di normazione CEN/ETSI.

Pertanto questo è lo schema di funzionamento giuridico del Regolamento:
05-TUMIETTO_IDD_II_MMXVI_page1_image2

Si rammenta che attraverso l’emanazionedel Regolamento:

  • l’adozione in tutti gli stati membri del nuovo contesto giuridico di riferimento è molto più rapida e semplice,
  • vi è un unico contesto giuridico di riferimento che non può essere modificato da leggi nazionali, salvo rare eccezioni.

Con la recente DECISIONE DI ESECUZIONE (UE) 2016/650 della Commissione del 25 aprile 2016 che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma dell’articolo 30, paragrafo 3, e dell’articolo 39, paragrafo 2, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, sono state pubblicate nella Gazzetta Ufficiale UE le norme per valutare la sicurezza dei prodotti delle tecnologie delle informazioni applicabili alla certificazione dei dispositivi per la creazione di una FEQ o per la creazione di un SEQ.

La predetta disposizione ha in premessa alcuni “Considerando” che sono molto importanti per comprendere la ratio della norma, e di 3 articoli. Nei Considerando è indicato che:

  1. in tale considerando sono ricordati i requisiti relativi ai dispositivi per la creazione di una firma elettronica qualificata e ai dispositivi per la creazione di un sigillo elettronico qualifico, ai sensi dell’allegato II del Regolamento (UE) n. 910/2014;
  2. gli enti di normalizzazione hanno l’incarico di elaborare le specifiche tecniche necessarie alla produzione e alla commercializzazione dei prodotti;
  3. l’ISO/IEC (International Organisation for Standardization/International Electrotechnical Commission) statuisce i concetti e i principi generali in materia di sicurezza delle tecnologie dell’informazione. Inoltreindica quale è il modello generale di valutazione da seguire come base per valutare le proprietà di sicurezza dei prodotti di questo settore;
  4. il CEN (Comitato Europeo di Normazione) ha realizzato le norme relative ai dispositivi per la creazione di una firma elettronica e di un sigillo qualificati, dove i dati per la creazione della firma elettronica o alla creazione del sigillo elettronico sono detenuti in un ambiente gestito integralmente, ma non necessariamente in via esclusiva, dall’utilizzatore;
  5. solo il prestatore di servizi fiduciari qualificati può gestire i dati per la creazione di una firma elettronica per conto del firmatario (allegato II del regolamento). I requisiti in materia di sicurezza e le pertinenti specifiche in materia di certificazione sono diverse a seconda che il firmatario sia in possesso materiale di un prodotto e se un prestatore di servizi fiduciari qualificati agisce per conto del firmatario;
  6. in considerazione del fatto che diversi prestatori di servizi fiduciari propongono attualmente soluzioni per gestire i dati per la creazione di una firma elettronica per conto dei loro clienti, le certificazioni dei prodotti sono attualmente limitate ai moduli di sicurezza hardware certificati secondo diverse norme, ma non sono ancora certificati secondo i requisiti relativi ai dispositivi per la creazione di firme e sigilli qualificati. Poiché alcune norme in questione sono in fase di sviluppo, nel momento in cui saranno disponibili (e conformi ai requisiti di cui all’allegato II del Regolamento) la Commissione integrerà la presente decisione;
  7. l’allegato della presente decisione fa riferimento alla norma EN 419211, che consta di più parti (da 1 a 6) intese a disciplinare differenticontesti. I fabbricanti del prodotto hanno la facoltà di applicare liberamente tali estensioni e, ai sensi dei considerando 56 del Regolamento, l’ambito di applicazione degli articoli 30 e 39 è limitato alla protezione dei dati per la creazione di una firma, con esclusionidelle applicazioni per la creazione della firma;
  8. sono previsti, per la sicurezza del prodotto certificato, idonei algoritmi crittografici, lunghezze di chiave e funzioni hash attraverso cui assicurare che le firme/sigilli elettronici generati da un dispositivo per la creazione di una firma o di un sigillo qualificati siano affidabilmente protetti da contraffazioni conformemente all’allegato II del regolamento (UE) n. 910/2014.

Un particolare molto importante di questa normativa è che questa decisione di esecuzione si applica limitatamente ai dispositivi sotto il diretto controllo dell’utilizzatore degli stessi (come smart card, Token USB, ecc.), mentre non si applica ai dispositivi di firma remota (come HSM). ©

 


Altri articoli di Daniele Tumietto

eidas EMANATI CINQUE ATTI DI ESECUZIONE DEL REGOLAMENTO EIDAS N. 910/2014
di Daniele Tumietto e Andrea Caccia (N. IV_MMXV)
La Commissione europea ha emanato cinque atti di Esecuzione previsti dal Regolamento UE n. 910/2014 (eIDAS) in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, pubblicati sulla Gazzetta ufficiale dell’Unione europea.
B2B-marketing LA FATTURA ELETTRONICA NEL B2B, UN PASSO AVANTI DECISIVO SE SARANNO MODIFICATI INCENTIVI E DATI DA TRASMETTERE
di Daniele Tumietto (N. III_MMXV)
Decreto legislativo 5 agosto 2015, n. 127. Approvato il Decreto legislativo che dà attuazione alle disposizioni contenute nell’articolo 9, comma 1, lettere d) e g), della Legge n. 23/14, prevedendo l’avvio della fattura elettronica tra privati e la trasmissione telematica dei corrispettivi, poi approvato in via definitiva con il Decreto legislativo 5 agosto 2015, n. 127 in vigore dal 2 settembre 2015.
fatturazione-elettronica_privati FATTURA ELETTRONICA TRA PRIVATI: LO SCHEMA DI DECRETO LEGISLATIVO
di Daniele Tumietto (N. II_MMXV)
Schema di decreto legislativo recante interventi di riforma del sistema tributario mediante la trasmissione telematica generalizzata delle operazioni Iva e della tracciabilità dei pagamenti in attuazione dell’articolo 9, comma 1, lettere d) e g), della legge n. 23 del 2014. La fattura elettronica e la trasmissione dei corrispettivi entrano nel b2b a partire dal 1 luglio 2016 in fase sperimentale, e dal 1 gennaio 2017 a regime, opzionale. (Articolo chiuso in redazione in data 26 giugno 2015)
eidas REGOLAMENTO EUROPEO eIDAS
di Daniele Tumietto e Andrea Caccia (N. I_MMXV)
In vigore dal 17 settembre 2014, il regolamento c.d. “eIDAS” (electronic IDentification Authentication and Signature), reca le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica e le regole comuni per le firme elettroniche, l’autenticazione web ed i relativi servizi fiduciari per le transazioni elettroniche. Opportunità e rischi per l’Italia.
Translate »