SlideShare uma empresa Scribd logo

Regolamento EIDAS - G. Allegrezza

Transferir como PPTX, PDF
Guido Allegrezza
Guido Allegrezza

Una Panoramica sul Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE)

Tecnologia
1 de 43
Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 In materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE) Marzo 2015A cura di Guido Allegrezza 1
 Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 2
 Promuovere ed agevolare la nascita di un quadro tecnico-giuridico unico, omogeneo e interoperabile a livello europeo, relativamente ai Trusted Services (servizi fiduciari), per migliorare l’efficacia dei servizi elettronici pubblici e privati, delle transazioni elettroniche e del commercio elettronico nell'Unione europea  Per i Trusted Services la fiducia verso il prestatore è essenziale e gli operatori sono sottoposti a vigilanza e controllo da parte degli stati membri, per garantire certezza e fiducia (firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, raccomandata elettronica, certificazione per autenticazione web) Marzo 2015A cura di Guido Allegrezza 3
 Da una Direttiva soggetta al recepimento, si passa ad un Regolamento Europeo pienamente in vigore, senza ulteriori passaggi intermedi;  La Commissione Europea è investita del potere di emanare atti esecutivi, che sono direttamente operativi nell’ambito delle disposizioni del Regolamento;  È istituito un quadro tecnico-giuridico per servizi fiduciari transfrontalieri armonico, unitario ed interoperabile, nel cui ambito i paesi membri mantengono ampi margini di manovra rispetto all’adozione di tecnologie e processi operativi, pur nel rispetto degli elementi comuni adottati come riferimento (standard tecnologici, definizioni, concetti giuridici, valore legale degli strumenti definiti ed adottati, ecc.);  Nasce la figura del prestatore di servizi fiduciari riconosciuto a livello europeo, che si attiene agli standard di riferimento ed è sottoposto a specifica vigilanza. Marzo 2015A cura di Guido Allegrezza 4
LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 5 COMMISSIONE UE STATO MEMBRO REGIME DI IDENTIFICAZIONE (sistema di identificazione elettronica per persone fisiche o giuridiche) Organismo di valutazione della conformità Servizi fiduciari Prestatore Servizi qualificati Elenco di fiducia SERVIZIO FIDUCIARIO • Creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, recapito certificato (con i rispettivi certificati elettronici) • Creazione, verifica e convalida di certificati di autenticazione web • Conservazione di firme, sigilli o relativi certificati elettronici NotificaElenco regimi di identificazione Regolamento
 La Commissione mantiene la potestà di emanare atti di esecuzione e delegati per completare ed integrare la normativa  Pubblica ed aggiorna l’elenco dei regimi di identificazione elettronica  Mette a disposizione degli Stati Membri la relazione annuale di ogni organismo di vigilanza  Pubblica gli elenchi di fiducia con le informazioni sui prestatori di servizi fiduciari qualificati ed i servizi fiduciari qualificati da essi prestati.  Mette a disposizione degli Stati Membri i nomi e gli indirizzi degli organismi deputati alla verifica della conformità dei dispositivi per la creazione di una firma elettronica qualificata  Redige, pubblica e mantiene l’elenco di dispositivi per la creazione di una firma elettronica qualificata certificati  Entro l’1/7/20 riesamina l’applicazione del regolamento e presenta una relazione al Parlamento europeo e al Consiglio valuta l’opportunità di modificare l’ambito di applicazione del regolamento o sue disposizioni specifiche. Poi, ogni 4 anni presenta una relazione sui progressi compiuti nella realizzazione degli obiettivi. Marzo 2015A cura di Guido Allegrezza 6
 77 considerazioni preliminari  Capo I – Disposizioni Generali (artt. 1 – 5)  Capo II - Identificazione Elettronica (artt. 6 -12)  Capo III – Servizi Fiduciari (artt. 13 – 45) ◦ Sezione 1 – Aspetti generali (artt. 13 – 16) ◦ Sezione 2 – Vigilanza (artt. 17 – 19) ◦ Sezione 3 – Servizi fiduciari qualificati (artt. 20 – 24) ◦ Sezione 4 – Firme elettroniche (artt. 25 – 34) ◦ Sezione 5 – Sigilli elettronici (artt. 35 – 40) ◦ Sezione 6 – Validazione temporale elettronica (artt.41 – 42) ◦ Sezione 7 – Servizi elettronici di recapito certificato (artt.. 43 – 44) ◦ Sezione 8 – Autenticazione dei siti web (art. 45)  Capo IV – Documenti Elettronici (art. 46)  Capo V – Delega di potere e disposizioni di esecuzione (artt. 47 – 48)  Capo VI – Disposizioni finali (artt. 49 – 52)  Allegato I – Requisiti per i certificati qualificati di firma elettronica  Allegato II - Requisiti per i dispositivi per la creazione di una firma elettronica Qualificata  Allegato III – Requisiti per i certificati qualificati dei sigilli elettronici Marzo 2015A cura di Guido Allegrezza 7
 Il regolamento è in vigore dal 17/09/2014  Sono applicate dal 17/09/14 le disposizioni contenute negli articoli: 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 e 48  Il resto del Regolamento si applica dall’1/07/2016, tranne:  Gli articoli 7, 8.1, 8.2, 9, 10, 11 e 12.1 che si applicano dal 18/09/15  L’art. 6 che si applica dal 18/09/18  Con effetto dall’1/07/16 la Direttiva 1999/93/CEE è abrogata Marzo 2015A cura di Guido Allegrezza 8
A partire dall’1/07/2016:  I dispositivi per la creazione di una firma sicura conformi all’art. 3.4 Dir. 1999/93/CE, sono considerati dispositivi per la creazione di una firma elettronica qualificata a norma EIDAS  i certificati qualificati rilasciati a persone fisiche a norma della Dir. 1999/93/CE sono considerati fino alla loro scadenza dei certificati qualificati di firma elettronica a norma EIDAS  Per essere considerato prestatore di servizi fiduciari qualificato a norma EIDAS Il certificatore che rilascia certificati qualificati a norma della Dir. 1999/93/CE deve presentare entro l’1/07/17 presenta una relazione di valutazione della conformità all’organismo di vigilanza Marzo 2015A cura di Guido Allegrezza 9
7 atti di esecuzione devono essere adottare entro un anno dall’entrata in vigore:  3 atti di esecuzione sull'eID: Cooperazione tra Stati Membri (art. 12.7), Quadro di interoperabilità (art. 12.8), Livelli di garanzia eID (art. 8.3)  4 atti di esecuzione sui servizi fiduciari: Formati di firma elettronica (art. 27.4) e sigilli elettronici(art. 37.4), Elenchi di fiducia (art.22.5), Marchio di fiducia UE (art.23.3) Per gli atti secondari per i quali il regolamento non prevede uno specifico obbligo si valuterà caso per caso sulla base dei seguenti principi:  Certezza giuridica  Bisogni di mercato  Disponibilità delle norme tecniche  Compatibilità delle norme tecniche con i requisiti del Regolamento  Attività dell'Organismo Europeo di cooperazione per l'accreditamento previsto dal Regolamento 765/2008/CE  Risultati dell'approccio non regolamentare (attivita ENISA in base all' art. 19 eIDAS) Marzo 2015A cura di Guido Allegrezza 10
 Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 11
 Identificazione Elettronica: processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica.  Mezzi di Identificazione Elettronica: un’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online.  Dati di Identificazione Personale: insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica.  Regime di Identificazione Elettronica: sistema di identificazione elettronica per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche.  Autenticazione: processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica Marzo 2015A cura di Guido Allegrezza 12
 I mezzi di identificazione elettronica rilasciati in un altro Stato membro possono essere utilizzati per l’accesso ai servizi online di un organismo pubblico di un altro Stato membro per cui è richiesta l’identificazione elettronica se:  sono rilasciati in un regime di identificazione elettronica riconosciuto (art. 9)  il loro livello di garanzia è pari o superiore a quello richiesto per accedere al servizio online e deve corrispondere al livello di garanzia significativo o elevato;  per l’accesso al servizio è utilizzato il livello di garanzia significativo o elevato  Se un mezzo di identificazione elettronica è rilasciato in un regime di identificazione elettronica riconosciuto con basso livello di garanzia la sua ammissibilità ai fini dell’autenticazione transfrontaliera è rimessa al singolo organismo che eroga il servizio online Marzo 2015A cura di Guido Allegrezza 13
 Basso: fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona. Corrisponde al Livello LoA2 ISO/IES DIS 29115, con lo scopo di ridurre il rischio di uso abusivo o alterazione dell’identità;  Significativo: fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona. Corrisponde al Livello LoA3 ISO/IES DIS 29115, con lo scopo di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità;  Elevato: fornisce un grado di sicurezza più elevato dei mezzi di identificazione elettronica aventi un livello di garanzia significativo. Corrisponde al Livello LoA4 ISO/IES DIS 29115, con lo scopo di impedire l’uso abusivo o l’alterazione dell’identità. Marzo 2015A cura di Guido Allegrezza 14
 I mezzi di identificazione elettronica nell’ambito del regime di identificazione elettronica: sono rilasciati dallo Stato membro notificante, su suo incarico o a titolo indipendente da altri soggetti e sono riconosciuti dallo Stato membro; possono essere utilizzati per accedere almeno a un servizio che è fornito da un organismo del settore pubblico e che richiede l’identificazione elettronica nello Stato membro notificante assieme al regime di identificazione elettronica, soddisfano i requisiti di almeno uno dei livelli di garanzia  Il regime deve essere interoperabile  L’autenticazione transfrontaliera è gratuita quando effettuata in relazione a un servizio online prestato da un organismo del settore pubblico  … Marzo 2015A cura di Guido Allegrezza 15
 Lo Stato membro notificante :  Garantisce che i dati di identificazione rappresentano unicamente la persona fisica o giuridica cui sono stati attribuiti al momento dell’identificazione elettronica, conformemente alle specifiche tecniche, norme e procedure relative al pertinente livello di garanzia  Garantisce la disponibilità dell’autenticazione online per consentire di confermare i dati di identificazione personale  Non impone requisiti tecnici specifici sproporzionati alle parti facenti affidamento sulla certificazione che intendono effettuare tale autenticazione, (tali da impedire o ostacolare notevolmente l’interoperabilità dei regimi di identificazione elettronica notificati);  La parte che rilascia i mezzi di identificazione elettronica assicura che siano attribuiti alla persona identificata conformemente alle specifiche, norme e procedure tecniche relative al pertinente livello di garanzia Marzo 2015A cura di Guido Allegrezza 16
 Entro settembre 2016 sarà costituito l’elenco UE dei regimi di identificazione, costituito dall’insieme dei regimi di identificazione notificati dai singoli Stati Membri, interoperabili e fondati sul principio della cooperazione fra Stati (art. 12)  Ciascuno Stato Membro notifica alla Commissione e agli altri Stati Membri eventuali violazioni della sicurezza di un proprio regime di identificazione con affidabilità transfrontaliera e provvede alla sua revoca o sospensione. Se viene posto rimedio notifica il ripristino del regime, in caso contrario entro 3 mesi dalla revoca o sospensione comunica il suo definitivo ritiro Marzo 2015A cura di Guido Allegrezza 17
 Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 18
 Servizio Fiduciario: servizio elettronico fornito normalmente dietro remunerazione e consistente di: 1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure 2. creazione, verifica e convalida di certificati di autenticazione di siti web; oppure 3. conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;  Prestatore di Servizi Fiduciari: persona fisica o giuridica che presta uno o più servizi fiduciari (qualificato o non qualificato);  Organismo di Valutazione della Conformità: organismo accreditato dal regolamento (CE) n. 765/2008 (art. 2,13) come competente a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati; Marzo 2015A cura di Guido Allegrezza 19
 Il prestatore di servizi fiduciari adotta misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare degli effetti negativi di eventuali incidenti.  Entro 24 ore dalla conoscenza di eventi di violazioni della sicurezza o di perdite di integrità con impatto significativo sui servizi fiduciari o sui dati personali, il prestatore di servizi fiduciari notifica l’accaduto all’organismo di vigilanza ed eventualmente ad altri organismi (ad es. l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati);  Analoga notifica è dovuta alla persona fisica o giuridica, se la violazione o la perdita possono avere effetti negativi su di essa  Se la violazione o la perdita riguarda due o più Stati membri, l’organismo di vigilanza informa gli organismi di vigilanza negli altri Stati membri interessati e l’ENISA. Se l’evento è di interesse pubblico, informa il pubblico o impone di farlo al prestatore di servizi fiduciari. Marzo 2015A cura di Guido Allegrezza 20
 Il prestatore di servizi fiduciari risponde dei danni causati con dolo o negligenza a persone fisiche e giuridiche derivanti da mancato adempimento dei suoi obblighi:  Se il prestatore di servizio fiduciario è qualificato, deve dimostrare l’assenza di dolo o negligenza;  Se il prestatore di servizio fiduciario non è qualificato, l’onere della prova della negligenza e del è a carico di chi denuncia il danno;  Il prestatore di servizi fiduciari non risponde dei danni derivanti dall’uso dei servizi se:  Informa debitamente e preventivamente gli utilizzatori delle loro limitazioni d’uso, e  Se le limitazioni sono riconoscibili da parte di terzi  Ove possibile, i servizi fiduciari prestati e i prodotti destinati all’utilizzatore finale impiegati per la prestazione di detti servizi sono resi accessibili alle persone con disabilità (art. 14) Marzo 2015A cura di Guido Allegrezza 21
 Effettua due tipi di vigilanza, per assicurare la conformità dei servizi erogati al regolamento :  preventiva e a posteriori sui prestatori di servizi fiduciari qualificati  su segnalazione ed a posteriori sui prestatori di servizi fiduciari non qualificati  Impone ai prestatori di servizi fiduciari di porre rimedio agli inadempimenti al regolamento  Ha l’obbligo reciproco di assistenza verso gli altri organismi di vigilanza (salvo le eccezioni previste), in particolare per richieste di informazioni e misure di vigilanza  Una volta all’anno trasmette all’ENISA una sintesi delle notifiche di violazione di sicurezza e perdita di integrità pervenute dai prestatori di servizi fiduciari. Marzo 2015A cura di Guido Allegrezza 22
 Servizio Fiduciario Qualificato: servizio fiduciario che soddisfa i seguenti requisiti : 1. Il prestatore è sottoposto almeno ogni 24 mesi alla verifica a proprie spese della sussistenza dei requisiti richiesti dal regolamento (art. 20); 2. L’organismo di vigilanza può in qualunque momento effettuare a spese del prestatore un audit di verifica della conformità al regolamento (art. 20); 3. È stato verificato, qualificato ed iscritto negli elenchi di fiducia dall’organismo di vigilanza (artt. 21 e 22)  Prestatore di Servizi Fiduciari Qualificato: prestatore di servizi fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore di servizi fiduciari qualificato  I Prestatori di servizi fiduciari qualificati possono utilizzare e-Mark U Trust, il marchio di fiducia UE Marzo 2015A cura di Guido Allegrezza 23
 Quando rilascia un certificato qualificato per un servizio fiduciario, verifica l’identità ed eventuali attributi specifici della persona fisica o giuridica che lo ha richiesto;  Rende disponibili in modo automatizzato affidabile, gratuito ed efficiente informazioni sulla validità e sulla revoca di ogni certificato rilasciato, anche dopo la scadenza del certificato;  Inoltre, fra i numerosi requisiti richiesti, si segnalano:  Impiego di personale dotato di competenza, affidabilità, esperienza e qualifiche necessarie e  Dotazione di idonee coperture finanziarie ed assicurative  Comportamenti trasparenti verso i richiedenti e verso l’organismo di vigilanza  Impiego di tecnologie affidabili e protette da alterazioni ed adozione di adeguate misure contro falsificazione furto di dati  Registra e mantiene accessibili anche dopo la cessazione dell’attività le informazioni relative ai dati ricevuti e rilasciati, con specifico riguardo alle prove richieste in procedimenti giudiziali e alla continuità del servizio  (all. 2) Quando gestiscono dati per la creazione di una firma elettronica per conto del firmatario possono duplicarli solo per back-up, purché:  la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza di quelli originali;  il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio. Marzo 2015A cura di Guido Allegrezza 24
 Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 25
LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 26 Firma Elettronica: dati in forma elettronica acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare; Firma Elettronica Avanzata: firma elettronica connessa unicamente al firmatario, idonea ad identificarlo, creata mediante dati per al creazione di una firma elettronica che il firmatario può utilizzare sotto il proprio esclusivo controllo con elevato livello di sicurezza e collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni loro successiva modifica (art. 26); Firma Elettronica Qualificata: firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche
 Firma Elettronica: ha gli effetti giuridici e il valore di prova riconosciuto dall’ordinamento nazionale alla firma autografa  Le Firme Elettroniche Avanzate emesse negli stati membri possono essere utilizzate nei servizi on line del settore pubblico di un qualunque altro stato membro se sono conformi alle prescrizioni emanate dalla Commissione  Se la Firma Elettronica Qualificata è basata su un certificato qualificato rilasciato in un Stato membro, è riconosciuta come firma elettronica qualificata in ogni Stato membro. Marzo 2015A cura di Guido Allegrezza 27
Il Regolamento prescrive alcuni requisiti specifici per il valido utilizzo delle firme elettroniche qualificate in merito a: Certificati qualificati necessari per la firma qualificata; Dispositivi per la creazione della firma; Certificazione dei dispositivi per la creazione della firma Convalida della firma Conservazione della firma Marzo 2015A cura di Guido Allegrezza 28
I certificati qualificati necessari per la firma qualificata contengono: a. Indicazione che è stato rilasciato quale certificato qualificato di firma elettronica; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica o nome della persona fisica; c. nome o pseudonimo del firmatario; d. dati di convalida della firma elettronica (corrispondenti ai dati utilizzati per la creazione della firma elettronica); e. inizio e fine del periodo di validità del certificato; f. codice univoco di identità del certificato; g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che rilascia il certificato, con indicazione del luogo di disponibilità gratuita per le verifiche e dell’ubicazione dei servizi per verificare la validità del certificato qualificato; h. se del caso, indicazione del fatto che i dati per la creazione di una firma elettronica connessi ai dati di convalida sono ubicati in un dispositivo per la creazione di una firma elettronica qualificata Marzo 2015A cura di Guido Allegrezza 29
I dispositivi per la creazione di una firma elettronica qualificata garantiscono almeno che: a. i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica: 1. Sono ragionevolmente riservati; 2. possono comparire in pratica una sola volta; 3. non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili; 4. possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi. b. non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma. c. la generazione o la gestione dei dati per la creazione di una firma elettronica per conto del firmatario può essere effettuata solo da un prestatore di servizi fiduciari qualificato. Marzo 2015A cura di Guido Allegrezza 30
 La conformità dei dispositivi per la creazione di una firma elettronica è certificata da appropriati organismi pubblici o privati designati dagli Stati membri e inseriti nell’elenco pubblicato dalla Commissione  La certificazione si basa su uno dei seguenti elementi: a. un processo di valutazione di sicurezza condotto conformemente a una delle norme per la valutazione di sicurezza dei prodotti informatici incluse nell’elenco pubblicato dalla Commissione b. un processo diverso che utilizzi livelli di sicurezza comparabili e che sia stato notificato alla Commissione. Tale processo può essere utilizzato solo in assenza di una norma per la valutazione di sicurezza dei prodotti informatici oppure quando è in corso un processo di valutazione di sicurezza a. Gli Stati membri notificano alla Commissione le informazioni sulla certificazione dei dispositivi certificati dagli organismi. Marzo 2015A cura di Guido Allegrezza 31
 Il sistema utilizzato per convalidare la firma elettronica qualificata fornisce alla parte facente affidamento sulla certificazione il risultato corretto del processo di convalida e consente di rilevare eventuali questioni attinenti alla sicurezza.  I servizi di convalida e conservazione qualificata delle firme elettroniche qualificate possono essere forniti solo da prestatori qualificati che utilizzano procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica;  La firma elettronica qualificata è valida se: a. il certificato utilizzato al momento della firma era valido, conforme al regolamento e rilasciato da un prestatore di servizi fiduciari qualificato; b. i dati di convalida corrispondano a quelli trasmessi alla parte facente affidamento sulla certificazione; c. l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione; d. l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione; e. la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata e possieda tutti i requisiti di validità di una firma elettronica avanzata; f. l’integrità dei dati firmati non sia stata compromessa. Marzo 2015A cura di Guido Allegrezza 32
 Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 33
LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 34 Sigillo Elettronico: dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi; Sigillo Elettronico Avanzato: sigillo elettronico connesso unicamente al creatore del sigillo, idoneo a identificarlo, creato mediante dati che questi può (con un elevato livello di sicurezza) usare sotto il proprio controllo e che è collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni loro successiva modifica; Sigillo Elettronico Qualificato: sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici
 Sigillo Elettronico: ha gli effetti giuridici riconosciuti dall’ordinamento nazionale in materia di validità o garanzia di autenticità o integrità  I Sigilli Elettronici Avanzati emessi negli stati membri possono essere utilizzati nei servizi on line del settore pubblico di un qualunque altro stato membro se sono conformi alle prescrizioni emanate dalla Commissione  Se il Sigillo Elettronico Qualificato è basato su un certificato qualificato rilasciato in un Stato membro, è riconosciuto come firma elettronica qualificata in ogni Stato membro.  Si applicano ai Sigilli Elettronici Qualificati le stesse disposizioni previste per le Firme Elettroniche Qualificate relativamente ai dispositivi per la creazione di sigilli elettronici qualificati, alla loro certificazione, all’elenco di dispositivi e alla convalida. Marzo 2015A cura di Guido Allegrezza 35
I certificati qualificati necessari per il sigillo qualificato contengono: a. indicazione che è stato rilasciato quale certificato qualificato di sigillo elettronico; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica o nome della persona fisica c. almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali; d. dati di convalida del sigillo elettronico (corrispondenti ai dati per la creazione di un sigillo elettronico); e. inizio e fine del periodo di validità del certificato; f. codice univoco di identità del certificato; g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che rilascia il certificato, con indicazione del luogo di disponibilità gratuita per le verifiche e dell’ubicazione dei servizi per verificare la validità del certificato qualificato h. se del caso, indicazione del fatto che i dati per la creazione di un sigillo elettronico connessi ai dati di convalida sono ubicati in un dispositivo per la creazione di un sigillo elettronico qualificato Marzo 2015A cura di Guido Allegrezza 36
 Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 37
LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 38 Validazione Temporale Elettronica: dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento Validazione Temporale Elettronica Qualificata: una validazione temporale elettronica che collega la date e l’ora ai dati in modo da escludere ragionevolmente la possibilità di loro modifiche non rilevabili, che si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato e che è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente
 Validazione Temporale Elettronica: ha gli effetti giuridici riconosciuti dall’ordinamento nazionale in materia di garanzia temporale e di integrità dei dati associati  La data e l’ora che indica una Validazione Temporale Elettronica Qualificata si presumono accurate  I dati associati alla data e all’ora di una Validazione Temporale Elettronica Qualificata si presumono integri  (errore nel testo) Se la Validazione Temporale Elettronica Qualificata è basata su un certificato qualificato rilasciato in un Stato membro, è riconosciuta come Validazione Temporale Elettronica Qualificata in ogni Stato membro. Marzo 2015A cura di Guido Allegrezza 39
 Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 40
 I dati inviati e ricevuti mediante un Servizio Elettronico di Recapito Certificato hanno gli effetti giuridici riconosciuti dall’ordinamento in materia di notifica postale  I dati del Servizio Elettronico di Recapito Certificato Qualificato relativi ai dati inviati dal mittente identificato e a quelli ricevuti dal destinatario identificato si presumono integri  La data e l’ora dell’invio e la ricezione indicate dal Servizio Elettronico di Recapito Certificato Qualificato si presumono accurati  Il servizio Elettronico di Recapito Certificato Qualificato: a. È fornito da un prestatore di servizi fiduciari qualificati; b. garantisce con un elevato livello di sicurezza l’identificazione del mittente e del destinatario prima della trasmissione dei dati; c. invio e ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati; d. qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi; e. data e ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata. Marzo 2015A cura di Guido Allegrezza 41
 Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 42
Il certificato qualificato di autenticazione di siti web contiene: a. Indicazione che è stato rilasciato quale certificato qualificato di autenticazione di sito web; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica cui è stato rilasciato o nome della persona fisica cui è stato rilasciato (con indicazione delle pseudonimo, se utilizzato); c. elementi dell’indirizzo (almeno città e Stato del soggetto cui è rilasciato); d. nome del dominio o dei domini gestiti dal soggetto cui è rilasciato; e. indicazione di inizio e fine del periodo di validità; f. il codice di identità del certificato (unico per il prestatore di servizi fiduciari qualificato); g. la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che lo rilascia; h. il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato è disponibile gratuitamente per la verifica; i. l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato. Marzo 2015A cura di Guido Allegrezza 43

Recomendados

Presentazione Xml
Presentazione XmlPresentazione Xml
Presentazione Xmltave10
 
Digital certificates
Digital certificatesDigital certificates
Digital certificatesSimmi Kamra
 
DIGITAL SIGNATURE
DIGITAL SIGNATUREDIGITAL SIGNATURE
DIGITAL SIGNATUREravijain90
 
The OAuth 2.0 Authorization Framework
The OAuth 2.0 Authorization FrameworkThe OAuth 2.0 Authorization Framework
The OAuth 2.0 Authorization FrameworkSamuele Cozzi
 
Digital signature Brief Introduction
Digital signature Brief IntroductionDigital signature Brief Introduction
Digital signature Brief IntroductionGanesh Kothe
 
Digital Signatures
Digital SignaturesDigital Signatures
Digital SignaturesEhtisham Ali
 
Stronger/Multi-factor Authentication for Enterprise Applications
Stronger/Multi-factor Authentication for Enterprise ApplicationsStronger/Multi-factor Authentication for Enterprise Applications
Stronger/Multi-factor Authentication for Enterprise ApplicationsRamesh Nagappan
 
What is TLS/SSL?
What is TLS/SSL? What is TLS/SSL?
What is TLS/SSL? Shehzad Imran
 

Recomendados

Presentazione Xml
Presentazione XmlPresentazione Xml
Presentazione Xmltave10
 
Digital certificates
Digital certificatesDigital certificates
Digital certificatesSimmi Kamra
 
DIGITAL SIGNATURE
DIGITAL SIGNATUREDIGITAL SIGNATURE
DIGITAL SIGNATUREravijain90
 
The OAuth 2.0 Authorization Framework
The OAuth 2.0 Authorization FrameworkThe OAuth 2.0 Authorization Framework
The OAuth 2.0 Authorization FrameworkSamuele Cozzi
 
Digital signature Brief Introduction
Digital signature Brief IntroductionDigital signature Brief Introduction
Digital signature Brief IntroductionGanesh Kothe
 
Digital Signatures
Digital SignaturesDigital Signatures
Digital SignaturesEhtisham Ali
 
Stronger/Multi-factor Authentication for Enterprise Applications
Stronger/Multi-factor Authentication for Enterprise ApplicationsStronger/Multi-factor Authentication for Enterprise Applications
Stronger/Multi-factor Authentication for Enterprise ApplicationsRamesh Nagappan
 
What is TLS/SSL?
What is TLS/SSL? What is TLS/SSL?
What is TLS/SSL? Shehzad Imran
 
Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publicaAbraham Fernández
 
Digital Certificate
Digital CertificateDigital Certificate
Digital CertificateSumant Diwakar
 
Getdata
GetdataGetdata
GetdataKaterina Kostova
 
Şifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLŞifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLTolga ÇELİK
 
Kerberos
KerberosKerberos
KerberosSou Jana
 
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...How Educational Institutions Can Provide Digital Mark Sheets To Students Us...
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...DigiLocker
 
Presentazione OLIVETTI_rev02.pdf
Presentazione OLIVETTI_rev02.pdfPresentazione OLIVETTI_rev02.pdf
Presentazione OLIVETTI_rev02.pdfUNI - Ente Italiano di Normazione
 
Verifiable Credentials for Travel & Hospitality
Verifiable Credentials for Travel & HospitalityVerifiable Credentials for Travel & Hospitality
Verifiable Credentials for Travel & HospitalityEvernym
 
The European Union goes Decentralized
The European Union goes DecentralizedThe European Union goes Decentralized
The European Union goes DecentralizedTorsten Lodderstedt
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LINAGORA
 
Encrypting emails using Kleopatra PGP
Encrypting emails using Kleopatra PGPEncrypting emails using Kleopatra PGP
Encrypting emails using Kleopatra PGPLupu Cosmin
 
FIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for AllFIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for AllFIDO Alliance
 
OpenID for SSI
OpenID for SSIOpenID for SSI
OpenID for SSITorsten Lodderstedt
 
Digital signature
Digital signatureDigital signature
Digital signature9799907840kd
 
Gli impatti del Regolamento eIDAS in Italia
Gli impatti del Regolamento eIDAS in ItaliaGli impatti del Regolamento eIDAS in Italia
Gli impatti del Regolamento eIDAS in ItaliaDigital Law Communication
 
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Consulta Stati Generali dell'Innovazione
Consulta Stati Generali dell'InnovazioneConsulta Stati Generali dell'Innovazione
Consulta Stati Generali dell'InnovazioneAndrea Caccia
 
Smau 2016 Presentazione Nicola Savino Solution
Smau 2016 Presentazione Nicola Savino SolutionSmau 2016 Presentazione Nicola Savino Solution
Smau 2016 Presentazione Nicola Savino SolutionSAVINO SOLUTION - METODO SAVINO®
 
eIDAS Regulation (Reg. No. 910/2014)
eIDAS Regulation (Reg. No. 910/2014) eIDAS Regulation (Reg. No. 910/2014)
eIDAS Regulation (Reg. No. 910/2014) Cosetta Masi
 
Caratteristiche di sicurezza ed interoperabilità delle firme grafometriche
Caratteristiche di sicurezza ed interoperabilità delle firme grafometricheCaratteristiche di sicurezza ed interoperabilità delle firme grafometriche
Caratteristiche di sicurezza ed interoperabilità delle firme grafometricheDigital Law Communication
 
Linee guida per la redazione di un contratto di licenza d'uso
Linee guida per la redazione di un contratto di licenza d'usoLinee guida per la redazione di un contratto di licenza d'uso
Linee guida per la redazione di un contratto di licenza d'usoMassimo Farina
 
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...Massimo Farina
 

Mais conteúdo relacionado

Mais procurados

Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publicaAbraham Fernández
 
Şifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLŞifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLTolga ÇELİK
 
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...How Educational Institutions Can Provide Digital Mark Sheets To Students Us...
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...DigiLocker
 
Verifiable Credentials for Travel & Hospitality
Verifiable Credentials for Travel & HospitalityVerifiable Credentials for Travel & Hospitality
Verifiable Credentials for Travel & HospitalityEvernym
 
The European Union goes Decentralized
The European Union goes DecentralizedThe European Union goes Decentralized
The European Union goes DecentralizedTorsten Lodderstedt
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LINAGORA
 
Encrypting emails using Kleopatra PGP
Encrypting emails using Kleopatra PGPEncrypting emails using Kleopatra PGP
Encrypting emails using Kleopatra PGPLupu Cosmin
 
FIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for AllFIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for AllFIDO Alliance
 

Mais procurados (14)

Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publica
 
Digital Certificate
Digital CertificateDigital Certificate
Digital Certificate
 
Getdata
GetdataGetdata
Getdata
 
Şifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSLŞifreleme Teknikleri ve SSL
Şifreleme Teknikleri ve SSL
 
Kerberos
KerberosKerberos
Kerberos
 
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...How Educational Institutions Can Provide Digital Mark Sheets To Students Us...
How Educational Institutions Can Provide Digital Mark Sheets To Students Us...
 
Presentazione OLIVETTI_rev02.pdf
Presentazione OLIVETTI_rev02.pdfPresentazione OLIVETTI_rev02.pdf
Presentazione OLIVETTI_rev02.pdf
 
Verifiable Credentials for Travel & Hospitality
Verifiable Credentials for Travel & HospitalityVerifiable Credentials for Travel & Hospitality
Verifiable Credentials for Travel & Hospitality
 
The European Union goes Decentralized
The European Union goes DecentralizedThe European Union goes Decentralized
The European Union goes Decentralized
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
 
Encrypting emails using Kleopatra PGP
Encrypting emails using Kleopatra PGPEncrypting emails using Kleopatra PGP
Encrypting emails using Kleopatra PGP
 
FIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for AllFIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for All
 
OpenID for SSI
OpenID for SSIOpenID for SSI
OpenID for SSI
 
Digital signature
Digital signatureDigital signature
Digital signature
 

Destaque

Consulta Stati Generali dell'Innovazione
Consulta Stati Generali dell'InnovazioneConsulta Stati Generali dell'Innovazione
Consulta Stati Generali dell'InnovazioneAndrea Caccia
 
eIDAS Regulation (Reg. No. 910/2014)
eIDAS Regulation (Reg. No. 910/2014) eIDAS Regulation (Reg. No. 910/2014)
eIDAS Regulation (Reg. No. 910/2014) Cosetta Masi
 
Caratteristiche di sicurezza ed interoperabilità delle firme grafometriche
Caratteristiche di sicurezza ed interoperabilità delle firme grafometricheCaratteristiche di sicurezza ed interoperabilità delle firme grafometriche
Caratteristiche di sicurezza ed interoperabilità delle firme grafometricheDigital Law Communication
 
Linee guida per la redazione di un contratto di licenza d'uso
Linee guida per la redazione di un contratto di licenza d'usoLinee guida per la redazione di un contratto di licenza d'uso
Linee guida per la redazione di un contratto di licenza d'usoMassimo Farina
 
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...Massimo Farina
 
La generazione, la gestione e la conservazione delle firme elettroniche e del...
La generazione, la gestione e la conservazione delle firme elettroniche e del...La generazione, la gestione e la conservazione delle firme elettroniche e del...
La generazione, la gestione e la conservazione delle firme elettroniche e del...Digital Law Communication
 
Aspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAlessandro Bonu
 
La tutela dei domain names
La tutela dei domain namesLa tutela dei domain names
La tutela dei domain namesMassimo Farina
 
La tutela dei dati personali
La tutela dei dati personaliLa tutela dei dati personali
La tutela dei dati personaliMassimo Farina
 
Contratto telematico e commercio elettronico
Contratto telematico e commercio elettronicoContratto telematico e commercio elettronico
Contratto telematico e commercio elettronicoMassimo Farina
 
Eurosmart presentation on the eidas regulation
Eurosmart presentation on the eidas regulationEurosmart presentation on the eidas regulation
Eurosmart presentation on the eidas regulationStefane Mouille
 
Dalla creazione del certificato alla Firma Digitale
Dalla creazione del certificato alla Firma DigitaleDalla creazione del certificato alla Firma Digitale
Dalla creazione del certificato alla Firma DigitaleMassimo Farina
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
 
La responsabilità d’impresa D.lgs. 231/01
La responsabilità d’impresa D.lgs. 231/01La responsabilità d’impresa D.lgs. 231/01
La responsabilità d’impresa D.lgs. 231/01Massimo Farina
 

Destaque (20)

Gli impatti del Regolamento eIDAS in Italia
Gli impatti del Regolamento eIDAS in ItaliaGli impatti del Regolamento eIDAS in Italia
Gli impatti del Regolamento eIDAS in Italia
 
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
 
Consulta Stati Generali dell'Innovazione
Consulta Stati Generali dell'InnovazioneConsulta Stati Generali dell'Innovazione
Consulta Stati Generali dell'Innovazione
 
Smau 2016 Presentazione Nicola Savino Solution
Smau 2016 Presentazione Nicola Savino SolutionSmau 2016 Presentazione Nicola Savino Solution
Smau 2016 Presentazione Nicola Savino Solution
 
eIDAS Regulation (Reg. No. 910/2014)
eIDAS Regulation (Reg. No. 910/2014) eIDAS Regulation (Reg. No. 910/2014)
eIDAS Regulation (Reg. No. 910/2014)
 
Caratteristiche di sicurezza ed interoperabilità delle firme grafometriche
Caratteristiche di sicurezza ed interoperabilità delle firme grafometricheCaratteristiche di sicurezza ed interoperabilità delle firme grafometriche
Caratteristiche di sicurezza ed interoperabilità delle firme grafometriche
 
Linee guida per la redazione di un contratto di licenza d'uso
Linee guida per la redazione di un contratto di licenza d'usoLinee guida per la redazione di un contratto di licenza d'uso
Linee guida per la redazione di un contratto di licenza d'uso
 
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
Smart Cities e trattamento di dati personali: dal Codice della Privacy al Reg...
 
La generazione, la gestione e la conservazione delle firme elettroniche e del...
La generazione, la gestione e la conservazione delle firme elettroniche e del...La generazione, la gestione e la conservazione delle firme elettroniche e del...
La generazione, la gestione e la conservazione delle firme elettroniche e del...
 
Aspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacy
 
La tutela dei domain names
La tutela dei domain namesLa tutela dei domain names
La tutela dei domain names
 
Cyber Strategy 2014
Cyber Strategy 2014Cyber Strategy 2014
Cyber Strategy 2014
 
La tutela dei dati personali
La tutela dei dati personaliLa tutela dei dati personali
La tutela dei dati personali
 
Contratto telematico e commercio elettronico
Contratto telematico e commercio elettronicoContratto telematico e commercio elettronico
Contratto telematico e commercio elettronico
 
Presentazione innovapuglia 2016
Presentazione innovapuglia 2016Presentazione innovapuglia 2016
Presentazione innovapuglia 2016
 
Eurosmart presentation on the eidas regulation
Eurosmart presentation on the eidas regulationEurosmart presentation on the eidas regulation
Eurosmart presentation on the eidas regulation
 
Dalla creazione del certificato alla Firma Digitale
Dalla creazione del certificato alla Firma DigitaleDalla creazione del certificato alla Firma Digitale
Dalla creazione del certificato alla Firma Digitale
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
 
La responsabilità d’impresa D.lgs. 231/01
La responsabilità d’impresa D.lgs. 231/01La responsabilità d’impresa D.lgs. 231/01
La responsabilità d’impresa D.lgs. 231/01
 

Semelhante a Regolamento EIDAS - G. Allegrezza

Aruba - Le diverse tipologie di Firme Elettroniche
Aruba - Le diverse tipologie di Firme ElettronicheAruba - Le diverse tipologie di Firme Elettroniche
Aruba - Le diverse tipologie di Firme ElettronicheAruba S.p.A.
 
Smau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgIDSmau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgIDSMAU
 
2012 10 02 conferenza utenti globo crs e id pc
2012 10 02 conferenza utenti globo crs e id pc2012 10 02 conferenza utenti globo crs e id pc
2012 10 02 conferenza utenti globo crs e id pcDaniele Crespi
 
Firma digitale in ambito professionale
Firma digitale in ambito professionaleFirma digitale in ambito professionale
Firma digitale in ambito professionaleEmanuele Cisbani
 
20190314 - Seminario UNINFO Security Summit
20190314 - Seminario UNINFO Security Summit 20190314 - Seminario UNINFO Security Summit
20190314 - Seminario UNINFO Security Summit uninfoit
 
Identità digitale e firma elettronica avanzata
Identità digitale e firma elettronica avanzataIdentità digitale e firma elettronica avanzata
Identità digitale e firma elettronica avanzataDigital Law Communication
 
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di GiurisprudenzaSeminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di GiurisprudenzaMichele Martoni
 
Fatturazione elettronica e CAD - CINECA 22 aprile 2015
Fatturazione elettronica e CAD - CINECA 22 aprile 2015Fatturazione elettronica e CAD - CINECA 22 aprile 2015
Fatturazione elettronica e CAD - CINECA 22 aprile 2015Fabio Massimi
 
La firma digitale: concetti e regole
La firma digitale: concetti e regoleLa firma digitale: concetti e regole
La firma digitale: concetti e regoleMario Gentili
 
Identità certa nei processi online, SPID, Firma grafometrica e Avanzata
Identità certa nei processi online, SPID, Firma grafometrica e AvanzataIdentità certa nei processi online, SPID, Firma grafometrica e Avanzata
Identità certa nei processi online, SPID, Firma grafometrica e AvanzataAruba S.p.A.
 
Identità Digitale e SPID - Una sfida per l'Italia che vuole cambiare
Identità Digitale e SPID - Una sfida per l'Italia che vuole cambiareIdentità Digitale e SPID - Una sfida per l'Italia che vuole cambiare
Identità Digitale e SPID - Una sfida per l'Italia che vuole cambiareGuido Allegrezza
 
Slide Webinar - Firma Elettronica: aggiornamenti normativi e casi d’uso
Slide Webinar - Firma Elettronica: aggiornamenti normativi e casi d’usoSlide Webinar - Firma Elettronica: aggiornamenti normativi e casi d’uso
Slide Webinar - Firma Elettronica: aggiornamenti normativi e casi d’usoTalea Consulting Srl
 
Fatturazione ElettronicaPA
Fatturazione ElettronicaPAFatturazione ElettronicaPA
Fatturazione ElettronicaPAInfoCert S.p.A.
 
Corso cad modulo 2_dsga_sl
Corso cad modulo 2_dsga_slCorso cad modulo 2_dsga_sl
Corso cad modulo 2_dsga_slGrimaldi Mario
 
Presentazione firma elettronica 2010
Presentazione firma elettronica 2010Presentazione firma elettronica 2010
Presentazione firma elettronica 2010Pasquale Lopriore
 
Presentazione andaf presentazione a cjr 6.5.2019 estratto
Presentazione andaf presentazione a cjr 6.5.2019 estrattoPresentazione andaf presentazione a cjr 6.5.2019 estratto
Presentazione andaf presentazione a cjr 6.5.2019 estrattoAndrea Cortellazzo
 

Semelhante a Regolamento EIDAS - G. Allegrezza (20)

Digitalizzazione 2017 - Intervento Avv. Luigi Foglia
Digitalizzazione 2017 - Intervento Avv. Luigi FogliaDigitalizzazione 2017 - Intervento Avv. Luigi Foglia
Digitalizzazione 2017 - Intervento Avv. Luigi Foglia
 
Aruba - Le diverse tipologie di Firme Elettroniche
Aruba - Le diverse tipologie di Firme ElettronicheAruba - Le diverse tipologie di Firme Elettroniche
Aruba - Le diverse tipologie di Firme Elettroniche
 
Smau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgIDSmau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgID
 
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
 
2012 10 02 conferenza utenti globo crs e id pc
2012 10 02 conferenza utenti globo crs e id pc2012 10 02 conferenza utenti globo crs e id pc
2012 10 02 conferenza utenti globo crs e id pc
 
Firma digitale in ambito professionale
Firma digitale in ambito professionaleFirma digitale in ambito professionale
Firma digitale in ambito professionale
 
20190314 - Seminario UNINFO Security Summit
20190314 - Seminario UNINFO Security Summit 20190314 - Seminario UNINFO Security Summit
20190314 - Seminario UNINFO Security Summit
 
Identità digitale e firma elettronica avanzata
Identità digitale e firma elettronica avanzataIdentità digitale e firma elettronica avanzata
Identità digitale e firma elettronica avanzata
 
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di GiurisprudenzaSeminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
 
Fatturazione elettronica e CAD - CINECA 22 aprile 2015
Fatturazione elettronica e CAD - CINECA 22 aprile 2015Fatturazione elettronica e CAD - CINECA 22 aprile 2015
Fatturazione elettronica e CAD - CINECA 22 aprile 2015
 
La firma digitale: concetti e regole
La firma digitale: concetti e regoleLa firma digitale: concetti e regole
La firma digitale: concetti e regole
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni VenetoConvegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Identità certa nei processi online, SPID, Firma grafometrica e Avanzata
Identità certa nei processi online, SPID, Firma grafometrica e AvanzataIdentità certa nei processi online, SPID, Firma grafometrica e Avanzata
Identità certa nei processi online, SPID, Firma grafometrica e Avanzata
 
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
 
Identità Digitale e SPID - Una sfida per l'Italia che vuole cambiare
Identità Digitale e SPID - Una sfida per l'Italia che vuole cambiareIdentità Digitale e SPID - Una sfida per l'Italia che vuole cambiare
Identità Digitale e SPID - Una sfida per l'Italia che vuole cambiare
 
Slide Webinar - Firma Elettronica: aggiornamenti normativi e casi d’uso
Slide Webinar - Firma Elettronica: aggiornamenti normativi e casi d’usoSlide Webinar - Firma Elettronica: aggiornamenti normativi e casi d’uso
Slide Webinar - Firma Elettronica: aggiornamenti normativi e casi d’uso
 
Fatturazione ElettronicaPA
Fatturazione ElettronicaPAFatturazione ElettronicaPA
Fatturazione ElettronicaPA
 
Corso cad modulo 2_dsga_sl
Corso cad modulo 2_dsga_slCorso cad modulo 2_dsga_sl
Corso cad modulo 2_dsga_sl
 
Presentazione firma elettronica 2010
Presentazione firma elettronica 2010Presentazione firma elettronica 2010
Presentazione firma elettronica 2010
 
Presentazione andaf presentazione a cjr 6.5.2019 estratto
Presentazione andaf presentazione a cjr 6.5.2019 estrattoPresentazione andaf presentazione a cjr 6.5.2019 estratto
Presentazione andaf presentazione a cjr 6.5.2019 estratto
 

Regolamento EIDAS - G. Allegrezza

  • 1. Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 In materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE) Marzo 2015A cura di Guido Allegrezza 1
  • 2.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 2
  • 3.  Promuovere ed agevolare la nascita di un quadro tecnico-giuridico unico, omogeneo e interoperabile a livello europeo, relativamente ai Trusted Services (servizi fiduciari), per migliorare l’efficacia dei servizi elettronici pubblici e privati, delle transazioni elettroniche e del commercio elettronico nell'Unione europea  Per i Trusted Services la fiducia verso il prestatore è essenziale e gli operatori sono sottoposti a vigilanza e controllo da parte degli stati membri, per garantire certezza e fiducia (firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, raccomandata elettronica, certificazione per autenticazione web) Marzo 2015A cura di Guido Allegrezza 3
  • 4.  Da una Direttiva soggetta al recepimento, si passa ad un Regolamento Europeo pienamente in vigore, senza ulteriori passaggi intermedi;  La Commissione Europea è investita del potere di emanare atti esecutivi, che sono direttamente operativi nell’ambito delle disposizioni del Regolamento;  È istituito un quadro tecnico-giuridico per servizi fiduciari transfrontalieri armonico, unitario ed interoperabile, nel cui ambito i paesi membri mantengono ampi margini di manovra rispetto all’adozione di tecnologie e processi operativi, pur nel rispetto degli elementi comuni adottati come riferimento (standard tecnologici, definizioni, concetti giuridici, valore legale degli strumenti definiti ed adottati, ecc.);  Nasce la figura del prestatore di servizi fiduciari riconosciuto a livello europeo, che si attiene agli standard di riferimento ed è sottoposto a specifica vigilanza. Marzo 2015A cura di Guido Allegrezza 4
  • 5. LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 5 COMMISSIONE UE STATO MEMBRO REGIME DI IDENTIFICAZIONE (sistema di identificazione elettronica per persone fisiche o giuridiche) Organismo di valutazione della conformità Servizi fiduciari Prestatore Servizi qualificati Elenco di fiducia SERVIZIO FIDUCIARIO • Creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, recapito certificato (con i rispettivi certificati elettronici) • Creazione, verifica e convalida di certificati di autenticazione web • Conservazione di firme, sigilli o relativi certificati elettronici NotificaElenco regimi di identificazione Regolamento
  • 6.  La Commissione mantiene la potestà di emanare atti di esecuzione e delegati per completare ed integrare la normativa  Pubblica ed aggiorna l’elenco dei regimi di identificazione elettronica  Mette a disposizione degli Stati Membri la relazione annuale di ogni organismo di vigilanza  Pubblica gli elenchi di fiducia con le informazioni sui prestatori di servizi fiduciari qualificati ed i servizi fiduciari qualificati da essi prestati.  Mette a disposizione degli Stati Membri i nomi e gli indirizzi degli organismi deputati alla verifica della conformità dei dispositivi per la creazione di una firma elettronica qualificata  Redige, pubblica e mantiene l’elenco di dispositivi per la creazione di una firma elettronica qualificata certificati  Entro l’1/7/20 riesamina l’applicazione del regolamento e presenta una relazione al Parlamento europeo e al Consiglio valuta l’opportunità di modificare l’ambito di applicazione del regolamento o sue disposizioni specifiche. Poi, ogni 4 anni presenta una relazione sui progressi compiuti nella realizzazione degli obiettivi. Marzo 2015A cura di Guido Allegrezza 6
  • 7.  77 considerazioni preliminari  Capo I – Disposizioni Generali (artt. 1 – 5)  Capo II - Identificazione Elettronica (artt. 6 -12)  Capo III – Servizi Fiduciari (artt. 13 – 45) ◦ Sezione 1 – Aspetti generali (artt. 13 – 16) ◦ Sezione 2 – Vigilanza (artt. 17 – 19) ◦ Sezione 3 – Servizi fiduciari qualificati (artt. 20 – 24) ◦ Sezione 4 – Firme elettroniche (artt. 25 – 34) ◦ Sezione 5 – Sigilli elettronici (artt. 35 – 40) ◦ Sezione 6 – Validazione temporale elettronica (artt.41 – 42) ◦ Sezione 7 – Servizi elettronici di recapito certificato (artt.. 43 – 44) ◦ Sezione 8 – Autenticazione dei siti web (art. 45)  Capo IV – Documenti Elettronici (art. 46)  Capo V – Delega di potere e disposizioni di esecuzione (artt. 47 – 48)  Capo VI – Disposizioni finali (artt. 49 – 52)  Allegato I – Requisiti per i certificati qualificati di firma elettronica  Allegato II - Requisiti per i dispositivi per la creazione di una firma elettronica Qualificata  Allegato III – Requisiti per i certificati qualificati dei sigilli elettronici Marzo 2015A cura di Guido Allegrezza 7
  • 8.  Il regolamento è in vigore dal 17/09/2014  Sono applicate dal 17/09/14 le disposizioni contenute negli articoli: 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 e 48  Il resto del Regolamento si applica dall’1/07/2016, tranne:  Gli articoli 7, 8.1, 8.2, 9, 10, 11 e 12.1 che si applicano dal 18/09/15  L’art. 6 che si applica dal 18/09/18  Con effetto dall’1/07/16 la Direttiva 1999/93/CEE è abrogata Marzo 2015A cura di Guido Allegrezza 8
  • 9. A partire dall’1/07/2016:  I dispositivi per la creazione di una firma sicura conformi all’art. 3.4 Dir. 1999/93/CE, sono considerati dispositivi per la creazione di una firma elettronica qualificata a norma EIDAS  i certificati qualificati rilasciati a persone fisiche a norma della Dir. 1999/93/CE sono considerati fino alla loro scadenza dei certificati qualificati di firma elettronica a norma EIDAS  Per essere considerato prestatore di servizi fiduciari qualificato a norma EIDAS Il certificatore che rilascia certificati qualificati a norma della Dir. 1999/93/CE deve presentare entro l’1/07/17 presenta una relazione di valutazione della conformità all’organismo di vigilanza Marzo 2015A cura di Guido Allegrezza 9
  • 10. 7 atti di esecuzione devono essere adottare entro un anno dall’entrata in vigore:  3 atti di esecuzione sull'eID: Cooperazione tra Stati Membri (art. 12.7), Quadro di interoperabilità (art. 12.8), Livelli di garanzia eID (art. 8.3)  4 atti di esecuzione sui servizi fiduciari: Formati di firma elettronica (art. 27.4) e sigilli elettronici(art. 37.4), Elenchi di fiducia (art.22.5), Marchio di fiducia UE (art.23.3) Per gli atti secondari per i quali il regolamento non prevede uno specifico obbligo si valuterà caso per caso sulla base dei seguenti principi:  Certezza giuridica  Bisogni di mercato  Disponibilità delle norme tecniche  Compatibilità delle norme tecniche con i requisiti del Regolamento  Attività dell'Organismo Europeo di cooperazione per l'accreditamento previsto dal Regolamento 765/2008/CE  Risultati dell'approccio non regolamentare (attivita ENISA in base all' art. 19 eIDAS) Marzo 2015A cura di Guido Allegrezza 10
  • 11.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 11
  • 12.  Identificazione Elettronica: processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica.  Mezzi di Identificazione Elettronica: un’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online.  Dati di Identificazione Personale: insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica.  Regime di Identificazione Elettronica: sistema di identificazione elettronica per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche.  Autenticazione: processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica Marzo 2015A cura di Guido Allegrezza 12
  • 13.  I mezzi di identificazione elettronica rilasciati in un altro Stato membro possono essere utilizzati per l’accesso ai servizi online di un organismo pubblico di un altro Stato membro per cui è richiesta l’identificazione elettronica se:  sono rilasciati in un regime di identificazione elettronica riconosciuto (art. 9)  il loro livello di garanzia è pari o superiore a quello richiesto per accedere al servizio online e deve corrispondere al livello di garanzia significativo o elevato;  per l’accesso al servizio è utilizzato il livello di garanzia significativo o elevato  Se un mezzo di identificazione elettronica è rilasciato in un regime di identificazione elettronica riconosciuto con basso livello di garanzia la sua ammissibilità ai fini dell’autenticazione transfrontaliera è rimessa al singolo organismo che eroga il servizio online Marzo 2015A cura di Guido Allegrezza 13
  • 14.  Basso: fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona. Corrisponde al Livello LoA2 ISO/IES DIS 29115, con lo scopo di ridurre il rischio di uso abusivo o alterazione dell’identità;  Significativo: fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona. Corrisponde al Livello LoA3 ISO/IES DIS 29115, con lo scopo di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità;  Elevato: fornisce un grado di sicurezza più elevato dei mezzi di identificazione elettronica aventi un livello di garanzia significativo. Corrisponde al Livello LoA4 ISO/IES DIS 29115, con lo scopo di impedire l’uso abusivo o l’alterazione dell’identità. Marzo 2015A cura di Guido Allegrezza 14
  • 15.  I mezzi di identificazione elettronica nell’ambito del regime di identificazione elettronica: sono rilasciati dallo Stato membro notificante, su suo incarico o a titolo indipendente da altri soggetti e sono riconosciuti dallo Stato membro; possono essere utilizzati per accedere almeno a un servizio che è fornito da un organismo del settore pubblico e che richiede l’identificazione elettronica nello Stato membro notificante assieme al regime di identificazione elettronica, soddisfano i requisiti di almeno uno dei livelli di garanzia  Il regime deve essere interoperabile  L’autenticazione transfrontaliera è gratuita quando effettuata in relazione a un servizio online prestato da un organismo del settore pubblico  … Marzo 2015A cura di Guido Allegrezza 15
  • 16.  Lo Stato membro notificante :  Garantisce che i dati di identificazione rappresentano unicamente la persona fisica o giuridica cui sono stati attribuiti al momento dell’identificazione elettronica, conformemente alle specifiche tecniche, norme e procedure relative al pertinente livello di garanzia  Garantisce la disponibilità dell’autenticazione online per consentire di confermare i dati di identificazione personale  Non impone requisiti tecnici specifici sproporzionati alle parti facenti affidamento sulla certificazione che intendono effettuare tale autenticazione, (tali da impedire o ostacolare notevolmente l’interoperabilità dei regimi di identificazione elettronica notificati);  La parte che rilascia i mezzi di identificazione elettronica assicura che siano attribuiti alla persona identificata conformemente alle specifiche, norme e procedure tecniche relative al pertinente livello di garanzia Marzo 2015A cura di Guido Allegrezza 16
  • 17.  Entro settembre 2016 sarà costituito l’elenco UE dei regimi di identificazione, costituito dall’insieme dei regimi di identificazione notificati dai singoli Stati Membri, interoperabili e fondati sul principio della cooperazione fra Stati (art. 12)  Ciascuno Stato Membro notifica alla Commissione e agli altri Stati Membri eventuali violazioni della sicurezza di un proprio regime di identificazione con affidabilità transfrontaliera e provvede alla sua revoca o sospensione. Se viene posto rimedio notifica il ripristino del regime, in caso contrario entro 3 mesi dalla revoca o sospensione comunica il suo definitivo ritiro Marzo 2015A cura di Guido Allegrezza 17
  • 18.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) Marzo 2015A cura di Guido Allegrezza 18
  • 19.  Servizio Fiduciario: servizio elettronico fornito normalmente dietro remunerazione e consistente di: 1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure 2. creazione, verifica e convalida di certificati di autenticazione di siti web; oppure 3. conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;  Prestatore di Servizi Fiduciari: persona fisica o giuridica che presta uno o più servizi fiduciari (qualificato o non qualificato);  Organismo di Valutazione della Conformità: organismo accreditato dal regolamento (CE) n. 765/2008 (art. 2,13) come competente a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati; Marzo 2015A cura di Guido Allegrezza 19
  • 20.  Il prestatore di servizi fiduciari adotta misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare degli effetti negativi di eventuali incidenti.  Entro 24 ore dalla conoscenza di eventi di violazioni della sicurezza o di perdite di integrità con impatto significativo sui servizi fiduciari o sui dati personali, il prestatore di servizi fiduciari notifica l’accaduto all’organismo di vigilanza ed eventualmente ad altri organismi (ad es. l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati);  Analoga notifica è dovuta alla persona fisica o giuridica, se la violazione o la perdita possono avere effetti negativi su di essa  Se la violazione o la perdita riguarda due o più Stati membri, l’organismo di vigilanza informa gli organismi di vigilanza negli altri Stati membri interessati e l’ENISA. Se l’evento è di interesse pubblico, informa il pubblico o impone di farlo al prestatore di servizi fiduciari. Marzo 2015A cura di Guido Allegrezza 20
  • 21.  Il prestatore di servizi fiduciari risponde dei danni causati con dolo o negligenza a persone fisiche e giuridiche derivanti da mancato adempimento dei suoi obblighi:  Se il prestatore di servizio fiduciario è qualificato, deve dimostrare l’assenza di dolo o negligenza;  Se il prestatore di servizio fiduciario non è qualificato, l’onere della prova della negligenza e del è a carico di chi denuncia il danno;  Il prestatore di servizi fiduciari non risponde dei danni derivanti dall’uso dei servizi se:  Informa debitamente e preventivamente gli utilizzatori delle loro limitazioni d’uso, e  Se le limitazioni sono riconoscibili da parte di terzi  Ove possibile, i servizi fiduciari prestati e i prodotti destinati all’utilizzatore finale impiegati per la prestazione di detti servizi sono resi accessibili alle persone con disabilità (art. 14) Marzo 2015A cura di Guido Allegrezza 21
  • 22.  Effettua due tipi di vigilanza, per assicurare la conformità dei servizi erogati al regolamento :  preventiva e a posteriori sui prestatori di servizi fiduciari qualificati  su segnalazione ed a posteriori sui prestatori di servizi fiduciari non qualificati  Impone ai prestatori di servizi fiduciari di porre rimedio agli inadempimenti al regolamento  Ha l’obbligo reciproco di assistenza verso gli altri organismi di vigilanza (salvo le eccezioni previste), in particolare per richieste di informazioni e misure di vigilanza  Una volta all’anno trasmette all’ENISA una sintesi delle notifiche di violazione di sicurezza e perdita di integrità pervenute dai prestatori di servizi fiduciari. Marzo 2015A cura di Guido Allegrezza 22
  • 23.  Servizio Fiduciario Qualificato: servizio fiduciario che soddisfa i seguenti requisiti : 1. Il prestatore è sottoposto almeno ogni 24 mesi alla verifica a proprie spese della sussistenza dei requisiti richiesti dal regolamento (art. 20); 2. L’organismo di vigilanza può in qualunque momento effettuare a spese del prestatore un audit di verifica della conformità al regolamento (art. 20); 3. È stato verificato, qualificato ed iscritto negli elenchi di fiducia dall’organismo di vigilanza (artt. 21 e 22)  Prestatore di Servizi Fiduciari Qualificato: prestatore di servizi fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore di servizi fiduciari qualificato  I Prestatori di servizi fiduciari qualificati possono utilizzare e-Mark U Trust, il marchio di fiducia UE Marzo 2015A cura di Guido Allegrezza 23
  • 24.  Quando rilascia un certificato qualificato per un servizio fiduciario, verifica l’identità ed eventuali attributi specifici della persona fisica o giuridica che lo ha richiesto;  Rende disponibili in modo automatizzato affidabile, gratuito ed efficiente informazioni sulla validità e sulla revoca di ogni certificato rilasciato, anche dopo la scadenza del certificato;  Inoltre, fra i numerosi requisiti richiesti, si segnalano:  Impiego di personale dotato di competenza, affidabilità, esperienza e qualifiche necessarie e  Dotazione di idonee coperture finanziarie ed assicurative  Comportamenti trasparenti verso i richiedenti e verso l’organismo di vigilanza  Impiego di tecnologie affidabili e protette da alterazioni ed adozione di adeguate misure contro falsificazione furto di dati  Registra e mantiene accessibili anche dopo la cessazione dell’attività le informazioni relative ai dati ricevuti e rilasciati, con specifico riguardo alle prove richieste in procedimenti giudiziali e alla continuità del servizio  (all. 2) Quando gestiscono dati per la creazione di una firma elettronica per conto del firmatario possono duplicarli solo per back-up, purché:  la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza di quelli originali;  il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio. Marzo 2015A cura di Guido Allegrezza 24
  • 25.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 25
  • 26. LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 26 Firma Elettronica: dati in forma elettronica acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare; Firma Elettronica Avanzata: firma elettronica connessa unicamente al firmatario, idonea ad identificarlo, creata mediante dati per al creazione di una firma elettronica che il firmatario può utilizzare sotto il proprio esclusivo controllo con elevato livello di sicurezza e collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni loro successiva modifica (art. 26); Firma Elettronica Qualificata: firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche
  • 27.  Firma Elettronica: ha gli effetti giuridici e il valore di prova riconosciuto dall’ordinamento nazionale alla firma autografa  Le Firme Elettroniche Avanzate emesse negli stati membri possono essere utilizzate nei servizi on line del settore pubblico di un qualunque altro stato membro se sono conformi alle prescrizioni emanate dalla Commissione  Se la Firma Elettronica Qualificata è basata su un certificato qualificato rilasciato in un Stato membro, è riconosciuta come firma elettronica qualificata in ogni Stato membro. Marzo 2015A cura di Guido Allegrezza 27
  • 28. Il Regolamento prescrive alcuni requisiti specifici per il valido utilizzo delle firme elettroniche qualificate in merito a: Certificati qualificati necessari per la firma qualificata; Dispositivi per la creazione della firma; Certificazione dei dispositivi per la creazione della firma Convalida della firma Conservazione della firma Marzo 2015A cura di Guido Allegrezza 28
  • 29. I certificati qualificati necessari per la firma qualificata contengono: a. Indicazione che è stato rilasciato quale certificato qualificato di firma elettronica; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica o nome della persona fisica; c. nome o pseudonimo del firmatario; d. dati di convalida della firma elettronica (corrispondenti ai dati utilizzati per la creazione della firma elettronica); e. inizio e fine del periodo di validità del certificato; f. codice univoco di identità del certificato; g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che rilascia il certificato, con indicazione del luogo di disponibilità gratuita per le verifiche e dell’ubicazione dei servizi per verificare la validità del certificato qualificato; h. se del caso, indicazione del fatto che i dati per la creazione di una firma elettronica connessi ai dati di convalida sono ubicati in un dispositivo per la creazione di una firma elettronica qualificata Marzo 2015A cura di Guido Allegrezza 29
  • 30. I dispositivi per la creazione di una firma elettronica qualificata garantiscono almeno che: a. i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica: 1. Sono ragionevolmente riservati; 2. possono comparire in pratica una sola volta; 3. non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili; 4. possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi. b. non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma. c. la generazione o la gestione dei dati per la creazione di una firma elettronica per conto del firmatario può essere effettuata solo da un prestatore di servizi fiduciari qualificato. Marzo 2015A cura di Guido Allegrezza 30
  • 31.  La conformità dei dispositivi per la creazione di una firma elettronica è certificata da appropriati organismi pubblici o privati designati dagli Stati membri e inseriti nell’elenco pubblicato dalla Commissione  La certificazione si basa su uno dei seguenti elementi: a. un processo di valutazione di sicurezza condotto conformemente a una delle norme per la valutazione di sicurezza dei prodotti informatici incluse nell’elenco pubblicato dalla Commissione b. un processo diverso che utilizzi livelli di sicurezza comparabili e che sia stato notificato alla Commissione. Tale processo può essere utilizzato solo in assenza di una norma per la valutazione di sicurezza dei prodotti informatici oppure quando è in corso un processo di valutazione di sicurezza a. Gli Stati membri notificano alla Commissione le informazioni sulla certificazione dei dispositivi certificati dagli organismi. Marzo 2015A cura di Guido Allegrezza 31
  • 32.  Il sistema utilizzato per convalidare la firma elettronica qualificata fornisce alla parte facente affidamento sulla certificazione il risultato corretto del processo di convalida e consente di rilevare eventuali questioni attinenti alla sicurezza.  I servizi di convalida e conservazione qualificata delle firme elettroniche qualificate possono essere forniti solo da prestatori qualificati che utilizzano procedure e tecnologie in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica;  La firma elettronica qualificata è valida se: a. il certificato utilizzato al momento della firma era valido, conforme al regolamento e rilasciato da un prestatore di servizi fiduciari qualificato; b. i dati di convalida corrispondano a quelli trasmessi alla parte facente affidamento sulla certificazione; c. l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione; d. l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione; e. la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata e possieda tutti i requisiti di validità di una firma elettronica avanzata; f. l’integrità dei dati firmati non sia stata compromessa. Marzo 2015A cura di Guido Allegrezza 32
  • 33.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 33
  • 34. LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 34 Sigillo Elettronico: dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi; Sigillo Elettronico Avanzato: sigillo elettronico connesso unicamente al creatore del sigillo, idoneo a identificarlo, creato mediante dati che questi può (con un elevato livello di sicurezza) usare sotto il proprio controllo e che è collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni loro successiva modifica; Sigillo Elettronico Qualificato: sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici
  • 35.  Sigillo Elettronico: ha gli effetti giuridici riconosciuti dall’ordinamento nazionale in materia di validità o garanzia di autenticità o integrità  I Sigilli Elettronici Avanzati emessi negli stati membri possono essere utilizzati nei servizi on line del settore pubblico di un qualunque altro stato membro se sono conformi alle prescrizioni emanate dalla Commissione  Se il Sigillo Elettronico Qualificato è basato su un certificato qualificato rilasciato in un Stato membro, è riconosciuto come firma elettronica qualificata in ogni Stato membro.  Si applicano ai Sigilli Elettronici Qualificati le stesse disposizioni previste per le Firme Elettroniche Qualificate relativamente ai dispositivi per la creazione di sigilli elettronici qualificati, alla loro certificazione, all’elenco di dispositivi e alla convalida. Marzo 2015A cura di Guido Allegrezza 35
  • 36. I certificati qualificati necessari per il sigillo qualificato contengono: a. indicazione che è stato rilasciato quale certificato qualificato di sigillo elettronico; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica o nome della persona fisica c. almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali; d. dati di convalida del sigillo elettronico (corrispondenti ai dati per la creazione di un sigillo elettronico); e. inizio e fine del periodo di validità del certificato; f. codice univoco di identità del certificato; g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che rilascia il certificato, con indicazione del luogo di disponibilità gratuita per le verifiche e dell’ubicazione dei servizi per verificare la validità del certificato qualificato h. se del caso, indicazione del fatto che i dati per la creazione di un sigillo elettronico connessi ai dati di convalida sono ubicati in un dispositivo per la creazione di un sigillo elettronico qualificato Marzo 2015A cura di Guido Allegrezza 36
  • 37.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 37
  • 38. LOGO PARTNER Marzo 2015A cura di Guido Allegrezza 38 Validazione Temporale Elettronica: dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento Validazione Temporale Elettronica Qualificata: una validazione temporale elettronica che collega la date e l’ora ai dati in modo da escludere ragionevolmente la possibilità di loro modifiche non rilevabili, che si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato e che è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente
  • 39.  Validazione Temporale Elettronica: ha gli effetti giuridici riconosciuti dall’ordinamento nazionale in materia di garanzia temporale e di integrità dei dati associati  La data e l’ora che indica una Validazione Temporale Elettronica Qualificata si presumono accurate  I dati associati alla data e all’ora di una Validazione Temporale Elettronica Qualificata si presumono integri  (errore nel testo) Se la Validazione Temporale Elettronica Qualificata è basata su un certificato qualificato rilasciato in un Stato membro, è riconosciuta come Validazione Temporale Elettronica Qualificata in ogni Stato membro. Marzo 2015A cura di Guido Allegrezza 39
  • 40.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 40
  • 41.  I dati inviati e ricevuti mediante un Servizio Elettronico di Recapito Certificato hanno gli effetti giuridici riconosciuti dall’ordinamento in materia di notifica postale  I dati del Servizio Elettronico di Recapito Certificato Qualificato relativi ai dati inviati dal mittente identificato e a quelli ricevuti dal destinatario identificato si presumono integri  La data e l’ora dell’invio e la ricezione indicate dal Servizio Elettronico di Recapito Certificato Qualificato si presumono accurati  Il servizio Elettronico di Recapito Certificato Qualificato: a. È fornito da un prestatore di servizi fiduciari qualificati; b. garantisce con un elevato livello di sicurezza l’identificazione del mittente e del destinatario prima della trasmissione dei dati; c. invio e ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati; d. qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi; e. data e ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata. Marzo 2015A cura di Guido Allegrezza 41
  • 42.  Aspetti generali del Regolamento EIDAS  Regimi di Identificazione Elettronica  Servizio fiduciario  Aspetti specifici dei servizi fiduciari (firma, certificati, sigilli, validazione temporale) ◦ Firma Elettronica ◦ Sigillo Elettronico ◦ Validazione Temporale ◦ Servizi Elettronici di Recapito Certificato ◦ Autenticazione Web Marzo 2015A cura di Guido Allegrezza 42
  • 43. Il certificato qualificato di autenticazione di siti web contiene: a. Indicazione che è stato rilasciato quale certificato qualificato di autenticazione di sito web; b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e numero di registrazione della persona giuridica cui è stato rilasciato o nome della persona fisica cui è stato rilasciato (con indicazione delle pseudonimo, se utilizzato); c. elementi dell’indirizzo (almeno città e Stato del soggetto cui è rilasciato); d. nome del dominio o dei domini gestiti dal soggetto cui è rilasciato; e. indicazione di inizio e fine del periodo di validità; f. il codice di identità del certificato (unico per il prestatore di servizi fiduciari qualificato); g. la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che lo rilascia; h. il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato è disponibile gratuitamente per la verifica; i. l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato. Marzo 2015A cura di Guido Allegrezza 43