Una Panoramica sul Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE)
Presentazione andaf presentazione a cjr 6.5.2019 estratto
Regolamento EIDAS - G. Allegrezza
1. Regolamento UE 910/2014 del Parlamento
Europeo e della Consiglio del 23/7/2014 In
materia di identificazione elettronica e
servizi fiduciari per le transazioni
elettroniche nel mercato interno
(abrogazione direttiva 1999/93/CE)
Marzo 2015A cura di Guido Allegrezza 1
2. Aspetti generali del Regolamento EIDAS
Regimi di Identificazione Elettronica
Servizio fiduciario
Aspetti specifici dei servizi fiduciari (firma,
certificati, sigilli, validazione temporale)
Marzo 2015A cura di Guido Allegrezza 2
3. Promuovere ed agevolare la nascita di un quadro tecnico-giuridico unico,
omogeneo e interoperabile a livello europeo, relativamente ai Trusted
Services (servizi fiduciari), per migliorare l’efficacia dei servizi elettronici
pubblici e privati, delle transazioni elettroniche e del commercio elettronico
nell'Unione europea
Per i Trusted Services la fiducia verso il prestatore è essenziale e gli
operatori sono sottoposti a vigilanza e controllo da parte degli stati
membri, per garantire certezza e fiducia (firme elettroniche, sigilli elettronici,
validazioni temporali elettroniche, documenti elettronici, raccomandata
elettronica, certificazione per autenticazione web)
Marzo 2015A cura di Guido Allegrezza 3
4. Da una Direttiva soggetta al recepimento, si passa ad un Regolamento
Europeo pienamente in vigore, senza ulteriori passaggi intermedi;
La Commissione Europea è investita del potere di emanare atti esecutivi,
che sono direttamente operativi nell’ambito delle disposizioni del
Regolamento;
È istituito un quadro tecnico-giuridico per servizi fiduciari transfrontalieri
armonico, unitario ed interoperabile, nel cui ambito i paesi membri
mantengono ampi margini di manovra rispetto all’adozione di tecnologie e
processi operativi, pur nel rispetto degli elementi comuni adottati come
riferimento (standard tecnologici, definizioni, concetti giuridici, valore legale
degli strumenti definiti ed adottati, ecc.);
Nasce la figura del prestatore di servizi fiduciari riconosciuto a livello
europeo, che si attiene agli standard di riferimento ed è sottoposto a
specifica vigilanza.
Marzo 2015A cura di Guido Allegrezza 4
5. LOGO PARTNER
Marzo 2015A cura di Guido Allegrezza 5
COMMISSIONE UE
STATO MEMBRO
REGIME DI IDENTIFICAZIONE
(sistema di identificazione elettronica per persone fisiche o
giuridiche)
Organismo di valutazione
della conformità
Servizi fiduciari Prestatore
Servizi
qualificati
Elenco di
fiducia
SERVIZIO FIDUCIARIO
• Creazione, verifica e convalida di
firme elettroniche, sigilli elettronici,
validazioni temporali elettroniche,
recapito certificato (con i rispettivi
certificati elettronici)
• Creazione, verifica e convalida di
certificati di autenticazione web
• Conservazione di firme, sigilli o
relativi certificati elettronici
NotificaElenco regimi di
identificazione
Regolamento
6. La Commissione mantiene la potestà di emanare atti di esecuzione e delegati per
completare ed integrare la normativa
Pubblica ed aggiorna l’elenco dei regimi di identificazione elettronica
Mette a disposizione degli Stati Membri la relazione annuale di ogni organismo di
vigilanza
Pubblica gli elenchi di fiducia con le informazioni sui prestatori di servizi fiduciari
qualificati ed i servizi fiduciari qualificati da essi prestati.
Mette a disposizione degli Stati Membri i nomi e gli indirizzi degli organismi deputati
alla verifica della conformità dei dispositivi per la creazione di una firma elettronica
qualificata
Redige, pubblica e mantiene l’elenco di dispositivi per la creazione di una firma
elettronica qualificata certificati
Entro l’1/7/20 riesamina l’applicazione del regolamento e presenta una relazione al
Parlamento europeo e al Consiglio valuta l’opportunità di modificare l’ambito di
applicazione del regolamento o sue disposizioni specifiche. Poi, ogni 4 anni presenta
una relazione sui progressi compiuti nella realizzazione degli obiettivi.
Marzo 2015A cura di Guido Allegrezza 6
7. 77 considerazioni preliminari
Capo I – Disposizioni Generali (artt. 1
– 5)
Capo II - Identificazione Elettronica
(artt. 6 -12)
Capo III – Servizi Fiduciari (artt. 13 –
45)
◦ Sezione 1 – Aspetti generali (artt. 13 –
16)
◦ Sezione 2 – Vigilanza (artt. 17 – 19)
◦ Sezione 3 – Servizi fiduciari qualificati
(artt. 20 – 24)
◦ Sezione 4 – Firme elettroniche (artt. 25 –
34)
◦ Sezione 5 – Sigilli elettronici (artt. 35 –
40)
◦ Sezione 6 – Validazione temporale
elettronica (artt.41 – 42)
◦ Sezione 7 – Servizi elettronici di recapito
certificato (artt.. 43 – 44)
◦ Sezione 8 – Autenticazione dei siti web
(art. 45)
Capo IV – Documenti Elettronici (art.
46)
Capo V – Delega di potere e
disposizioni di esecuzione (artt. 47 –
48)
Capo VI – Disposizioni finali (artt. 49 –
52)
Allegato I – Requisiti per i certificati
qualificati di firma elettronica
Allegato II - Requisiti per i dispositivi
per la creazione di una firma
elettronica Qualificata
Allegato III – Requisiti per i certificati
qualificati dei sigilli elettronici
Marzo 2015A cura di Guido Allegrezza 7
8. Il regolamento è in vigore dal 17/09/2014
Sono applicate dal 17/09/14 le disposizioni contenute negli articoli:
9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3,
32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 e 48
Il resto del Regolamento si applica dall’1/07/2016, tranne:
Gli articoli 7, 8.1, 8.2, 9, 10, 11 e 12.1 che si applicano dal 18/09/15
L’art. 6 che si applica dal 18/09/18
Con effetto dall’1/07/16 la Direttiva 1999/93/CEE è abrogata
Marzo 2015A cura di Guido Allegrezza 8
9. A partire dall’1/07/2016:
I dispositivi per la creazione di una firma sicura conformi all’art. 3.4 Dir.
1999/93/CE, sono considerati dispositivi per la creazione di una firma
elettronica qualificata a norma EIDAS
i certificati qualificati rilasciati a persone fisiche a norma della Dir.
1999/93/CE sono considerati fino alla loro scadenza dei certificati qualificati di
firma elettronica a norma EIDAS
Per essere considerato prestatore di servizi fiduciari qualificato a norma
EIDAS Il certificatore che rilascia certificati qualificati a norma della Dir.
1999/93/CE deve presentare entro l’1/07/17 presenta una relazione di
valutazione della conformità all’organismo di vigilanza
Marzo 2015A cura di Guido Allegrezza 9
10. 7 atti di esecuzione devono essere adottare entro un anno dall’entrata in vigore:
3 atti di esecuzione sull'eID: Cooperazione tra Stati Membri (art. 12.7),
Quadro di interoperabilità (art. 12.8), Livelli di garanzia eID (art. 8.3)
4 atti di esecuzione sui servizi fiduciari: Formati di firma elettronica (art.
27.4) e sigilli elettronici(art. 37.4), Elenchi di fiducia (art.22.5), Marchio di
fiducia UE (art.23.3)
Per gli atti secondari per i quali il regolamento non prevede uno specifico obbligo
si valuterà caso per caso sulla base dei seguenti principi:
Certezza giuridica
Bisogni di mercato
Disponibilità delle norme tecniche
Compatibilità delle norme tecniche con i requisiti del Regolamento
Attività dell'Organismo Europeo di cooperazione per l'accreditamento previsto dal
Regolamento 765/2008/CE
Risultati dell'approccio non regolamentare (attivita ENISA in base all' art. 19
eIDAS)
Marzo 2015A cura di Guido Allegrezza 10
11. Aspetti generali del Regolamento EIDAS
Regimi di Identificazione Elettronica
Servizio fiduciario
Aspetti specifici dei servizi fiduciari (firma,
certificati, sigilli, validazione temporale)
Marzo 2015A cura di Guido Allegrezza 11
12. Identificazione Elettronica: processo per cui si fa uso di dati di
identificazione personale in forma elettronica che rappresentano un’unica
persona fisica o giuridica, o un’unica persona fisica che rappresenta una
persona giuridica.
Mezzi di Identificazione Elettronica: un’unità materiale e/o immateriale
contenente dati di identificazione personale e utilizzata per l’autenticazione
per un servizio online.
Dati di Identificazione Personale: insieme di dati che consente di stabilire
l’identità di una persona fisica o giuridica, o di una persona fisica che
rappresenta una persona giuridica.
Regime di Identificazione Elettronica: sistema di identificazione elettronica
per cui si forniscono mezzi di identificazione elettronica alle persone fisiche o
giuridiche, o alle persone fisiche che rappresentano persone giuridiche.
Autenticazione: processo elettronico che consente di confermare
l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e
l’integrità di dati in forma elettronica
Marzo 2015A cura di Guido Allegrezza 12
13. I mezzi di identificazione elettronica rilasciati in un altro Stato
membro possono essere utilizzati per l’accesso ai servizi online di un
organismo pubblico di un altro Stato membro per cui è richiesta
l’identificazione elettronica se:
sono rilasciati in un regime di identificazione elettronica riconosciuto (art. 9)
il loro livello di garanzia è pari o superiore a quello richiesto per accedere al
servizio online e deve corrispondere al livello di garanzia significativo o elevato;
per l’accesso al servizio è utilizzato il livello di garanzia significativo o elevato
Se un mezzo di identificazione elettronica è rilasciato in un regime di
identificazione elettronica riconosciuto con basso livello di garanzia
la sua ammissibilità ai fini dell’autenticazione transfrontaliera è
rimessa al singolo organismo che eroga il servizio online
Marzo 2015A cura di Guido Allegrezza 13
14. Basso: fornisce un grado di sicurezza limitato riguardo all’identità pretesa o
dichiarata di una persona. Corrisponde al Livello LoA2 ISO/IES DIS 29115,
con lo scopo di ridurre il rischio di uso abusivo o alterazione dell’identità;
Significativo: fornisce un grado di sicurezza significativo riguardo all’identità
pretesa o dichiarata di una persona. Corrisponde al Livello LoA3 ISO/IES DIS
29115, con lo scopo di ridurre significativamente il rischio di uso abusivo
o alterazione dell’identità;
Elevato: fornisce un grado di sicurezza più elevato dei mezzi di
identificazione elettronica aventi un livello di garanzia significativo.
Corrisponde al Livello LoA4 ISO/IES DIS 29115, con lo scopo di impedire
l’uso abusivo o l’alterazione dell’identità.
Marzo 2015A cura di Guido Allegrezza 14
15. I mezzi di identificazione elettronica nell’ambito del regime di identificazione
elettronica:
sono rilasciati dallo Stato membro notificante, su suo incarico o a
titolo indipendente da altri soggetti e sono riconosciuti dallo Stato
membro;
possono essere utilizzati per accedere almeno a un servizio che è
fornito da un organismo del settore pubblico e che richiede
l’identificazione elettronica nello Stato membro notificante
assieme al regime di identificazione elettronica, soddisfano i
requisiti di almeno uno dei livelli di garanzia
Il regime deve essere interoperabile
L’autenticazione transfrontaliera è gratuita quando effettuata in relazione a
un servizio online prestato da un organismo del settore pubblico
…
Marzo 2015A cura di Guido Allegrezza 15
16. Lo Stato membro notificante :
Garantisce che i dati di identificazione rappresentano unicamente la
persona fisica o giuridica cui sono stati attribuiti al momento
dell’identificazione elettronica, conformemente alle specifiche tecniche,
norme e procedure relative al pertinente livello di garanzia
Garantisce la disponibilità dell’autenticazione online per consentire di
confermare i dati di identificazione personale
Non impone requisiti tecnici specifici sproporzionati alle parti facenti
affidamento sulla certificazione che intendono effettuare tale
autenticazione, (tali da impedire o ostacolare notevolmente
l’interoperabilità dei regimi di identificazione elettronica notificati);
La parte che rilascia i mezzi di identificazione elettronica assicura
che siano attribuiti alla persona identificata conformemente alle
specifiche, norme e procedure tecniche relative al pertinente livello di
garanzia
Marzo 2015A cura di Guido Allegrezza 16
17. Entro settembre 2016 sarà costituito l’elenco UE dei regimi di
identificazione, costituito dall’insieme dei regimi di identificazione
notificati dai singoli Stati Membri, interoperabili e fondati sul principio
della cooperazione fra Stati (art. 12)
Ciascuno Stato Membro notifica alla Commissione e agli altri Stati
Membri eventuali violazioni della sicurezza di un proprio regime di
identificazione con affidabilità transfrontaliera e provvede alla sua
revoca o sospensione. Se viene posto rimedio notifica il ripristino del
regime, in caso contrario entro 3 mesi dalla revoca o sospensione
comunica il suo definitivo ritiro
Marzo 2015A cura di Guido Allegrezza 17
18. Aspetti generali del Regolamento EIDAS
Regimi di Identificazione Elettronica
Servizio fiduciario
Aspetti specifici dei servizi fiduciari (firma,
certificati, sigilli, validazione temporale)
Marzo 2015A cura di Guido Allegrezza 18
19. Servizio Fiduciario: servizio elettronico fornito normalmente dietro
remunerazione e consistente di:
1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni
temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a
tali servizi; oppure
2. creazione, verifica e convalida di certificati di autenticazione di siti web; oppure
3. conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;
Prestatore di Servizi Fiduciari: persona fisica o giuridica che presta
uno o più servizi fiduciari (qualificato o non qualificato);
Organismo di Valutazione della Conformità: organismo accreditato
dal regolamento (CE) n. 765/2008 (art. 2,13) come competente a
effettuare la valutazione della conformità del prestatore di servizi
fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati;
Marzo 2015A cura di Guido Allegrezza 19
20. Il prestatore di servizi fiduciari adotta misure per prevenire e minimizzare
l’impatto degli incidenti di sicurezza e informare degli effetti negativi di
eventuali incidenti.
Entro 24 ore dalla conoscenza di eventi di violazioni della sicurezza o di
perdite di integrità con impatto significativo sui servizi fiduciari o sui dati
personali, il prestatore di servizi fiduciari notifica l’accaduto all’organismo di
vigilanza ed eventualmente ad altri organismi (ad es. l’ente nazionale
competente per la sicurezza delle informazioni o l’autorità di protezione dei
dati);
Analoga notifica è dovuta alla persona fisica o giuridica, se la violazione o la
perdita possono avere effetti negativi su di essa
Se la violazione o la perdita riguarda due o più Stati membri, l’organismo di
vigilanza informa gli organismi di vigilanza negli altri Stati membri interessati e
l’ENISA. Se l’evento è di interesse pubblico, informa il pubblico o impone di
farlo al prestatore di servizi fiduciari.
Marzo 2015A cura di Guido Allegrezza 20
21. Il prestatore di servizi fiduciari risponde dei danni causati con dolo o
negligenza a persone fisiche e giuridiche derivanti da mancato
adempimento dei suoi obblighi:
Se il prestatore di servizio fiduciario è qualificato, deve dimostrare l’assenza
di dolo o negligenza;
Se il prestatore di servizio fiduciario non è qualificato, l’onere della prova della
negligenza e del è a carico di chi denuncia il danno;
Il prestatore di servizi fiduciari non risponde dei danni derivanti
dall’uso dei servizi se:
Informa debitamente e preventivamente gli utilizzatori delle loro limitazioni d’uso, e
Se le limitazioni sono riconoscibili da parte di terzi
Ove possibile, i servizi fiduciari prestati e i prodotti destinati
all’utilizzatore finale impiegati per la prestazione di detti servizi sono
resi accessibili alle persone con disabilità (art. 14)
Marzo 2015A cura di Guido Allegrezza 21
22. Effettua due tipi di vigilanza, per assicurare la conformità dei servizi
erogati al regolamento :
preventiva e a posteriori sui prestatori di servizi fiduciari qualificati
su segnalazione ed a posteriori sui prestatori di servizi fiduciari non qualificati
Impone ai prestatori di servizi fiduciari di porre rimedio agli
inadempimenti al regolamento
Ha l’obbligo reciproco di assistenza verso gli altri organismi di
vigilanza (salvo le eccezioni previste), in particolare per richieste di
informazioni e misure di vigilanza
Una volta all’anno trasmette all’ENISA una sintesi delle notifiche di
violazione di sicurezza e perdita di integrità pervenute dai prestatori di
servizi fiduciari.
Marzo 2015A cura di Guido Allegrezza 22
23. Servizio Fiduciario Qualificato: servizio fiduciario che soddisfa i
seguenti requisiti :
1. Il prestatore è sottoposto almeno ogni 24 mesi alla verifica a proprie spese della
sussistenza dei requisiti richiesti dal regolamento (art. 20);
2. L’organismo di vigilanza può in qualunque momento effettuare a spese del
prestatore un audit di verifica della conformità al regolamento (art. 20);
3. È stato verificato, qualificato ed iscritto negli elenchi di fiducia dall’organismo di
vigilanza (artt. 21 e 22)
Prestatore di Servizi Fiduciari Qualificato: prestatore di servizi
fiduciari che presta uno o più servizi fiduciari qualificati e cui
l’organismo di vigilanza assegna la qualifica di prestatore di servizi
fiduciari qualificato
I Prestatori di servizi fiduciari qualificati
possono utilizzare e-Mark U Trust,
il marchio di fiducia UE
Marzo 2015A cura di Guido Allegrezza 23
24. Quando rilascia un certificato qualificato per un servizio fiduciario, verifica l’identità ed
eventuali attributi specifici della persona fisica o giuridica che lo ha richiesto;
Rende disponibili in modo automatizzato affidabile, gratuito ed efficiente informazioni
sulla validità e sulla revoca di ogni certificato rilasciato, anche dopo la scadenza del
certificato;
Inoltre, fra i numerosi requisiti richiesti, si segnalano:
Impiego di personale dotato di competenza, affidabilità, esperienza e qualifiche necessarie e
Dotazione di idonee coperture finanziarie ed assicurative
Comportamenti trasparenti verso i richiedenti e verso l’organismo di vigilanza
Impiego di tecnologie affidabili e protette da alterazioni ed adozione di adeguate misure contro falsificazione
furto di dati
Registra e mantiene accessibili anche dopo la cessazione dell’attività le informazioni relative ai dati ricevuti e
rilasciati, con specifico riguardo alle prove richieste in procedimenti giudiziali e alla continuità del servizio
(all. 2) Quando gestiscono dati per la creazione di una firma elettronica per conto del
firmatario possono duplicarli solo per back-up, purché:
la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza di quelli originali;
il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio.
Marzo 2015A cura di Guido Allegrezza 24
25. Aspetti generali del Regolamento EIDAS
Regimi di Identificazione Elettronica
Servizio fiduciario
Aspetti specifici dei servizi fiduciari (firma,
certificati, sigilli, validazione temporale)
◦ Firma Elettronica
◦ Sigillo Elettronico
◦ Validazione Temporale
◦ Servizi Elettronici di Recapito Certificato
◦ Autenticazione Web
Marzo 2015A cura di Guido Allegrezza 25
26. LOGO PARTNER
Marzo 2015A cura di Guido Allegrezza 26
Firma Elettronica: dati in forma elettronica acclusi oppure connessi tramite
associazione logica ad altri dati elettronici e utilizzati dal firmatario per
firmare;
Firma Elettronica Avanzata: firma elettronica connessa unicamente al
firmatario, idonea ad identificarlo, creata mediante dati per al creazione di
una firma elettronica che il firmatario può utilizzare sotto il proprio
esclusivo controllo con elevato livello di sicurezza e collegata ai dati
sottoscritti in modo da consentire l’identificazione di ogni loro successiva
modifica (art. 26);
Firma Elettronica Qualificata: firma elettronica avanzata creata da un
dispositivo per la creazione di una firma elettronica qualificata e basata
su un certificato qualificato per firme elettroniche
27. Firma Elettronica: ha gli effetti giuridici e il valore di prova
riconosciuto dall’ordinamento nazionale alla firma autografa
Le Firme Elettroniche Avanzate emesse negli stati membri possono
essere utilizzate nei servizi on line del settore pubblico di un
qualunque altro stato membro se sono conformi alle prescrizioni
emanate dalla Commissione
Se la Firma Elettronica Qualificata è basata su un certificato
qualificato rilasciato in un Stato membro, è riconosciuta come firma
elettronica qualificata in ogni Stato membro.
Marzo 2015A cura di Guido Allegrezza 27
28. Il Regolamento prescrive alcuni requisiti specifici per
il valido utilizzo delle firme elettroniche qualificate in
merito a:
Certificati qualificati necessari per la firma
qualificata;
Dispositivi per la creazione della firma;
Certificazione dei dispositivi per la creazione della
firma
Convalida della firma
Conservazione della firma
Marzo 2015A cura di Guido Allegrezza 28
29. I certificati qualificati necessari per la firma qualificata contengono:
a. Indicazione che è stato rilasciato quale certificato qualificato di firma elettronica;
b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari
qualificato che lo ha rilasciato, indicazione almeno dello Stato membro in cui il
prestatore è stabilito, nome e numero di registrazione della persona giuridica o
nome della persona fisica;
c. nome o pseudonimo del firmatario;
d. dati di convalida della firma elettronica (corrispondenti ai dati utilizzati per la
creazione della firma elettronica);
e. inizio e fine del periodo di validità del certificato;
f. codice univoco di identità del certificato;
g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che
rilascia il certificato, con indicazione del luogo di disponibilità gratuita per le
verifiche e dell’ubicazione dei servizi per verificare la validità del certificato
qualificato;
h. se del caso, indicazione del fatto che i dati per la creazione di una firma elettronica
connessi ai dati di convalida sono ubicati in un dispositivo per la creazione di una
firma elettronica qualificata
Marzo 2015A cura di Guido Allegrezza 29
30. I dispositivi per la creazione di una firma elettronica qualificata garantiscono
almeno che:
a. i dati per la creazione di una firma elettronica utilizzati per creare una firma
elettronica:
1. Sono ragionevolmente riservati;
2. possono comparire in pratica una sola volta;
3. non possono, con un grado ragionevole di sicurezza, essere derivati e la
firma elettronica è attendibilmente protetta da contraffazioni compiute con
l’impiego di tecnologie attualmente disponibili;
4. possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da
parte di terzi.
b. non alterano i dati da firmare né impediscono che tali dati siano presentati al
firmatario prima della firma.
c. la generazione o la gestione dei dati per la creazione di una firma elettronica per
conto del firmatario può essere effettuata solo da un prestatore di servizi fiduciari
qualificato.
Marzo 2015A cura di Guido Allegrezza 30
31. La conformità dei dispositivi per la creazione di una firma elettronica è
certificata da appropriati organismi pubblici o privati designati dagli
Stati membri e inseriti nell’elenco pubblicato dalla Commissione
La certificazione si basa su uno dei seguenti elementi:
a. un processo di valutazione di sicurezza condotto conformemente a una
delle norme per la valutazione di sicurezza dei prodotti informatici incluse
nell’elenco pubblicato dalla Commissione
b. un processo diverso che utilizzi livelli di sicurezza comparabili e che sia
stato notificato alla Commissione. Tale processo può essere utilizzato
solo in assenza di una norma per la valutazione di sicurezza dei prodotti
informatici oppure quando è in corso un processo di valutazione di
sicurezza
a. Gli Stati membri notificano alla Commissione le informazioni sulla
certificazione dei dispositivi certificati dagli organismi.
Marzo 2015A cura di Guido Allegrezza 31
32. Il sistema utilizzato per convalidare la firma elettronica qualificata fornisce alla parte
facente affidamento sulla certificazione il risultato corretto del processo di convalida e
consente di rilevare eventuali questioni attinenti alla sicurezza.
I servizi di convalida e conservazione qualificata delle firme elettroniche qualificate
possono essere forniti solo da prestatori qualificati che utilizzano procedure e tecnologie
in grado di estendere l’affidabilità della firma elettronica qualificata oltre il periodo di
validità tecnologica;
La firma elettronica qualificata è valida se:
a. il certificato utilizzato al momento della firma era valido, conforme al regolamento e rilasciato da un
prestatore di servizi fiduciari qualificato;
b. i dati di convalida corrispondano a quelli trasmessi alla parte facente affidamento sulla certificazione;
c. l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente
affidamento sulla certificazione;
d. l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla
certificazione;
e. la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata e
possieda tutti i requisiti di validità di una firma elettronica avanzata;
f. l’integrità dei dati firmati non sia stata compromessa.
Marzo 2015A cura di Guido Allegrezza 32
33. Aspetti generali del Regolamento EIDAS
Regimi di Identificazione Elettronica
Servizio fiduciario
Aspetti specifici dei servizi fiduciari (firma,
certificati, sigilli, validazione temporale)
◦ Firma Elettronica
◦ Sigillo Elettronico
◦ Validazione Temporale
◦ Servizi Elettronici di Recapito Certificato
◦ Autenticazione Web
Marzo 2015A cura di Guido Allegrezza 33
34. LOGO PARTNER
Marzo 2015A cura di Guido Allegrezza 34
Sigillo Elettronico: dati in forma elettronica, acclusi oppure connessi
tramite associazione logica ad altri dati in forma elettronica per
garantire l’origine e l’integrità di questi ultimi;
Sigillo Elettronico Avanzato: sigillo elettronico connesso
unicamente al creatore del sigillo, idoneo a identificarlo, creato
mediante dati che questi può (con un elevato livello di sicurezza)
usare sotto il proprio controllo e che è collegato ai dati cui si
riferisce in modo da consentire l’identificazione di ogni loro
successiva modifica;
Sigillo Elettronico Qualificato: sigillo elettronico avanzato creato
da un dispositivo per la creazione di un sigillo elettronico
qualificato e basato su un certificato qualificato per sigilli
elettronici
35. Sigillo Elettronico: ha gli effetti giuridici riconosciuti dall’ordinamento
nazionale in materia di validità o garanzia di autenticità o integrità
I Sigilli Elettronici Avanzati emessi negli stati membri possono essere
utilizzati nei servizi on line del settore pubblico di un qualunque altro stato
membro se sono conformi alle prescrizioni emanate dalla Commissione
Se il Sigillo Elettronico Qualificato è basato su un certificato qualificato
rilasciato in un Stato membro, è riconosciuto come firma elettronica qualificata
in ogni Stato membro.
Si applicano ai Sigilli Elettronici Qualificati le stesse disposizioni previste per le
Firme Elettroniche Qualificate relativamente ai dispositivi per la creazione di
sigilli elettronici qualificati, alla loro certificazione, all’elenco di dispositivi e alla
convalida.
Marzo 2015A cura di Guido Allegrezza 35
36. I certificati qualificati necessari per il sigillo qualificato
contengono:
a. indicazione che è stato rilasciato quale certificato qualificato di sigillo elettronico;
b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che
lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e
numero di registrazione della persona giuridica o nome della persona fisica
c. almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono
nei documenti ufficiali;
d. dati di convalida del sigillo elettronico (corrispondenti ai dati per la creazione di un sigillo
elettronico);
e. inizio e fine del periodo di validità del certificato;
f. codice univoco di identità del certificato;
g. firma elettronica avanzata o il sigillo elettronico avanzato del prestatore che rilascia il
certificato, con indicazione del luogo di disponibilità gratuita per le verifiche e dell’ubicazione
dei servizi per verificare la validità del certificato qualificato
h. se del caso, indicazione del fatto che i dati per la creazione di un sigillo elettronico connessi ai
dati di convalida sono ubicati in un dispositivo per la creazione di un sigillo elettronico
qualificato
Marzo 2015A cura di Guido Allegrezza 36
37. Aspetti generali del Regolamento EIDAS
Regimi di Identificazione Elettronica
Servizio fiduciario
Aspetti specifici dei servizi fiduciari (firma,
certificati, sigilli, validazione temporale)
◦ Firma Elettronica
◦ Sigillo Elettronico
◦ Validazione Temporale
◦ Servizi Elettronici di Recapito Certificato
◦ Autenticazione Web
Marzo 2015A cura di Guido Allegrezza 37
38. LOGO PARTNER
Marzo 2015A cura di Guido Allegrezza 38
Validazione Temporale Elettronica: dati in forma elettronica che
collegano altri dati in forma elettronica a una particolare ora e data,
così da provare che questi ultimi esistevano in quel momento
Validazione Temporale Elettronica Qualificata: una validazione
temporale elettronica che collega la date e l’ora ai dati in modo da
escludere ragionevolmente la possibilità di loro modifiche non
rilevabili, che si basa su una fonte accurata di misurazione del
tempo collegata al tempo universale coordinato e che è apposta
mediante una firma elettronica avanzata o sigillata con un sigillo
elettronico avanzato del prestatore di servizi fiduciari qualificato o
mediante un metodo equivalente
39. Validazione Temporale Elettronica: ha gli effetti giuridici riconosciuti
dall’ordinamento nazionale in materia di garanzia temporale e di
integrità dei dati associati
La data e l’ora che indica una Validazione Temporale Elettronica
Qualificata si presumono accurate
I dati associati alla data e all’ora di una Validazione Temporale
Elettronica Qualificata si presumono integri
(errore nel testo) Se la Validazione Temporale Elettronica
Qualificata è basata su un certificato qualificato rilasciato in un Stato
membro, è riconosciuta come Validazione Temporale Elettronica
Qualificata in ogni Stato membro.
Marzo 2015A cura di Guido Allegrezza 39
40. Aspetti generali del Regolamento EIDAS
Regimi di Identificazione Elettronica
Servizio fiduciario
Aspetti specifici dei servizi fiduciari (firma,
certificati, sigilli, validazione temporale)
◦ Firma Elettronica
◦ Sigillo Elettronico
◦ Validazione Temporale
◦ Servizi Elettronici di Recapito Certificato
◦ Autenticazione Web
Marzo 2015A cura di Guido Allegrezza 40
41. I dati inviati e ricevuti mediante un Servizio Elettronico di Recapito Certificato hanno
gli effetti giuridici riconosciuti dall’ordinamento in materia di notifica postale
I dati del Servizio Elettronico di Recapito Certificato Qualificato relativi ai dati inviati
dal mittente identificato e a quelli ricevuti dal destinatario identificato si presumono
integri
La data e l’ora dell’invio e la ricezione indicate dal Servizio Elettronico di Recapito
Certificato Qualificato si presumono accurati
Il servizio Elettronico di Recapito Certificato Qualificato:
a. È fornito da un prestatore di servizi fiduciari qualificati;
b. garantisce con un elevato livello di sicurezza l’identificazione del mittente e del destinatario prima della
trasmissione dei dati;
c. invio e ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di
un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei
dati;
d. qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al
destinatario dei dati stessi;
e. data e ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale
elettronica qualificata.
Marzo 2015A cura di Guido Allegrezza 41
42. Aspetti generali del Regolamento EIDAS
Regimi di Identificazione Elettronica
Servizio fiduciario
Aspetti specifici dei servizi fiduciari (firma,
certificati, sigilli, validazione temporale)
◦ Firma Elettronica
◦ Sigillo Elettronico
◦ Validazione Temporale
◦ Servizi Elettronici di Recapito Certificato
◦ Autenticazione Web
Marzo 2015A cura di Guido Allegrezza 42
43. Il certificato qualificato di autenticazione di siti web contiene:
a. Indicazione che è stato rilasciato quale certificato qualificato di autenticazione di sito web;
b. insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che
lo ha rilasciato, indicazione almeno dello Stato membro in cui il prestatore è stabilito, nome e
numero di registrazione della persona giuridica cui è stato rilasciato o nome della persona
fisica cui è stato rilasciato (con indicazione delle pseudonimo, se utilizzato);
c. elementi dell’indirizzo (almeno città e Stato del soggetto cui è rilasciato);
d. nome del dominio o dei domini gestiti dal soggetto cui è rilasciato;
e. indicazione di inizio e fine del periodo di validità;
f. il codice di identità del certificato (unico per il prestatore di servizi fiduciari qualificato);
g. la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari
qualificato che lo rilascia;
h. il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico
avanzato è disponibile gratuitamente per la verifica;
i. l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può
rivolgere per informarsi sulla validità del certificato qualificato.
Marzo 2015A cura di Guido Allegrezza 43