La cosiddetta firma remota nasce tecnicamente alla fine del 2009: tanta strada è stata percorsa sia in Italia che in Europa e oggi il successo di questa tipologia di firma è incredibile. In base ai dati AgID l’83,4 % dei certificati qualificati di firma sono disponibili per la firma remota (oltre 27 milioni di emissioni) e le firme apposte in questa modalità operativa sono ampiamente sopra i due miliardi. Tuttavia, un comma inserito nell’ultima versione della bozza di nuovo regolamento europeo eIDAS può portare al crepuscolo della firma remota in Italia. Vediamo perché.
Firma remota, l’evoluzione nella proposta del nuovo Regolamento eIDAS
Firma remota, cosa cambia
La principale forze della firma remota è nella sua possibilità di utilizzo “dappertutto”. La base tecnologica che la caratterizza è anche perfettamente collocata nelle architetture basate sul cloud. Nello scenario che si è consolidato in Italia la firma remota è la modalità di sottoscrizione ampiamente più diffusa per la firma elettronica qualificata (FEQ) o l’equivalente firma digitale. Un FEQ utilizza certificati qualificati e l’articolo 24, paragrafo 1 del Regolamento eIDAS disciplina la verifica dell’identità per il rilascio di certificati qualificati. Un accesso semplice ai certificati qualificati è la base per un facile accesso a QES. Nella sopra citata bozza del nuovo regolamento europeo eIDAS si propone di modificare questo paragrafo.
Vengono proposte quattro modalità utilizzabile per verificare l’identità di un soggetto, sono i punti a-d dell’articolo, con una nuova proposta di atti attuativi. La motivazione di base che sostiene la proposta di modifica è basata sulla necessità di rimozione delle restrizioni e degli ostacoli non necessari all’armonizzazione all’interno del mercato interno europeo.
Cosa dice il nuovo eIDAS
Per chiarezza è indispensabile pubblicare il testo della bozza nei punti cruciali della proposta di modifica. Si riporta il testo originale della bozza in lingua inglese.
1. When issuing a qualified certificate or a qualified electronic attestation of attributes, a qualified trust service provider shall verify the identity and, if applicable, any specific attributes of the natural or legal person to whom the qualified certificate or the qualified electronic attestation of attributes will be issued.
The information referred to in the first subparagraph shall be verified by the qualified trust service provider, either directly or by relying on a third party, in any of the following ways:
(a) by means of the European Digital Identity Wallet or a notified electronic identification means which meets the requirements set out in Article 8 with regard to the assurance level high;
(b) by means of qualified electronic attestations of attributes or a certificate of a qualified electronic signature or of a qualified electronic seal issued in compliance with point (a), (c) or (d);
(c) by using other identification methods which ensure the identification of the natural person with a high level of confidence, the conformity of which shall be confirmed by a conformity assessment body;
(d) through the physical presence of the natural person or of an authorised representative of the legal person by appropriate procedures and in accordance with national laws if other means are not available.’;
Si propone di inserire il seguente nuovo paragrafo:
‘1a. Within 12 months after the entry into force of this Regulation, the Commission shall by means of implementing acts, set out minimum technical specifications, standards and procedures with respect to the verification of identity and attributes in accordance with paragraph 1, point c. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).’
Autenticazione e certificato qualificato
Proviamo a commentare il testo proposto per l’articolo 24, paragrafo 1. Uso dell’identificazione elettronica (autenticazione) per il rilascio del certificato qualificato.
Il testo proposto per eIDAS 2.0 è:
“mediante il portafoglio europeo di identità digitale o un mezzo di identificazione elettronica notificato che soddisfi i requisiti di cui all’articolo 8 per quanto riguarda il livello di affidabilità alto;
Quanto proposto implica che possono essere utilizzati solo i mezzi di identificazione elettronica (eID) notificati (articolo 9 eIDAS). Questo meccanismo rappresenta una restrizione che non sembra necessaria. Tale regola serve solo a restringere il numero di eID applicabili. eIDAS 2.0 introduce un nuovo articolo 12a per la certificazione degli eID. Se una certificazione per il eID è sufficiente per la notifica, dovrebbe essere sufficiente la certificazione anche per il rilascio di un certificato qualificato.
Il punto di maggiore criticità è nel richiedere un livello alto per l’eID. L’utilizzo europeo dell’attuale eIDAS mostra che un livello eID “sostanziale” va bene per il rilascio di un certificato qualificato. Molti Stati membri e l’Italia è al primo posto, dispongono di infrastrutture eID nazionali a livello “sostanziale”. Se il livello è elevato a “alto” in modo obbligatorio, non possono utilizzare queste infrastrutture per fornire QES. In italia questa limitazione pone fuori gioco lo SPID livello 2, la nuova prossima modalità di utilizzo del sistema CIEid stabilito nel recente Decreto 8 settembre 2022 e la quasi totalità dei meccanismi utilizzati dalla pubblica amministrazione italiana e dai privati per l’utilizzo della FEQ apposta in modo remoto.
Una proposta di modifica può essere la seguente:
. tramite il portafoglio europeo di identità digitale o un mezzo di identificazione elettronica che soddisfi i requisiti di cui all’articolo 8 per quanto riguarda i livelli di garanzia “sostanziale” o “alto”. Il livello di affidabilità dei mezzi di identificazione elettronica è valutato mediante notifica a norma dell’articolo 9 o certificazione a norma dell’articolo 12 bis.
Questa formulazione può offrire l’ulteriore vantaggio di utilizzi anche di eID emessi al di fuori dell’UE. Questi possono essere certificati a un livello di garanzia eIDAS, offrendo a persone provenienti da paesi non UE la possibilità di firmare con sottoscrizioni localizzato nell’UE. Ciò potrebbe aprire molte possibilità di comunicazione elettronica attraverso il confine dell’UE, senza mettere a repentaglio la sicurezza.
Utilizzo di un certificato qualificato esistente
Proseguiamo l’analisi con il punto b, utilizzo di un certificato qualificato esistente (o attestazione qualificata di attributi). La proposta stabilisce che avvenga:
b. mediante attestazioni elettroniche qualificate di attributi o certificato di firma elettronica qualificata o di sigillo elettronico qualificato rilasciato a norma delle lettere a), c) o d);
Ciò significa che affinché un certificato qualificato sia valido, è necessario che sia stata eseguita la verifica dell’identità per quel certificato in modi specifici. Questo requisito limita in generale l’uso di un certificato qualificato per emetterne un altro, ed eventualmente lo stesso per gli attestati di attributo qualificato.
I motivi della proposta
Possiamo chiederci la motivazione che ispira questa proposta. Nel mondo reale non ci sono informazioni contenute nel certificato che indicano come è stata eseguita la prova dell’identità (l’ETSI sta lavorando a una proposta che, comunque, non avrà tempi brevi per essere operativa), ed esaminare la sua politica di certificazione non è banale, anche perché, nell’ambito della stessa politica, alcuni certificati possono soddisfare il requisito, mentre altri certificati no.
L’utilizzo di verifiche fuori banda fino al livello dei singoli certificati per garantire che il requisito sia soddisfatto complica i processi di emissione. In ogni caso, Il risultato è un ostacolo non necessario al rilascio di certificati qualificati. Il motivo del requisito aggiuntivo è evitare lunghe catene (che nelle architettura italiane non esistono) in cui un certificato viene emesso da un certificato emesso da [e così via]. Certo, c’è un rischio qui poiché un utente malintenzionato che riesce a ottenere un certificato falso e può usarlo per ottenerne molti di più. Ma la catena deve iniziare da qualche altro tipo di verifica dell’identità, quindi il rischio può essere considerato accettabile. Se il rischio viene accettato, il vantaggio è che un certificato qualificato (o un attestato di attributo qualificato) può essere praticamente utilizzato per emetterne uno nuovo e il testo per il punto b diventa semplicemente:
b. mediante attestazioni elettroniche qualificate di attributi o certificato di firma elettronica qualificata o di sigillo elettronico qualificato;
Ulteriori metodi di identificazione
Proseguiamo con il punto c, utilizzo di altri metodi di identificazione (per la verifica dell’identità a distanza)
Questo ha il seguente testo:
c. utilizzando altri metodi di identificazione che garantiscano l’identificazione della persona con un elevato livello di fiducia, la cui conformità è confermata da un organismo di valutazione della conformità;
“Altri metodi di identificazione” in pratica significa l’uso a distanza di un documento di identità ufficiale in combinazione con “modalità video” e procedure di verifica manuali e/o automatizzate.
Il testo appare accettabile.
La presenza fisica
Concludiamo l’analisi con il punto d, presenza fisica. L’attuale regolamento eIDAS stabilisce la “presenza fisica” senza ulteriori requisiti, il che significa che può essere utilizzato qualsiasi cosa, da un ufficio passaporti a una filiale bancaria, un negozio o un commissario della lotteria (tutti gli esempi sono reali). Nessun requisito su procedure o competenze del personale. eIDAS 2.0 cerca di mitigare questo problema proponendo quanto segue:
d. attraverso la presenza fisica della persona fisica o di un rappresentante autorizzato della persona giuridica con procedure adeguate e nel rispetto delle legislazioni nazionali.
Una norma regolamentare comunitaria non dovrebbe essere vaga. Indicare “procedure adeguate” lo è, e quanti Stati membri hanno leggi che regolano la presenza fisica (per il rilascio di certificati qualificati)? Un approccio migliore consiste nel dettagliare i requisiti comunemente in tutta l’UE facendo riferimento a un atto di esecuzione ai sensi del nuovo articolo 24 paragrafo .1 bis.
Una proposta può essere :
c. attraverso la presenza fisica della persona fisica o di un rappresentante autorizzato della persona giuridica secondo le procedure previste dagli atti di esecuzione definiti ai sensi dell’articolo 24, paragrafo 1 bis;
Atti di esecuzione
Il nuovo articolo 24, paragrafo 1 bis sugli atti di esecuzione è altresì cruciale.
La proposta di eIDAS 2.0 aggiunge il seguente articolo 24.1 bis:
Entro 12 mesi dall’entrata in vigore del presente regolamento, la Commissione, mediante atti di esecuzione, stabilisce le specifiche tecniche minime, le norme e le procedure per quanto riguarda la verifica dell’identità e degli attributi a norma del paragrafo 1, lettera c. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Verso lo standard
Lo standard di base a cui fare riferimento nell’ambito di un atto di esecuzione è ETSI TS 119 461 sulle politiche e i requisiti di sicurezza per la prova dell’identità per i soggetti che sono nel contesto dei servizi fiduciari. Questo standard tratta non solo del punto c, ma tutti i punti a-d precedenti (tranne l’uso di attestazioni di attributi qualificati, che possono essere aggiunti). Il quesito spontaneo è, perché limitare l’atto o gli atti di esecuzione al solo punto c? Inoltre, la dichiarazione “specifiche tecniche minime” non garantisce l’allineamento tra gli Stati membri in quanto uno Stato membro sarà autorizzato a porre requisiti aggiuntivi (ma non potrà scendere “al di sotto” del minimo).
Nell’ambito di alcuni articoli simili, eIDAS fa di più sull’allineamento, che dovrebbe essere fatto anche in questo scenario. Per ottenere il pieno allineamento ai requisiti comuni in tutta l’UE, la proposta può essere modificata in:
Articolo 24
1 bis. Entro 12 mesi dall’entrata in vigore del presente regolamento, la Commissione, mediante atti di esecuzione, stabilisce specifiche tecniche, norme e procedure per quanto riguarda la verifica dell’identità e degli attributi in conformità al paragrafo 1. Conformità al i requisiti di cui al paragrafo 1 si presumono qualora la verifica di identità e gli attributi viene eseguita in conformità con queste specifiche, standard e procedure e la conformità è valutata da un organismo di valutazione della conformità accreditato. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Si potrebbe semplificare ulteriormente chiedendo alla Commissione di pubblicare solo i numeri di riferimento delle norme, supponendo che ETSI TS 119 461 ed eventualmente norme tecniche aggiuntive coprano tutto ciò che è necessario. Questa riformulazione dell’articolo 24, paragrafo 1 bis non intende imporre una valutazione di conformità obbligatoria al di fuori di ciò a cui è comunque soggetto un prestatore di servizi fiduciari qualificato. Ma la formulazione offre la possibilità a un fornitore di servizi di verifica dell’identità (potrebbe essere lo stesso prestatore di servizi fiduciari) di ottenere una valutazione di conformità per tutti i punti a-d, e quindi di far accettare quel servizio in tutti gli Stati membri. Il requisito esplicito per la valutazione della conformità di cui al punto c sopra descritta dovrebbe essere mantenuto per chiarezza operativa; nessun servizio deve essere accettato utilizzando documenti di identità a distanza a meno che la sua sicurezza e affidabilità non siano state accuratamente valutate.
Conclusione
In conclusione possiamo dire che questa proposta di modifica dell’Europa dell’articolo 24, paragrafo 1 del regolamento eIDAS presenta molte criticità per il sistema italiano della firma qualificata remota. Non c’è dubbio che le intenzioni dei proponenti le modifiche sono ispirate da una maggiore sicurezza nello scenario. Ma cambiare tutto il modello nazionale è ragionevole nell’ambito di una semplice analisi del rischio? L’impatto sul mercato che deve modificare il modo di operare di oltre 27 milioni di utenze è ragionevole rispetto al rischio residuo?
Aspettiamo la reazione degli Stati membri e soprattutto quella italiana. Chi scrive, comunque, percepisce la tendenza ad operare tramite il wallet di identità europea quindi fisiologicamente con l’APP IO o sistema conforme.
___
Note
Questo articolo deve molto al pensiero esperto di Jon Ølnes, (al quale esprimo gratitudine), espresso nell’articolo disponibile al seguente collegamento.
