Selezione dei meccanismi di identificazione e firma elettronica

Firma elettronica e meccanismi di identificazione

Nella messa in funzione di una procedura elettronica si considera più volte quale sia il criterio da seguire per decidere quali meccanismi di identificazione e firma elettronica possono utilizzare i cittadini per rapportarsi con una pubblica amministrazione, soprattutto tenendo conto dei cambiamenti normativi che si verificano costantemente al riguardo .

I meccanismi di identificazione e firma elettronica che, in sintesi, possono essere utilizzati dagli interessati sono (per maggiori informazioni si vedano gli articoli 9 e 10 della Legge 39/2015, del 1 ottobre, sulla Procedura Amministrativa Comune delle amministrazioni pubbliche):

Certificati elettronici qualificati di firma elettronica emessi da fornitori inclusi nella "Trusted List of Certification Service Providers".
Certificati elettronici qualificati di sigillo elettronico emessi da fornitori inclusi nella "Trusted List of Certification Service Providers".
Qualsiasi altro sistema che le pubbliche amministrazioni ritengano valido, purché in possesso di una precedente registrazione come utente che consenta loro di garantire la propria identità.

Meccanismi basati su certificati qualificati (punti aib precedenti)"devono essere accettati", in ottemperanza al Regolamento n. 910/2014 del Parlamento Europeo e del Consiglio, del 23 luglio, relativa ai servizi di identificazione elettronica e fiduciari (ReIdAS) e la stessa Legge 39/2015, del 1 ottobre, mentre il resto dei sistemi (sezione c)"loro possono essere accettato”, tenendo sempre conto del livello di sicurezza che offrono.

Criteri di applicazione

Il regime di sicurezza nazionale (Regio decreto 311/2022, del 3 maggio, di seguito, ENS) prevede che i meccanismi di identificazione e firma elettronica possano avere tre livelli di sicurezza, unitamente ai criteri da seguire per stabilirli caso per caso. Stabilisce inoltre i criteri per determinare quale livello richiede un sistema o un'azione specifici.

Pertanto, per definire il livello di sicurezza richiesto dai sistemi di ciascuna Pubblica Amministrazione e, in particolare, il tipo di credenziale ammissibile per l'identificazione e la firma elettronica per uno specifico atto, occorre tener conto di quanto previsto dall'ENS espone e trova l'equilibrio tra sicurezza e usabilità (espanso nella sezione successiva).

In tal senso, i servizi offerti dal Consorzio AOC consentono ai cittadini di identificarsi e firmare documenti sia con certificati elettronici qualificati sia utilizzando i sistemi basati sull'invio di password monouso Cl@ve e idCAT Mòbil, affinché ogni amministrazione utente possa decidere in quali casi possono essere accettati.

Nell'area della Generalitat della Catalogna, ad esempio, questa decisione è definita da Ordina VPD/93/2022, del 28 aprile, con il quale è approvato il Catalogo dei sistemi di identificazione e firma elettronica, ed in particolare da Ordina PRE/158/2022, del 30 giugno, che approva la Guida per l'uso dei sistemi di identificazione e firma elettronica nell'area dell'Amministrazione della Generalitat. Quest'ultimo Ordine stabilisce nel suo secondo punto e, in generale, che tutti i meccanismi del catalogo sono accettati per tutte le procedure e servizi. La stessa guida stabilisce una procedura per escludere tale criterio e limitare l'accettazione di uno qualsiasi dei meccanismi a causa dell'esistenza di:

Rischio legale: in relazione ad una specifica procedura, valutazione dell'esistenza di un rischio che impedisca di garantire la fattibilità e la sicurezza giuridica della procedura a causa di una possibile frode nella sottoscrizione dell'atto o di impersonificazione di interessati, che ha come origine la mancanza di robustezza dei sistemi di identificazione o di firma elettronica.
Rischio di sicurezza informatica o protezione dei dati: valutazione della necessità di misure specifiche più restrittive che si determinano in base al livello di rischio o alla classificazione dell'informazione, del servizio o della procedura o dell'eventuale trattamento di dati personali derivante dalla procedura o dal servizio rispetto al quale è previsto l'utilizzo del sistema di identificazione o di firma elettronica.

Livelli di sicurezza dei meccanismi di identificazione e firma

Come accennato, l'ENS prevede tre livelli di sicurezza (basso, medio e alto) ei criteri che devono essere seguiti per stabilirli caso per caso, in particolare nell'allegato I, punto tre.

La stessa ENS, nel suo Allegato II, definisce i criteri per assegnare un livello di sicurezza ad un meccanismo di identificazione e firma elettronica.

Pertanto, il punto relativo al quadro operativo (punto 4.2.5 sul meccanismo di autenticazione [controllo op.acc.5]) definisce i requisiti che devono essere soddisfatti da meccanismi di identificazione elettronica che dovrà assumere cittadini, intesi come utenti esterni all'organizzazione, per ogni livello di sicurezza. In sintesi, per ogni livello sono accettati:

BASSO LIVELLO: Qualsiasi meccanismo di identificazione accettato dalla normativa vigente, come password, password utente più password monouso, certificato qualificato o certificati di dispositivo fisico (es. card).
LIVELLO MEDIO: Richiede l'uso di password almeno monouso come secondo fattore di autenticazione.
ALTO LIVELLO: I requisiti sono gli stessi del livello intermedio.

D'altra parte, i livelli da applicare in merito meccanismi di firma elettronica (definita al punto 5 Misure di protezione [mp], in particolare punto 5.7.3 Firma elettronica [controllo mp.info.3]), che in sintesi accettano:

BASSO LIVELLO: Qualsiasi meccanismo di firma elettronica accettato dalla normativa vigente
LIVELLO MEDIO: Se viene utilizzata la firma elettronica avanzata basata su certificati elettronici, questa deve essere qualificata. Sarà necessario utilizzare algoritmi e parametri autorizzati dal Centro Crittografico Nazionale o da uno schema nazionale o europeo applicabile.
ALTO LIVELLO: Per l'attivazione della chiave privata è necessaria una firma avanzata basata su certificati qualificati che utilizzano un secondo fattore di autenticazione.

Cosa offre il Consorzio AOC?

Il Servizio VALID del Consorzio AOC consente alle pubbliche amministrazioni catalane di accettare sia idCAT Mòbil che Cl@ve e certificati qualificati nei processi di identificazione elettronica e offre un meccanismo ordinario di firma elettronica legato alla credenziale presentata. Le amministrazioni possono quindi decidere se accettare tutti o solo alcuni di questi meccanismi, e disporre di diverse configurazioni per farlo a seconda di ogni specifica esigenza.

Nel caso del servizio e-NOTUM, che dispone di un portale per le notifiche elettroniche dei cittadini, il tipo di credenziale da accettare può essere impostato per ogni specifica notifica.

Link correlati

Quando utilizzare un sistema di identificazione o un sistema di firma? Casi d'uso.

https://suport-50ombres.aoc.cat/hc/ca/articles/4417825198993-Quan-cal-utilitzar-un-sistema-d-identificaci%C3%B3-o-un-sistema-de-signatura-Casos-d-%C3%BAs-

La firma elettronica delle fatture

https://suport-efact.aoc.cat/hc/ca/articles/4414477358353-La-signatura-electr%C3%B2nica-de-les-factures

Selezione dei meccanismi di identificazione e firma elettronica

Voci correlate

Iscriviti alla newsletter AOC