NORMATIVA

Certificati di autenticazione dei siti web, ecco le nuove regole eIDAS



Indirizzo copiato

Il servizio fiduciario di emissione di certificati qualificati di autenticazione dei siti web, ma lo schema di rinnovo del regolamento eIDAS ne modifica alcuni aspetti

Pubblicato il 27 dic 2023

Giovanni Manca

consulente, Anorc



nis 2 decreto italiano

Il servizio fiduciario di emissione di certificati qualificati di autenticazione dei siti web è già oggi disponibile, ma lo schema del nuovo regolamento approvato l’8 novembre scorso nel cosiddetto trilogo modifica alcuni aspetti di questo servizio fiduciario per rafforzarne i requisiti comunitari introducendo nuovi obblighi per i browser.

Certificati qualificati di autenticazione dei siti: la contestazione

Una serie di soggetti, tra cui produttori di software, associazioni ed esperti, hanno contestato le nuove regole invocando una serie di rischi introdotti da queste.

Mozilla lo ha fatto con un sito dedicato.

Google con una pagina specifica sul blog di sicurezza.

Anche 500 esperti di sicurezza informatica hanno scritto un lettera alla Commissione europea sui rischi di queste nuove regole. La lettera è disponibile al collegamento seguente.

In due parole, questi soggetti evidenziano il rischio che i Governi possano controllare le chiavi crittografiche utilizzate per l’autenticazione dei siti web, quindi la protezione dei dati personali degli utenti non è più garantita.

Cosa dice eIDAS2

Per consentire al lettore di sviluppare un proprio pensiero è utile illustrare il testo contestato dello schema di nuovo regolamento (nel seguito eIDAS 2).Iniziamo con il testo, molto strutturato, del Considerando (32) nelle premesse (traduzione dell’autore quindi non ufficiale):

(32) I servizi di autenticazione dei siti web garantiscono agli utenti un elevato livello di fiducia nell’identità dell’entità che sta dietro ai siti, indipendentemente dalla piattaforma utilizzata per visualizzarla.

Tali servizi dovrebbero contribuire a creare fiducia nello svolgimento delle attività commerciali online, poiché gli utenti avrebbero fiducia in un sito web autenticato. L’uso dei servizi di autenticazione dei siti web da parte degli stessi dovrebbe essere volontario.

Affinché l’autenticazione dei siti web diventi un mezzo per aumentare la fiducia, fornire un’esperienza migliore all’utente e promuovere la crescita nel mercato interno, il presente regolamento stabilisce un quadro di fiducia che comprende obblighi minimi di sicurezza e responsabilità per i fornitori di servizi qualificati di autenticazione di siti web e requisiti per la fornitura dei relativi servizi.

Gli elenchi nazionali di fiducia dovrebbero confermare lo status di qualificato dei servizi di autenticazione dei siti web e dei loro fornitori di servizi fiduciari, compresa la loro piena conformità ai requisiti del presente regolamento per quanto riguarda il rilascio di certificati qualificati per l’autenticazione dei siti web. Il riconoscimento dei QWAC (Qualified Web Authentication Certificates) implica che i fornitori di browser web non debbano negare l’autenticità dei certificati qualificati per l’autenticazione dei siti web al solo scopo di attestare il collegamento tra il nome di dominio del sito web e la persona fisica o giuridica a cui il certificato viene rilasciato e confermare la identità di quella persona.

I fornitori di browser web dovrebbero visualizzare in modo facile da utilizzare i dati di identità certificati e gli altri attributi attestati all’utente finale, nell’ambiente del browser, basandosi su implementazioni tecniche di loro scelta. A tal fine, i fornitori di browser web dovrebbero garantire il supporto e l’interoperabilità con certificati qualificati per l’autenticazione dei siti web rilasciati nel pieno rispetto dei requisiti del presente regolamento. L’obbligo di riconoscimento, interoperabilità e sostegno dei QWAC non deve pregiudicare la libertà dei fornitori di browser web di garantire la sicurezza web, l’ autenticazione del dominio e la crittografia del traffico web nel modo e con la tecnologia che ritengono più appropriata.

Per contribuire alla sicurezza online degli utenti finali, i fornitori di browser web dovrebbero essere in grado di adottare, in circostanze eccezionali, misure necessarie e proporzionate in risposta a preoccupazioni fondate circa violazioni della sicurezza o perdita di integrità di un certificato identificato o di un insieme di certificati. In questo caso, nell’adottare tali misure precauzionali, i fornitori di browser web dovrebbero informare senza indebito ritardo l’organismo nazionale di vigilanza e la Commissione, l’entità a cui è stato rilasciato il certificato e il prestatore di servizi fiduciari qualificato che ha emesso tale certificato o insieme di certificati di qualsiasi preoccupazione di violazione della sicurezza nonché delle misure adottate relative a un singolo certificato o a una serie di certificati. Tali misure non dovrebbero pregiudicare l’obbligo dei browser di riconoscere i certificati qualificati per l’autenticazione del sito web in conformità con gli elenchi nazionali di fiducia.

Per proteggere ulteriormente i cittadini e promuoverne l’utilizzo, le autorità pubbliche degli Stati membri dovrebbero prendere in considerazione l’inclusione di certificati qualificati per l’autenticazione dei siti web nei loro siti web. Le misure proposte dal presente regolamento volte a garantire una maggiore coerenza tra gli approcci e le pratiche divergenti degli Stati membri in materia di procedure di vigilanza dovrebbero contribuire a migliorare la fiducia nella sicurezza, nella qualità e nella disponibilità dei certificati qualificati di autenticazione di siti web (QWAC).

In questo testo già troviamo indicazioni su come agire “in circostanze eccezionali” attraverso “misure necessarie e proporzionate in risposta a preoccupazioni fondate circa violazioni della sicurezza o perdita di integrità di un certificato identificato o di un insieme di certificati”.

La definizione di QWAC

Proseguiamo nell’analisi di quanto stabilito nel nuovo regolamento sui QWAC. E’ utile la definizione di questa tipologia di certificati:

(38) “certificato per l’autenticazione di un sito web”: un’attestazione elettronica che consente di autenticare un sito web e collega il sito web alla persona fisica o giuridica a cui è rilasciato il certificato;

(39) “certificato qualificato per l’autenticazione di un sito web”: un certificato per l’autenticazione di un sito web rilasciato da un prestatore di servizi fiduciari qualificato e conforme ai requisiti di cui all’allegato IV;

La validità transnazionale è stabilita nell’articolo seguente:

Articolo 24a (Nota: 24 bis secondo il drafting normativo italiano)

Riconoscimento dei servizi fiduciari qualificati

7. Un certificato qualificato per l’autenticazione del sito web fornito in uno Stato membro è riconosciuto come certificato qualificato per l’autenticazione del sito web in tutti gli altri Stati membri.

Le regole specifiche

La regole specifiche con gli obblighi regolamentare sui QWAC sono nei due articoli seguenti:

Articolo 45

Requisiti per i certificati qualificati per l’autenticazione del sito web

1. I certificati qualificati per l’autenticazione dei siti web soddisfano i requisiti di cui all’allegato IV. La valutazione della conformità a tali requisiti è effettuata conformemente alle norme e alle specifiche di cui al paragrafo 3.

2. I certificati qualificati per l’autenticazione dei siti web rilasciati ai sensi del comma 1 sono riconosciuti dai browser web. I browser web garantiscono che i dati di identità attestati nel certificato e gli attributi aggiuntivi attestati siano visualizzati in modo di facile utilizzo. I browser web garantiscono il supporto e l’interoperabilità con i certificati qualificati per l’autenticazione dei siti web di cui al paragrafo 1, ad eccezione delle imprese considerate microimprese e piccole imprese ai sensi della raccomandazione 2003/361/CE della Commissione durante i primi 5 anni di attività come fornitori di servizi di navigazione web.

2a. I certificati qualificati per l’autenticazione del sito web non sono soggetti ad alcun requisito obbligatorio diverso da quelli di cui al paragrafo 1.

3. Entro … [ 12 mesi dopo la data di entrata in vigore del presente regolamento modificativo ], la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, ove necessario, stabilisce specifiche e procedure per i certificati qualificati per l’autenticazione del sito web , di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Le misure di cybersecurity

Articolo 45a-1

Misure precauzionali di sicurezza informatica

1. I browser web non adottano misure contrarie agli obblighi di cui all’articolo 45, in particolare l’obbligo di riconoscere i certificati qualificati per l’autenticazione del sito web e di visualizzare i dati di identità forniti in modo facile da usare.

2. In deroga al paragrafo 1 e solo in caso di fondate preoccupazioni relative a violazioni della sicurezza o perdita di integrità di un certificato o di un insieme di certificati identificati, i browser web possono adottare misure precauzionali in relazione a tale certificato o insieme di certificati.

3. Qualora siano adottate misure, i browser web notificano le loro preoccupazioni per iscritto senza indebito ritardo, insieme ad una descrizione delle misure adottate per attenuare tali preoccupazioni, alla Commissione, all’autorità di controllo competente, all’entità a cui è stato rilasciato il certificato e al fornitore di servizi fiduciari qualificato che ha emesso tale certificato o insieme di certificati. Al ricevimento di tale notifica, l’ autorità di controllo competente rilascia una ricevuta al browser web in questione.

4. L’autorità di controllo competente esamina le questioni sollevate nella notifica ai sensi dell’articolo 17, paragrafo 3, lettera c). Quando l’esito di tale indagine non comporta la revoca dello status qualificato del certificato o dei certificati, l’autorità di controllo ne informa il browser web e gli chiede di porre fine alle misure cautelari di cui al paragrafo 2.

I requisiti

Per completare il nuovo scenario regolamentare sui QWAC è indispensabile riportare le modifiche all’allegato IV

Allegato IV

REQUISITI PER I CERTIFICATI QUALIFICATI DI AUTENTICAZIONE DI SITI WEB

L’allegato IV è così modificato:

(1) la lettera c) è sostituita dalla seguente:

c) per le persone fisiche: almeno il nome della persona alla quale è stato rilasciato il certificato, o uno pseudonimo. Qualora venga utilizzato uno pseudonimo, questo dovrà essere chiaramente indicato;

c bis) per le persone giuridiche: un insieme unico di dati che rappresentano in modo inequivocabile la persona giuridica a cui è rilasciato il certificato, con almeno il nome della persona giuridica a cui è rilasciato il certificato e, ove applicabile, il numero di registrazione come  dichiarato nei documenti ufficiali;

la lettera j) è sostituita dalla seguente:

(j) le informazioni o l’ubicazione dei servizi sullo stato di validità del certificato che possono essere utilizzati per richiedere informazioni sullo stato di validità dello stesso.

A questo punto il lettore, disponendo del testo completo relativo al tema dei QWAC, può già avere una propria opinione sulle nuove regole e sulla fondatezza delle critiche citate nella parte iniziale di questo articolo, ma qualche commento è doveroso.

Il primo è sulla messa in discussione da parte dei critici del modello di trust stabilito in eIDAS 2. Il modello è molto complesso ed è già vigente con le regole della Sezione III. Meccanismi di qualifica, responsabilità degli Stati membri, vigilanza nazionale e transnazionale, collaborazione con le autorità nazionali per la protezione dei dati personali.

Conclusione

Riassumendo, l’attuale regolamento eIDAS segue l’approccio di un’identità digitale centralizzata di fatto rilasciata dallo Stato membro o sotto il suo controllo. Ciò significa che eIDAS agisce sul presupposto di un aggancio fiduciario per ogni identità digitale, in modo che sia sempre necessaria una terza parte affidabile che rilasci l’eID. Un’identità digitale senza questo supporto governativo non è conforme ad eIDAS e successive modificazioni.

Quanto esposto non significa che gli Stati membri hanno il controllo sulle transazioni effettuate dal titolare di una specifica identità ma solo che lo Stato ha la responsabilità sugli operatori pubblici e privati che applicano eIDAS 2.

Introdurre regole europee non imposte dai Governi ma sotto la loro responsabilità con conformità a standard operativi e di sicurezza gestiti con certificazioni e meccanismi analoghi è più rischioso delle regole totalmente private del C/A –Browser Forum  dove il controllato e il controllore sono la stessa cosa?

Naturalmente i giuristi potrebbero anche evidenziare (a ragione) le differenze tra Common Law e Civil Law che porta a valutazioni differenti nelle analisi di “trust” sui due mondi (USA e Regno Unito ed Europa). La considerazione finale è sulla fiducia per il “Governo Europeo” alla quale segue una domanda cruciale alla quale ciascuno può dare la risposta che preferisce: perché la governance privata è migliore di quella europea?

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2