Il servizio fiduciario di emissione di certificati qualificati di autenticazione dei siti web è già oggi disponibile, ma lo schema del nuovo regolamento approvato l’8 novembre scorso nel cosiddetto trilogo modifica alcuni aspetti di questo servizio fiduciario per rafforzarne i requisiti comunitari introducendo nuovi obblighi per i browser.
Certificati qualificati di autenticazione dei siti: la contestazione
Una serie di soggetti, tra cui produttori di software, associazioni ed esperti, hanno contestato le nuove regole invocando una serie di rischi introdotti da queste.
Mozilla lo ha fatto con un sito dedicato.
Google con una pagina specifica sul blog di sicurezza.
Anche 500 esperti di sicurezza informatica hanno scritto un lettera alla Commissione europea sui rischi di queste nuove regole. La lettera è disponibile al collegamento seguente.
In due parole, questi soggetti evidenziano il rischio che i Governi possano controllare le chiavi crittografiche utilizzate per l’autenticazione dei siti web, quindi la protezione dei dati personali degli utenti non è più garantita.
Cosa dice eIDAS2
Per consentire al lettore di sviluppare un proprio pensiero è utile illustrare il testo contestato dello schema di nuovo regolamento (nel seguito eIDAS 2).Iniziamo con il testo, molto strutturato, del Considerando (32) nelle premesse (traduzione dell’autore quindi non ufficiale):
(32) I servizi di autenticazione dei siti web garantiscono agli utenti un elevato livello di fiducia nell’identità dell’entità che sta dietro ai siti, indipendentemente dalla piattaforma utilizzata per visualizzarla.
Tali servizi dovrebbero contribuire a creare fiducia nello svolgimento delle attività commerciali online, poiché gli utenti avrebbero fiducia in un sito web autenticato. L’uso dei servizi di autenticazione dei siti web da parte degli stessi dovrebbe essere volontario.
Affinché l’autenticazione dei siti web diventi un mezzo per aumentare la fiducia, fornire un’esperienza migliore all’utente e promuovere la crescita nel mercato interno, il presente regolamento stabilisce un quadro di fiducia che comprende obblighi minimi di sicurezza e responsabilità per i fornitori di servizi qualificati di autenticazione di siti web e requisiti per la fornitura dei relativi servizi.
Gli elenchi nazionali di fiducia dovrebbero confermare lo status di qualificato dei servizi di autenticazione dei siti web e dei loro fornitori di servizi fiduciari, compresa la loro piena conformità ai requisiti del presente regolamento per quanto riguarda il rilascio di certificati qualificati per l’autenticazione dei siti web. Il riconoscimento dei QWAC (Qualified Web Authentication Certificates) implica che i fornitori di browser web non debbano negare l’autenticità dei certificati qualificati per l’autenticazione dei siti web al solo scopo di attestare il collegamento tra il nome di dominio del sito web e la persona fisica o giuridica a cui il certificato viene rilasciato e confermare la identità di quella persona.
I fornitori di browser web dovrebbero visualizzare in modo facile da utilizzare i dati di identità certificati e gli altri attributi attestati all’utente finale, nell’ambiente del browser, basandosi su implementazioni tecniche di loro scelta. A tal fine, i fornitori di browser web dovrebbero garantire il supporto e l’interoperabilità con certificati qualificati per l’autenticazione dei siti web rilasciati nel pieno rispetto dei requisiti del presente regolamento. L’obbligo di riconoscimento, interoperabilità e sostegno dei QWAC non deve pregiudicare la libertà dei fornitori di browser web di garantire la sicurezza web, l’ autenticazione del dominio e la crittografia del traffico web nel modo e con la tecnologia che ritengono più appropriata.
Per contribuire alla sicurezza online degli utenti finali, i fornitori di browser web dovrebbero essere in grado di adottare, in circostanze eccezionali, misure necessarie e proporzionate in risposta a preoccupazioni fondate circa violazioni della sicurezza o perdita di integrità di un certificato identificato o di un insieme di certificati. In questo caso, nell’adottare tali misure precauzionali, i fornitori di browser web dovrebbero informare senza indebito ritardo l’organismo nazionale di vigilanza e la Commissione, l’entità a cui è stato rilasciato il certificato e il prestatore di servizi fiduciari qualificato che ha emesso tale certificato o insieme di certificati di qualsiasi preoccupazione di violazione della sicurezza nonché delle misure adottate relative a un singolo certificato o a una serie di certificati. Tali misure non dovrebbero pregiudicare l’obbligo dei browser di riconoscere i certificati qualificati per l’autenticazione del sito web in conformità con gli elenchi nazionali di fiducia.
Per proteggere ulteriormente i cittadini e promuoverne l’utilizzo, le autorità pubbliche degli Stati membri dovrebbero prendere in considerazione l’inclusione di certificati qualificati per l’autenticazione dei siti web nei loro siti web. Le misure proposte dal presente regolamento volte a garantire una maggiore coerenza tra gli approcci e le pratiche divergenti degli Stati membri in materia di procedure di vigilanza dovrebbero contribuire a migliorare la fiducia nella sicurezza, nella qualità e nella disponibilità dei certificati qualificati di autenticazione di siti web (QWAC).
In questo testo già troviamo indicazioni su come agire “in circostanze eccezionali” attraverso “misure necessarie e proporzionate in risposta a preoccupazioni fondate circa violazioni della sicurezza o perdita di integrità di un certificato identificato o di un insieme di certificati”.
La definizione di QWAC
Proseguiamo nell’analisi di quanto stabilito nel nuovo regolamento sui QWAC. E’ utile la definizione di questa tipologia di certificati:
(38) “certificato per l’autenticazione di un sito web”: un’attestazione elettronica che consente di autenticare un sito web e collega il sito web alla persona fisica o giuridica a cui è rilasciato il certificato;
(39) “certificato qualificato per l’autenticazione di un sito web”: un certificato per l’autenticazione di un sito web rilasciato da un prestatore di servizi fiduciari qualificato e conforme ai requisiti di cui all’allegato IV;
La validità transnazionale è stabilita nell’articolo seguente:
Articolo 24a (Nota: 24 bis secondo il drafting normativo italiano)
Riconoscimento dei servizi fiduciari qualificati
7. Un certificato qualificato per l’autenticazione del sito web fornito in uno Stato membro è riconosciuto come certificato qualificato per l’autenticazione del sito web in tutti gli altri Stati membri.
Le regole specifiche
La regole specifiche con gli obblighi regolamentare sui QWAC sono nei due articoli seguenti:
Articolo 45
Requisiti per i certificati qualificati per l’autenticazione del sito web
1. I certificati qualificati per l’autenticazione dei siti web soddisfano i requisiti di cui all’allegato IV. La valutazione della conformità a tali requisiti è effettuata conformemente alle norme e alle specifiche di cui al paragrafo 3.
2. I certificati qualificati per l’autenticazione dei siti web rilasciati ai sensi del comma 1 sono riconosciuti dai browser web. I browser web garantiscono che i dati di identità attestati nel certificato e gli attributi aggiuntivi attestati siano visualizzati in modo di facile utilizzo. I browser web garantiscono il supporto e l’interoperabilità con i certificati qualificati per l’autenticazione dei siti web di cui al paragrafo 1, ad eccezione delle imprese considerate microimprese e piccole imprese ai sensi della raccomandazione 2003/361/CE della Commissione durante i primi 5 anni di attività come fornitori di servizi di navigazione web.
2a. I certificati qualificati per l’autenticazione del sito web non sono soggetti ad alcun requisito obbligatorio diverso da quelli di cui al paragrafo 1.
3. Entro … [ 12 mesi dopo la data di entrata in vigore del presente regolamento modificativo ], la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, ove necessario, stabilisce specifiche e procedure per i certificati qualificati per l’autenticazione del sito web , di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Le misure di cybersecurity
Articolo 45a-1
Misure precauzionali di sicurezza informatica
1. I browser web non adottano misure contrarie agli obblighi di cui all’articolo 45, in particolare l’obbligo di riconoscere i certificati qualificati per l’autenticazione del sito web e di visualizzare i dati di identità forniti in modo facile da usare.
2. In deroga al paragrafo 1 e solo in caso di fondate preoccupazioni relative a violazioni della sicurezza o perdita di integrità di un certificato o di un insieme di certificati identificati, i browser web possono adottare misure precauzionali in relazione a tale certificato o insieme di certificati.
3. Qualora siano adottate misure, i browser web notificano le loro preoccupazioni per iscritto senza indebito ritardo, insieme ad una descrizione delle misure adottate per attenuare tali preoccupazioni, alla Commissione, all’autorità di controllo competente, all’entità a cui è stato rilasciato il certificato e al fornitore di servizi fiduciari qualificato che ha emesso tale certificato o insieme di certificati. Al ricevimento di tale notifica, l’ autorità di controllo competente rilascia una ricevuta al browser web in questione.
4. L’autorità di controllo competente esamina le questioni sollevate nella notifica ai sensi dell’articolo 17, paragrafo 3, lettera c). Quando l’esito di tale indagine non comporta la revoca dello status qualificato del certificato o dei certificati, l’autorità di controllo ne informa il browser web e gli chiede di porre fine alle misure cautelari di cui al paragrafo 2.
I requisiti
Per completare il nuovo scenario regolamentare sui QWAC è indispensabile riportare le modifiche all’allegato IV
Allegato IV
REQUISITI PER I CERTIFICATI QUALIFICATI DI AUTENTICAZIONE DI SITI WEB
L’allegato IV è così modificato:
(1) la lettera c) è sostituita dalla seguente:
c) per le persone fisiche: almeno il nome della persona alla quale è stato rilasciato il certificato, o uno pseudonimo. Qualora venga utilizzato uno pseudonimo, questo dovrà essere chiaramente indicato;
c bis) per le persone giuridiche: un insieme unico di dati che rappresentano in modo inequivocabile la persona giuridica a cui è rilasciato il certificato, con almeno il nome della persona giuridica a cui è rilasciato il certificato e, ove applicabile, il numero di registrazione come dichiarato nei documenti ufficiali;
la lettera j) è sostituita dalla seguente:
(j) le informazioni o l’ubicazione dei servizi sullo stato di validità del certificato che possono essere utilizzati per richiedere informazioni sullo stato di validità dello stesso.
A questo punto il lettore, disponendo del testo completo relativo al tema dei QWAC, può già avere una propria opinione sulle nuove regole e sulla fondatezza delle critiche citate nella parte iniziale di questo articolo, ma qualche commento è doveroso.
Il primo è sulla messa in discussione da parte dei critici del modello di trust stabilito in eIDAS 2. Il modello è molto complesso ed è già vigente con le regole della Sezione III. Meccanismi di qualifica, responsabilità degli Stati membri, vigilanza nazionale e transnazionale, collaborazione con le autorità nazionali per la protezione dei dati personali.
Conclusione
Riassumendo, l’attuale regolamento eIDAS segue l’approccio di un’identità digitale centralizzata di fatto rilasciata dallo Stato membro o sotto il suo controllo. Ciò significa che eIDAS agisce sul presupposto di un aggancio fiduciario per ogni identità digitale, in modo che sia sempre necessaria una terza parte affidabile che rilasci l’eID. Un’identità digitale senza questo supporto governativo non è conforme ad eIDAS e successive modificazioni.
Quanto esposto non significa che gli Stati membri hanno il controllo sulle transazioni effettuate dal titolare di una specifica identità ma solo che lo Stato ha la responsabilità sugli operatori pubblici e privati che applicano eIDAS 2.
Introdurre regole europee non imposte dai Governi ma sotto la loro responsabilità con conformità a standard operativi e di sicurezza gestiti con certificazioni e meccanismi analoghi è più rischioso delle regole totalmente private del C/A –Browser Forum dove il controllato e il controllore sono la stessa cosa?
Naturalmente i giuristi potrebbero anche evidenziare (a ragione) le differenze tra Common Law e Civil Law che porta a valutazioni differenti nelle analisi di “trust” sui due mondi (USA e Regno Unito ed Europa). La considerazione finale è sulla fiducia per il “Governo Europeo” alla quale segue una domanda cruciale alla quale ciascuno può dare la risposta che preferisce: perché la governance privata è migliore di quella europea?
