N-am mai scris de 2 luni pe acest subiect cu toate că, încetișor, s-au mai întâmplat lucruri. Să începem însă cu ce nu s-a întâmplat, proiectul început de dl. deputat Drulă în Camera Deputaților s-a disipat anonim, deși înțeleg că a fost produs un draft de proiect de lege acesta nu a mai ajuns la instituțiile participante și nici nu a fost introdus în circuitul parlamentar.
Însă MCSI a publicat pe site proiectul său de lege sub titulatura ” LEGE privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice ”, o versiune în care a renunțat la două dintre cele trei mari probleme pe care instituții publice i le-au semnalat în corespondența anterioară. Rămâne Art.45-2, un exemplu foarte interesant de ”tehnică legislativă” care merită studiat în detaliu.
Mai întâi, câteva explicații de context. Semnarea unui document poate fi tehnic făcută în trei scenarii: semnarea locală – introducem un dispozitiv in mufa USB și folosim o aplicație pe PC pentru semnare, semnarea pe server – avem un server care are un dispozitiv criptografic ( HSM ) montat permanent cu care semnăm precum și semnarea la distanță – un furnizor primește, chiar peste internet, documentul și-l semnează apoi îl returnează.
Regulamentul eIDAS se ocupă de primul scenariu, celelalte două sunt menționate în recital – zona de început unde apar declarații de principiu. Astfel avem în recital:
(51) Ar trebui să fie posibil pentru semnatar să încredințeze dispozitivele de creare a semnăturilor electronice calificate unei părți terțe, cu condiția ca mecanismele și procedurile adecvate să fie puse în aplicare pentru a se asigura că semnatarul are control unic asupra utilizării datelor sale de creare a semnăturilor electronice și cu condiția ca utilizarea dispozitivului să îndeplinească cerințele privind semnătura electronică calificată.
(52) Crearea semnăturilor electronice la distanță, al căror mediu este gestionat în numele semnatarului de un prestator de servicii de încredere, nu poate decât să se dezvolte având în vedere multiplele sale avantaje economice. …. În cazul unei semnături electronice calificate create cu ajutorul unui dispozitiv de creare a semnăturilor electronice la distanță, ar trebui să se aplice cerințele aplicabile prestatorilor de servicii de încredere calificați menționate în prezentul regulament.
Deși conținutul recitalului nu este obligatoriu ad litteram ci o zonă de explicații contextuale și un indiciu despre legislația viitoare MCSI a ales să legifereze (52) sub forma Art.45-2 dar să ignore (51). Această omisiune poate avea repercusiuni majore asupra funcționării administrației publice.
Administrația publică, ca orice instituție mare, își desfășoară activitatea folosind aplicații software specializate. Utilizatorul ia decizii într-o astfel de aplicație iar aplicația produce un document, îl semnează și îl trimite conform regulilor implementate. Aceste aplicații semnează documentele pe server, via HSM. Cel mai mare producător de documente – ANAF – folosește astfel de aplicații construite și întreținute de MFP prin DGTI / CNIF. Cu alte cuvinte deciziile de impunere sunt voința ANAF materializată prin grija unei alte persoane juridice – prestatorul de servicii IT. Astăzi ANAF are certificate calificate instalate în dispozitive HSM pe care le-a dat în grija Centrului Național pentru Informații Fiscale CNIF. În mod evident este materializarea scenariului (51) din recital.
Prin refuzul său de a legifera și (51) MCSI forțează ANAF și restul instituțiilor publice să aleagă între cele două opțiuni care mai au bază legală:
- renunță la ideea de cloud, de forță IT specializată precum sunt CNIF sau STS și revenim la micile echipe IT interne, subdimensionate și lipsite de nenumăratele calificări necesare
- achiziționează servicii de semnare documente de la unul dintre operatorii comerciali calificați, probabil cu plata la bucată
Desigur, se aplică în egală măsură și companiilor în măsura în care acestea au externalizat operarea sistemelor IT către o altă companie din grup – băncile internaționale sunt primul exemplu care-mi vine în minte. Pentru SMB și persoanele fizice graba de a legifera (52) înaintea UE conduce la un conflict direct cu serviciul de semnare si criptare email oferit de Google și alții.
Cireașa de pe tort este însă pentru toți. Tehnic nu este posibilă determinarea contextului în care un document / email a fost semnat cu un certificat calificat, totuși proiectul MCSI prin condițiile puse invalidează valoarea legală a semnăturilor produse în setup-uri ”ilegale” introducând o incertitudine care va afecta grav încrederea și adopția semnăturilor electronice. Rămân la opinia mea inițială, ar fi fost mult mai potrivit ca MCSI doar să propună abrogarea legii din 2001 și să lase libere scenariile de utilizare la fel cum a făcut, cu mai multă modestie, și Comisia Europeană.
Dacă este să găsim o notă optimistă în această poveste aceasta este că, spre deosebire de 2010, astăzi nu mai merge atât de simplu, ne mai găsim câte unii care contestăm tot ce este de contestat.
Niciun comentariu:
Trimiteți un comentariu