vineri, 17 mai 2019

melcii voștri (eIDAS #21)

În 9 Mai MCSI a publicat un comunicat de presă interesant din mai multe puncte de vedere. Are ca audiență emitenții de certificate calificate și se referă la procedura de identificare la distanță a solicitanților astfel:


În conformitate cu prevederile Regulamentului European nr. 910/2014, urmare a consultărilor publice organizate la nivelul MCSI, cu participarea tuturor prestatorilor de servicii de încredere calificaţi din România, s-au convenit urmatoarele:
  • Mecanismele tehnice privind identificarea video la distanţă, ce urmează a fi implementate / utilizate de către prestatorii de servicii de încredere calificaţi din România, vor fi certificate, pe baza normativelor tehnice adoptate la nivelul Comisiei Europene, doar de către auditori acreditaţi la nivelul Uniunii Europene;
  • Răspunderea pentru utilizarea în siguranţă şi fără erori a mecanismelor de identificare video la distanţă, revine exclusiv prestatorilor de servicii de încredere calificaţi din România, în solidar cu auditorii europeni acreditaţi, care au certificat soluţia tehnică în urma efectuării raportului de audit;
  • MCSI va menţiona în cuprinsul tuturor documentelor emise în favoarea prestatorilor de servicii de încredere calificaţi din România, urmatoarea notă:
„MCSI nu este raspunzător pentru niciun fel de daune cauzate / produse în urma utilizării mecanismelor de identificare video la distanţă.”
Acesta este un subiect despre care am scris încă din Iulie 2017. Identificarea la distanță este o componentă a procedurii de emitere a certificatelor însă, poate în mai mare măsură, se regăsește și în alte proceduri cu miză legală. Spre exemplu obligația de KYC pe care Revolut și-o îndeplinește solicitând poze cu actul de identitate și solicitantul. Este important de reținut că valoarea/tăria/încrederea într-o astfel de procedură este intrinsecă, nu depinde de destinația ulterioară a informației.

Revenind ... o primă observație este de formă: ce înseamnă ”s-au convenit” ? Dacă este vorba de un act oficial atunci acesta trebuia publicat, dacă este un gentleman agreement - cu părere de rău, așa ceva rar există. În orice caz, nu există valoare legală în această construcție.

Apoi, presupunând că a fost luată o decizie, care este cadrul legal al acesteia ? Identificarea solicitantului de certificate calificate face obiectul Regulamentului (UE) 2015/1502 care nu prevede posibilitatea de a-l completa direct cu legislație națională și prin urmare MCSI nu ar trebui să vină cu adăugiri la această lege. În schimb procedura de identificare prin analizarea CI și a trăsăturilor celui care o prezintă este de competența MAI, instituție care cunoaște elementele de securitate specifice CI precum și metodologia de comparație. Este interesant că MCSI intervine pe acest subiect și se pronunță că o conectare video poate oferi garanțiile necesare cu privire la verificarea corectă a acestor elemente.

Trecând la analiza pe text vom observa că nu există în acesta nimic relevant. Auditarea /certificarea dintotdeauna se face de către auditori acreditați iar acreditarea într-o țară este recunoscută de jure în întreaga UE. Răspunderea este, la fel, întotdeauna a prestatorilor iar MCSI este oricum imun la cereri de despăgubiri. Așadar rămâne să ne îndreptăm spre lucruri mai subtile și așa iese în evidență mesajul de tip Pilat din Pont - utilizarea mecanismelor de identificare video la distanță este o greșeală, un pericol, faceți cum vreți dar să nu vină nimeni la noi după ce se va fi întâmplat.

Și cine sunt cei care vor ? Greu de spus ... în 2017 erau firme de casă ale mediului bancar/IFN iar opoziția era administrația publică și emitenții de certificate calificate.

Administrația publică nu era dispusă să riște - în mod evident o poză nu este egală cu originalul. Companiile românești emitente de certificate calificate vroiau să împiedice intrarea pe piață a certificatelor ieftine, emise din alte țări UE.

Pe de altă parte există o cerere crescândă pentru servicii online și un curaj al românilor în a apela la acestea - nu degeaba Revolut are o creștere spectaculoasă în România. Poate că lobby-ul bancar a învins (cel mai probabil), poate că s-au înțeles cu firmele tradiționale românești și MCSI a rămas de căruță. Însă, în orice caz, nu este o soluție! Nu poți conduce afaceri pe baza comunicatelor de presă.

Din punctul meu de vedere, soluția corectă ar fi fost cooptarea MAI care să ofere un serviciu online, cu taxă, în care să poți urca o imagine a unei CI și să primești înapoi confirmarea existenței persoanei și portretul într-o rezoluție cât mai bună. Este un serviciu ce poate fi automatizat și elimină o bună parte din riscuri.

În altă ordine de idei, să numărăm cele 22 de luni necesare ca să se întâmple .... NIMIC

Niciun comentariu:

Trimiteți un comentariu