duminică, 6 septembrie 2020

PSCID (pscid #1)

Săptămâna trecută ADR a organizat spectaculos evenimentul de semnare a contractului de finanțare pentru proiectul “Platformă Software Centralizată pentru Identificare Digitală – PSCID”, aliniat la actuala strategie de promovare a guvernului - în mod normal prima ”înfățișare publică” a unui proiect ar fi fost mai târziu, cu ocazia evenimentului de lansare a acestuia. PSCID nu este ceva nou, a existat sub formă de fișă de 2 ani, a fost discutat în setup-uri oficiale. Și neoficial, atât eu cât și alte persoane, i-am descris lui Sabin Sărmaș problemele acestuia cu o claritate ce nu lasă loc de interpretare. Săptămâna trecută a dovedit astfel prioritatea reală a guvernului și precedența loialității în cazul lui Sabin, dincolo de declarațiile publice despre transparență, consultare și eficiență în cheltuirea banului public.

Astfel cu aceste prilej practic s-au decartat cărțile, fără surprize, doar speranțe romantice deziluzionate. Nu mi-a fost greu deci să sistematizez rapid principalele probleme, am scris pentru Facebook în stilul specific acestei platforme. Apoi a venit surpriza dorinței presei de a prelua aceste idei, mai surprins am fost când m-am văzut citat în totalitate, a rezultat acest articol de la care voi pleca în această postare menită a oferi o imagine mai calmă și mai largă.

După preluarea ideilor transmise în filmarea evenimentului sunt citate 3 opinii sensibil diferite. A mea, însoțită de o prezentare a profilului meu cam flamboaiantă după gustul meu, a lui George Sârbu și a lui George Anghel care, ambii, au avut avantajul de a putea pregăti o poziție știind că aceasta va apărea în presă. Putem vedea diferența de stil și profunzime între cele spuse de George Sârbu pe FB și cele din articol.


Cât despre George Anghel acesta a oferit o susținere moderată având grijă să marcheze cheia de boltă a acesteia din perspectiva sa: faptul că fondurile vor finanța și furnizorii de identități electronice. Prin platforma sa ConectX George este un astfel de furnizor producând identități digitale cu implicarea funcționarilor publici din administrația locală.

O altă informație relevantă există pe FB din partea unui fost Sub-secretar de Stat la MCSI care, la fel precum GS, a avut o interacțiune oficială cu acest subiect:



Să lăsăm însă la o parte artificiile și să discutăm aspectele concrete. Pentru eficiență mă voi raporta la unul dintre cele mai vechi proiecte (aparent) echivalente: SPID Sistema Pubblico di Identità Digitale, fără a putea să ignor că referirea la acesta ne echivalează astăzi în anul 2012. Să fiu mai precis, 2012-2014 a fost perioada de pregătire a legislației și documentației iar 2014-2016 cea de implementare a schemei. Spun ”aparent” deoarece evenimentul ne-a oferit informații contradictorii, cel mai evidente vizual:

principiu de funcționare PSCID

principiu de funcționare  SPID

Avem astfel SPID care se declară envisaged by SAML v2 for the profile of  “Web Browser SSO” fiind evident o federație în timp ce PSCID vizual și declarativ este contradictoriu. Vedem o grafică în care nu apar furnizorii de identitate non-PKI (care nu emit certificate, spre exemplu SPV sau ONRC) în schimb identitățile par a face parte din platformă, variantă întărită de declarația ” ... constituirea unui registru electronic național de identități electronice. Identitățile electronice nu vor dispărea, ci vor merge într-un registru,” dar a fost afirmat și că ”încercăm să creăm o platformă mai sigură, federalizată”. Astăzi PSCID este un oximoron iar informațiile livrate publicului denotă în cel mai bun caz o lipsă de înțelegere a subiectului fără a putea exclude o dezinformare voită în vederea disimulării lipsei de beneficii reale la punerea în producție.

Să mergem însă pe ideea care satisface toate cele spuse public, cu toate că este foarte originală și fără tangență cu practica eIDAS europeană. Să presupunem că se intenționează, pentru entitățile care au astăzi un pachet de eID emise, înghesuirea în rolul de ”Agent de identificare” (rol legiferat de eIDAS pentru semnături). Adică pe baza eiD al SPV se emite un nou eID, al PSCID. Acesta nou eID va exista pe serverele ADR și va fi expus prin nodul eIDAS, tot al ADR - în acord cu schema prezentată de ADR. A spune că acest aranjament este o ”federalizare” este poezie, nu tech-talk, deoarece relația dintre entități nu este egală. Însă cum nu fac critică literară hai să vedem problemele contondente.

Să vedem cu au făcut italienii:

1. Au modificat în 2013 Legea Codul Administrativ introducând la Art.64 un număr de puncte care, pe scurt, definesc scopul, ținta, rolurile și, important, exonerează operatorul de servicii ale societății informaționale de răspunderea legată de activitatea unui user autentificat prin SPID. În 2014 au emis un HG care definește termeni, condiții și metode.

Pentru noi este de reținut că platforma trebuie înființată  și definită prin Lege măcar la nivel de scop și beneficiari. Și Curtea Constituțională a României a decis același lucru în Decizia 498/2018.

2. AgID, agenția italiană similară cu ADR, care este titularul SPID, este, ca și ADR, organism de supraveghere. SPID nu este o platformă tehnică în operarea AgID ci un cumul de norme și proceduri de verificare care conferă valență juridică unui număr de servicii expuse de terți prin federalizare. Mai exact legea definește:

“SPID” as an open set of public and private subjects that, by accreditation by the Agency for Digital Italy (or “AgID”), in accordance with methods defined by specific decree, manage user registration services and the making available of credentials and network access tools for citizens and businesses

Unii văd astăzi exclusiv suma de 20 milioane euro de băgat într-o platformă IT care, după cum se vede, nu ar trebui să existe (iar proiectul ar trebui finanțat pe POCA, nu POC). Puțină lume recunoaște însă lipsa de capacitate administrativă a ADR de a concepe și impune un set de norme atât de complex. Pornind, istoric, de la inexistența concretă a activității de supraveghere a prestatorilor de servicii de încredere trecând la lunga listă de oportunități ratate de a participa în comunitatea de specialitate agregată de Comisia Europeană și, apropo de absorbția fondurilor europene menționată în eveniment, de lipsa istorică a accesării oricărei finanțări pe CEF-Telecom dedicată eID (e-codex, succes bazat pe merite personale ne arată că nu era imposibil) în timp ce Italia și-a făcut astfel nodul eIDAS și alte câteva spinoff-uri (am identificat 6 proiecte). (Evaluarea proiectelor pe CEF-Telecom este făcută de specialiștii CE în timp ce proiectele istorice ADR au fost evaluate de ... ADR!).

3. Problema atributelor certificate (a informației cu privire la rolul unei persoane - administrator firmă, arhitect, medic cu drept de practică, etc.). Italienii, din 2019, au lansat ”’IDENTITÀ DIGITALE PER USO PROFESSIONALE” pentru care au definit:

 ”the Attribute Authority who, in accordance with current regulations, can certify qualified attributes, such as possession of an educational qualification or membership of a professional order;”

Și aici în film putem vedea o bălmăjeală jenantă. Pe de o parte se spune că PSCID va avea un nivel de încredere ”substanțial” pe de altă parte ONRC este nominalizat ca exemplu de sursă de eID. ONRC nu poate fi sursă de eID deoarece procedura de creare cont în portalul ONRC nu satisface cerințele pentru ”substanțial”. Ar fi minunat ca ONRC să-și asume, în sfârșit, un serviciu online care să confirme automat statutul de administrator al unei persoane pentru o companie însă nimic din cele comunicate nu indică acest lucru.

4. Problema identificării la distanță. Aici este simplu ... este în primul rând o normă și doar apoi o platformă tehnică, normă pe care ADR o chinuie de 1 an fără rezultat. În film s-a vorbit de o identificare bazată pe trimiterea unor fotografii - în Italia și cam peste tot interacțiunea este video live. Menționarea Revolut ca exemplu este greșită, acesta evoluează în alt cadru legal și ecosistem (KYC).

5. Includerea altor instituții publice. Nu mai vreau să reiau ce am scris inițial. Mă limitez să arăt că, în Italia, cartea lor de identitate electronică numită CIE nu face parte din SPID ci este notificată separat. Există doar o aliniere la nivel tehnic intre cele două scheme astfel încât utilizatorilor să le fie ușor să le consume similar.

Rescriu acest ultim paragraf pentru a-i da claritate. Scopul suprem trebuie să fie notificarea către UE a acestei scheme de identitate pentru ca astfel aceste identități să fie recunoscute la nivel european. Notificarea CEI nu este îndeajuns, CEI va fi o identitate rigidă cu un număr fix de atribute, prea ”serioasă” pentru activitatea zilnică. Notificarea implică o procedură de peer-review în care celelalte state membre pun întrebări (SPID a primit 150 !) iar la final acceptă sau nu notificarea. La nivel european nu se acceptă încălcarea principiilor, nu poți fi în același timp prestator și supraveghetor - nicio identitate prelucrată de ADR nu va fi considerată supravegheată corespunzător de același ADR! Chiar mai mult, dincolo de prevederile eIDAS, state precum Germania sunt confortabile doar cu un setup triunghiular în care prestatorul este monitorizat operațional de către o altă entitate, amândoi fiind supravegheați de autoritatea de supraveghere. Pe scurt, ce vrea să facă ADR nu poate fi acceptat la nivel european ! 

Niciun comentariu:

Trimiteți un comentariu