vineri, 31 decembrie 2021

HG funcționare SGG

A apărut HG 1313/30.12.2021 care modifică structura și rolul SGG. Avem 2 vești în zona de e-guvernare:

👉Rămâne neatins rolul CIO Guvernamental, inclusiv prevederea că: ” coordonează implementarea .... strategiilor naționale în domeniul tehnologiei informației, elaborate de Autoritatea pentru Digitalizarea României;”

👉Bugetul ADR nu mai este din bugetul SGG dispărând contradicția cu rolul MCID ca și coordonator principal de credite.

Putem presupune deci că rolurile ADR și MCID au fost evaluate iar neajustarea formulării citate poate fi consecința atât a evitării deschiderii discuției despre rolul CIO cât și materializarea intenției de a lăsa în continuare MCID fără influență în zona e-guvernării.

⚠ Însă cea mai interesantă noutate pare a fi preluarea de către SGG a rolului de autoritate publică tutelară pentru toate întreprinderile publice bazate pe guvernanță corporativă. Probabil vor fi resetate toate procedurile de selecție, inclusiv cea de la SNR.



marți, 21 decembrie 2021

Ordinul pe identificarea video față în față cu reacțiunea (eIDAS #55)

 


Am participat astăzi, fizic, la dezbaterea publică organizată de ADR cu privire la recentele norme tehnice pentru identificarea video. De mare interes, înțeleg că pe zoom au fost mai multe persoane interesate decât cele 100 de locuri disponibile. Octavian Oprea și-a ținut discursul de deschidere apoi a plecat ”la parlament”, dialogul a fost susținut de către dl. Cătălin Iapă, momentan Șef Serviciu Societate Informațională însă cu un CV bun și activitate politică care-l vor propulsa, probabil, într-o viitoare demnitate publică.

Ca să nu lungim oricum o postare foarte lungă voi încerca să redau cât mai fidel cele spuse pe subiectele recurente de pe această pagină.

La întrebarea ”... de ce o primărie, o administrație locală, este obligată din punct de vedere legal să respecte aceste norme?” am primit următorul răspuns:

👉Cătălin Iapă: Ideea e să lămurim sută la sută orice se poate lămurii pe acest subiect. Suntem și în normele de video-identificare în perspectiva serviciilor de încredere la nivel european și sunt prevăzute în regulamentul eIDAS. O primărie sau o altă instituție publică poate face orice tip de identificare vrea fără să respecte aceste norme, în contextul în care vrea să facă identificare video există aceste norme care prevăd cadrul general al identificării video. Riscul unei primării de a face identificare video și de a nu respecta aceste norme ar fi că la un moment dat să nu mai aibă efect juridic⚠ verificarea video pe care o face primăria și cred că este un risc mare pe care și l-ar putea asuma o primărie. Pe de altă parte normele acestea sunt cât mai simple am putut noi să le facem astfel încât să respecte niște principii de siguranță a comunicării cu cetățeanul. Din perspectiva unei primării sau din perspectiva unei alte autorități publice nevoia e foarte clară. Există o nevoie mare pe acest subiect și nevoia e mai mult a cetățeanului decât a primăriei pentru că primăria trebuie să facă ceva în plus. În schimb cetățeanul are multe avantaje în contextul în care poate interacționa de la distanță cu orice instituție publică, o primărie sau orice altă instituție publică. ‼️➡️Acuma nu vă spun în articol sau în lege că nu am la mine documente, în schimb cele două legi, legea 129 și regulamentul eIDAS sunt izvor pentru decizia pe care am dat-o pe video identificare.‼️

👉Andrei Nicoară: Dacă îmi permiteți nu discutam necesitatea și oportunitatea unor norme tehnice. E vorba de trasabilitatea legală .... Ca să fie o problemă pentru o primărie faptul că nu respectă o normă, în primul rând trebuie demonstrat că acea normă este legală, are un izvor de legalitate care trebuie să aibă trasabilitate până la un regulament european sau până la o lege. Eu încerc să mă lămuresc care este acest traseu de putere legală, cum s-a ajuns ca Autoritatea pentru Digitalizarea României să reglementeze o activitate în cadrul administrației publice, care activitate există deja de mulți ani. Vă aduc aminte că ANAF, partea de administrație centrală, are zeci de mii de conturi în Spațiul Privat Virtual deschise on-line și mai există destule primării care deja au conturi care sunt deschise printr-o formă de procedură de identificare video. Apropo, ce se întâmplă cu toate aceste conturi presupunând că acele primării ... hai să zicem că se lasă intimidate și consideră că mai bine, ca să nu aibă bătăi de cap, să implementeze toate aceste prevederi, pe care nu le contest, în principiu, la nivel tehnic. Întrebarea este strict la nivel de legalitate.

👉Cătălin Iapă: Conturile deschise până acum sunt valabile în continuare. Partea de identificare video este o procedură punctuală care se întâmplă foarte clar din 24 decembrie încolo. Nu am reglementat nimic ce s-a întâmplat înainte de 24 decembrie. Toate conturile deschise de exemplu la ANAF, avem și colegii de la ANAF cu noi, sunt valide în continuare. Cetățeanul în continuare poate să își folosească contul online care fost deschis, a fost deschis printr-o metodă de video-identificare sau prin alte metode de identificare, dar dacă ANAF vrea să facă în continuare conturi noi unor persoane pe care nu le am văzut până acum și vor să folosească o metodă de video-identificare sunt obligați cei de la ANAF să respecte normele acestea.

La acest moment dl Iapă și-a manifestat nemulțumirea pentru întinderea alocată acestui subiect așa că am trecut la următorul întrebând pe ce se bazează Octavian Oprea când afirmă repetat că PSCID va stimula utilizarea semnăturilor calificate atât timp cât nu-și propune un nivel de încredere eIDAS măcar ”substanțial”. După câteva digresiuni am ajuns la partea interesantă:

👉Cătălin Iapă: ... la nivel de principiu nu sunt implicat personal în proiectul acesta. Vedeți ca idee, si nu pot sa intru in detalii foarte mari, doar la nivel de principiu. Daca există acum ceva, o nevoie care nu a fost prinsă în proiectul inițial cu siguranță se va modifica și va fi definit mai restrictiv.

👉Andrei Nicoară: Eu nu pot decât să vă felicit dacă sperați că furnizorul vă va livra mult mai mult decât i-ați cerut în caietul de sarcini, în contract.

👉Cătălin Iapă: Este în regulă, se pot mări sumele din contract‼️, se pot face licitații separate. Există variante legale astfel încât să ajungem la niște proiecte funcționale.

👉Andrei Nicoară: Nu știu cât de legal este să plănuiești o extindere a unui contract încă dinainte de momentul de a-l semna dar hai să închidem.

Au mai fost și alte luări de cuvânt din sală. În percepția mea companiile din zona KYC și spălarea banilor sunt mulțumite de această normă, Namirial a avut unele nelămuriri punctuale pe aspecte care încurcă activitatea furnizorilor europeni în România iar un reprezentant al unei firme românești emitent de certificate calificate ne-a spus că nu ar trebui aplicate în România (prin recunoașterea mutuală impusă de eIDAS) norme din alte țări.

Componenta cea mai suculentă a fost însă dialogul cu ANAF. În prima parte a întâlnirii spusele d-lui Iapă în dialogul său cu ANAF au creat în mintea celor prezenți ideea că ANAF, prin SPV, nu este obiectul acestei reglementări. După pauză am intervenit pentru a clarifica și a cere ca această interpretare să se aplice tuturor instituțiilor publice și să fie dată în scris. Moment în care dl. Iapă mi-a contrazis reformularea, a început să o scalde și, meritoriu 👏, a intervenit dna Bădeana care a spus clar că ANAF este obiectul reglementării. A urmat apoi un episod contondent în care ANAF a explicat că va trebui să suspende înrolarea video în SPV deoarece nu are timp, în 8 luni, să producă modificările, documentația și să achiziționeze servicii de audit specializat. Ba chiar nu ar avea timp nici să cumpere servicii de identificare de furnizorii privați recunoscuți de ADR.

Nu știu cine a mâncat cel mai mult din timpul participanților, eu sau reprezentanta ANAF. Știu însă că am avut multe contre interesante, inclusiv am arătat că identificarea utilizatorilor trebuie tratată unitar, indiferent de onboardingul on/off-line prin controlul managerial intern, standardul 13 și efortul SGG.

⚠Păcat că ADR a plecat de la început pe ideea că nu va publica înregistrarea evenimentului.

Pentru mine situația este clară, nu a fost argumentată baza legală în zona reglementării administrației publice. Rămâne de văzut cine va contesta acest ordin și dacă o va face în contencios sau penal cât timp la nivel politic coordonarea a fost un eșec iar administrativ, după respingerile pe circuitul de avizare ale aceluiași text sub formă de OUG, respectiv HG, s-a recurs la soluția de Ordin care nu a fost supus avizării din partea oricărei alte instituții guvernamentale (da, am întrebat expres dacă au fost implicate în Ordin și alte instituții publice).

DNSC fara buget

În administrația publică pumnul în masă are efect exact atât timp cât sunetul reverberează în aer. Doar ce s-a terminat efortul concertat de aprobare a OUG-ului de înființare brusc sorții și-au luat mâna de pe DNSC și finanțele i-au alocat în Bugetul Național doar 15,99% din suma solicitată.

Bugetul pentru personalul DNSC este cu 20% mai mic decât bugetul anului 2021 aferent personalului CERT-Ro !

Nu este de mirare că Pavel Popescu s-a agitat pentru un amendament salvator.

Mai puțin explicabilă este poziția lui Ciprian Teleman care, a treia oară în ultima săptămână, pare a lua atitudine publică pe un subiect pentru care USR nu ajunsese încă la o decizie, forțând practic mâna colegilor săi de partid.

sâmbătă, 18 decembrie 2021

Codul comunicatiilor - articol 10^2

Se apropie de deznodământ ultimul scandal legislativ, pe tema unui articol de lege semnalat de Asociatia pentru Tehnologie si Internet - ApTI care aparent introduce interceptarea aplicațiilor criptate de tip messenger. Este vorba de Art. 10^2 din viitorul Cod al Comunicațiilor. Există însă detalii și nuanțe, mă voi aventura în continuare în acest domeniu nespecific mie.

La noi cheia discuției a fost dreptul la viață privată și modul în care aceasta este agresată prin începerea supravegherii unui mijloc de comunicație anterior ”liber”.

în realitate  nu există comunicații ”libere”, avem de mult timp Art.130 din CPP care spune că ”  (2) 𝑃𝑟𝑖𝑛 𝑖𝑛𝑡𝑒𝑟𝑐𝑒𝑝𝑡𝑎𝑟𝑒𝑎 𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑜𝑟𝑖 𝑎 𝑜𝑟𝑖𝑐𝑎̆𝑟𝑢𝑖 𝑡𝑖𝑝 𝑑𝑒 𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑟𝑒 𝑠𝑒 𝑖̂𝑛𝑡̦𝑒𝑙𝑒𝑔𝑒 𝑖𝑛𝑡𝑒𝑟𝑐𝑒𝑝𝑡𝑎𝑟𝑒𝑎, 𝑎𝑐𝑐𝑒𝑠𝑢𝑙, 𝑚𝑜𝑛𝑖𝑡𝑜𝑟𝑖𝑧𝑎𝑟𝑒𝑎, 𝑐𝑜𝑙𝑒𝑐𝑡𝑎𝑟𝑒𝑎 𝑠𝑎𝑢 𝑖̂𝑛𝑟𝑒𝑔𝑖𝑠𝑡𝑟𝑎𝑟𝑒𝑎 𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎̆𝑟𝑖𝑙𝑜𝑟 𝑒𝑓𝑒𝑐𝑡𝑢𝑎𝑡𝑒 𝑝𝑟𝑖𝑛 𝑡𝑒𝑙𝑒𝑓𝑜𝑛, 𝑠𝑖𝑠𝑡𝑒𝑚 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑡𝑖𝑐 𝑜𝑟𝑖 𝑝𝑟𝑖𝑛 𝑜𝑟𝑖𝑐𝑒 𝑎𝑙𝑡 𝑚𝑖𝑗𝑙𝑜𝑐 𝑑𝑒 𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑟𝑒”. Așadar și comunicarea prin porumbei voiajori este legal interceptabilă.😆

Rămâne deci de dezbătut semnificația cuvântului ”comunicare” într-un univers în care din ce în ce mai multe dispozitive sunt conectate și comunică date. Pentru a înțelege diferența am să dau un exemplu, forțat pentru claritate:

👉când ”dau un Ping” către o adresă IP aceasta îmi răspunde cu un răspuns standard. Acesta este un schimb de date.

👉când dau 9 Ping-uri, 3 la interval rapid, 3 mai lente, 3 iarăși rapide, aceasta este comunicarea cuvântului SOS.

⚠️Infrastructura este aceeași, modul de utilizare diferă și o transformă într-un mijloc de comunicații.

Legislația în vigoare (azi  OUG 111/2011) a evoluat în timp pornind de la reglementarea proprietarilor de rețele / infrastructură de comunicații, apoi s-au adăugat operatorii virtuali și nodurile de interconectare astăzi incluzând tot ce ne putem imagina cu excepția: 

”𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖𝑙𝑜𝑟 𝑠𝑜𝑐𝑖𝑒𝑡𝑎̆𝑡̦𝑖𝑖 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑡̦𝑖𝑜𝑛𝑎𝑙𝑒 𝑐𝑎𝑟𝑒 𝑛𝑢 𝑐𝑜𝑛𝑠𝑡𝑎𝑢, 𝑖̂𝑛 𝑖̂𝑛𝑡𝑟𝑒𝑔𝑖𝑚𝑒 𝑠𝑎𝑢 𝑖̂𝑛 𝑝𝑟𝑖𝑛𝑐𝑖𝑝𝑎𝑙, 𝑖̂𝑛 𝑡𝑟𝑎𝑛𝑠𝑚𝑖𝑡𝑒𝑟𝑒𝑎 𝑠𝑒𝑚𝑛𝑎𝑙𝑒𝑙𝑜𝑟 𝑝𝑟𝑖𝑛 𝑟𝑒𝑡̦𝑒𝑙𝑒𝑙𝑒 𝑑𝑒 𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑡̦𝑖𝑖 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐𝑒”

⚠️Restul serviciile societății informaționale ar trebui să fie contra-cost și sub supravegherea ADR.

WhatsApp, Telegram, Signal, etc. – în măsura în care sunt interesate să se definească juridic – se autodefinesc ca servicii ale societății informaționale. Juridic evident, pentru planurile gratuite nu se încadrează in definiția Legii 365/2002 iar funcțional este greu de argumentat că nu au ca activitate principală ”transmiterea semnalelor pe rețele de comunicații”.

𝗦𝗮̆ 𝗿𝗲𝗰𝗮𝗽𝗶𝘁𝘂𝗹𝗮̆𝗺:

Întotdeauna a fost legală interceptarea comunicațiilor prin aceste aplicații, unii furnizori chiar raportează anual numărul de răspunsuri către autoritățile românești. Autoritatea de reglementare românească a fost (ca și inexistentă, ADR) fără un challange din partea ANCOM.

𝗖𝗲 𝗮𝗱𝘂𝗰𝗲 𝗻𝗼𝘂𝗹 𝗽𝗿𝗼𝗶𝗲𝗰𝘁:

👉Mută formal autoritatea la ANCOM pentru a evita penibilul unei re-evaluări a aplicării cadrului legal existent (care ar putea genera întrebări de tipul ”ce ați păzit până azi?”)

👉Schimbă aplicabilitatea de la ”furnizorii stabiliți în România (cazul ADR)” la furnizori de servicii de comunicații interpersonale care oferă servicii utilizatorilor finali din România. Acești furnizori au obligația de a informa ANCOM cu privire la modalitatea lor de a fi contactați, tipurile de servicii oferite.

👉Aplicațiilor de mesagerie li se cere același efort tehnic de colaborare pentru interceptări precum cel depus de operatorii clasici de comunicații.

Se poate spune, în concluzie, că se recunoaște nivelul de maturitate al acestei categorii de companii care, după ce au deranjat comercial marii operatori😋, sunt aduse la marea masă a companiilor telecom.

Din păcate spațiul public românesc nu are gradul de sofisticare al celui occidental, nu a reușit să pună corect subiectul în discuție. În democrațiile occidentale nimeni nu contestă dreptul statului de a intercepta comunicații cu respectarea procedurilor legale, acolo se discută în ce grad măsurile tehnice necesare pentru interceptarea comunicațiilor criptate  end-to-end nu le vulnerabilizează și nu ar putea de asemeni să faciliteze interceptarea de către alți factori maligni.

⚠️Astfel discuția este de oportunitate tehnică, nu de protecție a vieții private. În acest sens, cât timp există tot în Art.130:

(3) 𝘗𝘳𝘪𝘯 𝘢𝘤𝘤𝘦𝘴 𝘭𝘢 𝘶𝘯 𝘴𝘪𝘴𝘵𝘦𝘮 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘤 𝘴𝘦 𝘪̂𝘯𝘵̧𝘦𝘭𝘦𝘨𝘦 𝘱𝘢̆𝘵𝘳𝘶𝘯𝘥𝘦𝘳𝘦𝘢 𝘪̂𝘯𝘵𝘳-𝘶𝘯 𝘴𝘪𝘴𝘵𝘦𝘮 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘤 𝘴𝘢𝘶 𝘮𝘪𝘫𝘭𝘰𝘤 𝘥𝘦 𝘴𝘵𝘰𝘤𝘢𝘳𝘦 𝘢 𝘥𝘢𝘵𝘦𝘭𝘰𝘳 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘤𝘦 𝘧𝘪𝘦 𝘥𝘪𝘳𝘦𝘤𝘵, 𝘧𝘪𝘦 𝘥𝘦 𝘭𝘢 𝘥𝘪𝘴𝘵𝘢𝘯𝘵̧𝘢̆, 𝘱𝘳𝘪𝘯 𝘪𝘯𝘵𝘦𝘳𝘮𝘦𝘥𝘪𝘶𝘭 𝘶𝘯𝘰𝘳 𝘱𝘳𝘰𝘨𝘳𝘢𝘮𝘦 𝘴𝘱𝘦𝘤𝘪𝘢𝘭𝘪𝘻𝘢𝘵𝘦 𝘰𝘳𝘪 𝘱𝘳𝘪𝘯 𝘪𝘯𝘵𝘦𝘳𝘮𝘦𝘥𝘪𝘶𝘭 𝘶𝘯𝘦𝘪 𝘳𝘦𝘵̧𝘦𝘭𝘦, 𝘪̂𝘯 𝘴𝘤𝘰𝘱𝘶𝘭 𝘥𝘦 𝘢 𝘪𝘥𝘦𝘯𝘵𝘪𝘧𝘪𝘤𝘢 𝘱𝘳𝘰𝘣𝘦.

statul va avea acces atât la comunicații cât și la orice informație existentă pe echipament. O variantă, în opinia mea, mult mai intruzivă și greu de evaluat ca factor social cât timp pentru aceasta nu există rapoarte anuale statistice, operatorul nefiind implicat.

PS: o idee interesantă - ANCOM va putea interzice, legat de securitatea națională, utilizarea platformelor de comunicație non-UE. Practic, probabil, prin decizii aplicate de ISP.

vineri, 10 decembrie 2021

Cuvinte trăznite de la Octavian Oprea

 Astăzi ADR ne-a transmis LIVE conferința de presă prilejuită de semnarea contractului de achiziție pentru nodul eIDAS românesc. Subiect important, cuvinte trăsnite am auzit de la dl Oprea:

😂La min. 02.05 ne spune că după finalizare semnăturile românești vor fi recunoscute în UE. În realitate sunt deja recunoscute azi, prin mecanismul EU Trust List, fără legătură cu nodul eIDAS.

😂La min. 04.00 ne spune că, prin nodul eIDAS, identitățile emise de PSCID vor fi valabile la nivel european. În realitate pentru această recunoaștere este necesar ca PSCID sa fie auditat după niște criterii care nu au fost puse în caietul său de sarcini, îndeajuns de pretențioase pentru a nu fi îndeplinite din întâmplare.

😂La min. 07.25 ne spune că va comunica ”recurent” despre proiect. În IT înseamnă apelarea repetată a aceleași proceduri până îți atingi obiectivul – într-adevăr a lansa repetat același proiect sau idee  este trademark ADR.

Enjoy !

https://fb.watch/9OYhh7HspT/

joi, 9 decembrie 2021

Clarificări certificate calificate ale STS (eIDAS #54)

În a 12-a lună, ca să nu zic al 12-lea ceas, Guvernul ne propune un OUG menit să rezolve câteva probleme grave cu privire la semnarea calificată a declarațiilor de avere. Cum practic sunt adresate și rezolvate contradicțiile operaționale semnalate de mine în Iulie 2020 (link în primul comentariu) precum și problema sursei și costurilor certificatelor despre care am scris în 28 Noiembrie a.c. – nu pot decât să-i 👏👏👏.

Sunt deosebit de încântat de Nota de Fundamentare a OUG-ului. Aceasta spune:

𝐼̂𝑛 𝑡𝑒𝑚𝑒𝑖𝑢𝑙 𝐿𝑒𝑔𝑖𝑖 𝑛𝑟. 92/1996, 𝑐𝑢 𝑚𝑜𝑑𝑖𝑓𝑖𝑐𝑎̆𝑟𝑖𝑙𝑒 𝑠̦𝑖 𝑐𝑜𝑚𝑝𝑙𝑒𝑡𝑎̆𝑟𝑖𝑙𝑒 𝑢𝑙𝑡𝑒𝑟𝑖𝑜𝑎𝑟𝑒, 𝑖𝑛𝑠𝑡𝑖𝑡𝑢𝑡̦𝑖𝑎 𝑓𝑢𝑟𝑛𝑖𝑧𝑒𝑎𝑧𝑎̆, 𝑝𝑒𝑛𝑡𝑟𝑢 𝑢𝑡𝑖𝑙𝑖𝑧𝑎𝑡𝑜𝑟𝑖𝑖 𝑟𝑒𝑡̦𝑒𝑙𝑒𝑙𝑜𝑟 𝑑𝑒 𝑡𝑒𝑙𝑒𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑡̦𝑖𝑖 𝑠𝑝𝑒𝑐𝑖𝑎𝑙𝑒, 𝑝𝑟𝑒𝑣𝑎̆𝑧𝑢𝑡̦𝑖 𝑖̂𝑛 𝐴𝑛𝑒𝑥𝑎 𝑛𝑟. 1 𝑑𝑖𝑛 𝑎𝑐𝑡𝑢𝑙 𝑛𝑜𝑟𝑚𝑎𝑡𝑖𝑣 𝑚𝑎𝑖 𝑖̂𝑛𝑎𝑖𝑛𝑡𝑒 𝑖𝑛𝑣𝑜𝑐𝑎𝑡, 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖 𝑑𝑒 𝑖̂𝑛𝑐𝑟𝑒𝑑𝑒𝑟𝑒 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑡𝑒.

...

𝐼̂𝑛 𝑐𝑜𝑛𝑠𝑖𝑑𝑒𝑟𝑎𝑟𝑒𝑎 𝑟𝑜𝑙𝑢𝑙𝑢𝑖, 𝑎 𝑐𝑜𝑚𝑝𝑒𝑡𝑒𝑛𝑡̦𝑒𝑙𝑜𝑟 𝑠̦𝑖 𝑎𝑡𝑟𝑖𝑏𝑢𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑙𝑒𝑔𝑎𝑙𝑒 𝑎𝑙𝑒 𝑆𝑇𝑆, 𝑎𝑐𝑒𝑎𝑠𝑡𝑎̆ 𝑖𝑛𝑠𝑡𝑖𝑡𝑢𝑡̦𝑖𝑒 𝑡𝑟𝑒𝑏𝑢𝑖𝑒 𝑠𝑎̆ 𝑎𝑠𝑖𝑔𝑢𝑟𝑒 𝑠𝑒𝑚𝑛𝑎̆𝑡𝑢𝑟𝑖 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐𝑒 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑡𝑒 𝑠̦𝑖 𝑝𝑒𝑛𝑡𝑟𝑢 𝑖̂𝑛𝑑𝑒𝑝𝑙𝑖𝑛𝑖𝑟𝑒𝑎 𝑜𝑏𝑙𝑖𝑔𝑎𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑑𝑒 𝑐𝑜𝑚𝑝𝑙𝑒𝑡𝑎𝑟𝑒 𝑠̦𝑖 𝑑𝑒𝑝𝑢𝑛𝑒𝑟𝑒 𝑎 𝑑𝑒𝑐𝑙𝑎𝑟𝑎𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑑𝑒 𝑎𝑣𝑒𝑟𝑒 𝑠̦𝑖 𝑑𝑒 𝑖𝑛𝑡𝑒𝑟𝑒𝑠𝑒 𝑖̂𝑛 𝑓𝑜𝑟𝑚𝑎𝑡 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐

...

𝑇𝑜𝑡𝑜𝑑𝑎𝑡𝑎̆, 𝑐𝑜𝑛𝑓𝑜𝑟𝑚 𝑐𝑢 𝑝𝑟𝑒𝑣𝑒𝑑𝑒𝑟𝑖𝑙𝑒 𝑂𝑈𝐺 𝑛𝑟. 39/2020 𝑝𝑒𝑛𝑡𝑟𝑢 𝑐𝑜𝑚𝑝𝑙𝑒𝑡𝑎𝑟𝑒𝑎 𝐿𝑒𝑔𝑖𝑖 𝑛𝑟. 455/2001 𝑝𝑟𝑖𝑣𝑖𝑛𝑑 𝑠𝑒𝑚𝑛𝑎̆𝑡𝑢𝑟𝑎 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐𝑎 𝑆𝑇𝑆 𝑒𝑠𝑡𝑒 𝑑𝑒𝑠𝑒𝑚𝑛𝑎𝑡 𝑠𝑎̆ 𝑎𝑠𝑖𝑔𝑢𝑟𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖 𝑑𝑒 𝑐𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑟𝑒 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑡𝑎̆ 𝑑𝑒𝑠𝑡𝑖𝑛𝑎𝑡𝑒 𝑒𝑥𝑐𝑙𝑢𝑠𝑖𝑣 𝑝𝑒𝑟𝑠𝑜𝑛𝑎𝑙𝑢𝑙𝑢𝑖 𝑎𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑡 𝑑𝑖𝑛 𝑐𝑎𝑑𝑟𝑢𝑙 𝑖𝑛𝑠𝑡𝑖𝑡𝑢𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑠̧𝑖 𝑎𝑢𝑡𝑜𝑟𝑖𝑡𝑎̆𝑡̦𝑖𝑙𝑜𝑟 𝑝𝑢𝑏𝑙𝑖𝑐𝑒, 𝑖̂𝑛 𝑠𝑐𝑜𝑝𝑢𝑙 𝑖̂𝑛𝑑𝑒𝑝𝑙𝑖𝑛𝑖𝑟𝑖𝑖 𝑎𝑡𝑟𝑖𝑏𝑢𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑓𝑢𝑛𝑐𝑡̦𝑖𝑜𝑛𝑎𝑙𝑒

𝐼̂𝑛 𝑎𝑐𝑒𝑠𝑡𝑒 𝑐𝑜𝑛𝑑𝑖𝑡̦𝑖𝑖, 𝑒𝑚𝑖𝑡𝑒𝑟𝑒𝑎 𝑢𝑛𝑢𝑖 𝑛𝑢𝑚𝑎̆𝑟 𝑓𝑜𝑎𝑟𝑡𝑒 𝑚𝑎𝑟𝑒 𝑑𝑒 𝒔𝒆𝒎𝒏𝒂̆𝒕𝒖𝒓𝒊 𝒆𝒍𝒆𝒄𝒕𝒓𝒐𝒏𝒊𝒄𝒆 𝒄𝒂𝒍𝒊𝒇𝒊𝒄𝒂𝒕𝒆 𝒑𝒆𝒏𝒕𝒓𝒖 𝒅𝒆𝒄𝒍𝒂𝒓𝒂𝒕̦𝒊𝒊 𝒅𝒆 𝒂𝒗𝒆𝒓𝒆 𝒔̦𝒊 𝒅𝒆 𝒊𝒏𝒕𝒆𝒓𝒆𝒔𝒆, 𝒄𝒐𝒏𝒄𝒐𝒎𝒊𝒕𝒆𝒏𝒕 𝒄𝒖 𝒆𝒎𝒊𝒕𝒆𝒓𝒆𝒂 𝒔𝒆𝒎𝒏𝒂̆𝒕𝒖𝒓𝒊𝒍𝒐𝒓 𝒆𝒍𝒆𝒄𝒕𝒓𝒐𝒏𝒊𝒄𝒆 𝒄𝒂𝒍𝒊𝒇𝒊𝒄𝒂𝒕𝒆 𝒅𝒆𝒔𝒕𝒊𝒏𝒂𝒕𝒆 𝒆𝒎𝒊𝒕𝒆𝒓𝒊𝒊 𝒂𝒄𝒕𝒆𝒍𝒐𝒓 𝒊̂𝒏 𝒇𝒐𝒓𝒎𝒂𝒕 𝒆𝒍𝒆𝒄𝒕𝒓𝒐𝒏𝒊𝒄 𝒅𝒆 𝒂𝒖𝒕𝒐𝒓𝒊𝒕𝒂̆𝒕̦𝒊𝒍𝒆 𝒔̦𝒊 𝒊𝒏𝒔𝒕𝒊𝒕𝒖𝒕̦𝒊𝒊𝒍𝒆 𝒑𝒖𝒃𝒍𝒊𝒄𝒆, 𝑑𝑒𝑝𝑎̆𝑠̦𝑒𝑠̦𝑡𝑒 𝑐𝑎𝑝𝑎𝑐𝑖𝑡𝑎𝑡𝑒𝑎 𝑡𝑒ℎ𝑛𝑖𝑐𝑎̆ 𝑠̦𝑖 𝑎𝑑𝑚𝑖𝑛𝑖𝑠𝑡𝑟𝑎𝑡𝑖𝑣𝑎̆ 𝑑𝑒 𝑒𝑚𝑖𝑡𝑒𝑟𝑒 𝑎 𝑠𝑒𝑚𝑛𝑎̆𝑡𝑢𝑟𝑖𝑙𝑜𝑟 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐𝑒 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑡𝑒 𝑑𝑒 𝑐𝑎̆𝑡𝑟𝑒 𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑢𝑙 𝑑𝑒 𝑇𝑒𝑙𝑒𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑡̦𝑖𝑖 𝑆𝑝𝑒𝑐𝑖𝑎𝑙𝑒...

Practic este aceeași teză ca cea scrisă de mine în Noiembrie – STS emite două categorii de certificate:

👉Pe L 455 pentru personalul administrativ, utilizabile doar pentru semnarea documentelor oficiale

👉Pe eIDAS pentru personalul administrativ, utilizabile fără restricții de scop.

După cum spuneam este clarificată și procedura, acum are logică clarificând și rolul responsabililor din instituția publică. O altă îmbunătățire este alinierea la GDPR prin ștergerea declarațiilor după 3 ani de la plecarea din funcție.

Nu pot să nu remarc că acest OUG este promovat de Ministerul Justiției și nu de ADR. 😋



Modificări finale OUG DNSC


A fost dat al doilea raport pe DNSC, după retrimitere, avem deci probabil versiunea finală. După cum se vede în imagine, a fost modificat amendamentul cu privire la rolurile DNSC / ADR în zona de identitate electronică și servicii de încredere. În noua formă ADR va redeveni, după promulgare, Autoritate pe semnături și nu vom avea, iarăși, pe nimeni în zona de identitate electronică. Octavian Oprea este și mai tare îngropat în 🤜Art. 258 Uzurparea de calități oficiale🤛 întrucât este omisă, în motivarea amendamentului, pre-existența unui atribut legal al ADR în zona identității electronice, atribut care i-ar fi permis emiterea Ordinului privind identificarea video în administrația publică.

The Expendables IV a fost anunțat pentru 2022, aștept cu interes seria V.

⚠️Nu, aceste rapoarte nu sunt direct normă legală însă, la fel precum preambulul OUG-ului, pot contribui la interpretarea legii de către parchet sau judecător. 

Putem remarca redactarea fină😇 a motivației primului amendament – cel care face ” spaţiul cibernetic naţional civil, componentă a securităţii naţionale” – scrie doar ” A se vedea decizia CCR 455/2018”  fără a oferi o interpretare acesteia.  Pentru cine o citește, este destul de clar sensul deciziei CCR – marile sisteme informatice de impact național sunt infrastructură critică iar protejarea acestora este o componentă a securității naționale. De ce, în baza acestei decizii, senatorii au ales să includă în securitatea națională, declanșând astfel derogări în privința protecției vieții private, toate sistemele cibernetice, inclusiv  cele ale persoanelor private va rămâne o temă de interes pentru istoricii viitorului.

Cât despre al treilea amendament, acesta permite DNSC să-și plătească personalul propriu pentru activitățile dintr-un proiect la tarife competitive (în imagine cele aferente anului 2015). Și aici remarcăm o distonanță între motivare și textul propus. Motivarea sugerează că aceste sume vor fi acoperite din fonduri europene însă textul de lege spune că ” în cazul în care contractul de finanțare nu specifică tariful orar/zilnic/lunar, se utilizează plafoanele stabilite în Planul Naționala de Cercetare-Dezvoltare și Inovare aflat în vigoare.” Evident, dacă contractul de finanțare nu conține tariful acesta nu va fi decontat de UE urmând a fi acoperit de bugetul DNSC.



duminică, 28 noiembrie 2021

cetatean.gov.ro (eIDAS #54)



Afirmam la finalul postării despre identificarea video că platforma cetatean.gov.ro 𝐧𝐮 𝐞𝐬𝐭𝐞 𝐟𝐮𝐧𝐜𝐭̦𝐢𝐨𝐧𝐚𝐥𝐚̆. Cred că este corect să și argumentez acest lucru.

Declarativ scopul acesteia este să faciliteze, astăzi, cetățenilor și notarilor obținerea de Certificate de Atestare Fiscală de la DITL Sector 6. Nu o face deoarece:

👉dacă nu ai rol fiscal la S6 primești un mesaj de eroare fără explicații

👉dacă ai datorii la S6 primești același mesaj de eroare fără explicații

👉dacă nu ai datorii la S6 primești ½ de CAF, care afirmă lipsa datoriilor dar nu listează și bunurile impozabile.

Notarii solicită CAF-ul pentru moșteniri și transferuri de proprietate, pentru ambele lista proprietăților este esențială. Atunci când aceștia solicită CAF-ul prin portalul sectorului nu-l primesc instantaneu dar sunt disponibile toate informațiile necesare. Ghici pe ce cale vor solicita CAF în continuare 😅?

Dincolo de această lăudăroșenie 🤥bazată pe ideea ”mulți văd, puțini cunosc” avem însă o mare problemă sistemică, perpetuată încă din MCSI. M-am exprimat elegant în loc să spun direct că ADR este în buzunarul furnizorilor privați de certificate calificate și se străduie să-l lărgească non-stop 😡.

Crearea contului pe platformă implică certificate calificate și o altă platformă dedicată: contulmeu.gov.ro. 𝐀𝐜𝐞𝐬𝐭 𝐩𝐫𝐨𝐜𝐞𝐬 𝐧𝐮 𝐚𝐜𝐜𝐞𝐩𝐭𝐚̆ 𝐜𝐞𝐫𝐭𝐢𝐟𝐢𝐜𝐚𝐭𝐞𝐥𝐞 𝐜𝐚𝐥𝐢𝐟𝐢𝐜𝐚𝐭𝐞 𝐞𝐦𝐢𝐬𝐞 𝐝𝐞 𝐒𝐓𝐒 🤬

Toți furnizorii de certificate calificate din România le pot emite, la alegere, în cadrul uneia dintre cele două legislații paralele.

1️⃣ Certificate emise în baza L455/2001. Acestea sunt listate în lista națională găzduită de ADR. În acest cadru normativ STS emite ”𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖 𝑑𝑒 𝑐𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑟𝑒 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑡𝑎̆ 𝑑𝑒𝑠𝑡𝑖𝑛𝑎𝑡𝑒 𝑒𝑥𝑐𝑙𝑢𝑠𝑖𝑣 𝑝𝑒𝑟𝑠𝑜𝑛𝑎𝑙𝑢𝑙𝑢𝑖 𝑎𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑡 𝑑𝑖𝑛 𝑐𝑎𝑑𝑟𝑢𝑙 𝑖𝑛𝑠𝑡𝑖𝑡𝑢𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑠̦𝑖 𝑎𝑢𝑡𝑜𝑟𝑖𝑡𝑎̆𝑡̦𝑖𝑙𝑜𝑟 𝑝𝑢𝑏𝑙𝑖𝑐𝑒, 𝑖̂𝑛 𝑠𝑐𝑜𝑝𝑢𝑙 𝑖̂𝑛𝑑𝑒𝑝𝑙𝑖𝑛𝑖𝑟𝑖𝑖 𝑎𝑡𝑟𝑖𝑏𝑢𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑓𝑢𝑛𝑐𝑡̦𝑖𝑜𝑛𝑎𝑙𝑒”.

2️⃣ Certificate emise în baza Regulamentului UE eIDAS. Acestea sunt listate în lista europeană găzduită de Comisie. În acest cadru normativ pentru STS este aplicabilă L266/2020 care-i adaugă în lista sistemelor operate și ”𝐷. 𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑖 𝑑𝑒 𝑖̂𝑛𝑐𝑟𝑒𝑑𝑒𝑟𝑒 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑡𝑎̆”,  𝗳𝗮̆𝗿𝗮̆ 𝗹𝗶𝗺𝗶𝘁𝗮̆𝗿𝗶.

⚠️De principiu, nu este deloc bine să existe două legislații paralele, L455 ar fi trebuit demult abrogată. 

eIDAS permite limitări de utilizare însă obligă ca acestea să fie declarate/atașate clar certificatului. Nu este cazul certificatelor STS și astfel utilizarea lor este juridic validă indiferent de scopul semnăturii. Limitarea se regăsește doar în convenția dintre STS și beneficiar, astfel utilizarea certificatului în alt context decât exercitarea sarcinilor de servici ar putea duce doar la o simplă cercetare administrativă a semnatarului. 𝐍𝐞𝐚𝐜𝐜𝐞𝐩𝐭𝐚̂𝐧𝐝 𝐚𝐜𝐞𝐬𝐭𝐞 𝐬𝐞𝐦𝐧𝐚̆𝐭𝐮𝐫𝐢 𝐀𝐃𝐑 𝐢̂𝐧𝐜𝐚𝐥𝐜𝐚̆ 𝐫𝐞𝐠𝐮𝐥𝐚𝐦𝐞𝐧𝐭𝐮𝐥 𝐞𝐈𝐃𝐀𝐒 ❗ arogându-și capacitatea de a judeca contextul aplicării semnăturii.

Dragă ADR, atunci când inviți entități publice să se înroleze în platformă acestea vor cere în mod legitim angajaților lor să o evalueze, respectiv să parcurgă procedura de deschidere cont folosind certificate STS. Este doar un exemplu, rețineți vă rog că 𝐧𝐮 𝐯𝐨𝐢 𝐚𝐯𝐞𝐭̦𝐢 𝐜𝐚𝐥𝐢𝐭𝐚𝐭𝐞𝐚 𝐥𝐞𝐠𝐚𝐥𝐚̆ de a controla administrația publică în privința procedurilor interne de management al documentelor electronice.

O să spuneți: mult zgomot pentru nimic! Mai este mult până când vor fi disponibile servicii noi, cu o valoare de utilizare capabilă să atragă mulțimi de utilizatori. 🤡Din păcate L105/2020 impune ca ”𝑝𝑎̂𝑛𝑎̆ 𝑙𝑎 𝑑𝑎𝑡𝑎 𝑑𝑒 31 𝑑𝑒𝑐𝑒𝑚𝑏𝑟𝑖𝑒 2021, 𝑡𝑜𝑎𝑡𝑒 𝑎𝑢𝑡𝑜𝑟𝑖𝑡𝑎̆𝑡̦𝑖𝑙𝑒 𝑝𝑢𝑏𝑙𝑖𝑐𝑒, 𝑖𝑛𝑠𝑡𝑖𝑡𝑢𝑡̦𝑖𝑖𝑙𝑒 𝑝𝑢𝑏𝑙𝑖𝑐𝑒 ..., 𝑎𝑢 𝑜𝑏𝑙𝑖𝑔𝑎𝑡̦𝑖𝑎 𝑑𝑒 𝑎 𝑎𝑠𝑖𝑔𝑢𝑟𝑎 𝑑𝑒𝑝𝑜𝑛𝑒𝑛𝑡̦𝑖𝑙𝑜𝑟 𝑐𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑡𝑒 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑡𝑒 𝑝𝑒𝑛𝑡𝑟𝑢 𝑠𝑒𝑚𝑛𝑎̆𝑡𝑢𝑟𝑎̆ 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐𝑎̆.”, prin deponenți înțelegându-se aproape 400.000 de persoane care au obligația de a depune declarații de avere și interese la ANI.

Nu am auzit de nicio instituție publică care să fi început demersuri în acest sens. Dacă interpretarea oficială este că certificatele STS pot produce semnături calificate doar în exercitarea sarcinilor de servici (depunerea declarației nu este o sarcină de servici ci o obligație legală a persoanei, de care este ținută chiar dacă nu mai este angajată‼️) atunci pierdem speranța că STS le-ar putea furniza din cloud și vom constata cu fatalism cum în primul trimestru al anului viitor bugetele publice vor fi subțiate de 400,000 x 30 = 𝟏𝟐 𝐦𝐢𝐥𝐢𝐨𝐚𝐧𝐞 𝐞𝐮𝐫𝐨 😲. Chiar dacă scade prețul, numărul de semnatari, tot în zona crepusculară ne vom regăsi.

...

Recitind, simt nevoia unei clarificări. Deși startul STS în emiterea de certificate calificate s-a făcut pe L455 (varianta 1️⃣) astăzi toată activitatea sa este în cadrul eIDAS (varianta 2️⃣). Așadar nu are constrângeri sau limitări legale.

...

Mi se semnalează din public🙏 că există totuși o instituție serioasă, care respectă L105 (oarecum, că nu va finaliza achiziția până la 1 Ianuarie).

Aceasta este ... surpriză .... BNR !

Prin procedura SCN1096230 va cumpăra 850 de tokenuri+certificate de 36 luni la prețul total estimat de 425.000 lei, altfel spus 100 euro/utilizator.

👏👏👏👏 😢

Da, scrie în anunț că sunt pentru declarațiile de avere.

vineri, 26 noiembrie 2021

În studio

Am fost invitatul unui produs media inovator, produs pe echipamente de televiziune dar orientat spre distribuție digitală on-demand, în care m-am încredințat  îndemânării moderatorului și generozității subiectului. Au rezultat două episoade superbe măcar ca realizare tehnică, aștept cu mare interes critica voastră constructivă.😁

Le puteți vedea aici



Cum însă pregătisem mai multe idei adecvate formatului, așa, ca să mă simt confortabil 😅, cu această ocazie voi începe o serie de 10 postări dedicate obligațiilor digitale reciproce care leagă companiile de administrația publică.

Stay tooned ❗️


joi, 25 noiembrie 2021

De ce este ilegal Ordinul ADR pentru identificarea video (eIDAS #53)

În M.O. 1119 din 24 Nov a fost publicat Ordinul ADR cu privire la identificarea video. Dacă despre contractarea PSCID am spus că ridică suspiciuni de ilegalitate despre acest Ordin pot spune că este incontestabil 𝐢𝐥𝐞𝐠𝐚𝐥. 

Există multe aspecte suspecte în el, le-am transmis către ADR în cadrul dialogului public, acum voi explica concis viciul fundamental. Ordinul are 3 subiecți de reglementare:

👉Emitenții de certificate calificate și contractanții acestora

👉Instituțiile financiar-bancare care aplică legislația contra spălării banilor

👉Instituțiile publice care operează site-uri de e-guvernare

Pentru a emite un ordin/normă tehnică este necesar ca această normă, de aplicare, să fie expres menționată în legislația de bază, care guvernează respectiva activitate. Spre exemplu, pentru zona financiar-bancară, Legea 129/2019 prevede:

𝐴𝑟𝑡𝑖𝑐𝑜𝑙𝑢𝑙 11

(1) 𝐸𝑛𝑡𝑖𝑡𝑎̆𝑡̦𝑖𝑙𝑒 𝑟𝑎𝑝𝑜𝑟𝑡𝑜𝑎𝑟𝑒 𝑠𝑢𝑛𝑡 𝑜𝑏𝑙𝑖𝑔𝑎𝑡𝑒 𝑠𝑎̆ 𝑎𝑝𝑙𝑖𝑐𝑒 𝑚𝑎̆𝑠𝑢𝑟𝑖 𝑠𝑡𝑎𝑛𝑑𝑎𝑟𝑑 𝑑𝑒 𝑐𝑢𝑛𝑜𝑎𝑠̦𝑡𝑒𝑟𝑒 𝑎 𝑐𝑙𝑖𝑒𝑛𝑡𝑒𝑙𝑒𝑖 𝑐𝑎𝑟𝑒 𝑠𝑎̆ 𝑝𝑒𝑟𝑚𝑖𝑡𝑎̆:

𝑎) 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑟𝑒𝑎 𝑐𝑙𝑖𝑒𝑛𝑡𝑢𝑙𝑢𝑖 𝑠̦𝑖 𝑣𝑒𝑟𝑖𝑓𝑖𝑐𝑎𝑟𝑒𝑎 𝑖𝑑𝑒𝑛𝑡𝑖𝑡𝑎̆𝑡̦𝑖𝑖 𝑎𝑐𝑒𝑠𝑡𝑢𝑖𝑎 𝑝𝑒 𝑏𝑎𝑧𝑎 𝑑𝑜𝑐𝑢𝑚𝑒𝑛𝑡𝑒𝑙𝑜𝑟, 𝑑𝑎𝑡𝑒𝑙𝑜𝑟 𝑠𝑎𝑢 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑡̦𝑖𝑖𝑙𝑜𝑟 𝑜𝑏𝑡̦𝑖𝑛𝑢𝑡𝑒 𝑑𝑖𝑛 𝑠𝑢𝑟𝑠𝑒 𝑠𝑖𝑔𝑢𝑟𝑒 𝑠̦𝑖 𝑖𝑛𝑑𝑒𝑝𝑒𝑛𝑑𝑒𝑛𝑡𝑒, 𝑖𝑛𝑐𝑙𝑢𝑠𝑖𝑣, 𝑑𝑎𝑐𝑎̆ 𝑠𝑢𝑛𝑡 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑒, 𝑎 𝑚𝑖𝑗𝑙𝑜𝑎𝑐𝑒𝑙𝑜𝑟 𝑑𝑒 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑟𝑒 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐𝑎̆ 𝑠̦𝑖 𝑎 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖𝑙𝑜𝑟 𝑑𝑒 𝑖̂𝑛𝑐𝑟𝑒𝑑𝑒𝑟𝑒 𝑟𝑒𝑙𝑒𝑣𝑎𝑛𝑡𝑒 𝑝𝑟𝑒𝑣𝑎̆𝑧𝑢𝑡𝑒 𝑑𝑒 𝑅𝑒𝑔𝑢𝑙𝑎𝑚𝑒𝑛𝑡𝑢𝑙 (𝑈𝐸) 𝑛𝑟. 910/2014 𝑎𝑙 𝑃𝑎𝑟𝑙𝑎𝑚𝑒𝑛𝑡𝑢𝑙𝑢𝑖 𝐸𝑢𝑟𝑜𝑝𝑒𝑎𝑛 𝑠̦𝑖 𝑎𝑙 𝐶𝑜𝑛𝑠𝑖𝑙𝑖𝑢𝑙𝑢𝑖 𝑑𝑖𝑛 23 𝑖𝑢𝑙𝑖𝑒 2014 𝑝𝑟𝑖𝑣𝑖𝑛𝑑 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑟𝑒𝑎 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐𝑎̆ 𝑠̦𝑖 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖𝑙𝑒 𝑑𝑒 𝑖̂𝑛𝑐𝑟𝑒𝑑𝑒𝑟𝑒 𝑝𝑒𝑛𝑡𝑟𝑢 𝑡𝑟𝑎𝑛𝑧𝑎𝑐𝑡̦𝑖𝑖𝑙𝑒 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐𝑒 𝑝𝑒 𝑝𝑖𝑎𝑡̦𝑎 𝑖𝑛𝑡𝑒𝑟𝑛𝑎̆ 𝑠̦𝑖 𝑑𝑒 𝑎𝑏𝑟𝑜𝑔𝑎𝑟𝑒 𝑎 𝐷𝑖𝑟𝑒𝑐𝑡𝑖𝑣𝑒𝑖 1.999/93/𝐶𝐸 𝑠𝑎𝑢 𝑎 𝑜𝑟𝑖𝑐𝑎̆𝑟𝑢𝑖 𝑎𝑙𝑡 𝑝𝑟𝑜𝑐𝑒𝑠 𝑑𝑒 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑟𝑒 𝑠𝑖𝑔𝑢𝑟, 𝑙𝑎 𝑑𝑖𝑠𝑡𝑎𝑛𝑡̦𝑎̆ 𝑠𝑎𝑢 𝑒𝑙𝑒𝑐𝑡𝑟𝑜𝑛𝑖𝑐, 𝑟𝑒𝑔𝑙𝑒𝑚𝑒𝑛𝑡𝑎𝑡, 𝑟𝑒𝑐𝑢𝑛𝑜𝑠𝑐𝑢𝑡, 𝑎𝑝𝑟𝑜𝑏𝑎𝑡 𝑠𝑎𝑢 𝑎𝑐𝑐𝑒𝑝𝑡𝑎𝑡 𝑙𝑎 𝑛𝑖𝑣𝑒𝑙 𝑛𝑎𝑡̦𝑖𝑜𝑛𝑎𝑙 𝑑𝑒 𝑐𝑎̆𝑡𝑟𝑒 𝑨𝒖𝒕𝒐𝒓𝒊𝒕𝒂𝒕𝒆𝒂 𝒑𝒆𝒏𝒕𝒓𝒖 𝑫𝒊𝒈𝒊𝒕𝒂𝒍𝒊𝒛𝒂𝒓𝒆𝒂 𝑹𝒐𝒎𝒂̂𝒏𝒊𝒆𝒊;

În schimb, pentru adresarea emitenților de certificate calificate 𝐧𝐮 𝐞𝐱𝐢𝐬𝐭𝐚̆ 𝐨 𝐚𝐬𝐭𝐟𝐞𝐥 𝐝𝐞 𝐩𝐫𝐞𝐯𝐞𝐝𝐞𝐫𝐞, eventual ar putea fi invocat dreptul de a emite norme ca parte a funcției de autoritate competentă, care controlează și avizează această activitate. Această funcție a fost însă pierdută de ADR începând cu data de 24 Sept 2021 odată cu OUG 104 care prevede că:

𝐷𝑁𝑆𝐶 𝑎𝑟𝑒

𝑏) 𝐹𝑢𝑛𝑐𝑡̧𝑖𝑎 𝑑𝑒 𝑎𝑢𝑡𝑜𝑟𝑖𝑡𝑎𝑡𝑒 𝑐𝑜𝑚𝑝𝑒𝑡𝑒𝑛𝑡𝑎̆ 𝑙𝑎 𝑛𝑖𝑣𝑒𝑙 𝑛𝑎𝑡̧𝑖𝑜𝑛𝑎𝑙 𝑑𝑒 𝑟𝑒𝑔𝑙𝑒𝑚𝑒𝑛𝑡𝑎𝑟𝑒, 𝑠𝑢𝑝𝑟𝑎𝑣𝑒𝑔ℎ𝑒𝑟𝑒 𝑠̧𝑖 𝑐𝑜𝑛𝑡𝑟𝑜𝑙 - 𝑎𝑠𝑖𝑔𝑢𝑟𝑎̆ 𝑟𝑒𝑔𝑙𝑒𝑚𝑒𝑛𝑡𝑎𝑟𝑒𝑎 𝑠̧𝑖 𝑔𝑒𝑠𝑡𝑖𝑜𝑛𝑎𝑟𝑒𝑎 𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑎̆𝑡̧𝑖𝑖 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐𝑒 𝑎 𝑅𝑜𝑚𝑎̂𝑛𝑖𝑒𝑖 𝑠̧𝑖 𝑎 𝑠𝑝𝑎𝑡̧𝑖𝑢𝑙𝑢𝑖 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐 𝑛𝑎𝑡̧𝑖𝑜𝑛𝑎𝑙 𝑐𝑖𝑣𝑖𝑙, 𝑎𝑠𝑡𝑓𝑒𝑙:

5. 𝑖̂𝑛𝑑𝑒𝑝𝑙𝑖𝑛𝑒𝑠̧𝑡𝑒 𝑎𝑡𝑟𝑖𝑏𝑢𝑡̧𝑖𝑖𝑙𝑒 𝑑𝑒 𝑎𝑢𝑡𝑜𝑟𝑖𝑡𝑎𝑡𝑒 𝑛𝑎𝑡̧𝑖𝑜𝑛𝑎𝑙𝑎̆ 𝑝𝑒𝑛𝑡𝑟𝑢 𝑓𝑢𝑟𝑛𝑖𝑧𝑜𝑟𝑖𝑖 𝑑𝑒 ... 𝑑𝑒 𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒊 𝒅𝒆 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒓𝒆 𝒆𝒍𝒆𝒄𝒕𝒓𝒐𝒏𝒊𝒄𝒂̆, 𝒅𝒆 𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒊 𝒅𝒆 𝒊̂𝒏𝒄𝒓𝒆𝒅𝒆𝒓𝒆 𝒑𝒆𝒏𝒕𝒓𝒖 𝒕𝒓𝒂𝒏𝒛𝒂𝒄𝒕̧𝒊𝒊𝒍𝒆 𝒆𝒍𝒆𝒄𝒕𝒓𝒐𝒏𝒊𝒄𝒆  𝑠̧𝑖 ...

𝐀𝐧𝐮𝐥𝐚̂𝐧𝐝 𝐚𝐬𝐭𝐟𝐞𝐥 𝐩𝐫𝐞𝐯𝐞𝐝𝐞𝐫𝐞𝐚 𝐝𝐢𝐧 𝐇𝐆𝟖𝟗/𝟐𝟎𝟐𝟎 𝐜𝐚𝐫𝐞 𝐝𝐞𝐬𝐞𝐦𝐧𝐞𝐚𝐳𝐚̆ 𝐀𝐃𝐑 𝐜𝐚 𝐨𝐫𝐠𝐚𝐧𝐢𝐬𝐦 𝐝𝐞 𝐬𝐮𝐩𝐫𝐚𝐯𝐞𝐠𝐡𝐞𝐫𝐞 𝐩𝐞𝐧𝐭𝐫𝐮 𝐩𝐫𝐞𝐬𝐭𝐚𝐭𝐨𝐫𝐢𝐢 𝐝𝐞 𝐬𝐞𝐫𝐯𝐢𝐜𝐢𝐢 𝐝𝐞 𝐢̂𝐧𝐜𝐫𝐞𝐝𝐞𝐫𝐞 𝐜𝐚𝐥𝐢𝐟𝐢𝐜𝐚𝐭̦𝐢.

𝐀𝐃𝐑 𝐧𝐮 𝐚 𝐟𝐨𝐬𝐭 𝐝𝐞𝐬𝐞𝐦𝐧𝐚𝐭𝐚̆ 𝐧𝐢𝐜𝐢𝐨𝐝𝐚𝐭𝐚̆, 𝐬𝐮𝐛 𝐧𝐢𝐜𝐢𝐨 𝐟𝐨𝐫𝐦𝐚̆, 𝐜𝐚 𝐨𝐫𝐠𝐚𝐧𝐢𝐬𝐦 𝐝𝐞 𝐬𝐮𝐩𝐫𝐚𝐯𝐞𝐠𝐡𝐞𝐫𝐞/ 𝐚𝐮𝐭𝐨𝐫𝐢𝐭𝐚𝐭𝐞 𝐝𝐞 𝐬𝐭𝐚𝐭 𝐢̂𝐧 𝐩𝐫𝐢𝐯𝐢𝐧𝐭̦𝐚 𝐢𝐝𝐞𝐧𝐭𝐢𝐭𝐚̆𝐭̦𝐢𝐢 𝐞𝐥𝐞𝐜𝐭𝐫𝐨𝐧𝐢𝐜𝐞, 𝐝𝐞𝐬𝐞𝐦𝐧𝐚𝐫𝐞𝐚 𝐃𝐍𝐒𝐂 𝐟𝐢𝐢𝐧𝐝 𝐩𝐫𝐢𝐦𝐚 𝐝𝐞 𝐚𝐜𝐞𝐬𝐭 𝐠𝐞𝐧.

În concluzie, pentru două dintre cele 3 zone de activitate acest ordin nu are bază legală și va fi o victimă sigură în contencios. Semnarea sa este atât un abuz în serviciu cât și un atac la principiul spațiului economic comun al UE reglementând activitatea unor agenți economici din alte state care își desfășoară activitatea în acele state având, întâmplător, și clienți cetățeni români cu domiciliul în acele state (Art.4-1). Chiar și HG89/2020, de reglementare a activității ADR spune că:

11. 𝑒𝑥𝑒𝑟𝑐𝑖𝑡𝑎̆ 𝑎𝑡𝑟𝑖𝑏𝑢𝑡̦𝑖𝑖𝑙𝑒 𝑑𝑒 𝑜𝑟𝑔𝑎𝑛𝑖𝑠𝑚 𝑑𝑒 𝑠𝑢𝑝𝑟𝑎𝑣𝑒𝑔ℎ𝑒𝑟𝑒 𝑝𝑒𝑛𝑡𝑟𝑢 𝑝𝑟𝑒𝑠𝑡𝑎𝑡𝑜𝑟𝑖𝑖 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖 𝑑𝑒 𝑖̂𝑛𝑐𝑟𝑒𝑑𝑒𝑟𝑒 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑡̦𝑖 𝒔𝒕𝒂𝒃𝒊𝒍𝒊𝒕̦𝒊 𝒑𝒆 𝒕𝒆𝒓𝒊𝒕𝒐𝒓𝒊𝒖𝒍 𝑹𝒐𝒎𝒂̂𝒏𝒊𝒆𝒊

Săptămâna aceasta va intra în istorie ca cea în care au fost lansate o platformă nefuncțională și un ordin ilegal doar pentru a invoca pseudo-realizări necesare menținerii conducerii actuale a ADR.

joi, 18 noiembrie 2021

Semnat PSCID - zarurile sunt aruncate

Astăzi dl Octavian Oprea a semnat în numele ADR contractul de achiziție pentru #PSCID, cu o valoare aproximativă de 16 mil euro. Astfel neclaritățile asociate capătă o valoare demnă de atenția nu numai a noastră, pe FB, dar și a altora mai pricepuți, poate chiar EPPO. Nu mă refer acum la procesul de achiziție ci chiar la baza legală pe care este construit acest proiect.

Pentru claritate voi reaminti că activitatea unei instituții publice este, în esență, aducerea la îndeplinire a obligațiilor sale legale, stabilite prin norme. Orice cheltuială într-un scop care nu se regăsește între atribuțiile instituției este ilegală.

PSCID este o platformă tehnică și totodată serviciu de identificare a persoanei și autentificare a acesteia. Simplificând:

👉autentificarea este mijlocul tehnic prin care utilizatorul arată, la fiecare utilizare, că este aceeași persoană cu cea care a deschis contul

👉identificarea se întâmplă o singură dată, la deschiderea contului, și certifică că utilizatorul contului are anumite caracteristici certe (nume, e-mail, CNP, etc). 

În România lipsește legislația națională dedicată identificării si autentificării. Astfel când a fost scris în HG-ul de funcționare al ADR că:

👉 h) 2. dezvoltă sisteme de autentificare informatică și coordonează interconectarea sistemelor informatice publice;

... Ministerul Justiției, pe circuitul de avizare, l-a acceptat, greu, în ideea că, deși nu există o lege care să acopere această valență nu există nici una care să o contrazică.

Însă, începând cu Septembrie 2021, este aplicabilă OUG 104 de înființare a DNSC. Aceasta dă către DNSC:

👉b) Funcţia de autoritate competentă la nivel naţional de reglementare, supraveghere şi control - asigură reglementarea şi gestionarea securităţii cibernetice a României şi a spaţiului cibernetic naţional civil, astfel:

   👉5. îndeplineşte atribuţiile de autoritate naţională pentru furnizorii de servicii de găzduire/hosting, de servicii tip cloud, de ➡️servicii de identificare electronică⬅️, de servicii de încredere pentru tranzacţiile electronice şi furnizorii de reţele de distribuţie de conţinut;

Se ridică astfel două întrebări cu privire la legalitatea zilei de astăzi.

1. Care este baza legală pentru activitatea de identificare asumată de ADR ❓ Observăm că în HG-ul ADR se vorbește doar de autentificare. 

2. Mai este valabilă prevederea h) 2. cu privire la autentificare ❓ DNSC reglementează (funcție normativă) și gestionează (funcție executivă) spațiul cibernetic național civil care cuprinde servicii de identificare electronică pentru care este autoritate națională. Desemnarea unei instituții publice de a oferii astfel de servicii celorlalte instituții ar trebui să fie rezultatul ori a unei decizii a directorului DNSC ori a unui act normativ inițiat de acesta. 

⚠️Pentru ambele probleme legalitatea ar fi asigurată de existența unei decizii DNSC favorabilă ADR și anterioară semnării de astăzi a contractului. Sper ca ADR să o publice pentru a curma aceste neliniști.

Trecând la aspecte mai light, am observat în discursul domnului Oprea o afirmație problematică. A spus dânsul că PSCID va oferi cetățenilor și noul wallet european. Cum Caietul de Sarcini sigur nu-l include, rămân 3 variante:

1. L-a introdus în contractul semnat azi chiar dacă nu era în Caietul de Sarcini

2. Intenționează extinderea PSCID printr-o achiziție cu negociere directă chiar dinainte de semnarea achiziției principale.

3. Afirmația nu are acoperire și intenție de realizare.

Cum primele două sunt încălcări ale legii, iată-ne în ciudata situație de a spera că a treia este adevărată 😲

miercuri, 17 noiembrie 2021

DNSC retrimis la comisii de către plen

Vai ! Cât m-am înșelat.🤗 Plenul Senatului a trimis #DNSC-ul înapoi la comisia de raport, cu unanimitate de voturi. 

Șeful senatorilor PSD a cerut asta spunând că a fost informat de staff-ul senatului că: 

👉”există un amendament care modifică un HG, lucru care nu poate fi făcut prin lege”

Este vorba de acele amendamente promovate la CDEP de Pavel Popescu, pierdute prin adoptare tacită și reapărute sub semnătura senatoarelor PNL Nicoleta Pauliuc și Alina Gorghiu. Numai că doamnele au fost mai harnice, mai bine informate iar amendamentele lor sunt ușor modificate. A apărut astfel suplimentar o prevedere de eliminare a rolului MCID de autoritate de stat în domeniul securității cibernetice așa cum este el prevăzut în HG 371/2021 care îi reglementează activitatea.

Însă, conform L24/2000, abrogarea unui HG, sau părți din acesta, prin lege este permisă, ba chiar recomandată. Astfel:

👉(1) Prevederile cuprinse într-un act normativ, contrare unei noi reglementări de același nivel sau de nivel superior, trebuie abrogate. Abrogarea poate fi totală sau parțială.

👉(4) Dacă o normă de nivel inferior, cu același obiect, nu a fost abrogată expres de actul normativ de nivel superior, această obligație îi revine autorității care a emis prima actul.

Putem deci felicita cele două doamne pentru claritatea dorită pentru desemnarea autorității de stat și pentru eleganța de a nu forța MCID să-și sinucidă propria atribuție. Ar fi fost perfecte dacă ar fi respectat și celelalte norme de tehnică legislativă în redactarea amendamentului dar hai să nu fim cusurgii.

Ne întoarcem așadar în comisia senatului unde poate fi dezbătută această problemă, la fel ca oricare altă idee de amendament care ar putea să le vină, ad-hoc, senatorilor.

PS: felicitări SG al Senatului, pentru prima dată aud să se implice în textul legilor dezbătute, și încă cu mai mult succes decât Consiliul Legislativ ale cărui observații sunt de cele mai multe ori ignorate.

marți, 9 noiembrie 2021

Revin amendamentele DNSC

Legea de aprobare a OUG DNSC a primit azi raport favorabil cu amendamente.

Care amendamente ? Desigur cele prezentate inițial la CDEP de dep. PNL Pavel POPESCU, de această dată au fost sprijinite de sen. PNL Alina GORGHIU.

Vot unanim. Așteptăm fără emoții votul în plen săptămâna aceasta.

duminică, 7 noiembrie 2021

Amendamente OUG e-Factura

A plecat spre deputați legea de aprobare a OUG 120/2021, cea cu factura electronică și înmatricularea la RAR. O veste bună, una proastă și o învățătură de tras. 

Vestea bună este că, față de prevederea existentă:

👉” Sistemul național privind factura electronica RO e-Factura asigură interoperabilitatea cu sistemele de facturare ale operatorilor economici.”

A fost introdus, printr-un amendament, un nou aliniat:

👉” Toate funcționalitățile Sistemului național privind factura electronică RO e-Factura utilizate de către operatorii economici înrolați sunt accesibile acestora si prin servicii digitale de tip mașină-la-mașină, respectiv interfețe de aplicație programabile.”

Să explic și diferența, mai ales că la dezbateri MFP a susținut că sunt redundante🤥. În primul rând, ”interoperabilitatea” este un cuvânt cu semnificație largă. El poate cuprinde și un stil de ”interoperabilitate” bazat pe upload / download de fișiere bulk, stil preponderent astăzi în relația ANAF – contribuabili. Prin menționarea serviciilor API sper ca acest lucru să fie prevenit. 

Însă, mai important, este amendamentul pentru marii producători de facturi. Reamintesc că în SPV nu există posibilitatea de a avea, pentru un agent economic, mai mulți useri cu permisiuni diferite. A da angajaților răspunzători de facturi accesul complet în SPV este o problemă care poate fi evitată prin utilizarea unor conturi aferente unei aplicații specializate amplasate între ei si SPV. Pentru că acest tip de aplicație să existe este necesar ca ” Toate funcționalitățile ... utilizate de către operatorii economici înrolați sunt accesibile acestora si prin servicii digitale ... API”.

Vestea proastă💩, mai degrabă la nivel de moralitate, este că a fost refuzat un amendament care spunea că:

👉”Sistemul național privind factura electronică RO e-Factura va îndeplini condițiile impuse de alin. (25) al Art.319 al Legii 227/2015 privind Codul fiscal.”

Aici trebuie explicat puțin, pentru cei care nu sunt contabili de meserie. Codul Fiscal cere operatorului economic să nu bage în contabilitate facturi care au probleme cu autenticitatea originii, integritatea conținutului și lizibilitatea facturii. Pentru acesta i se cere operatorului să-și creeze sisteme și reguli de lucru care să prevină aceste probleme, acestea acoperă inclusiv acțiunea de a transporta/comunica/primi facturi. Având în vedere că platforma ANAF funcționează după regulile proprii, nu ale operatorului economic, rezultă doar două posibilități logice:

⚖️ori ANAF garantează cele 3 cerințe pentru facturile pe care le livrează prin sistemul propriu

⚖️ori agentul economic nu mai este ținut răspunzător pentru facturile primite via ANAF.

În mod evident sistemul e-Facturi va autentifica utilizatorul și-i va permite să încarce doar facturile proprii și doar în formatul standard, era deci doar o problemă morală, de a manifesta o atitudine echitabilă față de contribuabil. 

😡To add insult to injury, nu doar că amendamentul a fost respins însă reprezentantul MCID i-a luat la mișto pe senatorii care l-au propus susținând că termenul de ”lizibilitate” nu este aplicabil unui document electronic. Însă, dincolo de directa corelare logică între ”lizibil” și ”formatat corect”, îți trebuie mare tupeu (sau inconștiență / incompetență) să spui asta când forma completă a articolului către care se făcea trimitere este:

👉”25) Autenticitatea originii, integritatea conținutului și lizibilitatea unei facturi, indiferent că este pe suport hârtie sau în format electronic❗️, trebuie garantate de la momentul emiterii până la sfârșitul perioadei de stocare a facturii.”

... așadar formatul electronic al facturii are deja obligația de a fi ”lizibil”.

Și uite așa a ajuns agentul economic să fie răspunzător legal de buna funcționare a sistemelor ANAF.😲

Spuneam și de o învățătură de tras.

Acest OUG are două părți, a doua fiind dedicată obligării RAR de a trimite către ANAF un scan al tuturor documentelor prezentate la înmatricularea unui autovehicul importat dintr-o țară UE. Evident, o măsură menită a fiscaliza samsarii de mașini.

În condițiile în care, de ani de zile, RAR nu a putut fi convins să pună la dispoziție prin interoperabilitate către alte instituții, precum administrațiile fiscale locale, măcar acele date pe care le avea oricum colectate și în ciuda opoziției verbale vehemente a reprezentantului RAR prevederea a trecut cu explicația, destul de dubioasă, că avizul Ministerului Transporturilor nu este necesar întrucât Ministrul Finanțelor se ocupă interimar și de acest minister.

Fortes fortuna adiuvat ! 😉

joi, 28 octombrie 2021

PSCID - contestație respinsă

 Noutăți și de la #PSCID ! Contestația Orange a fost respinsă de CNSC ca nefondată. Astfel au decis că:

👉contractele cadru nu sunt contracte și e vina Orange că a crezut asta (la fel și paguba - garanția de 1.500.000 lei)

👉contractele sunt supuse legii speciale a achizițiilor publice care, indiferent ce spun părțile, spune că nu se va face discriminare între contracte cu entități publice și cele cu beneficiari privați

👉ADR a cerut și a primit o copie după factura suspect de mare a unui  membru din consorțiul Clarity, așadar dovada a fost făcută.

👉ambii ofertanți au declarat secrete cam același set de documente, nu e cazul să se conteste ulterior caracterul acestora.

Decizia CNSC nr. 2305/C4/2297 din 18.10.2021

Dacă nu urmează Apel, rămânem cu:

CLARITY SOLUTIONS în calitate de ofertant lider de asociere

NTT DATA ROMÂNIA,  în calitate de ofertant,

SOLVIT NETWORKS S.R.L. în calitate de ofertant,

SOLVIT NETWORKS D.O.O. BELGRADE  în calitate de terț și subcontractant,

WHITE CELL TECHNOLOGIES în calitate de subcontractant,

INVITE SYSTEMS în calitate de terț

miercuri, 27 octombrie 2021

nodul eIDAS contestație respinsă (eIDAS #52)

Astăzi Curtea de Apel București a respins ca nefondat recursul PHOENIX IT /  CERTSIGN / MAGUAY  in atribuirea achiziției pentru nodul eIDAS Românesc, cu acronimul SITUE.

Astfel Telekom urmează să fie declarat câștigător.

Vom vedea dacă timpul rămas este îndeajuns pentru realizarea proiectului.

joi, 14 octombrie 2021

Prea târziu, prea complicat

TLDR:  Sunt plin de spume ! 🤬Un subiect pe care îl cunosc bine pentru că i-am dedicat vara anului 2017 fiind însărcinat cu găsirea unei soluții pentru cele aproximativ 10 categorii de călători pe cale ferată care beneficiază de tarife reduse a fost abordat de ProTV (link in comentariu). Pornind de la elevi/studenți și pensionari și terminând cu foștii revoluționari. Am avut atunci un șir de întâlniri cu transportatorii feroviari de persoane: CFR Călători și privații: Regiotrans; Transferoviar; Interregional; Softrans; Astra Trans Carpatic  precum și Ministerul Transporturilor, Autoritatea pentru Reforma Feroviară, alăturându-se ulterior și Metrorex și STB. Mecanismul de decontare este același, diferă pentru fiecare caz dintre cele 10 doar baza de date sursă a dreptului la un preț redus. Exista încă de atunci baze de date pentru elevi și pensionari, astăzi există probabil și pentru studenți.

La acel moment drive-ul era GDPR și riscul impus de modalitatea de lucru impusă acestor operatori privați care manipulează anual milioane de CNP-uri. Le-am propus un pachet de procese de business care acoperea complet vânzarea biletelor atât online cât și offline, înlocuind CNP-ul cu un cod de unică folosință cu trasabilitate către un CNP și măsuri de prevenire a traficării dar și simplificarea prin automatizare a procesul de raportare și decontare din bugetul de stat. Pentru că da, periodic, acești transportatori solicită sume substanțiale de la buget într-o modalitate care, cel puțin la acel moment, era imposibil de verificat de către ARF ( opinie a Curții de Conturi). 

În mod ciudat Ministerul Învățământului a fost, atunci, mult mai interesat de protejarea datelor personale decât transportatorii care doreau să se aplice un HG (dat în Ianuarie 2017 pentru studenți 😉) și să li se pună la dispoziție lista tuturor potențialilor beneficiari. 

Pentru că mai aveam doar câteva luni la dispoziție le-am propus o colaborare de tip ghișeul.ro în care transportatorii să facă platforma tehnică (care ar fi costat în jur de 100.000 euro) urmând ca aceasta să fie operată de AADR. CFR Călători a refuzat spunând că are bugetul bătut în cuie, operatorii privați au condiționat cerând o garanție că toate cele 10 categorii / baze de date urmau să fie incluse în proiect.  Nu le-am putut oferi acea garanție, consecință a lipsei de guvernanță a serviciilor de e-guvernare.

A rămas probabil în istorie ca prima abordare privacy by design în administrația publică românească, încă înainte de a deveni obligatorie prin GDPR.

Să revenim însă la prostiile spuse în acest demers jurnalistic. Las departe figurile artistice cu camera ascunsă și angajați CFR.

Taloanele de pensie în format electronic nu sunt cuprinse în PNRR. Este evident acest lucru pentru că legea aferentă este un demers al acestei toamne, după închiderea PNRR. Acele taloane electronice, de pensie, în scenariul călătoriilor, dacă ar exista, ar trebui copiate și arhivate la momentul vânzării biletului, inclusiv valoare pensiei - no-no dpdv GDPR, nici chiar cu lege dedicată (ar încălca principiul minimizării datelor - să colectezi doar ce este relevant pentru scopul propus). Pentru cupoanele de călătorie nu există nici măcar un proiect de lege. 

Sistemul cu taloane/cupoane este caduc. Produce costuri și riscuri de operare, mai mult, este permisiv fraudei. Ne putem imagina transfer de bilete reduse către cei fără drept, persoane cu gratuitate  care nu s-au suit niciodată in trenul decontat - toate suportate de noi de la buget. Astăzi îmi pot permite să întreb de ce nu se regândește complet abordarea, spre exemplu să fie decontată valoarea subvenționată către pensionar pe următorul talon de pensie după călătorie. Așa s-ar îmbunătății cash-flow-ul transportatorilor și s-ar controla perfect costurile.

Desigur, e o întrebare retorică. Aceeași, cu mici variațiuni tehnice, pentru toate tipurile de beneficiari.

Iritant este și faptul că, legal, chiar nu este nevoie de o lege dedicată pentru a elibera un duplicat electronic al unui act oficial. 

Extrem de iritantă este sugestia din finalul reportajului că rezolvarea ar costa 100 milioane de euro.


link reportaj https://stirileprotv.ro/stiri/inspectorul-pro/zinspectorul-pro-pensionarii-pusi-sa-stea-la-cozile-din-gari-pentru-ca-nu-si-pot-accesa-online-cupoanele-de-calatorie.html 

miercuri, 6 octombrie 2021

Amendamente OUG DNSC

După mai bine de un an de blocaj, prilej și de reflexie, iată că au apărut 3 amendamente la OUG DNSC în procesul de aprobare a acesteia. Pavel Popescu a avut onoarea de a le prezenta, sunt curios și cum au fost, direct și indirect susținute.

Îmi fac plăcere începând cu un amendament care îmi dă dreptate în cele scrise la publicarea OUG-ului. Da, ADR chiar pierdea controlul asupra furnizorilor de certificate calificate și chiar dacă a dormit pe circuitul de avizare sunt salvați acum împreună cu această activitate lucrativă.

Alt amendament compensează pierderea salarizării speciale decedată undeva pe circuitul de avizare. Acum se propune ca personalul DNSC nominalizat în echipe de proiecte europene să fie plătit cu tarife zilnice negociate cu Autoritatea de Management a fondurilor. Această practică există pentru experții externi, duce la salarii pe zi de sute de euro dar ridică o problemă morală. Trebuie spus că experții externi sunt selectați temporar într-o procedură competitivă axată pe specificul proiectului – nu este cazul personalului permanent al DNSC mai ales dacă acesta nu este specialist cyber-security ci axat pe achiziții publice, juridic sau chiar prestează activități de secretariat. Vom vedea cum va primi CE această idee și mai ales câte alte instituții vor încerca să o copieze.

Ultimul amendament este simplu dar esențial. Spune că:

👉 ”DNSC are responsabilități privind securitatea cibernetică a spațiului cibernetic național civil, componentă a securității naționale.”

Prin acest amendament apare o noua definire a securității naționale care va include și spațiul cibernetic național civil, chiar și în timp de pace, chiar și în elementele sale proprietate privată care nu sunt infrastructuri critice. Implicațiile și consecințele sunt serioase și numeroase, prea grele pentru o dezbatere publică🤫.

sâmbătă, 25 septembrie 2021

Înființare DNSC

În MO 918 a fost publicată aseară OUG privind înființarea Directoratului Național de Securitate Cibernetică. Un document consistent, cu multe amănunte ce merită analizate iată însă, la cald, principalele noutăți strategice aduse în organizarea societății românești.

Apare un nou tip de instituție, teoretic ”în subordinea Guvernului și în coordonarea prim-ministrului” practic sub controlul CSAT respectiv al Președintelui României. Simplificând pentru o descriere facilă, DNSC are puterea unui minister, directorul său dă Ordine echivalente unui Ordin de ministru însă, spre deosebire de un ministru, selecția directorului se face nu de un mecanism politic ci de CSAT. Tot CSAT joacă rolul de mecanism de aprobare, control și evaluare pe care HG-urile și ședințele de guvern îl joacă pentru ministere.

O altă decizie strategică este decăderea importanței în privința securității cibernetice a unor instituții precum SPP sau ORNIS – o decizie mult amânată de mândrii instituționale.

DNSC primește rolul de ”autoritatea competenta la nivel național pentru spațiul cibernetic național civil”. Dacă formularea legislației NIS avea grijă să limiteze explicit rolul CERT-RO doar la anumite entități și activități, formularea acestui OUG sugerează o acoperire totală sau cel puțin este pregătită pentru aceasta. Le va rămâne celor care doresc să ”evadeze” să coreleze legi și principii pentru a susține acest lucru. Nu vor fi însă mulți, există morcovi și bețe îndeajuns pentru a crea și susține o comunitate, de companii și chiar persoane fizice, aliniată în ”comunitatea CSIRT din România”. DNSC își asumă, cu ambiție, rolul de dezvoltator al acestei industrii și totodată comunități. Acoperă, de asemenea, și alte activități economice precum laboratoare de testare și dezvoltatorii de tehnologie.

Un alt paragraf interpretabil este ” îndeplinește atribuțiile de autoritate națională pentru furnizorii de servicii de găzduire/hosting, de servicii tip cloud, de servicii de identificare electronica, de servicii de încredere pentru tranzacțiile electronice și furnizorii de rețele de distribuție de conținut”. Din lipsa mențiunii ”în domeniu securității cibernetice” putem înțelege că ADR pierde rolul de avizator pentru furnizorii de certificate calificate și poate chiar pentru data-centere. Cum aceste avize se refereau preponderent la garanțiile de siguranță aferente acestor furnizori nu s-ar putea spune că este ceva ilogic, însă lasă ADR practic fără niciun rol de autoritate publică.

În concluzie avem un Director cu 5 adjuncți și 1250 de colegi care emit Ordine cu o putere juridică similară unui HG sub controlul CSAT. Vor emite norme, vor controla activitățile asociate domeniului cybersecurity, vor finanța cercetarea și activitatea economică din domeniu. Vor reprezenta România pe plan internațional în toate aceste domenii. O soluție eficace pentru o problemă reală, în același timp un eșec al guvernelor ultimilor ani care nu au reușit să producă o soluție civilă funcțională, bazată pe reprezentativitate și incluziune a societății civile.

marți, 31 august 2021

Contestații la PSCID

Orange a depus contestație în proiectul #PSCID însă noile informații sunt năucitoare.🥴

Am însă datoria de a începe prin a-mi exprima părerea de rău pentru agitația la care au fost supuși angajații ADR suspectați că mi-au livrat clandestin Raportul procedurii. Am transmis către ADR o înregistrare a ecranului cu modul în care îl descarc din SICAP pentru a curma orice speculații.

Același SICAP, bug sau feature, mi-a livrat și contestația Orange care vine cu informații interesante:

ADR a descalificat Orange pentru că nu a reușit, din maxim 5 contracte, să atingă un prag valoric minimal. Orange susține că l-a depășit semnificativ ... În realitate Orange a prezentat 5 contracte cadru care conțineau numeroase livrări de loturi. ADR, cu aprobare clară din partea ANAP, a reținut doar valorile de loturi, respectiv 5 contracte subsecvente. Orange susține că definiția ”contractului” nu este clară, că a fost indusă în eroare cu privire la sensul dat de ADR pe timpul clarificărilor, că diferența nu este relevantă deoarece lotizarea a fost aleatorie, pe criterii geografice și de logistică a beneficiarului, din perspectiva Orange totul putând fi tratat ca un singur contract.

⚠ Din perspectiva mea, mă declar uimit că la scrierea Caietului de Sarcini definirea experienței s-a făcut într-un mod care, ignorând lotizarea, ar fi putut fi îndeplinit de Orange prin livrarea în Programul Naţional "Şcoala de acasă" a unui număr de 80,000 de tablete chiar dacă acestea aveau instalate o soluție de remote management și autentificare. Nu știu care este experiența declarată de celălalt competitor – lui Orange i s-a interzis accesul – pot doar spera că se ridică cât de cât spre complexitatea specifică unei platforme naționale de identitate electronică.

Definiția ”contractului” revine ca un argument în favoarea Orange care remarcă că Asocierea condusă de CLARTIY SOLUTIONS a prezentat doar contracte comerciale cu beneficiari privați și astfel, nefiind contracte publice, ar trebui la rândul ei descalificată.

Mai insinuează Orange că există suspiciuni cu privire la un contract al terțului Invite System S.R.L de o valoare nefiresc de mare comparat cu cifra sa de afaceri. Cum beneficiarul acestui contract este Telekom (TKRM), deslușirea va fi ori foarte simplă ori foarte complicată.

În concluzie, Orange cere ori admiterea sa și evaluarea ofertei sale, ori descalificarea tuturor ofertanților.

marți, 24 august 2021

Draft Ordin ADR identificare video (eIDAS #51)

O nouă tentativă, după HG în Octombrie 2020 și OUG în Februarie 2021, a Autoritatea pentru Digitalizarea României de a reglementa identificarea video a persoanelor, de această dată sub formă de Ordin. Cum Ordinul nu este avizat de alte instituții astăzi pare că asistăm la o încercare disperată de a impune ce au fost blocați anterior: crearea unui nou tip de afacere cu statul, oligopol cu listă scurtă aprobată de ADR.

Pentru că da, UE prin Regulamentul eIDAS a lovit și erodat constant afacerea certificatelor calificate aducând pe piață furnizori europeni la tarife înjumătățite.

Ordinul înființează ”furnizori autorizați de servicii de identificare”, o listă oficială a acestora, le impune condiții tehnice și de business. În același timp blochează identificarea video ca activitate proprie pentru mediul financiar-bancar și mai ales administrația publică impunând condiții tehnice și angajați specializați.

⚠️Deci da, lauda ANAF că are deja 30.000 de utilizatori SPV identificați la distanță, va fi cântecul de lebădă, va trebui să cumpere servicii de identificare de la un furnizor privat.

⚠️Mai există și primării care folosesc deja identificarea video prin funcționarii proprii.

Nu este de mirare că tentativele anterioare au fost distruse pe circuitul de avizare.

Este de mirare că ADR persistă ? În ”buna” tradiție MCSI ?

Noroc că nu pot reglementa astăzi legal, prin Ordin, funcționarea instituțiilor publice. Și totuși încearcă ‼️ 

Și totuși noi toți ne dorim și cerem o mai bună coordonare guvernamentală. Să ne asigurăm însă pentru cine cerem acest lucru. 



joi, 19 august 2021

evaluare achiziție proiect PSCID

Pentru proiectul PSCID în sfârșit Autoritatea pentru Digitalizarea României  și-a decis câștigătorul. Este consorțiul condus de CLARITY SOLUTIONS având în componență NTT DATA ROMÂNIA și SOLVIT NETWORKS S.R.L. cu o mică contribuție din partea WHITE CELL TECHNOLOGIES S.R.L. și SOLVIT NETWORKS D.O.O. BEOGRAD. Prețul este de 74,3 mil lei, cu 4 mil lei mai puțin decât valoarea estimată.

Evaluarea tehnică a fost simplă, Orange – celălalt competitor – a fost eliminată deoarece nu a îndeplinit ” toate cerințele de calificare și selecție”😉. 

Presimt o mare luptă în justiție, companiile mari de regulă nu greșesc astfel.

În rest, pe tehnologie, este menționat discret Symantec Identity Manager. Dincolo de asta am pierdut însă oportunitatea compensării carențelor caietului de sarcini printr-o echipă tehnică aleasă competitiv.

luni, 2 august 2021

Nodul eIDAS contestații rezolvate (eIDAS #50)

În 12 Iulie tribunalul s-a pronunțat respingând contestația Phoenix IT / Certsign în proiectul nodului eIDAS. Reiau în primul comentariu argumentele părților, să vedem acum cum a gândit instanța

👉Încă de pe parcursul procesului a respins solicitarea de reevaluare a ofertei Telekom.

👉În privința expertului, cel care participase în scenarii de testare în alte proiecte, a concluzionat că acele proiecte sunt relevante dar nu îndestulătoare – ADR a solicitat mai mult decât un tester ca expert tehnic.

👉În privința metodologiei PS2, creată de CE pentru project management, a decis că aceasta este ok dar reclamanții nu au promis/demonstrat și oamenii care să o utilizeze oferind serviciile concrete din CS.

Citind motivarea observ un ADR bătăios, cu susțineri bine conturate și un reclamant placid, care poate se gândea deja la Apel. Este ciudat cum instanța a distribuit, punctual, egal acceptarea argumentelor, putem spune că ADR a câștigat cu golul de aur fără să domine partida. Și golul l-a dat arbitrul, care a văzut jocul mai bine decât cele două echipe 😄

marți, 20 iulie 2021

Atacuri pe e-facturare

Săptămâna aceasta s-au rostogolit pe net articole despre e-facturare, aparent menite să lase pe jantă cea de-a cincea roată la căruța digitalizării – MCID. Dincolo de intențiile autorului sunt totuși necesare câteva corecții și precizări pentru o mai bună înțelegere a acestei probleme.

Cronologic, povestea începe cu o Directivă UE care cere guvernelor să accepte facturi în format electronic. Deși acestea pot fi foarte bine fișiere PDF inteligente trimise către instituții ca atașament la e-mail, cu mulți ani în urmă cineva a marketat conceptul ca ”proiect obligatoriu impus de UE” și i-a atașat valoare standard pentru această categorie, de 20.000.000 euro.

👉Să ne înțelegem, noi nu am reușit să avem un mecanism de evaluare și control, un proiect se face sau nu însă nimeni nu vine să spună că este prea scump și poate fi făcut mai ieftin.

Revenind, viziunea MCSI era o platformă apropiată de SICAP, în care să se încarce facturile și alte documente specifice derulării contractului. S-a început cu un grup de lucru dedicat stabilirii metadatelor specifice unei facturi, practic s-au ales dintre cele propuse de CE. Evident, substanța grupului era dată de MFP iar oamenii acestuia, treptat, nu priveau cu ochi buni extravaganța ADR.

Deși a acordat destulă energie Alexandru Petrescu nu a apucat să securizeze proiectul fiindu-i demis guvernul și desființat ministerul. ADR l-a preluat continuând activitatea grupului de lucru ba chiar a mai creat unul paralel, în Mai 2020, dedicat companiilor cu activitate în domeniu, sub egida  Consiliul Național pentru Transformare Digitală.

Însă ministrul finanțelor Cîțu a decis că, la fel ca în alte țări europene, și în România este oportun să fie introdus un sistem obligatoriu de circulație a facturilor, nu numai B2G ci și între companii. 

Beneficiile din zona administrării fiscale sunt evidente însă pentru companiile mici, spre exemplu eu emit 5-7 facturi pe lună, să treci de la scrierea facturii în Excel la ceva mai sofisticat care include și rutarea facturii via MFP către client este un efort care, surprinzător, nu a trezit emoție publică. 

Efectul imediat a fost limitarea rolului ADR doar la verificarea alinierii cu cerințele directivei, și astfel evitarea infringementului, MFP devenind beneficiarul și operatorul platformei.

ADR a dorit să transfere către MFP și dosarul tehnic, cel care ducea la o achiziție de 20 mil euro însă specialiștii CNIF i-au ignorat. Ajungem astfel cu povestea în 2020, un an foarte încurcat.

Ministrul Cîțu a manifestat o mare energie și apetență pentru digitalizare, mai ales în discursul public însă nu a reușit să comunice cu adevărat cu CNIF. S-au căutat shortcut-uri, moment în care, la nivel politic, Sabin Sărmaș a promovat soluția minune a ADR-ului care lansase aici.gov.ro într-o paradigmă de voluntariat. Au fost acceptați voluntarii propuși de ADR ca furnizori ai sistemului de conectare a caselor de marcat, moment de consternare în CNIF după evaluarea acestora și propunerilor lor tehnice.

 Ca o paranteză, una dintre ultimele declarații ale ministrului Nazare a fost că acel sistem realizat de voluntari nu a funcționat niciodată iar astăzi este utilizată aplicația creată inhouse, ulterior, de către CNIF. 

Privit de departe, casele de marcat păreau un succes, nu este de mirare că abordarea cu voluntari era atractivă si pentru e-facturi. Însă CNIF s-a opus declarând că poate face singur aplicația cu oamenii proprii. Cum conducerea voia rapiditate iar CNIF o aplicație funcțională s-a instaurat o nervozitate rezolvată brutal prin îndepărtarea conducerii CNIF.

Trebuie spus că o astfel de aplicație nu se face în 3 luni dar și că nu este rocket science. Include numeroase blocuri funcționale clasice, pe care CNIF le are deja, în definitiv se emit mai multe bonuri fiscale decât facturi iar datele conținute nu diferă semnificativ. Mai trebuie spus că producătorii de aplicații de contabilitate au zile groaznice când MFP modifică formatul de raportare și că implicarea acestora în zona de interoperabilitate cu MFP este esențială.

Astăzi suntem în situația grea în care ne lovește deadline-ul directivei, CNIF se spală pe mâini de subiect după cele suferite iar companiile care ar putea să ajute și chiar ar avea ceva de spus sunt acuzate de intenții rele.

Cel mai ușor este să nu faci nimic, iar în administrație nu pățești nimic pentru asta.

PS: Sper că este inutil să adaug că, în orice variantă, nimeni nu are acces la date înafara MFP iar standardul API ar fi public și gratuit.


exemplu articol https://www.romaniatv.net/exclusiv-cum-a-aranjat-guvernul-sa-ajunga-proiectul-e-facturare-sa-fie-facut-pro-bono-de-o-serie-de-firme-prietene-in-schimbul-tuturor-informatiilor-comerciale-ale-firmelor-si-ale-st_5651513.html