Există două probleme în proiectul de Ordonanță cu privire la Cartea Electronică de Identitate C.E.I. și evidența persoanelor aflat astăzi în consultare publică. Poate sunt mai multe dar, atipic, MAI nu a publicat și un tabel de corespondență iar eu m-am limitat cu al meu la prevederile legate de identitate și semnătură electronică.
În lipsa acestuia, ambele modificări nu sunt deloc evidente.
Întotdeauna trebuie să ne întrebăm de ce se întâmplă ceva.
Prima problemă este o adăugire aparent benignă, de tipul indicării frecvente a contextului legal relevant. La prevederea astăzi în vigoare:
Cartea electronică de identitate permite titularului autentificarea în sisteme informatice ale Ministerului Afacerilor Interne și în sisteme informatice ale altor instituții publice sau private, precum și utilizarea semnăturii electronice, în condițiile legii.
au adăugat:
Cartea electronică de identitate permite titularului utilizarea semnăturii electronice, precum și autentificarea în sistemele informatice ale instituțiilor publice sau private, în funcție de nivelurile de asigurare stabilite de deținătorii sistemelor, în conformitate cu Regulamentul (UE) nr.910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE.
Context
Regulamentul 910/2014, poreclit Regulamentul eIDAS, are ca țintă o piață unică funcțională în privința serviciilor de identificare și încredere. Își propune ca produsele oricărui furnizor european să poată fi utilizate în oricare stat membru. Pentru a atinge acest deziderat este nevoie de o echivalare/clasificare a acestor produse. Așa au apărut semnăturile „simple” / „avansate” / „calificate” precum și identitățile cu nivel de asigurare a încrederii „scăzut” / „substanțial” / „ridicat”.
Odată ce respecți condițiile aferente te poți încadra în una dintre variante printr-o procedură de verificare de o complexitate proporțională.
O entitate cu adevărat europeană va gândi și va acționa în acești termeni – va cere din partea interlocutorului unul dintre cele 3 niveluri și astfel va trata nediscriminatoriu, garantat, orice cetățean european.
În România
Începând cu OUG 38/2020 și noi cerem instituțiilor publice să anunțe ce pretenții au în privința modului în care se prezintă cetățeanul la ușa lor digitală. Noi însă ne referim doar la înscrisuri, respectiv semnături, nu și la autentificarea pe site și valoarea juridică a unui click derivată din acest context de identificare. Am făcut acest lucru cu succes deoarece, în bună măsură, statusul de „calificat” este identic atât din perspectiva europeană cât și cea românească.
Nu același lucru se poate spune despre soluțiile de identitate electronică, nu avem în România nimic, nici legislație, nici soluții tehnice, care să fie aliniate (notificate) la nivelul european.
Problema propunerii MAI
Acest text condiționează utilizarea C.E.I. de către cetățean, în interacțiunea sa cu o entitate, de existența unei decizii a acelei entități cu privire la „stabilirea unui nivel de asigurare” minim, aferent acelui sistem sau acelei proceduri de e-guvernare.
Nu știm azi dacă și când C.E.I. va fi notificată ca având un nivel de asigurare.
Vor fi așadar următoarele consecințe:
- o entitate, instituție sau privată, va putea accepta C.E.I. doar după ce va fi finalizată notificarea, înainte de asta C.E.I. nu va fi în niciun „nivel de asigurare”.
- dacă C.E.I. este notificat iar entitatea alege un anume „nivel de asigurare” atunci nimic în afara acelui nivel nu va mai putea fi utilizabil. Asta include și conturile de utilizator native platformei despre care este greu de crezut că vor fi, și ele, notificate.
Un exemplu concret.
Ministerul Finanțelor, pentru a accepta C.E.I. în Spațiul Privat Virtual SPV, va aștepta notificarea CEI apoi va decide că pentru SPV nivelul minim de asigurare (a încrederii) este „substanțial”. Odată cu această decizie va trebui să respingă orice nu este „substanțial” sau mai bun. Practic va respinge cele peste 1 milion de conturi de utilizatori care există azi în SPV sau va trebui să facă demersuri pentru notificarea sistemului de identitate electronică nativ al SPV ca „substanțial”.
Nu este imposibil dar este greu de crezut că MFP va investi resursele necesare pentru notificarea SPV. Mai probabil va aștepta până când CEI este notificat și numărul de posesori CEI depășește substanțial numărul de conturi native SPV. Aș zice cam 4 ani ...
Similar s-ar întâmpla cu toate celelalte sisteme cu un număr mare de utilizatori, aplicațiile de internet banking sunt primele care îmi vin în minte.
Pe scurt, această prevedere anulează complet CEI pentru următorii 5 ani.
Mă întreb de unde a venit această idee, MAI nu ar trebui să se preocupe de sistemele de e-guvernare și deciziile instituțiilor publice.
Să trecem însă la a doua problemă.
MAI propune să abroge această prevedere:
Certificatul calificat se înscrie în cartea electronică de identitate ulterior producerii acesteia, la solicitarea titularului. Certificatul calificat se poate elibera doar persoanelor având capacitate deplină de exercițiu.
Ea conține două idei distincte.
Eliberarea certificatelor doar către persoanele cu capacitate de exercițiu este o idee foarte utilă din perspectiva securității juridice. O semnătură a unei persoane fără capacitate nu are nicio valoare juridică. Dacă în cazul semnăturii olografe poți câteodată intui că persoana are o problemă din simpla observare a sa în momentul semnării, în cazul unei semnături la distanță acest lucru este imposibil. Cum însă nu există un registru public al persoanelor sub tutelă și nici, cred, dungă roșie pe buletin, acest risc juridic există mai ales în zona microcreditelor și vânzărilor în rate. Este o problemă greu de rezolvat și care a fost ignorată cu brio atât de eIDAS cât și de legislația națională. Este o decizie de oportunitate dacă o abordăm acum.
Însă a doua idee are o grea istorie.
Asociația furnizorilor români de certificate calificate a susținut intens ca statul să cumpere certificate calificate emise de ei pentru CEI insistând că MAI nu poate oferi utilizatorilor suportul necesar. O idee respinsă practic prin acest articol propus a fi abrogat, care stabilește că certificatele calificate comerciale vor fi instalate după înmânarea CEI către cetățean.
Să ignorăm însă interesele comerciale și să vedem care sunt scenariile alternative.
Scopul este ca certificatul calificat să fie emis și instalat pe CEI într-o procedură complet automată, fără intervenție umană. Astfel scad mult costurile.
eIDAS permite acest lucru cu condiția ca emiterea să fie inițiată în baza unui mijloc de identificare cu nivel de asigurare „substanțial”.
Așadar, dacă CEI va fi notificat acest lucru va fi posibil legal, necesitând doar o investiție în tehnologie. Dacă CEI nu este notificat va fi necesară o procedură de identificare video sau un drum la ghișeu.
Dacă certificatul calificat comercial este creat odată cu CEI atunci, legal, procedura MAI de emitere este parte din procedura certificatului calificat iar MAI poate fi considerat agent de identificare pentru certificatul calificat. Așadar nu mai este nevoie de identificare video sau drum la sediu. Însă, din punctul de vedere al securității producției CEI se nasc unele bătăi de cap pe care, până azi, MAI nu părea doritor să le aibă.
Cea mai simplă soluție este ca MAI să-și asume oficial notificarea CEI într-un termen rezonabil: 6-12 luni. Să anunțe dacă vrea să susțină, sau nu, din PNRR și costul certificatelor comerciale ca să nu mai plutească această suspiciune în aer. Până atunci, ar fi bine să rămână măcar prevederea care izolează activitatea MAI de cea a furnizorilor privați și astfel protejează MAI de presiunile acestora.
Niciun comentariu:
Trimiteți un comentariu