Deși am fost un cursant disruptiv am reținut cândva că, ca tehnică de analiză, îți fixezi anumite evenimente și aștepți să vezi care dintre ele se întâmplă confirmându-și astfel respectiva ipoteză.
Apariția HG-ului de funcționare a ADR este momentul simplificării dramatice a arborelui de ipoteze.
Dar ce rămâne nu este deloc îmbucurător.
La cald, la lansare, am scris și am făcut valuri despre PSCID. Atunci au fost vorbe ușor de trimis în derizoriu. Astăzi nu mai sunt ipoteze, doar realitate.
Principalele lucruri spuse în 2020
- proiectul este exagerat de scump, 20 mil euro, se încadrează la categoria istorică de „tun”
- proiectul este în construit în contradicție cu abordarea europeană a identității electronice
- proiectul este contractat fără a exista baza legală necesară funcționării lui
Ce s-a clarificat până astăzi
În urma inițiativei de strângere a relației cu Guvernul Republicii Moldova s-a clarificat că platforma lor națională de identitate electronică (MPass) a costat sub 1 mil euro ceea ce ar fi de scalat, la dimensiunea României, spre maxim 2 mil euro. Este ironic că am putea primi aplicația gratis de la ei, cu tot cu suport și experiența celor 10 ani de funcționare.
În Noiembrie 2021 a fost finalizată procedura de achiziție publică PSCID rămânând un singur ofertant calificat. Acesta a oferit un cost de 74,3 mil lei față de costul estimat de 78,4 mil lei. Având în vedere că durata de livrare, conform Caietului de Sarcini, este de 27 luni, data finală ar fi Februarie 2024 caz în care nu mai este posibilă rambursarea costurilor proiectului din fondurile europene aferente vechiului ciclu de finanțare. Există riscul unei proceduri de acceptanță grăbite, superficială și incompletă.
Contextul european
În UE identitatea electronică este subiectul Regulamentului eIDAS. Versiunea în vigoare a acestuia stabilește un cadru bazat pe recunoaștere reciprocă a identităților eliberate de statele membre în urma unei proceduri de „notificare”. Notificarea nu este atât de simplă pe cât pare. Operatorul sistemului (OS) de identitate electronică care dorește să-i fie recunoscut serviciul la nivelul UE (nu este obligatoriu să dorească acest lucru) va depune o cerere la Autoritatea Competentă (AC) națională, aceasta o va examina, o va aproba și va înștiința CE că dorește demararea procedurii. CE va informa statele membre și dintre acestea se va selecta un grup de lucru (format din autoritățile lor naționale) care va examina documentația și va pune întrebări. Întrebările vor fi preluate de AC, trimise către OS, vor fi răspunsuri și circuitul se reia până ce Grupul este mulțumit. În acest caz se publică o informare de notificare în Jurnalul European.
Întrebările sunt multe (am studiat un caz în care au fost aproximativ 200) și vizează atât aspecte tehnice cât și operaționale. Operaționalul (verificarea persoanei căreia i se emite un eID) implică un manual de proceduri stufos care include măsuri de protecție împotriva erorii operatorului uman.
Este o procedură complicată.
Pentru a mai ușura aceste chinuri a prins tracțiune abordarea bazată pe scheme naționale. O Schemă Națională este același dosar de proceduri și aspecte tehnice, parcurge aceeași modalitate de aprobare însă, la final, este deschis pentru aderarea mai multor operatori. Aceștia se angajează să implementeze Schema și sunt verificați în această privință de AC. De obicei AC încurajează un OS sau o asociere a OS să înceapă acest demers.
Tot este complicat.
În noul regulament eIDAS a apărut noul EU DI Wallet, o aplicație standard creată și pusă la dispoziție gratuit de CE. Rămâne astfel de analizat doar partea de personalizare a acesteia – identitatea de bază (care vine din documentul național de identitate) și alte informații certe din surse autorizate. Există deja proiecte pilot de utilizare a EU DI Wallet, probabil începând cu 2024 va fi accesibilă tuturor cetățenilor europeni.
Reținem însă că o identitate electronică notificată este obligatoriu recunoscută la nivelul UE, implicit și în statul de origine. O identitate care nu a fost notificată impune, pentru a avea valoare juridică, o altă formă de legiferare națională cu putere asupra celor care urmează să o folosească.
Contextul Românesc
Pentru o scurtă perioadă, 22 Sept 2021 – 7 Ianuarie 2022 , am avut în România o Autoritate desemnată pentru identitatea electronică – Directoratul Național pentru Securitate Cibernetică (DNSC). Apoi acest atribut a fost șters în Parlament prin legea de aprobare a OUG-ului:
5. îndeplinește atribuțiile de autoritate națională pentru furnizorii de servicii de găzduire/hosting, de servicii tip cloud, de servicii de identificare electronică, de servicii de încredere pentru tranzacțiile electronice și furnizorii de rețele de distribuție de conținut;
Cu privire la atributele ADR observăm că:
În conformitate cu HG 89/2020 cu modificările ulterioare ADR:
exercită atribuțiile de organism de supraveghere pentru prestatorii de servicii de încredere calificați stabiliți pe teritoriul României,
adică este Autoritate Națională doar pe semnăturile electronice, nu și pentru identitate electronică care este un capitol distinct în Regulamentul eIDAS
dezvoltă sisteme de autentificare informatică și coordonează interconectarea sistemelor informatice publice;
adică un rol tehnic, de dezvoltator IT limitat la partea de autentificare.
Este momentul să explic diferența dintre Autentificare și Identificare.
Identificarea este procedura prin care asociezi persoanei un set de atribute certe care pot duce la singularizarea sa. Spre exemplu îi asociezi un nume, un CNP, etc.
Autentificarea este procedeul tehnic prin care te asiguri că persoana este aceeași persoană ca cea cu care ai interacționat anterior. Autentificarea se bazează în general pe diverse „secrete” ca factori de autentificare. Autentificare asigură dovedirea identității create prin identificarea de la deschiderea contului.
Este pe deplin posibilă autentificarea fără identificare. Se întâmplă de fiecare dată când ne facem cont pe un site alegând să furnizăm doar un user și o parolă. Suntem de fiecare dată aceiași, dar suntem anonimi.
Însă, practic în ultima zi, a fost introdus în Parlament în Legea 242/2022 dedicată Platformei Naționale de Interoperabilitate (PNI) un articol care va produce mari probleme:
Art.17 (1) i) CTE ... va emite avize de funcționare doar pentru acele sisteme tehnologice ale căror funcționalități vor fi pe deplin aliniate la infrastructurile naționale de identificare și autorizare notificate de ADR în cadrul unui sistem transnațional, în conformitate cu normele europene prevăzute în Regulamentul eIDAS.
Din păcate în politică și administrație este necesar să oferi argumente credibile doar pentru momentul și audiența cu care vorbești. Textul Art.17 poate avea în mod egal două interpretări:
1. că ADR notifică către UE așadar, implicit și ocolit, ar fi Autoritate Națională pentru identitatea electronică
2. că ADR este operatorul unui sistem informatic care urmează să fie notificat
Aceste interpretări au fost livrate după caz dar nu pot fi simultan adevărate întrucât la nivelul UE nu este acceptat ca o Autoritate Națională, care implementează un regim de supraveghere conform Art. 9 (1) b) din eIDAS, să fie și operator, respectiv să se supravegheze pe sine, în consecință acel ipotetic sistem nu va fi niciodată acceptat pentru notificare. Oricare dintre ele ar fi, însă acest articol este atât o prostie profesională cât și killerul funcționării rapide a PNI. Voi detalia în altă postare.
Ce ar fi fost de clarificat în privința PSCID
M-aș fi așteptat ca în acest HG să fie detaliată, într-o formă clară, prevederea Art.17 din L242/2022. Acum avem o problemă de claritate a legislației deoarece Capitolul II – Identificare electronică din eIDAS deși este direct aplicabil totuși nu este complet. Este consecința faptului că această zonă este nou introdusă în eIDAS, spre deosebire de serviciile de încredere care au fost abordate și în legislația anterioară. Există nevoia de a se detalia „regimul de supraveghere” pentru că Art.7 d) din eIDAS îi cere statului „să se asigure” că anumite norme sunt respectate. Ar fi fost tot necesar să se clarifice, în măsura în care România dorește să permită furnizori privați, cum se aplică Art.7 a) din eIDAS, respectiv cum se decide un „mandat” sau o „recunoaștere”.
Însă studiul documentației PSCID relevă probleme mult mai concrete de rezolvat.
Ca blocuri funcționale PSCID se compune din 3 mari zone:
- Zona de identificare a persoanei care își deschide cont
- Zona bazei de date cu date, care se constituie într-o „sursă/listă sigură”, despre toate persoanele eligibile – așa numitele atribute certificate
- Zona mecanismului de autentificare
Primele două conlucrează pentru înființarea unui „Registru Electronic Național de Identități Electronice” (obiectiv al Caietului de Sarcini PSCID la pag.3). Avem însă o poziție cunoscută din partea Curții Constituționale cu privire la bazele de date care conțin date sensibile – consideră că protejarea acestora se poate face numai printr-o reglementare detaliată și doar la nivel de Lege. M-aș fi așteptat măcar la o tentativă de a înființa legal acest Registru, măcar prin acest HG.
În toate declarațiile publice s-a spus că PSCID va fi platforma unică de autentificare în toate sistemele administrației publice. Acest scop poate fi atins numai prin Notificare sau printr-o altă procedură legală națională, ofer spre exemplu Regulamentul MPass, un HG al Guvernului Moldovei. Tuturor celor de la care avem așteptarea să accepte identitățile PSCID acest act trebuie să le fie opozabil. Deși un astfel de document este, de obicei, separat, totuși m-aș fi așteptat să fie incluse forțat în acest HG minimul de prevederi necesare funcționării PSCID. Valabil și pentru operațiunea de colectare, stocare și pre-pregătire a datelor ce vor fi atașate unei viitoare identități emise.
Există zvonuri că, aparent, pentru a nu prezenta direct către UE funcționarea PSCID (pentru că în Caietul său de Sarcini nu s-a cerut explicit respectarea integrală a normelor europene relevante pentru notificarea sa) ADR se gândește la o schemă națională notificată la care să adere PSCID. Însă a o scrie și notifica este extrem de dificil, nu poate fi făcut decât cu consultanți externi, aceștia pot fi și dintre furnizorii de certificate calificate a căror activitate este asemănătoare. Îmi permit să speculez că STS-ului i-ar fi foarte greu să adere la o schemă astfel concepută.
Lipsa celor de mai sus închide foarte multe opțiuni. Să urmărim modelarea grafică publicată la începutul acestui articol.
Interpretarea ei este tristă. În acest HG:
- ADR nu a fost legalizată ca Autoritate responsabilă pentru zona eID din eIDAS
- PSCID a fost explicit fixat ca fiind operat de ADR
- Nu există prevederi pentru înființarea registrului Național al Identităților Electronice
- Nu există prevederi de recunoaștere legală a PSCID măcar in zona guvernamentală
Varianta rămasă este că va fi promovată o Schemă Națională de care vor putea beneficia furnizorii privați întrucât PSCID nu va avea legislația națională necesară pentru a prelucra date în condiții de legalitate și nici nu va fi utilizabil de alte instituții. Identitatea electronică mobilă va deveni subiect de oligopol precum semnătura calificată, cel puțin până ne lămurim cine implementează în România EU DI Wallet.
Tristețea unora – bucuria altora!
Rămăsesem dator din postări anterioare să explic cum a fost aruncată pisica în curtea Palatului Victoria.
Un sistem informatic este o unealtă care te ajută să-ți atingi un scop. Scopul acesta trebuie să existe legiferat în legislația de funcționare a instituției. Pentru că operarea registrului, activitatea de identificare video precum și bazele de date certificate/ listele sigure nu există nici astăzi între funcțiunile ADR, încă de la început, achiziționarea acestei unelte a fost ilegală.
Răspunderea cade, în final, pe Sabin Sărmaș care a semnat pentru finanțarea proiectului si pe Octavian Oprea care a semnat contractul de furnizare. Sabin deja se străduie în Parlament să convingă că este necesară o zonă dedicată Listelor Sigure în cadrul noii legi a semnăturii electronice, care să țină datele în PSCID la ADR, deși aceste Liste Sigure sunt identice operațional cu Registrele Naționale care au fost deja legiferate ca fiind stocate la deținători.
Urmează însă momentul plăți către furnizor când iarăși s-ar fi ridicat aceste aspecte pentru conducerea de azi a ADR. Prin noua prevedere din acest HG:
18. implementează proiectul «Platformă software centralizată pentru identificare digitală - PSCID» cod MySMIS2014+: 130599;
toată răspunderea revine premierului care, iată, le-a ordonat să facă proiectul. Putem observa că este imperativă „implementarea” dar nu și „operarea” proiectului. Efectul acestei prevederi este strict limitat la plata furnizorului pe răspunderea Premierului și miniștrilor din guvern.
Probabil s-a spus că așa este normal, că mai există și alte platforme nominalizate în HG lângă această prevedere. Ar fi fost bine să existe cineva care să-i spună premierului că acele proiecte sunt acolo pentru că sunt proiecte ale altor instituții pe care ADR este astfel obligată să le ajute sau sunt proiecte ale fostului Minister care, prin HG, au fost aruncate către ADR iar acesta a fost obligat să le preia în operare. Nu este o bună practică, nominalizarea lor nu este deloc necesară, însă persistă acolo ca dovadă a activității ADR.
Sau, pentru că are deja cod MySMIS, ar fi putut să-l observe cineva și să întrebe ADR cum s-au descurcat până azi în lipsa acestei prevederi.
Niciun comentariu:
Trimiteți un comentariu