Ați ales vreodată să mergeți la un anumit medic în baza recomandării unui prieten? Când ați făcut asta a fost o manifestare a încrederii dvs. în cel care vi-a făcut recomandarea. Ba chiar se poate spune că cel care a recomandat vi-a dat încredere să mergeți la acel doctor.
Pe scurt, tocmai am descris un „serviciu de încredere”.
Dar ce facem dacă nimeni dintre cunoscuții noștri nu știe niciun medic?
Căutăm un cunoscut de încredere care ne recomandă un cunoscut al lui în care are încredere care știe un doctor de încredere.
Tocmai ce am vorbit despre trasabilitatea încrederii.
Însă, dacă vrem să ajungem la un anume doctor, s-ar putea să fie foarte greu să construim un lanț de încredere. Acesta ar fi foarte lung iar tăria sa ar fi dată de tăria celui mai slab element. Trebuie găsită o altă soluție.
Europa are, prin Regulamentul eIDAS, cadrul de funcționare al serviciilor de încredere.
eIDAS-ul de azi ne oferă încredere în privința identității unei persoane necunoscute, a datei când a fost semnat un document. Nu este puțin lucru, ambele sunt esențiale pentru validitatea juridică a unui contract.
eIDAS-ul de mâine, foarte aproape de versiunea finală, ne va da încredere în privința aproape oricărui lucru. Orice Autoritate ne va putea emite o legitimație electronică, pe care o vom stoca în portofelul electronic și cu care, prezentând-o, vom câștiga încrederea celui cu care interacționăm.
Însă divaghez, astăzi vorbim despre trecutul serviciilor de încredere.
În România istoria începe odată cu Legea 455/2001 privind semnătura electronică, o lege asemănătoare cu abordarea europeană de la acel moment.
Prin această lege Statul își asumă răspunderea pentru serviciile unor furnizori de certificate pentru semnătură electronică. Prin respectarea condițiilor impuse de Stat aceștia se „califică” pentru acest statut.
Pentru ca noi, beneficiarii, să știm cine beneficiază de acest statut Legea 455 a instituit o Listă publică a furnizorilor de încredere calificați.
Legea oferea posibilitatea ca și alți furnizori să fie recunoscuți ca fiind de încredere, în baza unor tratate internaționale de recunoaștere reciprocă a listelor naționale. Nu știu să existe un astfel de tratat specific, însă există Tratatul de aderare la UE care ne obligă să preluăm legislația UE, una dintre multele consecințe este că recunoaștem lista europeană care are denumirea oficială de UE Trusted List.
Astfel avem astăzi două liste recunoscute: Lista aferentă L455/2001 și EU Trusted List.
Însă situația este inutil complicată.
Dacă L455 are o listă la ADR, iar calitatea de membru UE ne impune EU Trusted list ar rezulta că, logic, în Lista 455 ar trebui să se regăsească întreaga EU Trusted List. Însă nu este așa.
Lista 455 conține doar câțiva furnizori, cei care au sediu în România și pentru care ADR este Autoritate de Supraveghere.
Și mai complicat.
La ultima mea verificare, cu ceva timp în urmă, Lista 455 conținea elemente care nu se regăsesc în UE Trusted List. Spun elemente pentru că, în versiunea extinsă, o astfel de listă nu conține doar numele operatorilor calificați ci și certificatele root pe care le folosesc aceștia. Root-ul este rădăcina de la care se propagă încrederea dată de stat operatorului către clienții săi.
Un operator poate folosi în paralel mai multe certificate root și nu toate trebuiesc declarate în lista oficială. Cele care nu sunt declarate sunt, din perspectiva eIDAS, sursă de certificate „avansate”. Un certificat avansat este mai ieftin, atât de produs cât și de cumpărat.
Am întâlnit astfel documente emise de instituții publice ale căror root era în Lista 455 dar nu și în EU Trusted List. Adică, pentru aceeași utilizare, din perspectiva L455 erau echivalente cu o semnătură olografă, din perspectivă europeană nu.
O situație care evident nu este deloc în regulă.
Totuși în 2020 am beneficiat de această disonanță timp de câteva luni, cât i-a luat STS , în urma OUG 39, să parcurgă procedura necesară pentru a ajunge în EU Trusted List. A fost însă un caz excepțional, de pandemie, nu cauționează persistența acestor rooturi divergente cu anii.
Însă nu vreau să vorbesc despre această agresiune a unui regulament UE ci despre consecințele practice din România.
Asta pentru că ieri spuneam la radio că, în privința e-guvernării, noi bombardăm audiența cu legi dar nu le oferim o viziune comprehensibilă.
Și iau azi spre studiu de caz un exemplu de instituție care, teoretic, poate să aibă specialiști și consultanți de cel mai bun nivel ce poate fi oferit de piață fără limitări financiare.
Mă refer la Compania Națională Transelectrica SA.
Aceștia au inițiat în condiții de transparență achiziția a peste 2000 de certificate calificate și astfel putem vedea ce au înțeles din legislația în vigoare.
În clarificările din Iunie 2022 scriau că referitor la cerința:
certificatele trebuie sa fie calificate conform legii 455/2001 si regulamentul European 910/2014 – elDAS
care, evident, exclude toți furnizorii europeni că, nu-i bai:
În România, semnătura electronică a fost reglementată prin Legea nr. 455/2001, astfel că, un furnizor de servicii de certificare a semnăturii electronice care doreşte să oferteze în cadrul procedurii, se poate acredita conform Legii nr. 455/2001 , condiţiile privind certifcatele "calificate conform Legii 45512011 şi Regulamentului European 91012014 - elDAS" fiind necesar a fi îndeplinite cumulativ.
Evident, un furnizor european există doar prin EU Trust list iar ideea este absurdă. Așa că, probabil, au continuat discuțiile și la finalul lunii Decembrie 2022 versiunea finală este:
Să fie prestator de servicii acreditat conform Legii nr. 455/2001 privind semnătura electronică- Republicată, HG nr. 1259/2001 ... sau Regulamentului European 910/2014Regulamentului European 910/2014
S-ar zice că problema este rezolvată, poate participa oricine din Europa.
Însă:
În forma actuală Transelectrica riscă să primească certificate calificate doar în baza L455, adică cu valoare juridică doar în România. Nu știu ce impact ar avea asupra afacerii lor însă bine nu sună deloc.
Două paragrafe mai jos scrie că:
Prestatorul trebuie să se regăsească în „Trusted list” de pe site-ul Autorităţii pentru Digitalizarea României.
Adică doar cei din România, pe Legea 455. Acest paragraf îmi arată că cei de la Transelectrica sunt absolut disperați să respecte toată legislația în vigoare și nu au înțeles deloc ce cumpără. Îndrăznesc să spun că, ca ei, sunt nenumărate alte instituții publice.
Mai îndrăznesc să spun că este vina politicienilor care se laudă constant cu eforturile lor pentru o mai bună lege a semnăturii electronice în loc să vadă că, la bază, existența unei legi românești în competiție cu Regulamentul UE produce astfel de nebuneli.
Desigur, răul de mine, s-ar fi putut gândi că achizitorii sunt într-un aranjament menit a favoriza furnizorii români. Nu gândesc însă asta datorită prezenței următorului paragraf în CS:
Prestatorul trebuie să facă dovada că are calitatea de operator de date cu caracter personal în conformitate cu prevederile Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Începând cu 2018, cu intrarea în vigoare a GDPR, nu mai există noțiunea de notificare a calității de operator de date cu caracter personal, nici procedură pe site-ul ANSPDCP pentru acest lucru. O văd ca o dovadă clară a depășirii capacității de procesare a echipei care se ocupă de acest proiect care, iată, cu astfel de greșeli greu poate fi bănuită de sinistre și inteligente combinații.
Niciun comentariu:
Trimiteți un comentariu