Se apropie lansarea publică a unui nou proiect de lege dedicat semnăturii electronice și cred că este necesar să știm și contextul acestuia: proces, stakeholderi, istorii, interese.
Textul este rezultatul unei metode perfecționate de Sabin Sărmaș, acum la a doua ediție. Fructificând statutul de Președinte de Comisie la Camera Deputaților, care îi permite să i se aloce relativ ușor săli pentru activitățile sale politice, acesta a generat o succesiune de întâlniri cu un număr de invitați selectați dintre cei care au interese pe termen lung în zona IT și pentru care această lege este doar un capitol dintr-o relație lungă, și necesar bună, cu puterea politică. Pentru mulți dintre ei contează mult și expunerea oferită de Sărmaș, faptul că stau la o prestigioasă masă, contează mai puțin pentru ce.
Prima întâlnire a fost flamboiantă, primul text era un colaj de idei ilegale și contradictorii. La finalul lui Aprilie, 13 variante de text mai târziu, cei mai mulți au obosit sau și-au atins ținta de imagine, au rămas activi doar câțiva, îndeajuns de profesioniști, dedicați sau sensibilizați economic de subiect.
Acum textul va deveni propunere oficială, susținută „de industrie și societate” în baza „unei activități intense a grupului Law and Technology Lab” la care sunt necesare doar „mici observații din partea guvernului”. Astfel proiectul este legitim de trecut pe repede înainte, fără dezbatere ci cu vot pe pachet de amendamente iar influența celor care critică sau protestează este semnificativ diminuată prin disocierea celor prezenți în grupul inițial.
Doar că, uitându-ne la prima ediție - Legea Interoperabilității - putem observa că, în ultimul moment, amendamentele guvernului au schimbat profund abordarea trecând de la una descentralizată la una cu hub de interoperabilitate, iar în camera decizională totul a durat doar 36 de ore, fără amendamente și discuții. Un proces nedemocratic, în opinia mea.
Nu am participat la nici una dintre ediții dar am avut acces la evoluția formei textului.
Din analiza textelor văd câteva evoluții interesante ale participanților.
STS, ca emitent de certificate calificate, începe să aibă poziții comune cu emitenții comerciali, pro calificate și anti certificate avansate. Chiar acceptă blocarea unei interpretări juridice care le permitea angajaților publice să le folosească certificatele în scop personal.
Furnizorii privați de certificate calificate sunt turați 100%, luptă chiar și pentru formulări insidioase, dar legal benigne, precum această parafrazare din legea din 2001: „Certificatul calificat eliberat de către un prestator de servicii de încredere cu domiciliul sau cu sediul într-un alt stat membru al Uniunii Europene este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un prestator de servicii de încredere cu domiciliul sau cu sediul în România”. Nu vă sună similar cu piesele auto aftermarket, care merg dar nu sunt chiar cele mai bune?
Grupul mare de companii care s-au luptat pentru diversificarea modalităților de semnare s-a epuizat și distilat doar într-o asociație care luptă pentru legalizarea contractelor de o valoare mai mică de jumătate din salariul minim brut pe economie, practic fără niciun fel de semnătură, deși ar exista mijloace convenabile de protecție suplimentară precum aplicarea unei mărci temporale.
Dinspre zona publică nu sunt asumate direct paragrafe, deși clar există forțări în beneficiul ADR și SRI.
Calitatea este suferindă
Lipsa de atenție a susținătorilor certificatelor avansate le-a oferit o generoasă permisiune de utilizare a acestora distrusă însă de o reglementare agresivă a emiterii avansatelor, care devine practic echivalentă cu emiterea certificatelor calificate. Puse într-un tabel comparativ sunt vizibile doar diferențe de nuanță, spre exemplu emitentul de certificate avansate trebuie, și poate, oricum să-și dovedească capacitatea financiară în timp ce emitentul calificat are specificată metoda poliței de asigurare. Este uimitor cum, focusați pe ceva ce pare a deveni dogmă, neglijează impactul utilizării de certificate în interiorul sistemelor IT, spre exemplu pentru semnarea componentelor aplicațiilor, fișiere care sunt conform legii, și ele, documente.
Pare că epuizarea datorată celor 13 etape de până azi a produs participanților o focusare doar pe câte un interes particular cu toții pierzând din vedere esența filozofică a acestui domeniu.
S-a pierdut din vedere cheia de boltă – terțul - , al treilea actor, care aduce încrederea necesară pentru valoarea de întrebuințare a unui document. Acest terț poate fi un personaj colectiv - precum în cazul blockchain - sau o persoană, fizică sau juridică, despre care putem face judecăți de valoare.
Astăzi, pentru a certifica un document fizic, noi toți avem câteva opțiuni:
- Putem apela la un notar, o instituție care are cele mai bune garanții de independență și profesionalism.
- Putem apela la un avocat, un profesionist atestat de baroul din care face parte.
- Putem apela la un martor, cu atât mai credibil cu cât este mai independent de subiect.
- Putem apela la bunul nostru renume, care respinge ideea că ne ocupăm cu măgării 😊
Deoarece valoarea juridică a unei semnături este legată și de alte criterii, nu numai tehnice, nu putem echivala semnătura calificată cu cea notarială. Însă putem considera emitentul de certificate calificate un profesionist, „calificat” prin independența sa față de interesele semnatarului și prin capacitatea sa tehnică de a reduce riscurile.
Certificatul avansat acoperă parțial ultimele trei scenarii, în funcție de independența și profesionalismul celui care generează certificatul.
Puțină istorie despre miza SRI.
În anul 2012, proaspăt nimerit în ministerul de resort, am avut, cred, prima mea ședință cu o altă instituție publică - exact cu SRI care solicita să devină emitent de certificate calificate pentru uz intern. La acel moment aveam doar gura mare, nu și expertiza de azi, atât în mecanismele specifice serviciilor de încredere cât și în bunele practici legislative. Am făcut puțin valuri dar, fără stres, SRI a devenit emitent de certificate calificate prin UM 0296 și prin decizia MCSI 520/ 15.06.2012, nepublică.
Nu am văzut-o, nu știu cum poate să deroge de la prevederile L455/2001 și Directiva UE.
Timpul a trecut, a apărut Regulamentul eIDAS. L-am ocolit temporar prin modificarea L455 pentru ca STS să devină emitent de certificate calificate înainte de a parcurge procedura europeană.
Însă a fost pe timp de pandemie, temporar, urgent.
Acum avem propus în acest text o nouă acordare a statutului calificat pentru SRI fără menționarea obținerii certificării europene eIDAS, pentru o utilizare foarte apropiată de cea cunoscută ca „sistem închis” și care nu ar necesita statutul de calificat. Nu intru în analiza propunerii versus eIDAS, prefer acum să mă concentrez pe esența acesteia.
Obiectivele cardinale sunt, în opinia mea, funcționarea SRI într-un mod care nu dezvăluie date și informații despre activitatea proprie precum și prezervarea, chiar întărirea, mijloacelor de control la dispoziția comisie parlamentare dedicate.
Pe de o parte chiar și numărul zilnic de documente, create sau citite (semnături validate) pot fi date sensibile, ca să nu mai menționez registrul posesorilor de certificate care tinde să fie echivalent cu lista personalului SRI atât timp cât, de mulți ani, activitatea lor este preponderent electronică.
Pe de altă parte o abordare inhouse elimină rolul esențial al terțului, încrederea adusă de independența sa.
2023 este foarte diferit de 2012. Astăzi există serviciul calificat al STS, instituție despre care credem că poate păstra secretele noastre, ba chiar și ale NATO.
Trecând peste aspectele emoționale cred că astăzi există soluții tehnologice legale, care să permită, ba chiar să aducă un beneficiu net prin utilizarea de către SRI a unor mărci temporale și certificate calificate europene, emise de un terț. Valabil și pentru funcționarea STS.
Propunerea actuală abrogă L455/2001 așadar afectează legislația subsecventă, implicit și funcționarea SRI. Este o miză serioasă de rezolvat înainte de a putea duce inițiativa la bun sfârșit.
În concluzie
Pe scurt, cam de aici începe discuția pe acest proiect care conține, în opinia mea, mult prea multe articole neclare, irelevante, ilegale și contradictorii. Mizele adevărate asociate abrogării L455/2001, o lege caducă, contrară azi legislației UE și lipsită de rezultate istorice, sunt mult mai puține, ar fi trebuit ca focusul să fie pe acestea.
Această lipsă de rezultate va fi și caracteristică și noului text, soluția optimă sunt modificări legislative sectoriale distincte, cu includerea celor care adresează administrația publică în Codul Administrativ.
Să așteptăm deci cu interes forma oficială și dezbaterile publice aferente.
Niciun comentariu:
Trimiteți un comentariu