Trust Service Provider

Un Trust Service Provider ("Fornitore di Servizi di Fiducia") è una persona o un'entità giuridica che fornisce e preserva certificati digitali per creare e validare firme elettroniche e per autenticare i loro firmatari.[1][2]

I Trust Service Providers (TSP) sono autorità di certificazione qualificate nell'Unione europea e in Svizzera nel contesto della procedura regolamentata per la firma elettronica.[3]

Descrizione

modifica

Un TSP ha la responsabilità di assicurare l'integrità di identificazione elettronica per firmatari e per servizi, tramite meccanismi forti di autenticazione, firma elettronica e certificati digitali. eIDAS definisce gli standard per come i TSP debbano fornire i loro servizi di autenticazione e di non ripudio. Il regolamento prevede una guida per Stati membri dell'UE su come i TSP sono regolamentati e riconosciuti.

Un "servizio di fiducia" (Trust Service) è definito come un servizio elettronico che offre una delle seguenti tre azioni:

  1. la creazione, la verifica o la convalida di firme elettroniche, marche temporali, servizi di consegna registrati elettronicamente e certificazioni richieste con questi servizi;
  2. la creazione, la verifica e la convalida dei certificati utilizzati per l'autenticazione di siti web;
  3. la conservazione di queste firme elettroniche, delle marche o dei relativi certificati.

Per essere elevato al livello di "servizio di fiducia qualificato", il servizio deve soddisfare i requisiti stabiliti ai sensi del regolamento eIDAS. Tale servizio deve offrire un framework che faciliti le relazioni per le transazioni elettroniche intraprese tra Stati membri partecipanti e le organizzazioni dell'Unione Europea[1][4]

Ruolo di un TSP qualificato

modifica

Un TSP qualificato svolge un ruolo importante nel processo di firma elettronica qualificata. Ai fornitori di servizi di fiducia deve essere data lo status di "qualificato" e il permesso per un ente governativo di controllo a fornire certificati digitali qualificati che possono essere utilizzati per creare firme elettroniche qualificate. eIDAS richiede che l'Unione Europea mantenga un elenco fiduciario dell'UE in cui sono elencati i fornitori ed i servizi che hanno ricevuto lo status di "qualificati". Un TSP non è autorizzato a fornire servizi di fiducia qualificati se non è sulla lista dei TSP della UE[1][5]

I TSP che sono sulla lista dei TSP dell'UE sono tenuti a seguire rigorosamente le linee guida stabilite da eIDAS: ad esempio, devono fornire marche temporali valide, durante la creazione di certificati; le firme digitali che abbiano certificati scaduti devono essere revocate immediatamente. Inoltre l'UE obbliga i TSP ad effettuare una formazione adeguata a tutto il personale impiegato dal TSP stesso. Essi forniscono inoltre strumenti quali software e hardware che sono affidabili, e in grado di prevenire falsificazioni dei certificati che vengono prodotti.[1][2]

Visione

modifica

Uno dei principali intenti del eIDAS è stato quello di facilitare i servizi pubblici e commerciali, in particolare quelli che sono condotti tra diversi Stati membri dell'UE. Tale obiettivo è quindi stato raggiunto permettendo di effettuare operazioni in modo sicuro attraverso le firme elettroniche, e tramite i servizi che vengono forniti dai TSP per assicurarne l'integrità.

Gli Stati membri dell'UE sono tenuti attraverso eIDAS ad implementare "sportelli unici" (Points of Single Contact, PSC) per i Trusted Services, in modo tale da poter utilizzare in modo sicuro i sistemi di identificazione elettronici per le transazioni transfrontaliere del settore pubblico, come ad esempio lo scambio e l'accesso ad informazioni sanitarie.[2][6][7]

Prospettiva giuridica delle firme elettroniche create dai TSP

modifica

Mentre una firma elettronica avanzata è giuridicamente vincolante sotto eIDAS, una firma elettronica qualificata, che è stato creato da un TSP qualificato comporta un più elevato valore probatorio quando viene utilizzato come prova in tribunale. Poiché la paternità della firma è considerata non ripudiabile, l'autenticità della firma non può essere facilmente messa in discussione. Gli Stati membri dell'UE sono obbligati ad accettare firme elettroniche qualificate che sono stati creati con certificati qualificati di altri Stati membri come valido. Secondo il regolamento eIDAS, ossia l'articolo 25 (2), una firma creata con un certificato qualificato ha lo stesso valore legale di una firma autografa in tribunale.[2][3][8]

Gli standard si stanno evolvendo: norme aggiuntive, tra cui le definizioni delle regole per i TSP, sono in fase di sviluppo da parte dell'European Telecommunication Standards Institute ETSI.[9]

Prospettiva globale

modifica

Il comitato svizzero di standardizzazione per la firma digitale ZertES ha definito un concetto analogo, di fornitori di servizi di certificazione. Fornitori di servizi certificati devono essere verificati da organismi di valutazione della conformità che sono stati nominati dal Schweizerische Akkreditierungsstelle.[10] Negli Stati Uniti il NIST Digital Signature Standard (DSS) nella sua attuale versione non ha nulla di paragonabile a un TSP qualificato che consentirebbe di migliorare il non ripudio attraverso la firma di un certificato qualificato. Tuttavia gli autori della prossima revisione stanno pubblicamente discutendo una modifica che implementerebbe un approccio simile a quello di eIDAS e ZertES che prevederebbe la presenza di entità analoghe ai TSP.[11][12] Per consentire transazioni rigorose e non ripudiabili a livello globale, sarebbe necessaria un'armonizzazione internazionale.

Polemiche

modifica

Diversi istituti di ricerca e associazioni hanno espresso la loro preoccupazione per quanto riguarda la creazione di un piccolo gruppo per paese di TSP che effettuino l'autenticazione di transazioni digitali. Essi affermano che questo paradigma possa avere un impatto negativo sulla privacy: dato il ruolo centrale dei TSP in molte transazioni, il Council of European Professional Informatics Societies (CEPIS) teme che i TSP raccoglierebbero informazioni sensibili sui cittadini che sono oggetto di autenticazione. Per quanto riguarda la necessità di conservare le prove per tutelarsi da potenziali responsabilità relative a utenti che forniscono documentazione identificativa imprecisa, CEPIS vede il rischio che i TSP debbano memorizzare tutti i processi di autenticazione. Ciò consentirebbe il monitoraggio e per la profilazione dei cittadini coinvolti. Se la controparte della transazione identifica anche se stesso, diventa possibile affinare sempre più gli interessi degli utenti e il loro comportamento. Analisi su questa mole di dati consentirebbero facilmente di avere sguardi di dettaglio su dati privati e sulle azioni e le relazioni dei cittadini. Il collegamento diretto agli enti governativi di qualificazione potrebbe permettere a costoro di ottenere l'accesso ai dati ottenuti ed ai profili.[13]

Gli autori sostengono che per davvero sfruttare le transazioni sicure e senza soluzione di continuità transfrontaliere elettroniche, sia necessario specificare con maggiore precisione i livelli di garanzia, e fornire maggiori dettagli sulle definizioni e sull'implementazione tecnica.[14]

  1. ^ a b c d Dawn M. Turner, Trust Service Providers according to eIDAS, su cryptomathic.com, Cryptomathic. URL consultato il 22 giugno 2016.
  2. ^ a b c d REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, su EUR-Lex, THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION. URL consultato il 18 marzo 2016.
  3. ^ a b Dawn Turner, Understanding eIDAS, su cryptomathic.com, Cryptomathic. URL consultato il 12 aprile 2016.
  4. ^ Jens Bender, eIDAS Regulation: EID - Opportunities and Risks, su Bunde.de, Fraunhofer-Gesellschaft. URL consultato il 18 marzo 2016 (archiviato dall'url originale il 10 settembre 2015).
  5. ^ Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers (PDF), su etsi.org, European Telecommunications Standards Institute. URL consultato il 22 giugno 2016.
  6. ^ Dawn M. Turner, Advanced Electronic Signatures for eIDAS, su cryptomathic.com, Cryptomathic. URL consultato il 22 giugno 2016.
  7. ^ Tanel Kerikmäe e Addi Rull, The Future of Law and eTechnologies, Springer, 2016, pp. 63–64, ISBN 978-3-319-26894-1.
  8. ^ Regulations, Directives and other acts, su Europa.eu, The European Union. URL consultato il 18 marzo 2016 (archiviato dall'url originale il 12 dicembre 2013).
  9. ^ Certification Authorities and other Trust Service Providers, su portal.etsi.org, European Telecommunication Standards Institute. URL consultato il 22 giugno 2016.
  10. ^ Der Schweizerische Bundesrat, Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES), su admin.ch. URL consultato il 12 maggio 2016.
  11. ^ FIPS PUB 186-4 - FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION: Digital Signature Standard (DSS) (PDF), su nvlpubs.nist.gov, National Institute of Standards and Technology. URL consultato il 22 giugno 2016.
  12. ^ Dawn Turner, Is the NIST Digital Signature Standard DSS Legally Binding?, su cryptomathic.com, Cryptomathic. URL consultato il 22 giugno 2016.
  13. ^ Marko Hölbl, Position on the Electronic identification and trust services (eIDAS) (PDF), su cepis.org, Council of European Professional Informatics Societies (CEPIS). URL consultato il 24 giugno 2016 (archiviato dall'url originale il 21 agosto 2016).
  14. ^ Jacques van Zijp, Is the EU ready for eIDAS?, su secureidentityalliance.org, Secure Identity Alliance. URL consultato il 24 giugno 2016 (archiviato dall'url originale il 22 novembre 2016).

Voci correlate

modifica

Collegamenti esterni

modifica
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica