Особливості впровадження електронного документообігу в Італії під впливом законодавства Європейського Союзу

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Національний науковий центр «Інститут судових експертиз ім. Засл. проф. М.С. Бокаріуса»

Особливості впровадження електронного документообігу в Італії під впливом законодавства Європейського Союзу

Шарапова Олена Віталіївна,

канд. техн. наук, доцент, провідний науковий співробітник

Онопрієнко Сергій Анатолійович,

завідувач лабораторії

Чирва Тетяна Олексіївна,

науковий співробітник

Наранович Олег Валентинович,

старший науковий співробітник

Анотація

Історія юридичної цінності електронного документообігу в Італії налічую 25 років. Законодавством ЄС запроваджувалися різні види підписів. Цей процес ускладнювався постійними змінами в кожній версії Кодексу цифрового адміністрування. На сьогодні в Європі діють 206 QTSP, з них 159 видають кваліфіковані сертифікати підпису.

Ключові слова електронний документообіг, електронний підпис, ідентифікація, кваліфікований підпис, сертифікат підпису

Основна частина

Головним постулатом, яким керується італійські законодавці в галузі запровадження електронного документообігу - «Недостатньо прийняти цифровий формат як доповнення чи заміну паперового: необхідно зробити так, щоб усі процеси розвивалися по осі справжньої дематеріалізації та розробити новий підхід для користувача, який буде інтуїтивно зрозумілим, безпечним, негайно придатним до використання» - DomenicoAliperto. В Італії на законодавчому рівні завжди був потужний акцент на запровадженні електронного документообігу. В певній мірі, ця країна була одна із перших із запровадження різних типів електронних підписів, які відповідають специфічним і конкретним потребам ринку, створювання рішення, які пропонують адекватну вартість для юридичних цілей.

Історія юридичної цінності електронного документообігу в Італії налічую 25 років. Головними документами цього процесу стали: DPR 513/1997, Закон 59/97 та DPCM від 8 лютого 1999 рок, останній заклав нормативні основи для ефективного використання цифрового підпису, саме він став історичним та був опублікований майже одночасно з Директивом Співтовариства 1999/93/ЕС. За проміжок у кілька місяців закон про цифровий підпис, з труднощами був все таки узгоджений нормативно-правовими актами та був поєднаний з кваліфікованими європейськими.

Законодавством ЄС запроваджується різні види підписів: електронний підпис, розширений підпис та кваліфікований електронний підпис. Усі ці види мали мету запровадити принципи доказової ефективності та юридичної цінності для електронних підписів. Цей процес ускладнювався постійними змінами в кожній версії Кодексу цифрового адміністрування, починаючи з березня 2005 року.

З 1 липня 2016 року в країнах Євросоюзу почав працювати регламент elDAS (electronic IDentification, Authentication and trust Services) про електронну ідентифікацію та довірені послуги. Він набув чинності після ухвалення Положення (EU) №910/2014 та скасування Директиви про електронні підписи (eSignature Directive) від 1999 року. Регламент встановлює загальний стандарт для електронних підписів, електронних печаток, позначок часу та сертифікатів автентифікації веб-сайтів. Здавалося б, регламент є внутрішньою справою ЄС, але насправді з нею стикаються й іноземні контрагенти, які мають справу з європейськими організаціями. Не тільки юрособи, а навіть студенти, які вступають до європейських університетів, реєструють та підписують документи за нормативами eIDAS.

eІDASвизначає 3 типи електронних підписів:

Простий: використовується для того, щоб користувач міг висловити згоду зі змістом документа або контракту, тут не здійснюється ідентифікація користувача. Фактично, простий електронний підпис не забезпечує три основні цілі, які переслідують інші види електронного підпису, а саме автентичність, невідповідність та цілісності документів. Приклади простого електронного підпису є PIN-код або обліковані дані доступу до веб-сайтів.

Розширений або посилений: дозволяє ідентифікувати особу, що підписує, і пов'язані з ним дані, щоб можна було виявити будь - які наступні зміни. Це, по суті, простий електронний підпис, який має деякі додаткові функції безпеки.

Кваліфікований - це своєрідний тип розширеного підпису, створений пристроєм для створення кваліфікованого електронного підпису на основі кваліфікованого сертифікату для електронних підписів. Ці пристрої (смарт-карта, USB Stick, Token), дозволяють їх власникові створювати підпис, задаючи їх кваліфікованим електронним підписом. На даний час вважається, що ці пристрої разом з процедурами, що використовуються при накладанні кваліфікованого підпису відповідають вимогам SICUR (Міжнародна виставка технологій безпеки, охорони, обладнання для служб безпеки.)

eIDASвстановлює єдиний стандарт, якому має відповідати апаратне та програмне забезпечення для генерації цифрових підписів. Усі токени проходять обов'язкову сертифікацію. Для фізичних осіб таким токеномможе бути, наприклад, електронний паспорт або смартфон, а для організації - старт-карти, USB-токенита інші пристрої.

На відмінну від інших підписів, кваліфіковані підписи зобов'язані прийняти у всіх державах-членах Євросоюзу.

На сьогоднішній день підпис вважається захищеним, якщо дотримані основні параметри безпеки, документ цілісний, кваліфікований сертифікат власника дійсний і QTSP (кваліфікований постачальник довірчих послуг) активний.

На сьогодні в Європі діють 206 QTSP, з них 159 видають кваліфіковані сертифікати підпису. У цьому сценарії італійський довірчий список на сьогоднішній день складається з 19 суб'єктів, які видають кваліфіковані сертифікати на підпис. Ринок був би ще багатшим кваліфікованими особами, якби в системі Італії не було вхідного бар'єру в 5 мільйонів євро акціонерного капіталу, який блокує вхід багатьох малих і середніх підприємств.

Розвиток електронного підпису зменшило темп розвитку завдяки наслідкам пандемії та надзвичайною ситуацією, яка склалася у сфері охорони здоров'я. Були розробленні пропозиції хмарних платформ для управління цифровими транзакціями, які структурно використовують електронний підпис до процедури, в тому числі адміністративної, що гарантує еволюцію використання ІТ-документа. Цей сценарій (в літературі його часто називають DTM - Digital Transaction Managment) постійно розвивається, спеціалісти в даній галузі передбачають, що державне управління може постраждати в контексті застосування принципу «хмара насамперед».

На сьогоднішній час все ще існує плутанина між автентифікацією та підписом. Якщо підпис «каже» сам за себе, то автентифікація, використовує лише електронні ідентифікації в онлайн-сервісі і стосується простого «доступу» до сервісу, без жодного волевиявлення.

Новий підхід до цифрової ідентичності в Європі, представлений в Італії системою SPID (Sistemapubblico di identitadigitale - Система публічної цифрової ідентифікації) i CIE (carta di identitaelettronica - Електронне посвідчення особи), представляє ще один майбутній сценарій для підписання документів в системі електронного документообігу. Використання цифрової ідентифікації вже активно для доступу в системі віддаленого підпису.

Якщо обмежитися наданням доступу користувачам за допомогою SPID i CIE щоб продемонструвати, що це той самий користувач, який позначив певну згоду на конфіденційність, доведеться запровадити весь процес, який веде від доступу до прийняття умов та конфіденційності послуг: чи доступна форма лише користувачам, які ідентифікують себе? Чи можливо, що користувач змінився? Чи в журналі відображаються правильна дата і час? Усі ці дані необхідно буде оцінити, щоб дати остаточне підтвердження. Функція електронного підпису спрощує виконання цих процедур.

В основі використання SPID i CIE фактично лежить не лише документ, що засвідчує особистість людини, а процес розпізнавання та видачі захищених облікових даних, що здійснюється під наглядом відповідних служб, або у випадку CIE, безпосередньо державою. Проте на сьогоднішній час, простий, розширений або кваліфікований електронний підпис, який ґрунтується на ідентифікації підписанта за допомогою SPID, підпорядковується тим самим застарілим правилам і не має спрощення. Наприклад, розширенні електронні підписи, які є найбільш універсальними, зтикаються зі старими технічними стандартами італійського розширеного електронного підпису, що містяться в застарілому DPCM від 22.02.2013, який був скасований у всіх своїх частинах, крім тих, що стосуються розширеного електронного підпису. Це правила, які в багатьох частинах суперечать положенням Регламенту Європейського союзу e! DAS, тому не повинні бути чинними в італійській правовій системі, але на сьогоднішній день не має чіткого рішення від компетентних установ з цього приводу.

Розглянемо, як саме відбувається створення електронного підпису. На відміну від власноручного підпису, де підпис формується жестом, зробленим рукою підписувача, форма якого у дорослої людини залишається майже однаковою протягом усього життя (крім хвороб, болю, старечого віку тощо), у випадку цифрового підпису, це генерується за допомогою двох алгоритмів (SHA-256 і RSA), які діють всередині пристрою підпису, наприклад, смарт-карта, USB-токен, HSM (Hardware SecurOity Modules). Сертифікат підпису абонента вкладається всередину пристрою, який у свою чергу, містить відкритий ключ RSA, який дозволяє перевірити дійсність цифрового підпису в будь - який час, і який також повинен вказувати, як передбачено в додатку I регламенту. 910/2014, дата «початку та закінчення строку дії свідоцтва».

Сертифікат підпису має обмежений термін дії, його потрібно поновлювати кожні 3 роки, і це по суті тому, що відбувається зростання обчислювальної потужності комп'ютерів, що може поставити під загрозу справжність і цілісність самого підпису, а отже, і даних, що містяться в документі. Тому важливо зрозуміти, що відбувається з електронним документом із цифровим підписом після закінчення терміну дії сертифіката підпису. Інструмент, який дозволяє створити цифровий підпис за допомогою пристрою захищеного підпису, який відповідає вимогам, зазначеним у Додатку II Регламенту 910/2014, не повинен дозволяти створення цифрового підпису, якщо у сертифіката підпису термін дії закінчився, або скасовано чи призупинено. Ще один аспект, який слід враховувати, полягає в тому, що перевірка сертифікатів підпису повинна виконуватися на дату створення підпису, а не під час перевірки.

Наприклад, якщо дві компанії підпишуть цифровим способом контракт у форматі PDF, 01.03.2022, безперечно, на цю дату сертифікати обох підписантів були дійсними. Однак необхідно мати комп'ютеризовані докази, які б продемонстрували, що підписи були створені 01.03.2022, тобто на дату, коли сертифікати обох були дійсними, дата на яку буде проведена перевірка підпису. сертифікати. Цей аспект вирішується шляхом функції так званої «дати підпису» в криптографічному конверті. Інструмент, що використовується для створення цифрового підпису, отримує з комп'ютера, на якому він встановлений дані, які можна синхронізувати, наприклад з NTP-серверами. Ця інформація, по суті, є посиланням на час, тобто «доказом ІТ, що містить дату та час, які пов'язані з одним або кількома ІТ-документами», які, все ж таки, завжди можна змінити, і в цьому випадку наявність дійсної системи керування журналами дозволить виявити шахрайство.

Висновки. Необхідно зазначити, що відповідно до законодавства цифровий підпис з технічної точки зору завжди залишається дійсним, навіть якщо термін дії сертифіката підпису закінчився, натомість змінюється доказова сила електронного документа, підписаного цифровим підписом, термін дії сертифіката якого закінчився. Фактично, замість збереження доказової ефективності відповідно до Регламенту вважається, що електронний документ, підписаний електронним цифровим підписом, з простроченим сертифікатом підпису, стає «менш захищеним».

За словами Alessandro Fabris, менеджер з продуктів Siav, у майбутньому документообігу головними героями стануть також автоматичний підпис, що дозволяє масово та без нагляду підписувати велику кількість документів та електронна печатка, юридичної особи, яка відкриє нові можливості використання. «Попереду ще довгий шлях, але напрямок зрозумілий, навіть під впливом нормативної бази, яка постійно розвивається. Державним адміністраціям доведеться ще інтенсивніше працювати над оцифруванням процесів і документів, і це стане рушійною силою для вивчення нових способів використання електронного підпису. Це інструменти, які мають конкретний вплив і мають велику практичну користь», заявляє Fabris.

Список використаних джерел

електронний документообіг підпис цифровий

[1] Guarnaccia, E., &Mancarella, M. (2018). Ilcodicedell'amministrazionedigitale 2018. Roma: Dike GiuridicaEditrice.

[2] https://www.agendadigitale.eu/documenti/ieri-oggi-e-domani-della-firma-informatica - stato-dellarte-e-prospettive-di-sviluppo/

[3] Gruppo di Lavoro Firma Digitale. (2018). BreveGuidasulleFirmeElettroniche. Roma: ConsiglioNazionaledeiDottori Commercialism e degliEspertiContabili.

[4] Boccia, C., Contessa, C., & De Giovanni, E. (2018). Codicedell'amministrazione digitale. Piacenza: La Tribuna.

[5] Canton, M. (2018). La pubblicaamministrazionedigitale 2. Padova: Mario Canton.

[6] Lombardo, S. (2018). Lagestionedella cyber security nellapubblicaamministrazione. Roma: La Regina.

Размещено на Allbest.ru