Niveluri de încredere (Level of Assurance) conform eIDAS: baza pentru identități digitale sigure

Niveluri de încredere diferite pentru diferite cazuri de utilizare

Imaginați-vă că identitățile digitale ar avea un „indice de încredere” bine vizibil, care să arate cât de fiabilă este într-adevăr o identificare online. Exact așa funcționează cele trei niveluri de încredere, numite și Levels of Assurance (LoA). Acestea arată cât de sigur este că o persoană din spațiul digital este într-adevăr cea pentru care se dă. Astfel, LoA creează o bază comună, inteligibilă la nivel european, pentru încrederea în procesele digitale – și devin punctul central al soluțiilor moderne de identitate și semnătură.

Tocmai pentru că tot mai multe procese comerciale și administrative se desfășoară complet digital, această clasificare nu este doar utilă, ci esențială: ea oferă claritate cu privire la nivelul de securitate al identității adecvat pentru fiecare caz de utilizare.

Ce înseamnă „Level of Assurance“?

Level of Assurance este o măsură gradată a încrederii pentru mijloacele de identificare electronică. Acesta evaluează securitatea unei identități digitale pe baza a două elemente interconectate:

În primul rând, este vorba despre identificare: adică despre cât de fiabil a fost verificată o persoană la onboarding. În al doilea rând, este vorba despre autentificare: adică despre cât de sigur se poate conecta acea persoană ulterior.

Rezultatul este o afirmație clară: cât de mare este încrederea în identitatea digitală – măsurată în funcție de riscul și necesitatea de protecție a procesului respectiv?

Nivelurile de încredere eIDAS: scăzut, substanțial, ridicat

Conform eIDAS, există trei niveluri de încredere. Acestea sunt concepute astfel încât să poată fi utilizate în practică în funcție de riscuri.

Scăzut (low)

Acest nivel este destinat cazurilor de utilizare în care utilizarea abuzivă a identității ar avea efecte limitate. Verificarea identității este mai puțin strictă în acest caz, iar procedurile ulterioare de autentificare respectă un standard de securitate de bază. Este vorba despre un nivel minim rezonabil de protecție pentru procesele digitale cu risc redus.

Substanțial (substantial)

În cazul unui nivel de încredere substanțial, cerințele sunt semnificativ mai ridicate. Acesta se referă la operațiuni în care abuzul ar avea consecințe semnificative, de exemplu în cazul în care sunt afectate date sensibile sau funcții importante. Verificarea identității este pe măsură de robustă, iar accesul este securizat prin mecanisme de autentificare mai puternice.

Înalt (high)

Nivelul maxim de încredere vizează procesele cu risc deosebit de ridicat. În acest caz, identificarea trebuie să se realizeze în mod foarte strict, iar autentificarea este concepută astfel încât atacurile să eșueze cu o probabilitate foarte mare, chiar și în cazul unor eforturi considerabile. Identitatea digitală trebuie să fie astfel stabilită fără niciun dubiu.

De ce sunt atât de importante Levels of Assurance?

Fără LoA, fiecare organizație ar trebui să stabilească individual pentru fiecare proces digital cât de stricte trebuie să fie identificarea și autentificarea. Acest lucru ar fi costisitor, greu de comparat și ar duce la niveluri de securitate inconsistente.

Nivelurile de încredere creează în schimb un cadru structurat: procesele pot fi alocate exact nivelului de securitate de care au nevoie. LoA permit astfel comparabilitatea, gestionarea riscurilor și implementarea consecventă a identităților digitale – chiar și peste granițele țărilor.

LoA în practică: identificarea și autentificarea merg mână în mână

Un nivel de încredere nu rezultă niciodată dintr-un singur pas. Interacțiunea este decisivă:

În procesul de identificare, contează modul în care persoana este verificată la începutul ciclului de viață digital. Cu cât nivelul de încredere cerut este mai ridicat, cu atât sunt mai stricte cerințele privind dovezile, calitatea verificării și protecția împotriva fraudelor.

Autentificarea înseamnă că aceeași persoană poate accesa ulterior identitatea sa în mod fiabil. Și în acest caz, nivelurile de încredere mai ridicate necesită proceduri mai stricte și o legătură solidă între identitate și mijloacele de acces.

Numai atunci când ambele componente îndeplinesc împreună profilul de siguranță cerut, se atinge un anumit nivel de LoA.

Nivelurile de încredere (LoA) și cele trei niveluri de semnătură: diferența și interacțiunea

În practica de zi cu zi, se pune adesea întrebarea care este nivelul de încredere în cele trei niveluri ale semnăturilor electronice. Ambele concepte servesc la asigurarea încrederii în procesele digitale, dar evaluează niveluri diferite.

Un nivel de asigurare descrie siguranța identității digitale. Acesta răspunde la întrebarea: „Cât de siguri suntem că știm cine este o persoană?”

Cele trei niveluri de semnătură descriu, în schimb, fiabilitatea juridică și tehnică a unei semnături electronice concrete. Ele răspund la întrebarea: „Cât de fiabilă este această semnătură?”

În acest sens, eIDAS distinge trei niveluri:

• Semnătura electronică simplă (EES) este o categorie largă de semnături electronice fără cerințe speciale în ceea ce privește identificarea sau crearea semnăturii.
• Semnătura electronică avansată (FES/AES) trebuie să fie atribuită în mod clar unei persoane semnatare și să permită detectarea manipulărilor. Pentru aceasta este necesară o legătură fiabilă între identitate și semnătură.
• Semnătura electronică calificată (QES) este cel mai înalt nivel și are același efect juridic ca o semnătură olografă. Aceasta necesită un certificat calificat și o unitate de creare a semnăturii calificate.

Legătura este clară: cu cât nivelul semnăturii este mai ridicat, cu atât trebuie să fie mai ridicat și nivelul de încredere al identității subiacente. O semnătură electronică este întotdeauna la fel de fiabilă ca identitatea care o generează.

În consecință, aceasta înseamnă că:

• În multe cazuri, pentru un EES este suficient un nivel de identitate mai scăzut, deoarece riscul și implicațiile juridice sunt de obicei mai mici.
• Un FES necesită deja o legătură de identitate fiabilă, motiv pentru care, de regulă, este necesar un nivel substanțial de încredere.
• O QES presupune o identitate care a fost verificată și securizată la un nivel ridicat de încredere, deoarece fără această verificare puternică a identității nu pot fi emise certificate calificate și nici semnături calificate.

Astfel, LoA reprezintă fundamentul identității pe care se bazează semnăturile, în special la niveluri superioare.

Perspective: LoA ca infrastructură pentru viitorul digital

Nivelurile de asigurare sunt mai mult decât un detaliu de natură reglementară. Ele funcționează ca o infrastructură pe care se pot dezvolta în mod fiabil relații digitale, încheierea de contracte și semnături. Prin clasificarea clară în funcție de risc, acestea fac ecosistemele digitale scalabile și interoperabile la nivel european.

Pentru organizații, acest lucru înseamnă în primul rând că pot combina securitatea identității și efectul juridic astfel încât procesele digitale să fie nu numai convenabile, ci și protejate în mod transparent și valabile din punct de vedere juridic.

Concluzie

Nivelurile de încredere conform eIDAS creează o ordine clară în ceea ce privește încrederea digitală. Acestea definesc modul în care identitățile trebuie verificate și utilizate în mod sigur – clasificate în niveluri scăzute, substanțiale și ridicate. În același timp, ele constituie baza pentru nivelurile de semnătură adecvate: cu cât efectul juridic dorit al unei semnături este mai mare, cu atât trebuie să fie mai mare și încrederea în identitatea digitală care stă la baza acesteia.

Cine combină în mod consecvent LoA și nivelurile de semnătură, concepe procese digitale orientate către riscuri, interoperabile și fiabile pe termen lung.