De ce un cabinet de avocatură românesc nu poate folosi Auth0 — și ce am construit în loc

În iarna 2024, un cabinet de avocatură din București cu 40 de juriști a primit un contract major de la o corporație germană din sectorul auto. Contractul venea cu o singură condiție contractuală, scrisă cu majuscule pe pagina 14: “Datele cazurilor noastre nu au voie să treacă prin niciun server american. Punct.”

Cabinetul folosea, ca majoritatea covârșitoare a firmelor de avocatură din România, Microsoft 365 pentru email și colaborare, plus Auth0 pentru SSO către aplicațiile interne. Ambele soluții stocau și procesau date în infrastructura unor furnizori americani. Iar din momentul în care Curtea de Justiție a Uniunii Europene a invalidat Privacy Shield prin hotărârea Schrems II (cauza C-311/18, 16 iulie 2020), transferul datelor cu caracter personal către Statele Unite a devenit o problemă juridică serioasă — nu o decizie tehnică.

Acest articol explică de ce un cabinet de avocatură reglementat nu poate folosi Auth0 sau Okta, ce înseamnă concret CLOUD Act pentru secretul profesional și ce am construit ca alternativă suverană în CAI-AUTH.

TL;DR

• Schrems II + CLOUD Act = autoritățile americane pot cere acces la datele găzduite de Auth0/Okta fără ca avocatul să fie notificat.
• “Standard Contractual Clauses” (SCC) singure nu sunt suficiente — EDPB cere măsuri suplimentare tehnice.
• Pentru date avocat-client, secretul profesional din Codul Deontologic UNBR exclude practic transferul către vendori sub jurisdicție terță.
• Keycloak self-hosted este parțial o soluție — îi lipsește criptografia post-quantum, branding-ul per client și un audit pack documentat.
• CAI-AUTH rulează pe infrastructură EU, semnează tokenuri cu semnături hibride post-quantum (Patent Pending) și livrează 18 documente de conformitate sectorială.

Schrems II — ce a stabilit Curtea în 2020

Cauza C-311/18 Data Protection Commissioner v Facebook Ireland și Maximillian Schrems s-a pronunțat la 16 iulie 2020 prin Hotărârea Marii Camere. Curtea a invalidat Decizia 2016/1250 a Comisiei (Privacy Shield) cu un argument tehnic-juridic clar: legislația americană privind supravegherea (în special Section 702 FISA și Executive Order 12333) permite accesul autorităților la datele transferate fără să ofere persoanelor vizate căi de atac echivalente cu cele garantate de Carta drepturilor fundamentale a UE.

Citatul-cheie din hotărâre, paragraful 184: “limitările protecției datelor personale care decurg din legislația internă americană privind accesul autorităților publice […] nu sunt circumscrise într-o manieră care să satisfacă cerințe substanțial echivalente cu cele cerute de dreptul Uniunii.”

Practic: dacă transferi date personale către un procesator american sau un procesator EU controlat de o entitate-mamă americană, ai nevoie de măsuri suplimentare care să compenseze deficitul de protecție. Asta e regula. Ce înseamnă “măsuri suplimentare” — a explicat European Data Protection Board (EDPB) prin Recommendations 01/2020 adoptate la 18 iunie 2021.

Recomandările EDPB cer un proces în șase pași:

1. Cunoaște-ți transferurile.
2. Identifică instrumentul de transfer folosit (SCC, BCR, derogare).
3. Evaluează legislația țării terțe.
4. Identifică și adoptă măsuri suplimentare.
5. Procedurile contractuale necesare pentru implementare.
6. Reevaluare periodică.

La pasul 4, EDPB cere măsuri tehnice eficace: criptografie end-to-end cu chei deținute exclusiv de exportatorul UE, pseudonimizare, sau modele “split processing”. Pentru un IdP cum e Auth0, asta e fundamental incompatibil — IdP-ul are nevoie să citească parolele/credențialele în clar pentru a le verifica. Nu poți cripta tokenurile JWT față de cel care le emite.

CLOUD Act — ce e, de ce e relevant

Clarifying Lawful Overseas Use of Data Act (H.R. 4943, 2018) este o lege federală americană care permite autorităților americane (FBI, NSA, agencii similare) să ceară unui furnizor american date stocate de el — indiferent unde fizic se află datele. Inclusiv în UE.

Asta înseamnă: dacă cabinetul de avocatură folosește Auth0 (parte din Okta Inc., NASDAQ: OKTA, sediul în San Francisco), iar FBI emite un National Security Letter către Okta, Okta este obligat prin lege americană să furnizeze datele. Mai grav — același NSL conține de obicei o clauză de gag order care interzice furnizorului să notifice clientul despre cerere.

Pentru un cabinet de avocatură, asta este o problemă materială. Articolul 31 din Statutul profesiei de avocat (Legea 51/1995) prevede că “avocatul este obligat să păstreze secretul profesional privitor la orice aspect al cauzei care i-a fost încredințată”. Ce trebuie făcut când prin terț (Auth0) datele de autentificare ale clienților sau metadatele despre cazuri pot fi cerute fără notificare? UNBR nu are încă o speță publicată pe acest subiect, dar logica deontologică sugerează că responsabilitatea avocatului acoperă și alegerea infrastructurii pe care o folosește.

De ce SCC-urile singure nu rezolvă problema

Mulți integratori IT propun ca soluție simplă “Standard Contractual Clauses” (Clauzele Contractuale Standard) actualizate prin Decizia 2021/914 a Comisiei. Auth0 și Okta semnează SCC. Argumentul: “avem SCC, e ok”.

Argumentul cade din două motive:

Primul. SCC-urile sunt acorduri private. Ele nu modifică legea americană. CLOUD Act se aplică indiferent dacă Okta a semnat sau nu un SCC cu un client UE — supremația legii naționale americane asupra contractului privat e regula.

Al doilea. Schrems II însuși a clarificat că SCC-urile rămân un instrument valid doar combinat cu evaluarea concretă a țării terțe și măsuri suplimentare adecvate. Pentru SUA, EDPB a indicat că măsurile suplimentare trebuie să fie tehnice, nu doar contractuale. Vezi EDPB Recommendations 01/2020 — paragraful 79.

”Atunci folosim Keycloak self-hosted”

Aceasta este reacția corectă a unui DevOps senior. Keycloak este open-source, scris în Java, susținut de Red Hat, suportă OIDC, SAML, WebAuthn. Rulează pe infrastructura clientului. Așa, datele nu mai pleacă către un terț.

Funcționează — parțial. Dar pentru un cabinet de avocatură care vrea să folosească autentificarea ca element de diferențiere comercială (clienți germani care cer “post-quantum” în RFP-uri pentru contracte 2027+), Keycloak vanilla are limite vizibile:

1. Lipsă criptografie post-quantum. Keycloak semnează tokenurile JWT cu algoritmi clasici care vor fi sparți de un calculator quantum cu suficienți qubiți. NIST a publicat standarde de semnătură post-quantum. Keycloak nu suportă nativ semnături post-quantum în 2026.
2. Branding per-client minimal. Realm-urile Keycloak permit personalizare la nivel de tema, dar nu o pagină de consimțământ marcată brandul fiecărui client.
3. Lipsă audit pack documentat. PSD3, DORA, NIS2, EU Health Data Space — Keycloak nu vine cu documente de conformitate per sector. Le scrii tu, ca integrator.
4. Lipsă semnătură de furnizare (supply chain). Sigstore + Cosign + Rekor + SBOM-uri CycloneDX — nu fac parte din procesul de release Keycloak în mod nativ.

Asta nu e o critică a Keycloak — e un produs solid pentru cazuri generale. Dar pentru un cabinet care vrea să livreze “MFA conform NIS2 + post-quantum-ready” către un client german din auto, nu e suficient.

Ce am construit — CAI-AUTH

CAI-AUTH este IdP-ul OIDC pe care l-am construit ca răspuns concret la cazul cabinetului din 2024. Câteva alegeri tehnice cheie:

Suveranitate efectivă. Toată stiva rulează pe infrastructura noastră EU-resident sau pe infrastructura clientului (deployment on-premise pentru clienți cu cerințe extreme — un minister, un operator critic NIS2). Nu există dependență de Google Cloud, AWS, Azure sau Cloudflare la nivel de date sensibile. Acolo unde folosim CDN, e doar pentru active statice publice.

Criptografie post-quantum în producție astăzi. Tokenurile de acces JWT sunt semnate cu o schemă hibridă post-quantum (Patent Pending) — algoritm clasic combinat cu semnătură post-quantum. Dacă unul dintre algoritmi cade — clasic sau post-quantum — celălalt rezistă. Verificarea cere ca ambele semnături să fie corecte.

OIDC complet. Nouă endpointuri publice (RFC 6749, RFC 8414, RFC 7517, RFC 7636, RFC 8628, RFC 7662, RFC 7009, OIDC Core 1.0, RFC 9068), patru tipuri de grant (authorization_code cu PKCE, client_credentials, refresh_token cu rotație OAuth 2.1, RFC 8628 device_code), revocare în timp real prin blocklist jti.

Anti-phishing nativ. Protocolul nostru CAI-CR (challenge-response) leagă fiecare semnătură de trei elemente: cine ești (cheia publică), unde te loghezi (FQDN-ul), ce faci (hash-ul acțiunii). WebAuthn leagă cine + unde. Noi adăugăm acțiunea, ca un atacator care fură o sesiune “login” să nu o poată folosi pentru “transfer”.

Audit pack 18 documente. PSD3, PCI-DSS 4.0.1, DORA Art. 19 webhook live, SWIFT CSP v2026, EBA RTS on SCA, HIPAA, EU Health Data Space (Reg. 2025/327), break-glass, NIAP Protection Profile, DoD STIG, air-gap deployment kit, SLSA Level 3, Nix reproducible builds, PKCS#11 HSM, NFC HCE, BLE proximity, FIDO2 Hybrid Transport, anti-relay proximity proof.

Supply chain transparent. Cinci SBOM-uri CycloneDX, semnături Cosign, transparency log Rekor public. Oricine poate verifica că binarul descărcat corespunde codului sursă publicat.

Ce înseamnă concret pentru cabinet

Cabinetul de avocatură din 2024 a migrat MFA-ul de la Auth0 la CAI-AUTH în trei săptămâni:

• Săptămâna 1: deployment on-premise pe serverul intern, configurare clienți OIDC pentru două aplicații existente.
• Săptămâna 2: enrollment 40 juriști pe aplicația mobilă (cod QR + biometric), retragere progresivă Auth0.
• Săptămâna 3: documentație internă pentru auditorul german al clientului — SBOM, semnături Cosign, document Schrems II compliance.

Auditorul german a aprobat. Contractul a fost semnat în martie 2024.

Concluzie operațională

Pentru un cabinet de avocatură românesc reglementat, alegerea unui IdP nu este o decizie pur tehnică. Este o decizie de conformitate care acoperă:

• Schrems II și măsurile suplimentare cerute de EDPB.
• Secretul profesional UNBR.
• Eventualele cerințe contractuale ale clienților — în special clienți germani, francezi și nordici care preiau RFP-uri cu cerințe stricte data-residency.

Auth0 și Okta sunt produse foarte bune din perspectivă pur tehnică. Dar arhitectura legală a transferului de date către SUA, combinată cu CLOUD Act, le face nepotrivite pentru date avocat-client. Keycloak self-hosted este o îmbunătățire majoră, dar îi lipsesc post-quantum și un audit pack sectorial documentat.

CAI-AUTH a fost construit special pentru această zonă: clienți reglementați UE care vor suveranitate efectivă, criptografie modernă și documentație de conformitate gata de audit.

Articole conexe

• De la 10 vulnerabilități la 0 în 5 zile: hardening-ul pre-producție al unei platforme juridice
• 7 anti-pattern-uri ale compliance SaaS-urilor self-serve — și cum le evităm în Lexnomia
• Implementation NIS2 — checklist operațional pentru entități esențiale și importante
• Pillar CAI-AUTH — IdP european suveran cu post-quantum

Pași următori

Dacă administrați un cabinet de avocatură, un notariat sau o entitate reglementată similară și evaluați înlocuirea Auth0/Okta — pe pagina CAI-AUTH găsiți planul de migrare și documentele de conformitate. Sau scrieți direct la contact pentru o discuție tehnică de 30 de minute cu echipa noastră.

Articole adiționale: SIEM on-premise cu LLM local (cum păstrezi confidențialitatea logurilor de securitate).

Referințe

• Curtea de Justiție UE — Hotărârea C-311/18 (Schrems II), 16 iulie 2020
• EDPB Recommendations 01/2020 — measures that supplement transfer tools
• H.R. 4943 — CLOUD Act, US Congress 2018
• Statutul profesiei de avocat — UNBR