A cosa serve la Firma Elettronica Avanzata (FEA) apposta tramite CIE se

… la stessa Pubblica Amministrazione non me riconosce la validità?
Vi racconto la mia esperienza…
Essendomi trovato nella necessità di trasmettere un documento firmato digitalmente al RUNTS istituito presso il Ministero del Lavoro e delle Politiche Sociali ed avendo appreso che la versione corrente della CIE dispone anche di una Firma Elettronica Avanzata (FEA) decido di installare sul mio smartphone le app CieId e CieSign senza riuscirci (vedi tread “CIE SIGN non disponibile per Samsung A50 con Android 11”).
Ho risolto (?) installando le app su un vecchio smartphone dotato, comunque, di sensore nfc, e sono, così, riuscito a svolgere correttamente (e, a dire il vero, senza grosse difficoltà) tutte le operazioni necessarie, apporre la firma elettronica in formato CAdES ed inoltrare il documento.
Ma la sorpresa più bella è stata il vedermi respingere la pratica perchè sottoscritta con una FEA e non con la FEQ per cui sono stato costretto ad acquistare una firma digitale “usa e getta” per poter inoltrare la pratica.
Dopo la fanfara pubblicitaria e l’enfatica presentazione dell’app CieSign che potete leggere alla pagina Internet

vi assicuro che la delusione è stata grande, anche se, ad onor del vero, nella pagina è chiaramente indicato che “La firma con CIE è [omissis…] riconosciuta dalle Pubbliche Amministrazioni che ne consentono l’uso”… e qui sta il trucco: le P.A. possono non consentirne l’uso!!!
Senza entrare nel merito delle differenze tra FEA (quella di CieID) e FEQ, sorge spontanea una domanda: che senso ha buttare via soldi per mettere in piedi e mantenere un sistema di Firma Elettronica Avanzata da “regalare” ai cittadini se, poi, la stessa pubblica amministrazione non riconosce la validità di tale firma?
Permettetemi un’altra veloce considerazione: la pratica in questione riguardava degli adempimenti di una piccola Organizzazione di Volontariato, successivi alla regolarizzazione dell’iscrizione al RUNTS (Registro Unico Nazionale Terzo Settore): a me sembra tanto un controsenso…
Non so se e quali altre regioni oltre la Sardegna, nell’ambito del progetto TS-CNS, avevano omaggiato i cittadini residenti di una FEQ valida a tutti gli effetti, ma da un po’ di tempo il servizio è stato sospeso e non ci è dato di sapere se e quando verrà ripristinato; a ciò si aggiunga la beffa delle nuove Tessere Sanitarie prive di chip, la ventilata soppressione di SPID in favore di un non meglio precisato nuovo sistema di identificazione digitale integrato con la CIE e gestito direttamente dallo Stato (per cui, sappiamo già che non funzionerà o funzionerà male oppure, come nella migliore tradizione, sarà cervellotico, poco intuitivo e altrettanto poco funzionale…) è il quadro è completo!
Che sia questa la tanto sbandierata trasformazione digitale?

Ciao - Andrea

Temo che i problemi di accettabilità siano riconducibili a due questioni: 1) l’art. 20 comma 1-ter CAD: “”“1-ter. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria.”“” (Il che significa che questa presunzione non vale per le firme diverse … chi si fida di un documento del genere, se può essere disconosciuto?); 2) ragioni pratiche, finché nessun software di verifica permette a chi riceve il documento di sincerarsi della firma con FEA nessuno può essere certo della validità della stessa. Penso che sia insensato avere firme di diverso tipo (esiste una sola firma autografa di una persona fisica, perché avere più firme elettroniche?)

Questa è interessante! Ma intendi che eri obbligato a firmare i doc digitalmente perché non c’era la possibilità di stampare/firmare a mano/scannerizzare i doc?

Come si fa in pratica a disconoscere un documento Pades/Cades firmato con FEA di CIE? Intendi che è una procedura software o una semplice dichiarazione del proprietario della CIE con cui è stata apposta la FEA?

Penso che @Lazlu con disconoscere intenda che ti dicono che non accettano un documento firmato con la CIE anche se sarebbero tenuti a farlo.
Oppure ancora peggio potrebbe accadere che un soggetto istituzionale terzo magari anche ad anni di di distanza non riconosca come valida la firma quel documento, perché firmato con la CIE.

La state facendo troppo complicata.
LO stato ha sempre riconosciuto ex lege le firme autografe, quando è stata introdotta la firma digitale ha legiferato equiparando la firma qualificata a quella autografa. Non lo ha fatto con quella avanzata quindi quest’ultima non è in tutto e per tutto equivalente a quella autografa, in quanto per la legge solo quella qualificata è considerata non ripudiabile. Ci sono anche delle motivazioni tecniche dietro, ma sono irrilevanti, in quanto quello che conta è quello che dice la legge.

Esatto!
Quei documenti possono essere firmati solo digitalmente…

Ma dai!
Pensavamo che potesse contare anche quello che dicono i pinchi pallini qualsiasi e non solo quello che dice la legge!!!
Ma ve lo immaginate? Lo stato riconosce, addirittura “ex lege”, le firme autografe!
Chissà come sarebbe se così non fosse…
Il problema, a mio avviso sta in quelle paroline magiche “Non lo ha fatto con quella avanzata…” appunto: che senso ha buttare via soldi per inventare, mettere in piedi e mantenere un cervellotico e macchinoso sistema di Firma Elettronica Avanzata che poi, in pratica, non serve a niente?
Ci avessero permesso di continuare ad utilizzare la Firma Elettronica Qualificata che avevamo con la TS-CNS saremmo stati tutti più tranquilli e sereni!
Ciao a tutti - Andrea

Il problema sta tutto nell’efficacia probatoria di una istanza/dichiarazione in giudizio: non tutti gli atti sono giuridicamente uguali e non tutte le firme sono uguali o equipollenti … alcuni/e sono soggetti a libero convincimento del giudice (che può legittimamente mettere nel nulla l’atto stesso, sussistendone i presupposti), altri/e hanno un “peso” gradualmente maggiore, altri/e hanno valore di prova legale (es. atto pubblico ecc…) non contestabile se non con rimedi giudiziari particolarmente aggravati (c.d. querela di falso).

La TS-CNS fornita dalle Regioni, come dice il nome stesso, non è una firma, tantomeno qualificata.
Alcuni fornitori di servizi hanno messo in vendita delle tessere che hanno la doppia funzione, di CNS e di Firma Qualificata.
Se lei avesse qualche cognizione tecnica e non fosse tanto saccente, capirebbe che non è stato messo in piedi un bel nulla. Con lo stesso certificato crittografico posso autenticarmi, ma anche firmare (che poi in fin dei conti, sempre se sapesse come funziona, è esattamente la stessa cosa). Posso firmare anche con un certificato self signed che genero in qualche secondo sul mio PC, solo che non viene riconosciuto da nessuno, ma non è che ho messo in piedi un granchè qui sul mio PC per farlo.
Ma tanto è inutile anche stare a disquisire qui.

Mi sta venendo il sospetto che Lei ce l’abbia proprio con me!
In altra discussione mi ha apostrofato con un perentorio “Smetta di fare hijacking dei thread altrui con problematiche diverse da quelle dell’OP” accusandomi di intromettermi inopportunamente in discussioni aperte da altri solo perchè mi sono permesso di non essere d’accordo con quanto da Lei affermato (mi sono macchiato del reato di lesa maesta?); adesso mi da’ del “saccente” e mi tratta da ignorante mettendo ripetutamente in dubbio che io possa avere qualche cognizione tecnica…
Ma in base a quale diritto divino pensa di potersi rivolgere in questi termini ai partecipanti ad una qualsiasi discussione?
Ma perchè non prova a scende dal piedistallo sul quale si è sistemato ed evita di sputare sentenze e offendere chi le capita a tiro?
O pensa che il suo passato da funzionario della P.A. le dia il diritto di sentirsi molti gradini più in alto rispetto ai comuni mortali?
Niente niente, sarà mica Lei ad aver inventato questo meccanismo della FEA tramite CIE?
Almeno sapremo chi dobbiamo ringraziare!!!
Ma tant’è: un individuo che va in giro per discussioni a dispensare insulti e offese, si qualifica da sè e non c’è bisogno di ulteriori commenti…
Perchè non prova a leggere l’intervento che “Lazlu” ha fatto appena prima del suo e impara come si possono utilizzare le proprie competenze per spiegare dei concetti che, probabilmente, non sono esattamente il pane quotidiano di tutti, senza essere arroganti e, sopratutto, senza offendere nessuno?
Lei dice che “tanto è inutile anche stare a disquisire qui”… nel rispetto dell’esortazione evangelica “Non gettate le perle ai porci…”?
Vede, almeno in una cosa siamo d’accordo, “tanto è inutile…” perché con elementi come Lei in circolazione non ci si può aspettare niente di costruttivo!
Giusto per precisare: sicuramente ha ragione nel dire che la TS-CNS fornita dalle Regioni non è una firma e men che meno qualificata ma non è quello che ho detto nel mio intervento iniziale: la Regione Sardegna, con l’attivazione della CNS, aveva dato la possibilità, ai cittadini residenti, di attivare gratuitamente una firma digitale che, guarda caso, era rilasciata da Aruba ed era una Firma Digitale Qualificata valida a tutti gli effetti (anche ex lege)!!!
“Non è stato messo in piedi un bel nulla”… già… inventarsi una FEA da poter apporre utilizzando lo stesso certificato crittografico della CIE, far realizzare un’app per poter apporre detta firma (che non funziona con tutti i cellulari e crea, nei fatti, delle discriminazioni)… lasciamo perdere!
Comunque la chiudo qui.
Mi scusino gli altri utenti che hanno deciso di arricchire con la propria esperienza e le loro conoscenze questa discussione.
Andrea

Perfettamente d’accordo con lei: serve solo a creare false illusioni negli utenti, aumentare la confusione e creare disservizi…

Mah, neanche tanto. Sconsiderato il messaggio di ettoremazza (provocato da quel Ma dai!?), la risposta è anche peggio. Capponi di Renzo.

Unico pregio, spiegare la mossa della regione Sardegna, che non conoscevo (sono di Milano). Dato che la differenza tra Avanzata e Qualificata sta nell’includere il firmatario del certificato in un registro europeo, evidentemente la regione Sardegna è riuscita nell’intento laddove il ministero dell’interno non ci ha neanche provato.

Credo che il motto sia far pagare le firme qualificate. Evviva! Privatizziamo anche la PA.

Per ultimo, se con firma digitale si intende la fotocopia, segnalo che si può fare tranquillamente con xournal senza sprecare carta.

Provare a chiedere ai tanti professionisti (avvocati, commercialisti, consulenti del lavoro, ingegneri, geometri…) che utilizzavano abitualmente la FEQ di Aruba attiva sulla nostra TS-CNS e si sono trovati costretti, dall’oggi al domani, ad attivare una Firma Digitale “canonica” (leggi: a pagamento) dopo che la Regione Sardegna ha deciso di sospendere il servizio…
Andrea

Mi scuso in anticipo se questo mio messaggio viene considerato Off-Topic:

Esiste un programma GUI per Linux / software libero per applicare filtri ad una immagine con il fine specifico di estrarre una firma autografa? Vorrei prendere uno sceenshot via webcam di un foglio di carta con la firma autografa e estrarre l’immagine della firma filtrando via lo sfondo e rumore vario dovuto alle ombre.
In altri sistemi operativi l’equivalente di Xournal dà la possibilità di applicare questa procedura direttamente dentro al viewer/editor PDF.

In alternativa ci sono i soliti Gimp / Inkscape coi quali serve dimestichezza di grafica (magari qualcuno ha qualche tutorial da suggerire), oppure stavo pensando ai Python binding di OpenCV ma anche lì significa sbattersi per fare uno script Python che applichi i filtri alle immagini caricate da file system senza l’aspetto interattivo di valutare la quantità di rumore rimosso dall’immagine.

In Italia (al contrario che in Europa) la firma qualificata e quella avanzata hanno il medesimo valore giuridico e di norma devono essere accettate, salvo nei casi in cui la legge prevede espressamente l’utilizzo della firma qualificata (es. gli atti amministrativi o un contratto di compravendita immobiliare).

Il comma 1-ter citato specifica solo che il cosiddetto (forse impropriamente) “inversione dell’onere di prova” è solo nel caso si usi una firma qualificata, ma ciò non significa che il valore giuridico sia superiore, solo che nel caso di disconoscimento la prova la deve dare, nel caso di FEA e come per la firma autografa, la controparte.

Le PA non accettano le FEA solo perché non conoscono la norma e/o non hanno gli adeguati strumenti.

Una curiosità: la CIE in sè non è proprio una FEA, ma la “sostituisce” nei confronti della Pubblica amministrazione, un “trucco” normativo per evitare che queste firme possano essere usate nei rapporti fra privati. E’ quanto prescrive il comma 2 dell’art. 61 del DPCM 22 febbraio 2013 (Le regole tecniche sulle firme, ancora vigenti) :

L’utilizzo della Carta d’Identita’ Elettronica, della Carta Nazionale dei Servizi, del documento d’identita’ dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione,la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attivita’ di cui agli articoli 64 e 65 del codice

Il successivo comma 5 stabilisce poi che :

I certificatori accreditati che emettono certificati per gli strumenti di cui al comma 2 rendono disponibili strumenti di verifica della firma.

Cosa che è, nel caso della CIE, soddisfatta visto che sia chi la emette così come anche altri software (anche il Reader di Acrobat) ha software di verifica della firma effettuata con CIE.

In conclusione: bene fa ad essere deluso!

Gennaio 2024. Direi non ci siamo proprio. Mi serviva inviare documenti digitalmente firmati per una pratica da presentare al “Ministero delle imprese e made in Italy” (ex MISE) sul loro portale istituzionale. Firmo i miei bei documenti con CieSign e banalmente (non vi tedio con la spiegazione tecnica) quei documenti non vengono accettti dal sito del ministero. In pratica da cittadino mi sento preso in giro in quanto se neanche mi serve a comunicare con lo stesso governo che l’ha emessa è lecito pensare che app e tutto il resto siano i soliti progetti per far girare soldi di appalti per cose totalmente inutili! Chissà perchè invece pagando sui 50 euro per 3 anni per FEA di certificatori non governativi tutto funziona alla perfezione. Assurdo!

Leggendo il DPCM del 22 febbraio 2013 però sembra che l’uso della FEA per firmare sia limitato solo ai rapporti giuridici fra il sottoscrittore e chi ha emesso le FEA stessa (quindi Ministero dell’Interno per la CIE).

Art. 60
Limiti d’uso della firma elettronica avanzata

1. La firma elettronica avanzata realizzata in conformita’ con le
   disposizioni delle presenti regole tecniche, e’ utilizzabile
   limitatamente ai rapporti giuridici intercorrenti tra il
   sottoscrittore e il soggetto di cui all’art. 55, comma 2, lettera a).