Buonasera,
vorrei porre un quesito in relazione all’evoluzione dei servizi SPID e firma digitale qualificata remota.
Online ho notato che ci sono molti QTPS che offrono firme digitali “usa e getta”, o meglio definite One shot (revoca dopo 60min o a seconda dell’offerta del certificatore).
Senza dilungarmi troppo, come ben saprete il rilascio di un certificato qualificato segue degli step ben precisi e soprattutto afferenti alle varie normative eIDAS e LL.GG Agid. Il rilascio, l’attivazione di un certificato e il relativo utilizzo devono pertanto avere 3 fasi:
- Una RA che identifica il titolare
- Il titolare che attiva il certificato (scegliendo PIN personale e confermare tramite un OTP)
- Apporre la firma inserendo il proprio PIN e relativo OTP
Ora, ipotizzando che la funzione di RA venisse delegata ad un’azienda terza che permette per l’utilizzo dei propri servizi di accedere tramite SPID e CIE, non dovrebbero esserci problemi per quanto riguarda l’identificazione.
Ma se si volessero minimizzare i passaggi per attivazione e firma, per esempio non facendo scegliere il PIN al titolare ma autogernerarlo (mantenendolo in una sessione) e confermando solo con secondo fattore (OTP classico oppure tramite dati biometrici, come per esempio l’impronta digitale), sarebbe una operazione compliance alle varie normative? Oppure al contrario, inserendo si il PIN ma inviando un OTP silente.
Purtroppo non sono riuscito a reperire informazioni riguardo questa tematica. Spero di essere stato chiaro nel porre il quesito. Spero in un vostro riscontro.
Ringrazio anticipatamente.
Cordiali saluti.