Ciao,
con questa frase intendi che ti sei fatto rilasciare un certificato di firma automatica senza PIN su smart card ?
se esiste vorrei sapere quale provider lo ha emesso, ma chiaramente non sei tenuto a rivelarlo.
Ciao
No, la smart card HA il pin. Il certificato che essa contiene pero’ ha una limitazione d’uso (secondo art.28 già citato) e quindi quel certificato è usabile, o meglio, ha valore, solamente se si firmano fatture a scopo fatturazione elettronica oppure conservazione.
Il nostro sistema, una volta inizializzato, memorizza il pin e lo usa automaticamente per firmare i documenti tramite smart card.
Ciao
Alla fine siamo arrivati al punto spiegato nel mio post ieri sera.
Il padrone del certificato e’ consapevole che il PIN viene copiato ?
E’ stato correttamente informato ?
Ora io non sono la persona più adatta per entrare nei meandri giuridici/normativi di questo utilizzo, però almeno siamo sul forum giusto.
Sicuramente il moderatore se non addirittura Stefano Quintarelli ci risponderà.
Nella attesa un saluto di Buon Natale e Buone Feste 
Certo che il padrone del certificato ne è informato… Sottolineo inoltre che il ‘certificato’ ha uno scopo (una limitazione) e pertanto questa “memorizzazione” non costituisce problema alcuno per la persona intestataria del certificato perché non è un certificato normale (col quale posso firmare un atto di vendita per esempio) ma un certificato finalizzato alla firma di fatture elettroniche e null’altro.
D’altra parte come detto un po’ sopra la domanda che sorge spontanea è: che differenza c’e’ tra questo sistema (usare un certificato con limitazione e memorizzare il pin per usarlo automaticamente) e un HSM che localizzato in un luogo sicuro accessibile via internet, viene contattato da un certo ip e con certi parametri di autenticazione (memorizzati quindi pure loro!) per ottenere una firma automatica?
Ciao,
sul memorizzare il PIN (che e’ strettamente personale) non mi esprimo, lascio che sia gente più autorevole di me a rispondere. (aggiungo solo che i lettori class 2 e superiori, non consentono di salvare il pin che viene digitato sulla pinpad, da cui si intuisce che stai usando un Class 1)
Sugli HSM la differenza e’ che gli HSM venduti in Italia sono autorizzati a farlo secondo la normativa vigente.
Quindi class1 e class2 differiscono per questo ? Io sto usando il classico lettore usb che ha solo lo slot per la smart card… mi piacerebbe capire di più su queste ‘classi’, hai qualche riferimento ? Online non ho avuto fortuna.
Peraltro, ho anche usato molte volte chiavette usb (quindi con smart card in formato “sim card”) e con il software di infocert (ma perso che anche altri software siano analoghi) è consentito digitare il pin una sola volta e poi firmare molti file. E’ anche una ‘feature’ che pubblicizzano sulla versione ‘pro’ (quindi a pagamento).
Qui torniamo al mio primo post, vero motivo per cui mi sono “inserito” in questa discussione… per favore hai un link dove leggere queste norme ? Non sono riuscito a trovare nulla…
Grazie
Ciao,
… ma veramente … 
stiamo parlando di una materia arcinota e documentata da centinaia di documenti oramai storia a partire dalla metà degli anni '80
a me non piace postare link (perchè non è mio costume sponsorizzare i vendor)
ma Ingenico e Gemalto li devi conoscere per forza (avrai in tasca almeno 2 loro carte e prima di natale li usarei alemno 3 volte le loro pinpad)
cosi’ vedi le certificazioni
requisisti hsm ISO/IEC 19790:2012 - Information technology — Security techniques — Security requirements for cryptographic modules
Ciao
certamente, non è questo il punto, un individuo ha facoltà di esprimere il consenso a firmare più file digitando una sola volta il PIN
tutt’altro scenario e’ quello prefigurato in cui il consenso dell’individuo viene a mancare.
Scusami forse non mi sono espresso in maniera corretta.
Se li hai, avrei piacere di visionare un documento che spieghi la differenza tra lettore smart card class1 e class2 che hai citato prima (dicevi che io probabilmente sto usando un class1).
E la normativa italiana che dice che per la firma automatica massiva bisogna usare un HSM.
Grazie e scusami l’insistenza… I doc che hai linkato sono comunque interessanti e me li guardo senz’altro.
I link li puoi trovare anche tu cercando su google “smartcard reader class2”
ad ogni modo ti cito il
“Gemalto CT700/710 reader provides a highly secure way to enhance your smart card-based application, by protecting the smart card PIN code from unauthorized access. The PIN code is entered locally and safely on the reader, and is thus never transmitted to the PC.”
Poi non esiste un obbligo di utilizzo degli HSM io ho solamente scritto che gli HSM sono autorizzati a quello scopo, poi vai a sapere, ci saranno altre modalità possibili che io non conosco.
Ciao @avb2b,
ora che mi ricordo , ti avevo già messo un link ieri sera ad un class 2
In pratica a partire dal class 2 in su’ il PIN rimane nello smartcard evitando attacchi di tipo “man in the middle”
probabilmente non l’hai nemmeno aperto:
“Identiv’s SPR332 v2.0 Secure Class 2 PIN Pad Reader allows securely executed authentication processes within the device, protecting the entered data from various attacks”
Ok grazie per la discussione
No no lo avevo visto questo, pensavo ci fosse una qualche descrizione di cosa sono le varie classi… avevo cercato su google senza trovare nulla.
Grazie per i vari link
Grazie a te lo scambio di opinioni comunque interessante, anche se il forum e’ piu’ incentrato sulla fatturazione Elettronica.
Come cittadino Italiano mi dispiace un po’ che il mercato alla fine si e’ ridotto a 1 / 2 fornitori francesi dove Gemalto e Ingenico (Thales) dettano i prezzi per tutti.
A quanto mi risulta, OO99999999999 solo per Extra CEE.
Per discorso firma fatture estere, mi sembra assurdo ma temo sia proprio così…
No non è possibile firmare con quei certificati, perlomeno non è possibile usare quei certificati per le fatture PA.
Dato che le B2B e le B2C non è necessario firmarle, perché usare quei certificati ?
Scusami Giuseppe, ho letto per caso questo post di 3 mesi fa e quindi sicuramente avrai risolto…come hai fatto? Ho lo stesso probelma…ho la smartcard di Aruba ma ma vorrei firmare gli xml in automatico dal nostro software per inviare direttamente allo SDI…mi occorrerebbe un certificato ma so che non si può esportare quello della smart…grazie
Salve, approfitto della discussione per chiedervi se esiste un software di riferimento per il controllo delle firme elettroniche apposte sulle pec.
Molti utilizzano software di terze parti (mail,Thunderbird, outlook) che implementano la libreria openssl ma spesso errori e bug di tali software hanno dato falsi positivi. Considerando l’importanza di tale controllo potete indicare un software od un sito indicato da Agid cui poter fare riferimento?
Ciao @forlando952
il thread è incentrato sulla firma delle fatture, non sulla firma delle PEC,
potrei anche sbagliarmi ma al 99.99%
un server PEC mail accetta una mail pec solo se la busta è firmata con un certificato valido
per cui se una PEC ti è arrivata, per definizione è stato usato un certificato valido
tutt’altro discorso è se il contenuto degli eventuali pdf allegati nella mail sono firmati.
la PEC firma la busta non la lettera
Ciao