Cie 3.0 firma di file e validita' legale

Sicuramente soddisfa il requisito della forma scritta (secondo vari articoli del CAD che non ricordo a memoria).
Sul “deve” essere accettata, per me la questione e’ controversa. Di certo se scrivi un messaggio PEC o mail con documento allegato firmato con CIE ci sono ben pochi appigli per cui l’amministrazione possa rifiutartelo. Anche ammesso che l’amministrazione abbi aun manuale di gestione che regoli la questione. Diverso ill discorso, amio avviso, se la procedura di presentazione del documento firmato è automatizzata: qui, nella eccessiva varietà di forme di firma, non mi sentirei di biasimare troppo l’amministrazione se ha privilegiato una firma invece di un’altra…

A legislazione vigente un’istanza ex art. 65 CAD a cui è apposta una firma elettronica avanzata o qualificata (inclusa la digitale) è valida e viene ricondotta a chi l’ha firmata. Per gli atti pubblici o che hanno una rilevanza nella circolazione dei beni (eccettuata la normativa notarile) l’art. 21 CAD disciplina, a pena di nullità, la tipologia di firma necessaria per l’atto da porre in essere.

La questione sarebbe facilmente risolvibile se i software di verifica facessero riferimento al file dei certificatori europei eIDAS pubblicata da AgID a questo link: https://eidas.agid.gov.it/TL/TSL-IT.xml.
Secondo la normativa eIDAS, tutti i certificati emessi dai certificatori in questa lista devono essere considerati o certificati di firma qualificata o certificati di firma elettronica avanzata.

Il problema è quello principale espresso chiaramente da @frantheman.
Il file che hai citato riporta i certificato fidati separatamente per AUTENTICAZIONE e FIRMA ELETTRONICA QUALIFICATA.
E giustamente, i programmi di verifica danno luce verde quando il documento è firmato con un certificato rilasciato da un certificatore per Firma Elettronica Qualificata.

Scusatemi se riesumo un post vecchio ma secondo me la questione è ancora aperta ed è necessario farsi sentire per richiedere un intervento importante sul tema.
Come ho provato ha descrivere anche qui rendere comune l’uso della Firma CIE per le comunicazioni con le PA non è esente da rischi.

D’altra parte abbiamo visto - con l’emergenza sanitaria - prendere piede soluzioni arraffazzonate come Autocertificazioni su Google Form.
Per dare una spinta alla digitalizzazione dei rapporti cittadino - PA secondo me è INDISPENSABILE il rilascio di un certificato dedicato, almeno di FEA utilizzabile solo verso le PA, a tutti i cittadini.

Chiedo a chi ne sa più di me quanto questo sarebbe applicabile tecnicamente alle CIE 3.0.
Comunque una “firma remota di stato”, previa autenticazione con certificato auth della CIE, già migliorerebbe la situazione, per quanto soluzione “bruttina”.

Penso che sia importante che lato utente l’azione di “firmare/sottoscrivere” sia chiaramente distinta da quella di “autenticarsi”, e questo risultato è solo ottenibile in sicurezza solo differenziando i certificati e le CA!

2 Mi Piace

Come dicevo anche nella risposta al tuo post su github, l’articolo articolo 61 del DPCM 22/02/2013 sancisce che la firma apposta con una CIE è da considerasi una Firma Elettronica Avanzata (e aggiungo, indipendentemente dal fatto che i flag di key usage del certificato non riportino “non ripudio”, come richiesto per la firma digitale qualificata).

Qualsiasi altra soluzione che utilizzi un altro certificato, diverso da quello già disponibile sulla CIE, introdurrebbe delle complicazionicazioni che renderebbero di fatto la FEA ostica per la maggioranza della popolazione (come è tuttora ostica la firma digitale qualificata, che, difatti è usata solo da una ristretta minoranza che è costretta a farlo per legge, e che ne farebbe molto volentieri a meno).

Lo scopo della FEA con la CIE è proprio dare a tutti i cittadini, di qualsiasi livello tecnologico, la possibilità di firmare documenti con il proprio cellulare semplicemente e in pochi secondi. Venendo meno questa caratteristica, introducendo ad esempio un secondo certificato e un secondo PIN, la FEA non avrebbe più senso. Servirebbe solo a risparmiare qualche euro evitando l’acquisto di una firma digitale qualificata e rimarrebbe solo a pannaggio di chi è in grado di usarla.

2 Mi Piace

Soluzioni di fi rma elettronica avanzata

  1. L’invio tramite posta elettronica certifi cata di cui
    all’art. 65, comma 1, lettera c -bis ) del Codice, effettuato
    richiedendo la ricevuta completa di cui all’art. 1, comma 1, lettera i) del decreto 2 novembre 2005 recante
    «Regole tecniche per la formazione, la trasmissione e
    la validazione, anche temporale, della posta elettronica
    certifi cata» sostituisce, nei confronti della pubblica amministrazione, la fi rma elettronica avanzata ai sensi delle
    presenti regole tecniche.
    2. L’utilizzo della Carta d’Identità Elettronica, della
    Carta Nazionale dei Servizi, del documento d’identità dei
    pubblici dipendenti (Mod. ATe) , del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei
    confronti della pubblica amministrazione,la fi rma elettronica avanzata ai sensi delle presenti regole tecniche per i
    servizi e le attività di cui agli articoli 64 e 65 del codice.
  2. I formati della fi rma di cui al comma 2 sono gli stessi
    previsti ai sensi dell’art. 4, comma 2.
  3. Le applicazioni di verifi ca della fi rma generata ai
    sensi del comma 2 devono accertare che il certifi cato digitale utilizzato nel processo di verifi ca corrisponda ad
    uno degli strumenti di cui al medesimo comma.
  4. I certifi catori accreditati che emettono certifi cati per
    gli strumenti di cui al comma 2 rendono disponibili strumenti di verifi ca della fi rma.
  5. Fermo restando quanto disposto dall’art. 55, comma 1, al fi ne di favorire la realizzazione di soluzioni di
    fi rma elettronica avanzata, l’Agenzia elabora Linee guida
    sulla base delle quali realizzare soluzioni di fi rma elettronica avanzata conformi alle presenti regole tecniche.

Esatto Andrea. Grazie per aver riportato l’articolo.
E’ interessante notare che il comma 4 dice:-"
4. Le applicazioni di verifica della firma generata ai sensi del comma 2 devono accertare che il certificato digitale utilizzato nel processo di verifica corrisponda aduno degli strumenti di cui al medesimo comma. ",
Pertanto le applicazioni di verifica (anche e soprattutto quelle dei certificatori), dovrebbero verificare correttamente la FEA con la CIE e, invece, non lo fanno.

Ad ogni modo, un verificatore ufficiale che verifica correttamente la firma con CIE è quello di postecert disponibile qui:
https://postecert.poste.it/verificatore

2 Mi Piace

Attenzione pero’ ai limiti d’uso imposti dalle regole tecniche: “nei confronti della pubblica amministrazione” e “per i servizi e le attività di cui agli articoli 64 e 65 del codice” (= istanze e dichiarazioni; l’art. 64 parla, almeno adesso, di SPID e accesso ai servizi online).

Anche qui gli enti preposti potrebbero fare un po’ di chiarezza. Per esempio un contratto di lavoro con la p.a. si puo’ firmare con la CIE? E, se viene autenticata dal pubblico ufficiale a cio’ preposto, puo’ usarsi per firmare uno di quei contratti (es. concessione cimiteriale) per cui il codice civile prevede la firma elettronica qualificata se fatti in via informatica?

Io posso dirvi che per la stipula di contratti d’appalto pubblico voglio solo firme digitali e non firme CIE, perchè se i revisori quando controllano il file si trovano firma non valida mi fanno storie e non ho voglia di spiegare loro quanto si racconta qua sopra, visto che neanche qua c’è consenso sull’esito finale di tutta la questione.
E che aggiungere un altro certificato con un altro PIN alla CIE, come diceva @frantheman è l’unica soluzione vera e definitiva. La gente ha mille pin, non credo proprio che averne uno in più sconvolga la vita a nessuno, specie se ti risolve problemi sul serio. Non come la firma con CIE, che di problemi ne crea (perchè giustamente non viene riconosciuta valida dai vari Dike, che non sanno a chi la stai presentando).

2 Mi Piace

I revisori non è che siano l’eccellenza del digitale… probabilmente non sanno nemmeno la differenza tra FEA e FEQ. Del resto se non fai “come hanno sempre visto fare” ti rompono le scatole sicuro.

1 Mi Piace

Citazione

io ho provato il verificatore indicato ma escono degli errori:

  1. Il certificato del firmatario non rispetta la Determinazione 147/2019 di Agid (par. 5.1)

  2. Informazioni di revoca non reperibili o non affidabili [certificato firmatario]

  3. Informazioni di revoca non reperibili o non affidabili
    [Issuing sub CA for the Italian Electronic Identity Card - SUBCA1]

  4. Certificato di CA non affidabile
    [National root CA for the Italian Electronic Identity Card]

  5. Informazioni di revoca non reperibili o non affidabili
    [National root CA for the Italian Electronic Identity Card](

E solo alla fine
6) La firma è integra e valida

Diciamo che il dipendente comunale di fronte a questo elenco di errori deve essere stato ben edotto sul da farsi

Ogni informazione fornita dal software è corretta ed ha un preciso significato. Purtroppo il caso d’uso della firma con CIE è talmente limitato che nessuno fa un’app dedicata che, al contrario, potrebbe confondere chi ha bisogno di un documento firmato con una firma elettronica qualificata.

1 Mi Piace

Fino a qualche settimana fa il verificatore di poste dava per buona la firma con la CIE. Ora hanno aggiornato il sito e hanno fatto un passo indietro uniformandosi agli altri certificatori qualificati che non accettano la firma elettronica avanzata con la CIE.

A questo punto mi viene da chiede per quale motivo si è implementata questa soluzione “né carne né pesce” poco utile e che porta solo confusione

Almeno la PA utilizza software che riconosce valida la firma con la CIE?

1 Mi Piace

Guardi che le firme sono valide o non valide a prescindere dal fatto che ci sia un software che mi fa vedere una spunta verde o meno.
Se sono una PP.AA. mi può andare bene anche quello che ha pubblicato lei come risultato del programma di verifica, perchè so cosa guardare.

Per le istanze o dichiarazioni alla P.A. si applica l’art. 65 CAD, che a sua volta ritiene valide le firme di cui all’art. 20 (firma elettronica qualificata, in cui è ricompresa la firma digitale, e la firma elettronica avanzata). Per un atto pubblico redatto da pubblico ufficiale, tranne il caso dell’atto pubblico notarile, è prescritta la firma elettronica qualificata, compresa la firma digitale.

2 Mi Piace