Aggiungo un pezzettino del quale sono abbastanza sicuro, ma sul quale non sono in grado di portare prove:
Perché un certificato di autenticazione, anche se sta su un dispositivo sicuro, non è adatto per apporre una firma qualificata?
Quando si usa l’autenticazione client SSL/TLS il client invia al server il proprio certificato (contenente la chiave pubblica) e firma i messaggi di handshake con la propria chiave privata.
Un server maligno potrebbe inserire l’impronta di un documento nei messaggi di handshake e farla firmare dal client usandola poi per la creazione di una busta crittografica.
In pratica, mentre penso di autenticarmi su un sito, sto inconsapevolmente firmando un documento.