menu di navigazione del network

eIDAS, firma qualificata, recapito qualificato: in pratica?

Salve a tutti,
in breve, per eIDAS, una firma elettronica qualificata e un servizio di recapito qualificato riconosciuti in uno stato membro sono validi in tutti gli stati membri.

Ho un caso pratico: procedure di gare d’appalto telematiche (e-procurement) alle quali partecipano operatori economici non stabiliti in Italia.

A. Firma
Gli operatori stranieri non dispongono mediamente di firma digitale “italiana”. O li obbligo a dotarsi di uan firma digitale italiana, cosa che probabilmente e’ illegittima, oppure accetto la loro firma qualificata conforme a eIDAS.
DOMANDE:

  1. dove trovo le indicazioni sui software di verifica date dall’autorità per l’informatica di quel particolare stato membro? Dove trovo cioè l’omologo di AgID e della pagina https://www.agid.gov.it/it/piattaforme/firma-elettronica-qualificata/software-verifica ?
  2. Avete esperienza di questo servizio: https://ec.europa.eu/cefdigital/DSS/webapp-demo/validation ?

B. PEC
Il sistema di e-procurement in uso si basa fortemente sull’uso della PEC per l’invio di comunicazioni e ricevute. Infatti, è rischioso affidare ai servizi di recapito integrati nelle piattaforme il compito di garantire momento e certezza delle comunicazioni e del loro contenuto, affidarsi a un servizio di recapito qualificato in combinazione alla piattaforma è scelta quasi obbligata.
DOMANDE:
3. se l’operatore economico straniero non ha una PEC, dobbiamo fargliela fare? I provider di PEC italiani la rilasciano a soggetti esteri?
4. se volessimo consentire l’uso di un servizio di recapito qualificato diverso, in uso in qualche stato membro, quali adeguamenti tecnologici dovremmo prevedere?

NOTA (ma e’ un’altra storia): sulla domanda 4, secondo me resta sempre aperto il dubbio sul senso di prevedere in linea teorica il servizio di recapito qualificato in modo tecnologicamente neutro, cosa che obbliga i due terminali della comunicazione a concordare prima la tecnologia oppure a dotarsi di ogni tecnologia per non discriminare…

1 Like

Avete esperienza di questo servizio: https://ec.europa.eu/cefdigital/DSS/webapp-demo/validation ?

Esperienza in che senso? Io ho usato la libreria alla base di quella webapp di demo per verificare la validità di firme digitali. Essa è in grado di scaricare gli elenchi di certificati pubblicati periodicamente dalla Comunità Europea (TSLs) e di validare una firma digitale contro quei certificati, controllando l’aderenza agli standard previsti dalla normativa europea per quanto riguarda la firma digitale.
L’argomento è molto complesso, comunque gli sviluppatori in genere sono molto d’aiuto quando hai dubbi/richieste.

Chiedevo dal punto di vista non dello sviluppatore ma dell’operatore che si vede recapitato un file con firma elettronica qualificata finlandese. Come la verifica?
Pragmaticametne un po’ di domande sono, per esempio:

  • a oggi le firme elettroniche qualificate nella UE sono tutte firme fatte con gli stessi protocolli/algoritmi della nostra firma digitale (CAdES/PAdES/XAdES per l’algoritmo di firma, X.509 per i certificati ecc.)?
  • dove trovo il software per verificare la firma elettronica qualificata riconosciuta in un dato stato membro?

La risposta alla prima domanda è: direi proprio di sì. Aggiungo che il software DSS supporta anche ASiC, che quindi dev’essere un altro standard accettato/supportato dalla UE.
Qui c’è qualche info utile: https://en.wikipedia.org/wiki/Associated_Signature_Containers

Da quanto ho capito io, se usi DSS utilizzando i soli certificati dello stato membro d’interesse, dovresti ottenere quello che chiedi. Del resto, DSS è indicato anche da AGiD al link da te indicato.

Io comunque ho anche qualche dubbio sul concetto “firma elettronica qualificata riconosciuta da un dato stato membro”. A quanto ho capito io, in teoria uno stato membro dovrebbe accettare una firma elettronica applicata mediante dispositivo qualificato indipendentemente dallo stato che ha emesso quel dispositivo, purché appunto il certificato radice sia riconosciuto da una delle TSL dell’Unione Europea. Ergo: se firmo con una “chiavetta francese” (conforme alle regolamentazioni suddette), la firma è valida in Italia? Secondo me sì, dovrebbe esserlo…

Bene, quindi per adesso firma elettronica qualificata = firma digitale.
Verosimilmente, quindi, anche i software di verifica italiani (Arubasign, File protector, Dike, Docusign reader, Firmacerta…) potrebbero funzionare per la verifica di un file firmato digitalmente con dati di firma rilasciati da un prestatore di servizi fiduciari straniero. Alcuni programmi, in effetti, quando scaricano gli aggiornamenti, mostrano nello stato di avanzamento anche sigle che richiamano a paesi stranieri. In alternativa funziona la webapp DSS.

Resta il fatto di come fare una comunicazione telematica con prova di consegna e tempi opponibili a terzi, ma un po’ alla volta ci arriveremo…

PS: restando nell’ambito e-procurement non sarebbe male realizzare delle indicazioni uniformi, sul tema della firma dei documenti, da integrare nei disciplinari di gara.