eIDAS - Richiesta funzionamento

Buongiorno a tutti,
faccio parte di una struttura di un’amministrazione regionale, ma ho un quesito che non riesco a risolvere internamente. La struttura per cui lavoro ha la necessità di far siglare un documento con firma digitale ad una società con sede all’estero. Mi è stato detto che la società può firmare, ma hanno la necessità di sapere se l’Italia funziona con un token o con un codice di connessione.

Io dovrei far siglare un *.pdf… qualche anima pia saprebbe fornire qualche delucidazione?

Ringraziando per la cortesia,

Saluti
Luca

P.S. Ovviamente dovrei siglare anch’io lo stesso documento con lo stesso sistema, avendo però la firma digitale.

La domanda suona un po’ bizzarra. Uso eIDAS da piu’ di un anno e non avevo mai sentito di questa faccenda.
La prima cosa da fare sarebbe chiedere ai responsabili del nodo eIDAS italiano

Poi occorre considerare, l’ho imparato anch’io dalla pratica, che in teoria eIDAS e’ una soluzione europea. Nei fatti si tratta di soluzioni bilaterali tra i diversi paesi. Cioe’ per entrare con SPID o CIE su un sito slovacco si attivano soluzioni sviluppate tra Italia e Slovacchia, non si fa riferimento a un database o soluzione unica europea. Dev’essere uno dei risvolti pratici dello slogan UE “unita’ nella diversita’” o faccende simili.
Sempre restando sul pratico, firmare un documento con i diversi metodi nazionali e’ piuttosto semplice. Ad esempio, la firma elettronica con la CIE su un pdf prende un minuto, il software e’ intuitivo, nessun problema. Il problema e’ la verifica. Su un pdf c’e’ la stampigliatura "firmato il " ecc. Ma come fanno, poniamo, in Slovacchia a verificare la validita’ della firma italiana? I software di verifica sono tutti nazionali. Occorrerebbe che in Slovacchia uno scaricasse e installasse il SW italiano. Un software per ogni stato membro UE, ovvio. Poi l’Italia ha anche le firme elettroniche dei vari servizi SPID o Camere di Commercio e la faccenda si complica.
Cercando online si trovano alcuni portali di verifica della firma tramite upload di un documento. Quasi tutti privati, e spesso i documenti con firma digitale sono sensibili. Le implicazioni sono scontate.
Ho provato a verificare leggi tedesche dalla loro Gazzetta Ufficiale a firma Angela Merkel e scaricate in pdf. Per il sistema di verifica di poste.it - una perfetta sconosciuta)))
Ci vorrebbe un portale europeo di verifica delle firme di tutti i paesi. Ci vorrebbe.
Al momento i paesi attivi con eIDAS sono una dozzina. L’Italia e’ tra questi. Ottima cosa!

2 Mi Piace

Se non ricordo male esistono software che permettono di verificare certificati di firma digitale appartenenti a certificatori in ambito UE, p.es. Dike GoSign di Infocert

2 Mi Piace

Buongiorno,
vi ringrazio entrambi. In effetti su questo aspetto di eIDAS sono completamente ignorante. Intanto cerco di farmi spiegare la necessità del token / codice di connessione (in pratica cosa intende) e poi procedo con la richiesta a chi gestisce il nodo. La pensavo troppo semplice :wink:

Grazie per la disponibilità,

Un saluto
Luca

Se vuoi avere una validazione eIDAS di firma, la commissione europea ha questo sito

https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation

Dovrai caricare un documento sui loro server, quindi da capire se i dati contenuti nel file firmato siano sensibili o meno

2 Mi Piace

Questo sito in effetti riconosce Angela Merkel, e anche il sottoscritto :wink:

Niente niente che da “webapp-demo” lo trasformassero in “official validation site”. Ma forse richiede troppi sforzi e troppo spirito di iniziativa e intraprendenza.

1 Mi Piace

Forse si aspettano che i vari membri europei installino la webapp sui loro server piuttosto che andare a sbafo sull’installazione dimostrativa :wink:

I sorgenti e i compilati si trovano su Digital Signature Service - DSS

1 Mi Piace

Occorre pensare a quella decina di milioni di utenti in UE che hanno ogni tanto la necessita’ di verificare una firma, piccole aziende, avvocati e che non hanno gli skill necessari per tutte le installazioni e gli aggiornamenti in proprio. A livello di stati nazionali occorrerebbe fare il tracking di tutti gli enti riconosciuti di certificazione in 27 paesi e tenere aggiornate tutte le validazioni. A livello centrale questo e’ molto piu’ semplice, quasi triviale, ma la Commissione sembra rifuggire decisioni pratiche e pragmatiche come, per dirla in Eurospeak, the Devil the Holy Water. Il loro scopo e’ “creare le condizioni per lo sviluppo del mercato della validazione di firme all’interno della UE”. USA, Russia e Cina o si grattano la testa o soffocano dalle risate.
P.S. Stiamo vedendo come lo stesso approccio ha funzionato con l’energia. I prezzi di mercato, ad esempio…

2 Mi Piace

Il tracking centralizzato degli enti riconosciuti esiste da anni, basta far caso all’avvio di dike oppure alla partenza del processo di firma con arubasign, in quella fase i programmi scaricano la lista degli enti in formato XML.
La webapp scarica la lista in maniera ricorrente (l’attività della routine è documentata su dss/trusted-lists.adoc at master · esig/dss · GitHub)

La versione navigabile(senza decodificare il maxifile XML di LOTL) si trova su EU Trust Services Dashboard

1 Mi Piace

Grazie per le informazioni! Io pero’ ho un problema - uso esclusivamente software e servizi liberi, che siano disponibili anche su Linux e non dipendano da Android o MAC. Quindi Aruba per me e’ out of question. Dike l’avevo provato nella versione open, ora non ricordo i dettagli, ma la funzionalita’ era limitata rispetto al prodotto completo. Una volta che ho adempiuto al mio dovere di cittadino richiedendo la CIE la questione dovrebbe essere risolta. La Commissione UE indirizza finanziamenti colossali a progetti senza capo ne’ coda, ne ho visti parecchi, potrebbe mettere su il sito europeo ufficiale di verifica e il problema sarebbe risolto. Le risorse nazionali potrebbero quindi essere indirizzate in altri ambiti.
Ma siccome ogni Stato Menbro, caschi il mondo, non vuole ingerenze nei suoi “affari interni” e le questioni anagrafiche sono ritenute tali sara’ difficile smuovere qualcosa.

2 Mi Piace

Il problema è principalmente uno, gestione dei dati presenti nei file mandati in verifica o firma simulata e non.
Fintanto che è una soluzione abbastanza “sconosciuta” ai più e il numero di gonzi che passano file pdf con dati sensibili si contano sulle dita di una mano, i webmastri di ue non hanno problemi, se invece fosse pubblicizzato in massa come “questa è l’unica fonte della verità ed il sapere” e i file compromettenti iniziassero a volare, lo chiuderebbero la settimana dopo.
Sono in sincerità più propenso a fare uno spinup via maven/docker della soluzione per uso massivo interno che a tuffarmi alla cieca sul servizio europeo, conoscendo la facilità con cui atti e documenti sensibili vengano girati come fossero le cartine dei baci perugina.

3 Mi Piace

D’accordo con queste considerazioni! Trovare il giusto compromesso tra apertura, semplicilita’ d’uso e sicurezza a fronte di mezzo miliardo di potenziali utenti, dei quali i “gonzi” non sono pochi, non e’ facile.
Resto pero’ convinto che la UE dovrebbe assumere un ruolo attivo nel proporre tecnologie e standard informatici, e non solo quelli, senza trincerarsi dietro formule quali “lo sviluppo di condizioni di mercato…” e lasciando ad altri il lavoro effettivo. Quindi con sprechi mostruosi in termini di forza lavoro. Basta leggere le direttive, spesso dicono tutto e nulla, e lasciano agli stati nazionali lo sviluppo di dettagli che non di rado non sono compatibili, mancando quindi il risultato desiderato.

3 Mi Piace

Buongiorno,
quando parli di firma digitale intendi Firma elettronica qualificata (per intenderci quella con la smart card o il token rilasciato dagli enti certificatori come Aruba, CCIAA etc) o la più semplice firma elettronica avanzata (quella CIE ad es.)?
A rigor di termini solo la prima dovrebbe essere chiamata digitale e non vi è alcun problema nella firma e/o verifica. Nel caso di firma Pades, dato che i documenti sono dei pdf, basta Acrobat Reader per entrambe le operazioni (purchè dici ad AcroReader di scaricare le root CA riconosciute europee).

1 Mi Piace

@Natale_Tarantino
Grazie per i commenti! A dire il vero faccio fatica a capire la differenza tra firma avanzata e firma qualificata. Io ho due identita’ digitali - la CIE e la carta identita’ estone come e-resident. Per ottenere entrambe la trafila e’ stata la stessa, al Comune e al Consolato estone: identificazione certa sulla base di altri documenti, nel mio caso vecchia carta d’identita’ risp. passaporto, rilascio impronte, breve colloquio. La carta estone serve automaticamente per la firma qualificata in quanto “ente certificatore” e’ lo stato. Tra parentesi, ogni cittadino / residente riceve automaticamente una casella di posta ufficiale con indirizzo codfiscale@eesti.ee e la PEC diventa superflua. In Italia, come scrivi, la CIE serve per la firma avanzata. Ma se mi presento ad Aruba con la CIE, posso acquistare la firma qualificata. Il fatto e’ che non conoscono nessuna informazione aggiuntiva, non possono offrire nulla in piu’ a quello che lo Stato sa gia’, cioe’ che ho una CIE, una TS, un passaporto. In piu’ occorrono email e cellulare. La email puo’ essere qualsiasi e ha zero valore di identita’, per il cell. quasi certamente posso acquistare una SIM anche con un documento falso, e quello vero e’ quello gia’ conosciuto al Comune e al Ministero degli Interni.
Ho diritto di ritenere che ci sia una sovrapposizione di ruoli e tecnologie, non libera da fini commerciali? UCAS dell’era digitale.

1 Mi Piace

Inizio dalla fine:
L’UCAS è da sempre l’ufficio più attivo in Italia.
Per quanto riguarda la PEC, che è un sostituto della raccomandata A/R, non credo possa essere sostituita da altro tipo mail, fosse anche rilasciata da una PA, in quanto mancherebbe la prova certificata di avvenuta consegna (anche questa è una paranoia tipicamente italiana nel resto del mondo basta provare di aver consegnato al vettore di posta perchè si assuma la avvenuta consegna).
Per le firme digitali bisogna tenere a mente che la FEQ era inizialmente l’unica riconosciuta e quindi sono stati fatti grandi investimenti dalle varie società.
Di conseguenza se vuoi delle prove opponibili in giudizio, in Italia, devi trasmettere da PEC a PEC e firmare con FEQ.

2 Mi Piace