Buongiorno a tutti, scrivo per condividere una criticità che molti cittadini e professionisti stanno incontrando nell’utilizzo della Carta d’Identità Elettronica (CIE) come strumento di firma digitale.
Le firme apposte tramite CIE sono legalmente valide e riconosciute come firme elettroniche avanzate (FEA), ma non vengono correttamente interpretate dai software di verifica più diffusi (Adobe Reader, Infocert, ecc.), che segnalano la CA come “non attendibile” o “sconosciuta”. Questo genera confusione, rallenta i processi e spesso costringe a tornare al cartaceo.
La causa è nota: la CA nazionale italiana non è inclusa nei trust store globali (es. AATL di Adobe), né esiste un portale statale ufficiale che consenta ai cittadini di verificare pubblicamente e facilmente la validità delle firme CIE.
Per questo ho avviato una petizione pubblica per chiedere al Ministero dell’Interno e ad AgID di:
Predisporre un portale di verifica firme CIE, con report chiaro e stampabile
Avviare il riconoscimento internazionale della CA nazionale italiana
Credo che questa sia una richiesta semplice, realizzabile, e coerente con gli obiettivi di digitalizzazione della PA. Se il tema vi interessa, vi invito a firmare, commentare o contribuire alla discussione.
La firma con CIE e’ un argomento del quale in questo Forum si discute da anni. Il problema centrale e’ la CA nazionale italiana. Un’opinione abbastanza condivisa e’ che non viene fatto per non entrare in concorrenza con i fornitori privati di servizi di firma.
Riguardo la verifica c’e’ questo portale europeo. Pero’ non e’ ufficiale, quindi si e’ liberi di credere o meno al risultato. DSS Demonstration WebApp
Verificando un documento con firma italiana con CIE il sistema risponde che la CIE in quanto tale e’ valida ma il Ministero non e’ CA quindi la firma in sostanza non e’ valida, almeno secondo i criteri UE.
Riguardo la petizione, avrei preferito firmare con la CIE piuttosto che con la email su change.org.
Esattamente. Qui è stato pensato un sistema di firma digitale senza un sistema di autentica della firma. Posso capire (in realtà no, ma poteva essere un primo passo iniziale) che la CA italiana non sia verificata come CA europea o globale, ma a questo punto deve esporre un sistema, molto semplice ma in mano a chi rilascia il certificato, in cui tutte le parti, anche chi non ha idea di cosa sia una CA, siano in grado di verificare che le firme apposte abbiano valore almeno per l’autorità che le rilascia.
La cosa in assoluto piu’ semplice sarebbe il riconoscimento della CA del Ministero secondo i procedimenti conosciuti, globali. Il problema sarebbe risolto alla radice.
Sviluppare una soluzione solo nazionale e solo per la CIE servirebbe nel caso che sia stata presa una decisione ferrea e fondamentale - che non conosciamo - di “non” richiedere in nessun caso la certificazione CA. Pero’ i costi di sviluppo dell’applicazione, la diffusione dell’informazione, il training ecc. sarebbero molto piu’ onerosi della richiesta del certificato CA. Per la verifica delle firme senza fare uso del sistema CA pubblico probabilmente occorrerebbe mantenere un registro centrale di tutti i documenti firmati, quindi con problemi aggiuntivi.
Ripeto, nel Forum se ne discute da anni e siamo tutti perplessi. Possiamo solo constatare che il problema esiste.
Non pretendo di sapere che non esiste un sistema messo a disposizione dallo stato per il processo di verifica, @Sonica , posso dire che dopo molta ricerca non ne ho trovato uno.
Vero, @GiP, che la cosa logicamente più immediata sarebbe ottenere il riconoscimento della CA, non escludo che come dici ci sia una qualche direttiva interna come non escludo che non si siano posti il problema (non so cosa sarebbe peggio).
Sicuramente fare un bel portalino web con un cavolo di form con un campo file e un campo submit che fa una banale chiamata ajax inoltrando solo i dati necessari alla verifica (calcolando l’hash del contenuto in locale per questioni di privacy e banda) con una risposta strutturata da, veramente, una parola e un’icona, sarebbe tremendamente semplice, mezza giornata di lavoro al più.
Diffusione dell’informazione e training? Quasi banale e gratuito: quando firmi un documento nell’app CieSign ti esce un popup con il link per l’autentica e il tasto condividi può preparare un messaggio da allegare al file con gli estremi per la verifica. Chi riceve viene “servito”, chi usa attivamente il servizio e ha interesse nell’essere riconosciuto viene “istruito” strada facendo.
Sistema perfetto? Affatto.
Attuabile con poco e senza richiedere iter decisionali e burocratici? A mio avviso, si.
Il problema, al solito, è che manca la volontà di fare le cose o la fatica di pensarle.
Guarda io non ho mai provato ma, da quello che dicono si può usare la suite presente qui https://pki.difesa.it/ , la quale è messa a disposizione da una struttura delle Stato.
Questo e’ il problema di fondo per IT in Italia e in Europa. Ci sono moltissime soluzioni ovvie e spesso a costi risibili, ma non vengono attuate.
In tema CIE, una delle aziende di servizi pubblici della mia Regione permette l’accesso ai servizi online con CIE. Un’altra non accetta CIE ma va bene “Entra con Google”. Un’altra ancora preferisce “Entra con Facebook”. A questo punto ogni nostra discussione sulla tassazione delle Big Tech perde completamente di significato. Nemmeno sappiamo gestire le nostre identita’ e applicare le norme europee, che per inciso non applicano nemmeno negli altri paesi. L’unico che conosco che oltre a IT ci mette anche il buon senso pratico e’ l’Estonia.
Si, pero’ si ricade nel problema cui avevo accennato in precedenza. Una app di questo tipo puo’ verificare che la firma e’ stata generata da una particolare CIE, ma non da’ garanzie riguardo il fatto che quella CIE sia autentica e legata a una particolare persona anagrafica. La stessa verifica ha luogo tramite il portale europeo del quale avevo messo il link. Immagino che - a titolo di esercizio - nelle scuole di Cyberattacco/ difesa dei vari Mossad, FSB, NSA ecc. la clonazione delle carte d’identita’ digitali sia uno degli esercizi di base. Magari senza riuscirci, ma resta un ottimo esercizio di sviluppo degli skill del settore.
Dove la Certification Authority e’ lo stato stesso. Inoltre in Estonia e’ disponibile una PEC gratuita per la corrispondenza con la Pubblica Amministrazione, in formato codicefiscale@eesti.ee
Incredibile che gli altri 26 stiano a porsi problemi di pubblico/ privato, quali piattaforme usare, a pagamento o gratis, sistema centralizzato o regionale e dozzine di quesiti simili.
Si capisco ciò che intendi, ma non siamo nel contesto in cui possiamo permetterci di puntare alla perfezione, piuttosto cercherei di puntare al minimo indispensabile.
In realtà quando si firma un documento, l’intera catena di certificati viene allegata, fino alla CA, quindi non è impossibile verificare.
La CA italiana non è registrata a livello globale ma se almeno lei certifica per il suo albero di responsabilità è già ottimo, si fa garante per la sua giurisdizione.
Ho l’impressione che parliamo di una CA diversa qui.
L’enorme quantita’ di spam che ci sta raggiungendo in questo momento e’ un ottimo argomento a favore di permettere l’accesso al Forum solo a chi si e’ registrato con SPID o CIE, o eIDAS. Senza eccezioni.
piuttosto che con la email su