menu di navigazione del network

Firma Elettronica Avanzata con SPID

L’introduzione del comma 2-septies nell’art. 64 del CAD ha prefigurato la creazione di una FEA basata su SPID.

Un atto giuridico può essere posto in essere da un soggetto identificato mediante SPID, nell’ambito di un sistema informatico avente i requisiti fissati nelle regole tecniche adottate ai sensi dell’articolo 71,
attraverso processi idonei a garantire, in maniera manifesta e inequivoca, l’acquisizione della sua volontà.

L’art 55 delle regole tecniche sulla firma elettronica fissa un principio fondamentale:

La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

Questo implica che l’identificazione mediante SPID sarà garantita dall’Identity Provider, ma la FEA potrà essere liberamente realizzata dalla PA, o da un suo fornitore, nel rispetto degli obblighi individuati dagli artt. 57 e 58 delle regole tecniche.

In altri thread si è già discusso (@ssette, @spiunno, @umbros, @pif ) su possibili soluzioni e se ne è parlato anche nel corso di un weekly meeting SPID.

Mi paiono di particolare importanza questi requisiti:

  • la realizzazione di soluzioni di firma elettronica avanzata resti libera e non sia monopolio degli IDP
  • la firma sia basata su certificati (@ssette, @emmedi) in modo da consentire la conservazione di lungo periodo degli atti sottoscritti con FEA.
  • la FEA sia basata su certificati di breve durata generati sulla base dell’asserzione SPID (@emmedi)
  • gli atti possano essere sottoscritti da più soggetti (@ssette, @emmedi, @Raffaella)

è importante che le linee guida siano oggetto di un’ampia discussione, in modo da raccogliere requisiti ed esperienze molto diverse. A me pare che il luogo più indicato sia questo, insieme a https://docs.developers.italia.it/.

3 Likes

Ma davvero c’era bisogno di questa ulteriore complicazione ? In fondo, com’è emerso dalle discussioni precedenti, per realizzare una FEA degna di questo nome non è possibile prescindere dall’utilizzo della crittografia e dei certificati.
Io ancora non sono persuaso che dietro a questa strana formulazione non vi sia qualche altra idea alternativa non ancora esplicitata.

Per il resto concordo sui requisiti, anche se rimango della convinzione che la soluzione più semplice (e sicura, e facile da realizzare) sarebbe quella di associare ad ogni account SPID un certificato ed utilizzare questo per generare una firma remota (che a questo punto, al pari di quella generata con il certificato della CNS è sì avanzata ma di fatto identica ad una firma digitale).

Perché si ritiene questa soluzione non percorribile ? In fondo la CNS così funziona…

@ssette: spiegami meglio, penseresti a una firma remota con chiave privata conservata in HSM? Oppure ti basterebbe un certificato del cittadino generato al volo (insieme alla chiave privata) dal Service Provider che funge da CA?

Il provider tiene certificato e chiave privata come chi eroga una firma remota.
A SPID manca solo questo. Capisco i problemi di natura “commerciale” ma se si pensa ad una soluzione semplice e sicura questa è la prima cosa che viene in mente.

Sul certificato generato on fly ho qualche dubbio, siamo davvero sicuri che non possa essere usato in modo fraudolento ? (e comunque requisito di una FEA sarebbe quello che chi firma mantiene un controllo sullo strumento)

Quale provider? L’Identity Provider o il Service Provider?

I problemi di natura commerciale mi paiono critici, visto che ancora oggi non è chiaro quale sarà il modello di business una volta scaduto il periodo di gratuità!

Una soluzione potrebbe essere quella di usare come certificato della CA quello del Service Provider:

  • È affidabile? Sì, è lo stesso usato per sottoscrivere i metadati inviati a AgID
  • È sicuro? Sì, è quello usato per firmare le buste SAML

Il certificato One Time Signature:

  • È emesso dalla CA del Service Provider
  • Contiene i dati dell’asserzione SPID
  • Contiene il numero di cellulare a cui è stato inviato l’OTP per la sottoscrizione
  • Contiene i dati che identificano la sessione SPID

Per garantire il controllo di chi firma sullo strumento si subordina la firma all’immissione di un OTP inviato al cellulare dell’utente SPID.

1 Like

Chiaramente l’Identity Provider.
Che si trasforma di fatto in un erogatore di FEA. Così come lo era chi emetteva la CNS. Ribadisco, non ci sarebbe nulla di nuovo.

Abbiamo bisogno di soluzioni semplici, standardizzare e realizzate in un tempo accettabile. Direi che in questo periodo il “time to market” della PA è alquanto basso.

Così come non sono convinto che l’art.64 non sia una semplificazione ma una complicazione potenzialmente pericolosa, sono altrettanto convinto che per le infrastrutture portanti (o abilitanti, come si usa dire) il modello dei provider non sia vantaggioso per nessuno. Non per i cittadini che sicuramente non sentono la necessità (per questi tipi di servizi) di potersi rivolgere a diversi fornitori e che si trovano invece spaesati, non per la PA perché i vincoli diventano pesanti e si ripercuotono sui tempi di realizzazione e penso nemmeno per i provider stessi (almeno per i momenti).
Questo, IMHO, è quello che succede quando si applicano pedissequamente principi anche fuori dal corretto contesto.

Sulla soluzione che proponi non mi esprimo perché ancora ci devo ragionare bene e ho paura di dire stupidaggini. Dovrai ammettere però che rispetto a quanto sopra si tratta di cosa abbastanza arzigogolata.

In realtà la soluzione è semplice da implementare e, con una UI fatta come si deve, facile da usare.

Implementazione:

  1. Utilizzando i dati dell’asserzione SPID (livello 2) si genera un certificato con la sua chiave privata
  2. Lo si firma usando il certificato del SP
  3. Lo si usa per sottoscrivere i documenti nell’ambito della sessione SPID
  4. Lo si distrugge al termine della sessione SPID

Uso:

  1. Accanto ad ogni documento ci sono due bottoni: visualizza e firma.
  2. Il bottone firma si attiva solo dopo che il documento è stato visualizzato
  3. La funzione di firma consente di aggiungere la propria firma anche a documenti già firmati da altri
2 Likes

Il fatto è che la FEA è un processo che va implementato in autonomia seguendo le indicazioni dell’AGID che non ha emanato (e non emanerà a quanto ho capito) le linee guida tecniche.

Ha senso visto la sua valenza dal punto di vista legale.

Vero è che la FEA realizzata con SPID rafforzarebbe la valenza legale della firma ma cambierebbe anche il processo (a che serve l’OTP se sono già stato identificato da una terza parte equiparata a pubblico ufficiale?).

Ma… quanto è diffuso SPID oggi?
Non sarebbe il momento di aprire la fruizione di SPID anche alle aziende private?

Buonasera @giampaolo.laterza,

AgID già sta lavorando e pensando alla modalità di utilizzo della FEA ed emanerà delle linee guida.

Il processo di firma tramite SPID sarà un processo diverso da quello dell’autenticazione perchè sarà un’attività dispositiva che farà uso dell’autenticazione SPID.

SPID si diffonderà anche con l’implementazione di nuove funzionalità. Riguardo ai privati è una questione di settimane.

Umberto Rosini
Agenzia per l’Italia Digitale

Non é complicatissimo ma nemmeno banale @emmedi ! Chiaro che se non ci sarà nulla a livello infrastrutturale si sarà costretti a percorrere una di queste strade.
Che però continuano a non entusiasmarmi. In primis per un motivo “di principio”: ma se l’infrastruttura di base non mi copre nemmeno in un ambito così importante come la sottoscrizione che si costruisce un’infrastruttura a fare ? Penso che vi siano ampi margini per arricchire SPID per coprire anche questo aspetto, credo inoltre che sia opportuno che queste cose me le fornisca un elemento architettura standard e che di conseguenza non debbano essere a carico degli altri attori, anche per evitare che fioriscano (come oggi) decine di soluzioni diverse, spesso fantasiose e che spesso generano più problemi di quelli che risolvono.
Poi, nello specifico, non mi entusiasmano le soluzioni erogate direttamente dal Service Provider, credo sia molto meglio che per cose di questo tipo la soluzione debba essere messa a disposizione da una terza parte (l’Identità provider ma non necessariamente). Vero che nel tuo caso l’IdP entra in gioco ma il suo ruolo é comprimario.

E se provassimo a cambiare prospettiva ? Leggendo il Decreto Correttivo mi é saltata all’occhio la questione della PEC che dovrà essere adeguata, per poter essere considerata a tutti gli effetti un servizio certificato qualificato, aggiungendo alcune funzionalità, fra cui la questione dell’autenticazione forte al servizio. In sostanza penso si dovrebbe estendere la PEC alla (mai nata ma prevista da tempo) pec-id così come descritta al comma 1, lettera 3-bis dell’art.65.
Qui l’articolo 65 prevede che sia il prestatore di Servizio PEC, previa autenticazione forte al servizio (a questo punto direi attraverso SPID) a “certificare” che il messaggio/documento é attribuibile alla persona fisica rappresentata dal mittente. In poche parole il documento é firmato dal prestatore del servizio che attesta provenire dal mittente.
Molto ma molto più semplice e standardizzato (dato per assodato che dotare tutti di una vera firma non é ipotizzabile) sarebbe immaginare una cosa di questo tipo anche per i documenti/dati inviati tramite un servizio autenticato.
Il Decreto Correttivo lascia la strada aperta a soluzioni di questo tipo, ricollegandosi alla nuova modalità prevista nell’articolo 20.
Lasciamoci stupire…sperando solo di non dover attendere anni …

1 Like

Il problema è proprio quello dei tempi.
Da quasi dieci anni stiamo erogando soluzioni per la presentazione di istanze alla PA con accesso e FEA basati su CNS.
Voglio garantire agli utenti che accedono ai sistemi usando SPID le medesime funzionalità che garantisce la CNS.
Se per accedere ai sistemi possono usare SPID, ma se per firmare sono costretto a far usare loro la CNS, tanto vale che gliela faccia usare anche per accedere…

1 Like

Rinnovo la richiesta del post all’inizio del thread:

2 Likes

Si spererebbe di andare a migliorare in realtà.
SPID é molto più adatto rispetto alla CNS, non richiede driver e lettori, funziona su ogni device…insomma é un ottimo sostituto evoluto della CNS. Ma come dici tu giustamente, come ogni sostituto che si rispetti deve avere tutte le funzionalità del predecessore, altrimenti rischia di non essere un sostituto per niente.

E i tempi sono importanti, fondamentali direi…

2 Likes

L’importante, è fare le cose semplici. (ho detto tutto e niente :joy: )

Riguardo alla FEA, secondo me l’utilizzo di SPID sarebbe la cosa migliore. C’è già, è verificato (devo identificarmi per averne uno), è sicuro (SAML): identifica me univocamente. Non vedo perché bisogni complicarsi la vita con altri applicativi in più…

Una cosa semplicissima e veloce, sarebbe quella di avere un unica web app che, dopo aver effettuato l’accesso con SPID, consenta al cittadino di caricare il documento da firmare, e poi restituirglielo firmato in download.
Andrebbe fatto un ragionamento più complesso quando un documento deve essere firmato da più persone (ho visto un topico sul forum a proposito), ma l’idea di base è quella di un portale che permetta di firmare un documento, e di verificare (dall’altra parte) da chi sia stato firmato.

Un’app per gli smartphone renderebbe il processo ancora più slim per gli utenti mobile.

Buon lavoro, e attendo l’apertura di SPID ai privati! :slight_smile:

2 Likes

Buongiorno a tutti. Ci sono stati sviluppi sul fronte FEA con SPID in questi mesi? Sarebbe una soluzione tecnica molto interessante e comoda su più fronti rispetto alle soluzioni esistenti. Almeno dal mio punto di vista.
Grazie! :slight_smile:

1 Like

Se scopri qualcosa, fammi sapere…

Gentilissimi, la questione dell’uso di SPID per realizzare un protocollo di firma elettronica avanzata nel quadro europeo delle firme è stata già ipotizzata e definita da me e il mio gruppo di ricerca sin dal 2016 come testimonia la pubblicazione di cui inserisco il link:

Buccafurri, F., Fotia, L., & Lax, G. (2016, September). Implementing advanced electronic signature by public digital identity system (SPID). In International Conference on Electronic Government and the Information Systems Perspective (pp. 289-303). Springer, Cham.

Cordiali Saluti
Francesco Buccafurri
Prof. Ordinario di Sicurezza Informatica presso l’Università Mediterranea di Reggio Calabria

1 Like

Gentile prof. anzitutto mi complimento per la sua vasta produzione accademica
https://dblp.uni-trier.de/pers/hd/b/Buccafurri:Francesco

ma visto che ha studiato molto su questo ambito approfitto per fare qualche domanda: secondo lei fra 10 anni esisteranno ancora, contemporaneamente, CNS, SPID e CIE ? Crede a quelli che dicono che rimarrà solo la CIE ?

Saluti.

Una mia ipotesi, è che la CNS verrà superata e sostituita da CIE, mentre SPID verrà unificato con CIE…

Immaginiamo se:
ognuno di noi ha la CIE, ai 16/18 anni si può abilitare si può abilitare la firma elettronica piuttosto che uno SPID che si basa su CIE…

Sarebbe bello, no? :slight_smile:

2 Likes

Scusi,
sarò un po imbranato , ma è possibile leggerlo senza comprarlo ?

Grazie
Daniele