Firma elettronica avanzata e CA

Buonasera,

Un quesito sulla FEA, mi hanno rilasciato un software per la fea (firmiamo polizze, documenti contabili, etc) che quando verifico il file firmato da errore certificato.

La mia software house ha implementato le api di un provider terzo che si appoggia a Credemtel.

Ora ne dike, ne adobe, ne i tool online per la verifica danno una verifica positiva, il provider dice che per acrobat devo inserire nelle sue impostazioni un certificato che mi ha mandato (dice che i lettori riconoscono solo certificati accreditati).

Quindi mi sorge un dubbio normativo:
Per la FEA il CA deve essere iscritta alla CA delle firme qualificate? Non trovo un elenco su aigid di certificatori non qualificati.

In sostanza, se ho capito bene, la firma qualifica è quella remota o su tocken che uso per firmare digitalmente le istanze (rilasciate da Aruba, infocert, camera di commercio) commercialmente denominata Firma digitale; la FEA non è una firma digitale qualificata e non capisco se “scatta” l’obbligo.

Grazie a chi mi può togliere questo dubbio tecnico.

Usi la carta di identitĂ  elettronica come FEA?

No, ho un gestionale web che usa la FEA remota OTP tramite un provider di firme che usa CREDEMTEL come CA.

La faccio piĂą semplice:

  1. Firma elettronica qualificata corrisponde a quello che commercialmente viene chiamata firma digitale (esempio le smartcard, usb o remote rilasciate dalla camera di commercio) hanno un certificato pubblico rilasciato dalle CA nell’elenco di AGID Prestatori di servizi fiduciari attivi in Italia | Agenzia per l'Italia digitale . Corretto?

  2. la firma elettronica avanzata deve contenere solo esclusivamente certificati rilasciati da CA di cui all’elenco del punto 1)?

Io ho firmato un file con la fea otp che mi hanno dato in dotazione e sia dike che acrobat reader danno errore certificato non valido, sentita l’assistenza clienti mi hanno detto di installare un loro certificato (inviatomi via mail) in acrobate reader.

Se la FEA deve avere valenza legale, mi sembra un paradosso che uno deva inviare il certificato fornitomi e farlo installare sul lettore acrobat reader per fargli riconoscere la validitĂ .

La firma, a mio avviso è valida a prescindere dal software che usi per la verifica.

Concettualmente concordo ma in realtà solo se la CA è nella catena di CA del software viene verificata la firma del documento. Tanto è vero che la FEA messa con la CIE non viene validata (come nel caso della tua) perchè il Ministero dell’Interno non è nelle CA di Adobe.

Ma dike o i tool di verifica nazionale (come il sito del notariato)?

Cioè mi pare bizzarro che uno che vada in giudizio deve allungare il cd al giudice con il certificato privato del certificatore.

L’elenco delle CA accreditate? è sul sito di Accredia?

Su questo non ci sono dubbi, infatti qui si sta parlando solo di verificarne la validitĂ  per distinguerla da una non valida. Per fare questo occorre di certo verificare la catena dei certificati di firma e sono certo che non sia prioritĂ  di Adobe pre-installare dei certificati di firma italiani.
Peraltro i software di firma digitale come FirmaOK o Dike nascono per l’apposizione di Firme elettroniche qualificate e per la loro verifica, quindi non hanno nessun motivo per essere già in grado di riconoscere la validità di firme elettroniche avanzate.

1 Mi Piace

La FEA vale solo se le parti hanno concordato di riconoscerla. Per i terzi e per le PA non vale nulla. Ha senso di esistere in meccanismi che valgono esclusivamente tra le parti che hanno deciso di utilizzarla con le modalitĂ  concordate.

Esempio di uso lecito: Un distributore di caramelle riceve gli ordini di tipi e quantitĂ  da clienti e per ridurre le contestazioni sugli ordini usa la FEA con i clienti.

La FEA si realizza senza CA qualificate.
Basta descrivere quali elementi si useranno per riconoscere la parte che firma.

Lo stupore nasce perché delle enne fea che utilizzo (quasi tutte rilasciate da certificatori nazionali e internazionali) vengono tutte validate dai vari lettori (Adobe, file, etc).

Si vedono che usano CA riconosciute dai software.

Utilizzando questa il file non risulta correttamente firmatoin quanto dice : Firma non Valida
Certificato di CA non trovato.

Il PDF deve contenere un certificato valido, non dice CA sconosciuta.

Poi, ad esempio, non comprendo perché non ci sia un xml pubblico con tutte le CA autorizzazione (l’implementazione non sarebbe difficile) in modo che ogni software interroga l’xml pubblico per la verifica della CA.

Grazie per le risposte

Secondo me la CA di una FEA non è iscritta a nessun elenco pubblico di certificatori accreditati, non essendo appunto la fea di per se servizio fiduciario qualificato (le cui root CA sono pubblicati a livello europeo), quindi nessun software o servizio on line potrà dare una verifica positiva del file firmato con fea, ma non per questo la firma elettronica avanzata non sarà valida con l’efficacia giuridica prevista dalla relativa normativa (cad ed eidas).
Il certificato di CREDEMTEL non fa parte probabilmente di nessuna delle catene di certificati presenti nella trusted list europea, pertanto l’unica soluzione sarà quella di agggiungerlo manualmente al software.

1 Mi Piace

I verificatori di firma qualificata recuperano l’elenco delle CA riconosciute dai paesi membri UE. La commissione europea pubblica un elenco dei server dei paesi membri che pubblicano le CA accreditate.

Le CA cosiddette Farlocche (finte) usate per altri scopi non vengono censite da strumenti ufficiali.

Attenzione che ci sono aziende che rilasciano sia certificati qualificati come CA accreditata che certificati farlocchi per altri scopi.

Adobe pagando censisce anche CA Farlocche. Ecco perché nelle firme qualificate si usano verificatori specifici e non si tiene conto di quanto mostra il prodotto Adobe.

Quindi in sistemi FEA non ha nessun senso avere verifiche di validità di certificati rilasciati da chi non è attore dello specifico sistema adottato tra le parti. Nelle FEA si dovrebbero usare criteri che non usano certificati digitali.

Ripeto la FEA si usa per accordi tra le parti e non per processi che generano documenti che interessano terzi.

1 Mi Piace

Buongiorno,

Ringrazio a tutti, la fea è riconosciuta come firma valida in giudizio e l’onere della prova (sul disconoscimento) è invertito, spetta all’attore che la vuole disconoscere.

Come fa il giudice o il perito di parte a riconoscere che la firma è stata apposta? Nel 2013 appena entrato il DPCM ho supportato varie software house per l’aspetto normativo della copertura assicurativa, e la soluzione implementata da una di queste era il rilascio a nome dell’utilizzatore di un certificato qualificato e di una chiave di decifrazione conservata presso notaio (parliamo di firme grafometriche) per l’apertura del certificato da parte dell’autorità per permettere di prendere i dati biometrici conservati nel certificato.

Ora c’è la fea OTP che non raccoglie dati sensibili, però mi sembra strano che uno deve fornire un certificato privato all’autorità per la verifica della validità del documento firmato.

Questo era il mio dubbio “operativo”.

Grazie per le informazioni fornite

Io non sono un esperto legale, ma direi che funziona così:

La mia banca, per ogni cosa, mi fa firmare con una FEA remota che lei stessa mi ha rilasciato.
Immagino abbia depositato le chiavi della propria CA (ROOT) e quelle della firma che mi ha rilasciato presso un notaio.
Se ci fosse un dubbio un perito prenderebbe queste chiavi e ne verificherebbe l’hash con quello del del certificato di firma del documento la cui firma è in dubbio.
Per tutti gli usi pratici di una FEA non serve uno strumento easy di verifica, in quanto entrambe le parti la danno per apposta e non è opponibile a terzi. Analogamente a quando in banca firmavi dei documenti cartacei…non è che si verificava granchè (a parte l’identità).

Ti hanno gia’ risposto dandoti un quadro completo: non esite LA firma elettronica avanzata, ma esistono TANTE SOLUZIONI di firma elettronica avanzata.
Infatti,

e solo fra quelle parti.

Appunto, deve valutare il grado di affidabilitĂ  di tutto il processo di apposizione della firma elettronica avanzata.

Fra l’altro, non è assolutamente scontato che una soluzione di FEA si basi sulla crittografia asimmetrica applicata agli hash dei documenti, quindi software come Adobe reader e tutti gli altri che hai citati potrebbero anche bellamente ignorare che stanno trattando con un file al quale è stata applicata una FEA.

1 Mi Piace