menu di navigazione del network

Firma fatture formato xml - certificato di firma


(Sersis [Web]) #1

Ciao a tutti.
Chiedo scusa per l’apertura di un ulteriore post sulla firma digitale, ma le varie discussioni mi hanno creato confusione.

Quello che ho capito:

  • non si possono firmare le fatture con i certificati che sono stati forniti con la richiesta di accreditamento del canale (nel mio caso SDICoop)
  • per firmare le fatture senza l’utilizzo di un token usb o smart card (quindi senza la persona fisica) è necessario richiedere un certificato di firma remota apposito ad un ente riconosciuto

Domande:
1 - sembra che si possa richiedere un certificato rilasciato dall’Agenzia delle Entrate per firmare in modo automatico le fatture (solo per utenti entratel). In che modo si richiede tale certificato e per quali canali è valido?
Nelle specifiche tecniche viene riportato che le firme apposte con tale certificato vengono verificate solo dal loro servizio, di preciso “che la verifica di questo tipo di firma può essere fatta solo utilizzando il servizio di verifica di Agenzia delle Entrate”.
Tali firme risulterebbero valide se spedite tramite il canale SDICoop?
(tra l’altro di questo certificato ho trovato riscontro solo nelle specifiche tecniche, nel sito dell’agenzia sembra non esistere)

2 - nella discussione Firma automatica File PA : Apache parlano dei certificati di firma che vengono rilasciati in caso di accreditamento canale SDIFTP. E’ possibile averli senza dover accreditare anche quel canale (nel nostro caso non verrebbe utilizzato)?

3 - oltre ai certificati di firma remota e a quelli per il canale SDIFTP ci sono altri modi per firmare in modo automatico, ossia senza la necessità di una persona fisica?

Grazie


(Sersis [Web]) #2

Proprio nessuno che sappia darmi qualche dritta?


(Mw Space Llc) #3

Ciao Sersis,
A breve passeremo in produzione e, se tutto funziona,
Aggiorneremo il tread apache firma con openssl.
Ma puoi riassumere il tutto in un unica domanda ? :thinking:


(Sersis [Web]) #4

Ciao.
Premessa:
Il mio scopo è riuscire a firmare le fatture in modo automatico, senza token usb o smartcard, per poi inviarle tramite il canale.
So che ci sono i certificati di firma remota e ho capito che con il canale SDIFTP (che noi non usiamo) vengono dati dei certificati che sembrano essere adatti per la firma.

Domanda:
Ci sono altri modi per firmare in modo automatico e qualcuno sa qualcosa del certificato rilasciato dall’Agenzia delle Entrate per utenti entratel?

Spero di aver chiarito il mio dubbio.


(Mw Space Llc) #5

Chiarissimo!

Guarda, per entratel non so.

Noi abbiamo concluso i test SDICOOP e spedito/ricevuto circa 200/300 fatture di prova firmando SOLO i FRPA12 con OpenSSL + Cerdificati firma SDIFTP

Aggiorneremo il tread se funziona anche in produzione. Saluti


(Vladan Bato) #6

Provo a rispondere, per quello che so.

Non l’ho testato personalmente, ma altri qui sul forum dicono che si possa usare il certificato dell’ambiente di sicurezza del programma Entratel.
Per poterlo avere devi richiedere all’Agenzia delle Entrate l’abilitazione all’uso del programma Entratel: https://assistenza.agenziaentrate.gov.it/assistenza/index.asp?idFolder=471&idServ=1
All’interno del programma c’è una funzione di “generazione dell’ambiente di sicurezza”. Questo ti fa creare un certificato per la firma elettronica e la relativa chiave privata che vengono salvati in locale.
Questo certificato viene di norma usato per firmare tutti i file che vengono inviati col programma Entratel, ma si può usare anche per firmare le fatture elettroniche.

Un utente in un altro thread diceva che la chiave privata è protetta da una password che è uguale a quella inserita per l’ambiente di sicurezza, ma con tutti i caratteri maiuscoli.

Esatto. Il SdI accetta e considera valide le fatture firmate con questo certificato.
L’unico inconveniente è che se un eventuale destinatario prova a verificare la firma con uno dei vari software per la firma digitale, gliela dà come non valida (perché non è una firma qualificata). Però, per quel che riguarda il SdI, sei a posto, e la fattura può essere comunque verificata sul sito dell’AdE.

Penso che non sia possibile ottenerli in un altro modo, anche perché il loro scopo non era di firmare le fatture… è stata una scoperta casuale da parte degli utenti.

Faccio presente che le informazioni che ho riportato qui sono tutte di seconda mano. Questo è quello che ho concluso io leggendo i vari topic in questo forum, ma non ho provato di persona.


(Federico Crepaldi) #7

Quel che ho provato io in fase di test è che le FPA12 potevo firmarle con il certificato di firma per l’SFTP, ma le FPR12 mi davano firma non valida.


(Federico Crepaldi) #8

AGGIORNAMENTO: ho provato a controllare con
https://sdi.fatturapa.gov.it/SdI2FatturaPAWeb/AccediAlServizioAction.do?pagina=controlla_fattura
una FPR12 firmata CaDES con il certificato di firma dell’AgE (quello che uso per l’SFTP) e me la dà buona.

I programmi tipo Dike e compagnia bella mi dicono che la firma non è valida perchè l’AgE non è accreditata a rilasciare i certificati di firma.
Qui invece, ovviamente, me la dà come corretta
https://telematici.agenziaentrate.gov.it/Abilitazione/IVerificaFile.jsp

Quindi suppongo che il documento passi i controlli del SdI e venga inoltrato, ma il ricevente si ritrovi con il suo programma che gli segnala che la firma non è valida.

EDIT: e ci vuole tanto a fare un decretino che inserisca l’AgE tra gli accreditati a rilasciare i certificati con deroga sulla conservazione della chiave privata? :grimacing:


(Vladan Bato) #9

È quello di cui avvisa l’AdE nelle specifiche tecniche per le fatture tra privati: le fatture FPR12 (e presumo FSM10) firmate con i certificati dell’AdE (lì parlavano solo del certificato Entratel, ma la cosa vale anche per quello SFTP), vengono accettate dal SdI, ma la firma risulta non valida se verificata con programmi di terzi (non trattandosi di firma qualificata). Per citare le specifiche:

E’ quindi opportuno che chi appone tale tipo di firma elettronica sulle fatture che emette renda
consapevoli i propri clienti di questa circostanza e del fatto che la verifica di questo tipo di firma può essere fatta solo utilizzando il servizio di verifica di Agenzia delle Entrate.