Ciao a tutti, scrivo qui perché non so dove altro scrivere!
In questo ultimo periodo stanno venendo fuori tutte le problematiche relative agli applet Java che Mozilla ha deciso tener fuori dal proprio browser a partire dalla versione 52.
FatturaPA utilizza Java per la firma delle fatture direttamente nel browser, e l’accesso tramite Smart Card/Token USB.
Effettuare l’accesso senza l’utilizzo di Java è molto semplice, in quanto è disponibile SPID.
Per la firma delle fatture è invece necessario scaricarle localmente, firmarle e ricaricare le stesse firmate.
Se ci fosse l’integrazione con le firme OTP, tutto sarebbe molto più semplice sia per l’utente (semplicità e velocità) che per lo sviluppatore (Java non servirebbe più).
Questo è uno spunto per una possibile implementazione di nuove funzionalità per eliminare il vecchio Java dai sistemi per le PMI.
Ciao @pif spunto interessante, parlando con Infocamere su questo argomento mi è stato detto che presto sarà possibile acquistare firme remote al posto delle smartcard. Detto questo una soluzione potrebbe essere, tramite SPID, l’uso dell’hash come parte della stringa costituente l’identificatore (ID) dell’authreq e questa soluzione, assieme alla possibilità di utilizzare SPID in ambito FEA (Firma elettronica avanzata) è una delle cose su cui stiamo ragionando. L’obiettivo è quello di poter lavorare in totale mobilità per alcune procedure quindi direi anche l’abbandono delle smartcard/token di firma fisiche. Quindi direi che la soluzione Java, come quella della firma “offline” è una soluzione che non viene presa in considerazione se non, per la seconda, come funzionalità alternativa.
Ovviamente ogni suggerimento e idea sono benvenuti…
Beh, in futuro, l’ideale sarebbe che il livello 3 di SPID sostituisca le attuali FEA, in modo che tutto stia sotto lo stesso tetto.
La firma OTP solitamente è molto più comoda, versatile e funzionale (parlo da utilizzatore), per il semplice fatto che non richiede nessuna specifica hardware (lettori) o software (drivers) sul PC, e anche se può sembrare una stupidaggine, ogni tanto questi lettori e/o driver fanno le bizze!
Parlando come sviluppatore, la firma OTP è più comoda, perché non necessita di implementazioni lato client quali applet Java ecc. (che pure Java ogni tanto fa girare le p***e), ed è completamente gestibile senza requisiti particolari per il browser del cliente.
A parte questo, l’utilizzo di token USB o Smart Card su tablet/smartphone è impensabile (motivo in più per promuovere la firma OTP).
Già adesso è possibile acquistare firme remote, ma sul portale Infocamere il login e la firma sono possibili solo con token USB o Smart Card.
Se posso dare una mano in qualche modo, sono ben felice di aiutare!
Buon lavoro!
@umbros:
Ti riporto l’esperienza della mia azienda, che da anni fornisce un sistema di sportello telematico dal quale sono transitate alcune centinaia di migliaia di pratiche (edilizia, SUAP, ambiente, ma anche servizi sociali…)
L’articolo 65 del CAD consente di presentare validamente istanze alla PA quando l’istante o il dichiarante è identificato dal sistema pubblico di identità digitale SPID, dalla carta di identità elettronica o dalla carta nazionale dei servizi.
Il problema nasce subito dopo la presentazione: i documenti presentati a corredo dell’istanza, non hanno caratteristiche di immodificabilità. Una volta giunti a destinazione, potrebbero essere alterati all’insaputa dell’autore, senza che sia possibile dimostrarlo.
Non si deve sottovalutare il fatto che, quasi tutte le istanze presentate alla PA, prevedono dichiarazioni sostitutive di certificazione e dichiarazioni sostitutive di atto notorio per la falsità delle quali sono previste sanzioni penali.
Si aggiunga a questo che numerose istanze prevedono la sottoscrizione di uno o più documenti da parte di numerosi soggetti, diversi dal soggetto identificato dal sistema informatico. Spesso questi soggetti, essendo semplici cittadini, non sono in possesso di dispositivi di firma digitale e, se non si vuole ricorrere in modo massiccio all’uso della procura, occorre dotarli di una FEA.
Il Decreto del Presidente del Consiglio dei Ministri 24-10-2014, art. 13, comma 2 prevede che i fornitori di servizi conservano per ventiquattro mesi le informazioni necessarie a imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemi tramite SPID, ma in numerosi procedimenti amministrativi la documentazione deve essere conservata per tempi molto più lunghi.
Oggi noi facciamo utilizzare la CNS per l’apposizione di FEA, come previsto dall’art. 61 delle regole tecniche della FE ma questa soluzione è praticabile solo nelle Regioni che hanno attivato le CNS con il PIN. La disponibilità di una soluzione di FEA connessa all’identità SPID e magari basata su OTP consentirebbe di affrontare con rigore anche la digitalizzazione delle istanze più complesse.
Volentieri contribuiremo ai tavoli di lavoro che vorrete attivare sull’argomento.
In effetti, pensandoci su, un Fido U2F sarebbe fin più sicuro della FEA.
FEA è una SmartCard/Token USB o OTP. Avendo l’hardware ed il pin del dispositivo, tutte le porte sono aperte.
Con Fido ed il riconoscimento dell’impronta digitale si andrebbero a rendere le cose più semplici per l’utente (non ha il pin da ricordare, basta l’impronta) e migliori parlando di sviluppo, in quanto si tratta appunto di una tecnologia già diffusa.
In fondo FEA non è altro che un riconoscimento a due fattori con un diverso nome e una procedura più articolata, ma non di diverso funzionamento…
Non per forza, non amo citare le norme ma qui aiutano a capire cosa può essere la FEA: “Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.”
Scusa @umbros se non mi sono espresso bene, ho parlato da utilizzatore.
Fa comunque riflettere, il fatto che [quote=“umbros, post:9, topic:288”]
L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria."
[/quote]
Questo in pratica dice che ognuno è responsabile della propria firma (che è più che ragionevole), l’unica cosa è che non mi è ancora capitato di trovare un tool dove è possibile bloccare la propria firma digitale in modo semplice e veloce, come adesso si fa con le carte…
Comunque stiamo già andando fuori tema
Riguardo all’implementazione della firma OTP da parte di Infocamere nel loro servizio di FatturaPA, verrà un giorno avverato il (penso non solo) mio desiderio?
So che il lavoro da fare e le cose a cui star dietro sono molte, per cui ringrazio anticipatamente!!
