Attenzione: in caso di invio telematico (PEC o PEL) l’istanza dovrà essere sottoscritta con firma digitale ovvero, se sottoscritta con firma autografa, dovrà essere accompagnata da copia di un documento di identità.
Il documento PDF dell’interpello è stato firmato digitalmente con la mia CIE e la app CieID dell’IPSZ (Istituto Poligrafico Zecca Dello Stato). Firma Cades e involucro p7m.
Dopo 10 giorni la Direzione Regionale dell’Agenzia Delle Entrate mi ha mandato un messaggio PEC per chiedermi di chiamarli urgentemente. Al telefono è stato detto di:
stampare su carta il documento PDF,
firmarlo a mano,
scannerizzarlo,
mandarglielo nuovamente.
Io sono un po’ confuso, ma siccome volevo facilitare la vita dell’Agenzia Delle Entrate anche se non ho né stampante né scanner sono riuscito a trovare aiuto e a fare quello che mi hanno chiesto.
Volevo sapere se anche qualcun altro ha avuto esperienze simili e qual’era il contesto. Mi pare molto strano quello che è successo, ma ho preferito non bloccare la procedura per sperare in una risposta veloce all’interpello.
Una osservazione: la firma CIE non è una firma digitale ma è una firma elettronica avanzata. Salvo che la normativa vigente sugli interpelli tributari erariali non imponga espressamente l’uso della firma digitale (lo ignoro e in questo momento non posso verificare), potrei suggerire di indicare all’AdE il combinato disposto dell’art. 65 comma 1 lett. a) in rapporto all’art. 20 D.Lgs. 82/2005 e dell’art. 61 DPCM 22-02-2013, che prevedono la validità di istanze/dichiarazioni firmate elettronicamente con una delle firme ex art. 20 (tra cui pacificamente si ha la FEA della CIE). Il problema è pratico, nel senso che i software di verifica di firma e i sistemi automatizzati di verifica non sono a tutt’oggi spesso ben configurati e predisposti per riconoscere e validare una firma elettronica diversa da quelle qualificate (digitali) e finché non si adeguano diventa problematico far valere la previsione normativa di cui sopra. Ritengo che, per assicurare la conformazione dell’attività alla norma giuridica, AGID dovrebbe farsi parte diligente per imporre ai certificatori di includere la verifica nei propri software di firma/verifica anche delle firme elettroniche avanzate e non solo delle firme digitali…
Ah! OK ho confuso firma digitale con firma elettronica e ho pensato che almeno per la pubblica amministrazione fosse lo stesso. Presumo sia quella storia dei root certificate del Ministero che non sono stati firmati da altri root certificate?
A questo punto mi domando a cosa serva la App CieID di IPZS per le firme Pades/Cades, cioè in pratica quelle firme con la CIE servono a qualcosa da qualche parte?
L’unico caso in cui ho visto accettare le FEA sono nelle documentazioni online di banche e assicurazioni nella forma di firma grafometrica (ma non CIEsign). Per tutto il resto vedo comunque richiedere la firma digitale anche quando non serve.
Per chi ha bisogno di più di una firma annua su documenti in formato PADES/CADES, vedo tanti comprare le firme digitali anche se non necessario, in quanto il costo annuo è inferiore alle ore uomo per litigare con chi riceve il documento firmato e farselo accettare.
Caro Lazlu. L’Italia, come recita in latino una epigrafe riportata nel Castello di San Mezzano (FI) che era di proprietà dell’allora Senatore del Regno di Italia, Ferdinando Panciatichi Ximenes d’Aragona, nell’anno del Signore 1870: “Pudet dicere sed verum est publicani scorta – latrones et proxenetae italiam capiunt vorantque nec de hoc doleo sed quia mala – omnia nos meruisse censeo”, che tradotto in iataliano: “Mi vergogno a dirlo ma è vero, esattori, prostitute, ladri e sensali tengono in pugno l’Italia e la divorano. Ma non di questo mi dolgo, ma del fatto che ci siamo meritati questi mali ." Mi spiego meglio: abbiamo delegato la certificazione dell’identità di un cittadino italiano a delle Società per Azioni, S.r.l. etc. etc. piuttosto che agli organi istituzionali preposti!
Purtroppo l’Italia che ha normativamente adottato le firme digitali tra i primi al mondo nel 1997 si è un po’ persa per strada … si può discutere sull’utilità di avere una sterminata serie di eterogenee e variegate firme elettroniche semplici, firme elettroniche avanzate, firme elettroniche qualificate (tra cui sono comprese le firme digitali), quando poi nella pratica sono semisconosciute ai privati stessi e alle PP.AA., poco interoperabili, ancor meno accettate di fatto. Senza una persuasiva azione di AGID, soggetto istituzionale preposto all’ “enforcement” del CAD, in primis su chi produce i software di firma/verifica, è impossibile modificare lo status quo, con buona pace dei diritti digitali. Posso suggerire una segnalazione al Difensore civico digitale, previo preavviso all’Amministrazione destinataria?
@tappoz CIEID, CIESign ecc… appongono una FEA che ha un suo status ex art. 20 CAD. La firma digitale (sottospecie di firma qualificata) si differenzia dalle altre per il fatto che ha un certificato qualificato rilasciato da un certificatore e quindi in termini probatori ha un’efficacia giuridica maggiore rispetto a forme di firma “minori” (leggi le disposizioni pertinenti del CAD, ma ci sono diversi siti che spiegano le differenze tra le firme).
premesso che ho una infarinatura generale di di CA (certificate authority) e della differenza tra chiave pubblica/privata e certificato (self-signed, o appunto firmato da una CA): cosa significa certificato qualificato? perché la CIE/ministero non hanno un certificato qualificato, mentre altre aziende italiane hanno questo certificato qualificato?
Non voglio fare polemica, vorrei solo capire un po’ meglio qualche parola chiave, sigla, ecc per poter fare altre ricerche. Grazie
sono un tecnico che ha a che fare quotidianamente con l’agenzia delle entrate, direzione provinciale del territorio (ex catasto). ebbene nessuna istanza, comunicazione o qualsivoglia lettera trasmessa via email non la accettano se firmata digitalmente. soltanto se firmata a mano e scansionata con allegato documento. solo i documenti prodotti dai loro software della sogei inviati tramite il portale sister con profilo tecnico abilitato sono accettati firmati digitalmente
Il CAD è il Codice dell’Amministrazione Digitale di cui al D.Lgs. 82/2005. La differenza tra le diverse firme elettroniche è sottile ma esiste (specialmente in ordine al valore probatorio), ci sono diversi siti che danno spiegazioni (ricerche via google possono aiutare in tal senso).
In teoria vale come la firma scritta per i contratti fra privati.
Quindi se fai un contratto di qualsiasi tipo e lo firmi con la CIE (o la CNS/Tessera Sanitaria con chip), vale esattamente come se l’avessi firmato di tuo pugno.
Ovviamente qui stiamo parlando di pura teoria, perché poi far valere questo contratto di fronte ad un giudice sarebbe una barzelletta di quelle che fanno più piangere che ridere.
Per il problema iniziale, invece, se apri il PDF con Acrobat, ti dice che la firma non è valida.
Ergo l’impiegato medio non si pone il dubbio se non abbia il certificato root della CA del Ministero dell’Interno fra le CA di Acrobat o del PC e manda la raccomandata, messo a cavallo, annunziazione pubblica o nel migliore dei casi chiama l’interessato e fa fare stampa, firma, scansione.
Per informazione, su Acrobat anche free, puoi firmare facilmente i documenti (e riempire moduli) con la funzione “Fill & Sign”/“Compila e firma”, basta apporre la propria firma su foglio e fare la foto, importarla su Acrobat ed il gioco è fatto.
A questo punto mi domando io… adesso che la PEC diventa europea, con certezza dell’identità e ammenicoli del caso, se io mando una PEC da una casella certificata, posso scriverla nel corpo dell’email senza dover allegare gli esami del sangue stampati/firmati/scansionati o anche allora, con tutti i requisiti di legge soddisfatti, faranno la strategia “carta è più bello”?
Occhio, una PEC o una REM non rendono legale il contenuto. Certificano che un documento emesso da X in data Y è stato recapitato a Z. Se mandi una FEA(firmata con CIE) o una FES(firmata con lo scarabocchio via acrobat) dentro ad una PEC, viene protocollato che han ricevuto qualcosa. Dopo sta all’ente che riceve validare o scartare la pezza dentro. Se scrivi in puro testo in una PEC/REM è come scarabocchiare sulla busta di una raccomandata, all’ente ricevente interessa quello che sta dentro.
@tappoz i certificati della CIE e il processo di certificazione per emetterli fanno parte della “pipeline” di EID per il ruolo di autenticazione. Il processo di firma qualificata e la pipeline per farsi attribuire il ruolo di CA apposito sono distinti con altri prerequisiti. Come prendere la patente per l’auto e per la barca.
Se e’ registrata in un registro pubblico di domicili digitali o eletta come tale per un dato procedimento si’, altrimenti no. Nonostante le innovazioni e il riconoscimento meticoloso del titolare della casella, la sua identità non viaggia insieme al messaggio.
Algoritmo e tecnologia fra firma CIE e firma digitale (elettronica qualificata) sono quelle.
Nella FEQ cambia il fatto che interviene il certificatore qualificato che nel “certificato di firma” (accoppiata chiave pubblica + dati anagrafici) attesta autorevolmente l’identità del firmatario. E’ autorevole perche’ “qualificato” dallo Stato che, evidentemente, ritiene adeguate le procedure che impiega per riconoscere il firmatario. Ovvio che anche l’identificazione fatta per la CIE è affidabile, anzi è sicuramente piu’ affidabile.
Il certificato contiene anche altre informazioni, fra cui l’eventuale organizzazione di appartenenza e i limiti di firma, ma soprattutto il fatto che si tratta di un certificato di firma e quindi, la chiave privata usata per cifrare l’impronta del documento e’ rilasciata per quello scopo (quella della CIE invece serve per autenticarsi a un servizio online, quindi potrebbe essere intercettata abusivamente per firmare qualcosa, in linea di principio).
Qui si viene al secondo punto di differenza fra FEQ e FEA: il dispositivo sicuro, che rende il livello di certezza che la firma sia stata apposta dal suo titolare da “elevato” (FEA) a praticamente assoluto. La smart card della firma digitale è piu’ sicura di quella della CIE appunto perche’ consente l’uso solo per firmare.
Da qui il fatto che contratti delicati (tipo compravendite immobiliari) se fatti in digitale si fanno solo con una FEQ.
Pretendere la FEQ per un interpello non attiene tanto alla natura del documento, quando a scelte procedurali che, probabilmente, sono rivedibili in questo caso specifico. Insomma, l’Agenzia delle Entrate potrebbe implementare nel su sistemone anche la verifica della firma con CIE.
In linea generale, però, io non mi sentire di dire che tutte le amministrazioni devono accettare tutte le firme elettroniche avanzate/qualificate che esistono. Anche in contesti analogici (cartacei) ci sono situazioni in cui si richiede di usare per forza un modello/modulo messo a disposizione da chi riceve il documento a pena di rifiuto del documento e non ci si scandalizza più di tanto.
Preciso:
La FEA vale nei confronti della PP.AA.
Per le istanze o dichiarazioni alla P.A. si applica l’art. 65 CAD, che a sua volta ritiene valide le firme di cui all’art. 20 (firma elettronica qualificata, in cui è ricompresa la firma digitale, e la firma elettronica avanzata). Per un atto pubblico redatto da pubblico ufficiale, tranne il caso dell’atto pubblico notarile, è prescritta la firma elettronica qualificata, compresa la firma digitale.
Sui 60 milioni o giu’ di li’ che siamo nella Penisola In quanti sono a conoscenza di questi aspetti?
E’ lecito ritenere che la soluzione attuale e’ assolutamente insostenibile considerata la sua complessita’ e tutte le criticita’ che ne stanno risultando? Questo thread ne e’ la prova provata.
Aspetto con cinismo di vedere cosa succedera’ il giorno nel quale tutti i “firmi qui” e “firmi li” cui siamo sottoposti di continuo sara’ collegato alla scelta esplicita di un fornitore e a un abbonamento a pagamento. Ancora piu’ divertente, quando le firme saranno collegate a - inutilissime - dichiarazioni di presa visione, tipo GDPR.
Non stiamo esagerando?
Questa cosa vuol dire che l’Agenzia Delle Entrate dovrebbe in teoria (CA root certificate del ministero e Acrobat Reader / programmino Sogei permettendo) accettare la FEA o no?
Poi nella prima versione del tuo messaggio sembrava che le FEA dovessero essere accettate solo dalle PP.AA e non dai privati.
Però in pratica poi ho letto anche questo:
Ora, ci tengo a precisare per l’ennesima volta, che non intendo provocare nessuno e non intendo fare polemica. Sono ben consapevole delle lungaggini burocratiche italiane e della frustrazione conseguente, ma cerco di assecondare questi fenomeni al meglio che mi riesce. Sarei solo curioso di capire i tasselli mancanti.
Ad esempio questo mi pare utile:
Che pare sottendere che la FEA con la CIE sia abbastanza in quanto lo Stato che emette la CIE è considerato autorevole?
Ma poi giustamente rimangono i discorsi irrisolti della catena di firme dei certificati root che il Ministero non ha
Questo punto sebbene comprensibile mi sembra overkill. Esiste una citazione di qualche norma, codice, regolamento che specifica esattamente questo scenario del dispositivo sicuro?
Perché altrimenti mi fa venire in mente quelle storie assurde tipo che i pedoni non attraversano mai la strada neanche sulle strisce pedonali per il rischio non nullo di essere investiti dalle macchine. Bloccando di fatto la circolazione pedonale sui marciapiedi (è un assurdo, sottolineo).
Grazie ancora per tutti questi spunti utili che sono stati condivisi.
Regolamento (UE) n. 910/2014 in materia di identificazione elettronica e
servizi fiduciari per le transazioni elettroniche nel mercato interno, eIDAS: definizioni, articol0 26 e dintorni, allegati specifici su certificato qualificato e dispositivo sicuro.
Dpcm 22 febbraio 2013
Regole tecniche in materia di generazione,
apposizione e verifica delle firme elettroniche avanzate, qualificate e
digitali Gazzetta Ufficiale
art. 60 e art. 61
uno dice che di fatto non c’e’ FEA senza un’organizzazione che la mette a disposizione dei suoi interlocutori. si parla di “soluzione di fea”, infatti.
l’art. 61 dice, in un certo senso, che l’organizzazione p.a. italiana mette a disposizione la CIE come FEA. Da qui due riflessioni:
se un privato decide di usare la firma tramite CIE nei rapporti con i suoi interlocutori, perché no? Ma va stabilito.
non e’ cosi’ pacifico che tutto cio’ che e’ consentito vada fatto. In questo caso, ok, un documenti con firma con CIE e’ valido (forma scritta e valore di scrittura privata) nei rapporti con la PA, così come in linea di principio lo è la lettera cartacea con firma autografa e copia di documento spedita per posta…
