No. Io intendevo proprio il documento principale. Oggi in tutti i casi che ho visto in prima persona l’istanza è protocollata come semplice documento pdf (o xml) senza nessun tipo di firma.
Che tecnica usate per “firmare” il documento?
E gli utenti linux ? Vedo solo SW per windows !
Anche ArubaSign (disponibile per tutte le piattaforme) consente di firmare usando il certificato di una CNS, ma io lo trovo meno bello.
anche Regione Lombardia rilascia il suo CRSManager per tutte le piattaforme
Qui trovi file protector per tutte le piattaforme: http://www.card.infocamere.it/infocard/pub/download-software_5543
1 Mi Piace
Non intendevo questo. Ma fate sempre sottoscrivere ogni istanza?
Cioè ignorate art 65
Proprio perché diamo attuazione all’art.65 del CAD ci preoccupiamo che la validità delle istanze possa mantenersi nel tempo.
Il problema nasce infatti subito dopo la presentazione dell’istanza: i documenti presentati in questo modo, non essendo firmati digitalmente, non possiedono la fondamentale caratteristica dell’immodificabilità. Una volta giunti a destinazione, potrebbero essere alterati all’insaputa dell’autore, senza che sia possibile dimostrarlo.
Nel 2015 ho provato a spiegare nel dettaglio questa cosa in questo articolo: Arriva SPID, la CNS va in pensione? ma se adesso arriva la FEA SPID, abbiamo più strade per garantire l’immodificabilità dei documenti!
Resta il fatto che è auspicabile che la FEA possa essere apposta a documenti di diversi formati che, dopo la protocollazione, siano conservati in modo adeguato.
Premesso che condivido al 100% quello che scrivi nell’articolo (almeno per quanto riguarda la questione della firma, che appunto é quello che intendevo discutere), nella mia esperienza personale ho visto che nessuno si pone minimamente il problema. Per anni ho cercato di convincere il portale della provincia che serve il mio comune che le istanze non potevano arrivare così “nude” ma mi hanno ignorato (nella migliore delle ipotesi più spesso sbeffeggiato o preso per paranoico…peccato non aver visto prima il tuo articolo…)
Però l’art.65 dice che le istanze sono valide se presentate attraverso servizi autenticati con CNS (e ora SPID) e al comma 2 precisa che sono come se fossero rese davanti a persona responsabile del procedimento (così da non aver problemi con la 445). Non credo che si debba necessariamente sottoscriverle con una FEA, tanto meno costringere il cittadino a farlo. L’art.65, parificando (o meglio a mio parere confondendo) autenticazione con sottoscrizione opera, che ci piaccia o meno (a me personalmente non piace) una semplificazione per il cittadino con lo scopo di rendere più semplice presentare istanze e dichiarazioni alla PA. L’onere poi di avere questi documenti con tutti gli elementi necessari é della PA, non si può ribaltare sul cittadino.
Proprio per questo motivo un sistema di autenticazione per la PA, che ha a che fare con l’art.65, non può non contemplare un sistema per garantire la provenienza e l’immodificabilità del documento.
Può essere una FEA eseguita con SPID (io insisto su questo che non dovrebbe essere il Service Provider a implementarla ma l’IdP) oppure, almeno per i documenti soggetti all’art.65, istanze e dichiarazioni, si potrebbe seguire la strada indicata dalla PEC-ID, cioè una firma dell’IdP (perché IdP anche in questo caso ? perché la firma deve essere di una terza parte) con un’attestazione che certifica che il documento é stato caricato a sistema in una sessione autenticata con l’identità digitale di quel soggetto.
Molte amministrazioni oggi che accettano di avere istanze postate on-line caricando nei propri documentali documenti privi di qualsiasi tipo di firma, oltre ad avere problemi con la corretta tenuta dei loro archivi (che, non me ne vogliano gli archivisti, potrebbe anche essere un problema minore), si assumono il rischio di essere certamente perdenti in caso di contestazione da parte dell’istante. Perché la firma elettronica é sí valutabile in giudizio, ma quei documenti non hanno nemmeno un firma elettronica semplice. Può andare bene anche così, ma andrebbe fatto come minimo con consapevolezza, cosa che purtroppo non esiste.
Proprio per questo motivo SPID è incompleto.
2 Mi Piace
Prima di tutto grazie per questa interessantissima discussione, ricca di utili spunti!
Me la sono letta tutta e a prima vista mi sembra che il tema di garantire l’immutabilità del file sia più semplice di come lo state dipingendo.
Ecco alcuni esempi di come si potrebbe fare:
- Il documento semplice caricato dal cittadino potrebbe essere firmato digitalmente dall’amministrazione per accettazione, magari apponendo pure una marca temporale, e una copia restituita al cittadino che quindi potrebbe provare in questo modo di aver consegnato proprio quel documento.
- dal documento semplice caricato dal cittadino potrebbe essere estratta una impronta (SHA256?) e tale impronta inserita nel testo della risposta e/o della ricevuta che sarà consegnata al cittadino, così da provare che l’istanza era riferita proprio a quel documento e non ad altri
- il documento semplice caricato potrebbe essere protocollato e in tal modo inserito in una catena di conservazione che già deve garantire l’immodificabilità per altri motivi
- il documento semplice caricato potrebbe essere inserito in un merkletree e/o hashchain, ad esempio banalmente un repo git, il quale sarà pubblicato in tempo reale accessibile a tutti affinchè chiunque, cittadino compreso, possa verificare in ogni momento che il documento a cui si fa riferimento fosse proprio quello che dava origine a quell’hash
Il punto fondamentale mi sembra che stia nel fatto che la firma con certificati e crittografia asimmetrica è necessaria per garantire contemporaneamente che (1) il file non è stato alterato e che (2) la firma è stata apposta da una precisa persona. Nel momento in cui rilassi il requisito (2), avendolo coperto per altra via, diventa tutto più semplice.
Simone Piunno
Team per la Trasformazione Digitale
2 Mi Piace
I miei 5 cents:
- se apro un contenzioso con l’amministrazione preferirei che l’immodificabilità fosse garantita da una terza parte.
- la soluzione proposta garantisce la possibilità di avere un unico documento firmato da più soggetti, così come definito del titolo del tread
Ti posso garantire di no.
Ciao @ssette, non si nasconde nulla e non ci si pente anzi l’utilizzo di questo strumento è l’esatta dimostrazione che le cose si fanno alla luce del giorno, ma ogni cosa ha una priorità e teniamo che vengano realizzate le cose anche con la vostra collaborazione e contributo.
Per quanto attiene l’immutabilità sono daccordissimo con quanto detto da @spiunno
Buon weekend
Umberto Rosini
Agenzia per l’Italia Digitale
Caro @umbros apprezziamo molto questa policy tutta improntata alla trasparenza. Credo che sia una vera novità nella PA (e non solo nella PA).
1 Mi Piace
ho letto con interesse e mi e’ sorta spontanea una riflessione, relativa non tanto al quesito originario ma ai suoi sviluppi: ma se si spaccasse cosi’ il capello in quattro anche in ambiente analogico, potremmo essere certi della validità della documentazione prodotta negli ultimi 50 anni?
Ciao Francesco,
In realtà sulla carta il documento (nello specifico l’istanza) non solo era sottoscritta ma lo era di norma di fronte all’ufficiale addetto.
Ora quelle presentate digitalmente, se non si prendono precauzioni, non hanno nessun legame con chi le ha presentate.
Quindi si va a peggiorare, non a chiedere di più.
Per il resto concordo con la tua osservazione, all’informatica si tende a chiedere troppo, specialmente se confrontato a quella che era la prassi per digitale.
La cosa non è però del tutto immotivata perché con il digitale ci si espone a problemi “seriali” che nel mondo cartaceo non esistevano.
Ciao a tutti, ho letto con interesse la discussione…ma è troppo tecnica per me, esce e di molto dalle mie conoscenze … provo a riorientare sulla mia prima domanda e scusate se vi sembrerò banale…
parto da un presupposto che spero sia giusto ovvero che lo Spid è un sistema di autenticazione per l’accesso a…,
quindi se io cittadina uso il mio spid per accedere il sistema mi riconosce.
Cittadina: accedo al portale del comune di Spinea e voglio compilare il modulo di variazione di residenza. Trovo un file pdf editabile(che è la trasposizione di quello cartaceo) e inserisco tutti i dati che mi sono richiesti. salvo e invio.
Comune: arriva nel mio sistema dei flussi il file e viene protocollato in automatico assegnandolo all’anagrafe. ATTENZIONE NON è UN’ISTANZA MA UNA DICHIARAZIONE e c’è una sostanziale differenza!
Anagrafe: mi arriva dal sistema il file che è vero che non è firmato ma, per quanto mi riguarda, essendoci l’identificazione con Spid la considererei fatta e inviata dal cittadino autenticato e quindi valida …
Vi informo che tutti i dati dichiarati, anche allo sportello fisico, sono poi verificati e quindi se la cittadina ha dichiarato il falso o se ci sono dati errati saranno comunque rettificati d’ufficio.
(voi non avete idea di quante persone sbaglino le date di nascita, anche la propria!)
Quindi in teoria basterebbe che ogni maggiorenne compilasse il proprio modulo.
ma se fosse una famiglia( a parte il fatto che dovrei aprire due procedimenti amministrativi, due avvii al procedimento, doppio accertamento ecc.), non potrei sapere che è una famiglia che si trasferisce e salterebbero i legami di parentela con tutte le conseguenze…
per questo sarebbe utile che ci fosse la possibilità della doppia firma… perché il capo famiglia dichiarerebbe per tutti i componenti esempio il marito anche per la moglie che firma anche lei ed entrambi per i figli minorenni…
Se mi inviano l’istanza a mezzo fax io identifico il cittadino perché mi allega un suo documento d’identità, non verifico la corrispondenza della firma, mica sono un perito calligrafo!
io assimilerei l’accesso con tessera sanitaria (con pin) la firma digitale e spid proprio come la trasposizione informatica di una carta d’identità che vi ricordo “costituisce mezzo di identificazione ai fini di polizia” ovvero la foto corrisponde a quella persona… quindi anche quelle credenziali di accesso corrispondono a quella persona…
grazie per l’attenzione
Raffaella
grazie… lo avevo visto ma non ho ancora una soluzione in attesa di Spid…