Buongiorno a tutti. Ho da poco firmato online alcune delle proposte referendarie. Ho avuto l’impressione che le piattaforme utilizzate dai diversi promotori non rispettino la normativa vigente (e in particolare le linee guida agid sulla firma con spid). Non è peraltro chiaro se la firma che viene raccolta sia una firma qualificata (come richiedere la legge) o una firma con spid (che non è una firma qualificata anche se ha lo stesso valore). Vi chiedo se avete avuto la stessa impressione o se sbaglio io nell’analisi. La questione non mi pare di poco conto, perché se ho ragione io le firme potrebbero essere annullate dalla Cassazione. Grazie a chi saprà illuminarmi
Salve, mi racconta come ha funzionato per lei la firma con SPID, anche io ho firmato on line, ma mi chiedevano, in caso avessi avuto anche la firma digitale, di utilizzare quest’ultima per un problema di costi e quindi alla fine non ho utilizzato SPID.
Mi chiedo se sia effettivamente una firma con SPID o, se invece, SPID non venga utilizzato per rilasciare una firma qualificata utile solo allo scopo della firma del referendum.
1 Mi Piace
@ettoremazza Approfitto anche se forse e’ gia’ stata segnalato altrove: dove sono le “regole tecniche” per la firma online per le proposte di referendum?
il decreto approvato parla solo di possibiilità di sottoscrivere il referendum anche con firma qualificata ai sensi sel CAD. Per questo ho fatto la domanda…
Dai un’occhiata al punto c) del comma 38 Quater
Lo spid è usato per il riconoscimento a distanza per il rilascio di un certificato qualificato che dura 6 mesi ma utilizzato una sola volta. Il certificatore di questo certificato è in Irlanda. Anche io avrei dei dubbi su come è stato costruito questo sistema ma non credo si possa mettere in dubbio la volontà del cittadino firmatario. Mi auguro che il sistema che deve realizzare il Ministero dell’interno sia realizzato in modo che anche le fasi successive siano completamente digitali ed efficienti. Attualmente i Comitati promotori hanno i moduli firmati digitalmente e poi attendono di ricevere con i metodi datati i certificati elettorali. Mi aspetto una piattaforma che in tempo reale verifichi quanto necessario. Anche per le proposte di legge di iniziativa del Popolo possano avere un canale digitale con obbligo di discussione dal Parlamento.
2 Mi Piace
Grazie @ettoremazza , puntualissimo.
A leggere il testo che debba essere firma qualificata (con marca temporale) non ci piove. Probabilmente - e come conferma @Paolo_Pellegrino - tramite SPID un prestatore di servizi fiduciari rilascia una firma digitale usa e getta.
Ho visto sul sito di raccolta firme per l’eutanasia legale: per chi non ha SPID si dice chiaramente che interviene un prestatore di servizi fiduciari che identifica e rilascia la firma digitale usa e getta. Sulla procedura per chi ha SPID sono più evasivi, ma si immagina che sia la stessa cosa, solo che l’identificazione si fa con SPID (da qui la possibilità di automatizzare e abbattere i costi).
Immagino, e sarebbe interessante avere la conferma, che nel processo di firma il cittadino concluda anche un contratto con chi gli fornisce la firma usa e getta.
Interessante la consegna delle firme, nelle more della piattaforma:
I promotori del referendum depositano le firme raccolte elettronicamente nella stessa data in cui effettuano il deposito di eventuali firme autografe raccolte per il medesimo referendum. Le firme raccolte elettronicamente possono essere depositate presso l’Ufficio centrale per il referendum presso la Corte di cassazione come duplicato informatico ai sensi dell’articolo 1, comma 1, lettera i-quinquies), del codice dell’amministrazione digitale, di cui al .decreto legislativo 7 marzo 2005, n. 82, ovvero come copia analogica di documento informatico se dotate del contrassegno a stampa di cui all’articolo 23, comma 2-bis, del medesimo codice.
Immagino:
- come duplicato informatico: documenti (txt? pdf?) copiati su più supporti
- come copia analogica di documento informatico se dotate del contrassegno a stampa di cui all’articolo 23, comma 2-bis: escluso il caso di un contrassegno che con un sistema proprietario riporti in modo sicuro il contenuto del documento (verrebbe meno l’assolutà opponibilità a terzi del documento, inteso come provenienza/firma, legame con l’autore, immodificabilità e integrità, collocazione temporale - vista la mancanza di fede pubblica del comitato promotore), resta l’opzione che sulla stampa si appplichi un qr-code che consente di accedere all’orginale (firmato con firma qualificata e marcato temporalmente con marca qualificata) che è autoconsistente quanto a validità.
Chissà quale strada seguono i promotori dei referendum attualmente in fase di raccolta firme.
L’uso di Spid da parte delle PA è gratuito mentre per altri soggetti il gestore Spid riceve un compenso per ogni transazione.
I miei dubbi sulla modalità adottata sono proprio sul fatto che non è descritto bene quello che avviene tra chi vuole firmare con Spid e le aziende che interverranno nel processo.
Mi chiedo se non fosse più semplice ed economico usare direttamente un meccanismo che collega l’operazione di identificazione con Spid e il testo che si vuole firmare. Ricordo che dalla identificazione si ottiene un identificativo univoco dell’operazione. Certo per questo occorrerebbe una legge per non ricadere nella FEA che può essere considerata nulla a posteriori. Occorrono meccanismi che considerano il contenuto senza legarsi a contenitori non necessari per una vera digitalizzazione. Il metodo di firma Spid approvato da Agid è solo un regalo ad una azienda extracomunitaria e a quelle aziende a questa legata. C’è poi la questione della interoperabilità reale dei certificati di firma remota. Possibile che anche qui Agid, almeno per quelli italiani, non abbia agito per concordare modalità interoperabili in modo che tutti i software di firma, come per Spid, possano far selezionare il certificatore usato e indicare i parametri necessari? I Comitati referendari in attesa della piattaforma ministeriale usano quello che il mercato offre e meno male che c’è questa possibilità altrimenti chissà quanto dovevano aspettare. Comunque occorre digitalizzare tutte le fasi non solo la firma per esprimere la volontà a richiedere il referendum.
Facciamo ordine.
SPID e’ gratuito per le PA come sistema di autenticazione.
La firma SPID prevista da AGID e implementata credo da nessun IdP non ha niente a che fare con la firma qualificata (richiesta per le firme per referendum, a mio modo di vedere giustamente).
Tecnicamente l’autenticazione SPID, visto che e’ autenticazione, non può diventare firam qualificata o equiparata se non con opportuni accorgimenti (come appunto quelli della firma SPID ipotizzata, in cui l’Idp di fatto fa da notaio pubblico ufficiale)
Il tema dell’interoperabilità della firma remota è notevole, bella osservazione. L’interoperabilit’ delle firme remote (ovvero un unico modo per chiamare il gestore delle firma - come avviene del resto per gli IdP in caso di autenticazione SPID) rimuoverebbe un bel freno alla firma di documenti in procedure online.
DI questa affermazione invece non colgo il significato…
Vi ringrazio per gli interventi. Devo dire che la piattaforma usata per i referendum a favore dell’eutanasia e per due contro la caccia offrono, apparentemente la possibilità di firmare con spid. In realtà, come avete giustamente osservato, spid non è utilizzato per firmare (secondo le modalità previste dalle linee guida di agid), ma solo per identificare il firmatario, il quale firma con un certificato qualificato rilasciato da un QTSP irlandese (con sede a Dublino). L’apposizione di una firma qualificata è in linea con il testo della norma (mentre non lo sarebbe una firma con spid, che porta invece all’applicazione di due sigilli elettronici qualificati). Tuttavia la piattaforma non chiarisce a chi “firma con spid” che cosa sta accadendo. C’è da dire, però, che la piattaforma invia all’interessato un duplicato del documento firmato (o almeno così dovrebbe essere). Di certo il percorso resta poco trasparente. Molti dubbi rimangono invece per il terzo referendum contro la caccia (un sì contro la caccia). In questo caso, infatti, i promotori utilizzano una diversa piattaforma, che non sembra dialogare con un QTSP. Anche il documento che viene restituito al sottoscrittore non risulta firmato. Posso solo aggiungere che la piattaforma si trova nel market di Agid (votapa), ma è ignoto chi sia il certificatore qualificato che appone il certificato. Grazie di nuovo a tutti per il tempo dedicato al mio primo quesito
1 Mi Piace
Spid è usato come metodo di Autenticazione per rilascio di firme qualificate. Fatti un giro sui siti dei certificatori e vedrai chi lo usa.
Spid è usato da una piattaforma per la raccolta di firme per referendum che fa rilasciare da un certificatore un certificato di firma qualificata usato oneshot per firmare un modulo pdf.
Agid ha pubblicato un metodo per firmare pades partendo da Spid. Questa cosa non mi piace.
Per una digitalizzazione di processi mi aspetto l’uso di cades o xades diversamente è usare carta di bit al posto di carta di cellulosa.
Per censire chi approva una proposta referendaria credo siasufficiente l’uso di spid e non fare un passaggio verso un certificato di firma digitale da usare una sola volta. Qui sembra che si sia creato un bussines invece che usata una tecnologia che aiuta/riduce la burocrazia o come la chiama qualcuno burofollia. Allo stato attuale per rispettare la legge un comitato conviene il doppio passaggio spid/firma qualificata che avere banchetti in tutti i comuni.
Diciamo che un buon compromesso sarebbe usare la CIE con uno dei metodi CAdES, XAdES, PAdES. Legame certo all’oggetto firmato (anche a vantaggio del firmatario mediamente sprovvisto di sistemi avanzati di gestione dei documenti). Anche simbolicamente significativo: la carta di identità e’ un po’ uno status di cittadino e si usa per esercitare un diritto da cittadino.
Se solo IPZS aggiungese a CIEID un metodo di firma con CIE da appoggiare ai servizi online…
In principio si pensava di distribuire la sola cie.
Poi visto che la distribuzione andava a rilento anche perché litigavano sul chip da usare venne l’idea di distribuire cns sfruttando la distribuzione delle tessere del codice fiscale divenute tessere sanitarie. In realtà una direttiva UE stabiliva che chi non aveva la tessera sanitaria doveva distribuire una tessera con chip. Come al solito in Italia decisero di cominciare a distribuire tessere senza chip CF/TS qualche giorno prima della scadenza stabilità così si sono spesi soldi per le tessere senza chip poi sostituite da quelle con chip.
Per il pin ogni regione stabiliva le regole e cosi molte tessere cns non erano/sono utilizzabili.
Poi hanno dato la possibilità di distribuire altre cns.
Peccato che per usare le cns ed in generale le smart card occorrono lettori e drive software con la diffusione di smartphone e Tablet un problema.
Finalmente arriva lo Spid.
Siamo in attesa dello Spid delegato.
Rimarco che se si implementano soluzioni di firma digitale queste devono essere cades xades. Il pades è utilizzabile con il formato pdf che in una reale digitalizzazione non si dovrebbe utilizzare. Infatti il pdf è una anteprima di una stampa ma per rimanere nel mondo digitale è un grande spreco di risorse. Non vogliamo certificati di carta da consegnare ad altra PA e non vogliamo neanche certificati pdf da consegnare ad altra PA o conservare in archivi. Tornando al tema referendum a parte questa fase dove si i Comitati si sono organizzati al meglio ci aspettiamo che la piattaforma del Ministero preveda tutte le fasi digitalizzate. Per davvero.