la firma digitale è una tipologia di firma qualificata (FEQ)
semmai la firma elettronica fatta con lo spid è una FEA Firma Elettronica Avanzata
La differenza tra firma digitale e SPID mi e’ chiara. Quello che volevo sottolineare e’ un altro aspetto, se partendo con qualifiche non corrette, o chiaramente false, si puo’ salire la “catena alimentare” fino a giungere a un’identita’ digitale perfetta, o a una firma qualificata, ma rilasciata alla persona sbagliata.
Esempio concreto. Pretendo di chiamarmi John Smith ed essere cittadino canadese residente in Italia. Falsificare lo scan di un passaporto o di un permesso di soggiorno e’ facile se non viene verificato il documento originale. Compro una SIM farlocca, non difficile, darsi un codice fiscale plausibile e’ facilissimo e in videoconferenza imito Alberto Sordi dell’americano a Roma. A questo punto ricevo SPID o il fornitore si accorge dell’incongruenza e lo segnala alla Polizia?
Poi si giunge alle carte d’identita’ segnalate da @Paolo_Del_Romano o al tipo che promette di starsene buono ai domiciliari…
@ettoremazza @Paolo_Del_Romano
Secondo il regolamento europeo eIDAS (Sezione 21.1) ci sono tre diversi livelli di firma elettronica, firma elettronica standard (Standard Electronic Signature, SES), firma elettronica avanzata (Advanced Electronic Signature, AES), firma elettronica qualificata (Qualified Electronic Signature, QES)
Qual e’ il livello della firma CIE secondo nel quadro delle norme europee?
Se non e’ un livello QES, ha senso che fornitori di identita’ digitale forniscano la firma QES basandosi sulle credenziali CIE? O non lo fanno, e richiedono altre verifiche?
Il termine “digitale” e’ equivalente a “elettronico” oppure no? E’ necessario fare una distinzione? Nell’uso corrente sono di fatto usati come sinonimi.
Le truffe sono sempre state e saranno sempre possibili.
Non sono sinonimi. La SES è la firma elettronica semplice (equivalente ad una autenticazione nome utente e password di un sito); la AES è la firma elettronica avanzata (FEA), tra cui è inclusa la firma SPID e la firma CIE (non ha dietro un certificatore accreditato e qualificato); la QES è la firma elettronica qualificata (FEQ), munita di un certificato qualificato (tra cui è ricompresa la firma digitale): nella prassi applicativa per quest’ultima hai una smartcard da collegare ad un lettore a contatto o un token USB oppure credenziali di firma digitale remota con app/programma.
2 Mi Piace
A questo punto e’ lecito chiedersi perche’ la CIE non sia adatta per QES visto che e’ una smartcard da collegare a un lettore a contatto e verifica con PIN. L’identita’ estone e’ una QES e funziona con smartcard, lettore e PIN.
Considerato che “elettronico” e “digitale” nell’uso comune, non specialistico, sono percepiti come sinonimi forse la scelta di un’altra terminologia aiuterebbe a fare meno confusione. Lo dico anche riguardo me stesso.
chi rilascia questo certificato digitale non è accreditato per la firma digitale
(questione di business 
)
2 Mi Piace
Come giustamente dice @Paolo_Del_Romano è una questione lato-sensu “politica”; il Ministero dell’Interno non è inserito nei certificatori accreditati qualificati, per non bruciare l’attività economica dei fornitori di firma digitale (chi avrebbe più necessità di acquistare, spesso ad un prezzo non propriamente politico, un dispositivo di firma, un certificato di sottoscrizione e un certificato di autenticazione da Infocert, Infocamere, Aruba, Namirial, Poste Italiane ecc…?)
Per il resto non dimentichiamo che un conto è l’identificazione di un soggetto e un altro è l’apposizione di una firma ad un documento, lavorano su due piani diversi.
3 Mi Piace
La differenza tra AES e QES è il tipo di certificato usato nel processo di firma. AES va bene tutto, QES vuole un certificato con ruolo “Digital Signature”. La CIE ha dentro un solo certificato col ruolo “Authentication” a differenza dei dispositivi di “firma digitale” che ne hanno due (uno per “Digital Signature” e uno per “Authentication”).
I programmi di gestione documenti firmati che validano correttamente le firme AES si contano sulle dita di una mano a causa della stortura di usare certificati che non nascono per il ruolo di signature, basterebbe dare le CIE con i certificati giusti(due al posto di uno) ma ammazzerebbe l’oligopolio degli emittenti di firme digitali.
1 Mi Piace
prima o poi si dovrà fare …vediamo se il sottosegretario Alessio Butti, colui che si è presentato come il semplificatore del sistema degli strumenti di identità digitale, avrà il coraggio di fare
1 Mi Piace
ecco perchè la ridondanza di Spid risulta attraente rispetto alla (attuale) CIE
2 Mi Piace
Chissà se la SLA del ministero ci da diritto a rimborso per mancata disponibilità 
1 Mi Piace
1 Mi Piace
Curioso che all’AGID non sappiano che quando c’è di mezzo la PA qualunque clausola di rinnovo tacito è nulla di diritto. Al massimo c’è una prorogatio ma il rinnovo tacito non esiste.
2 Mi Piace
Ecco la roadmap che dovrebbe segnare il passaggio dallo Spid al IT-Wallet:
- pubblicazione del decreto legge sul tema (quello inizialmente atteso entro fine luglio, ma slittato)
- pubblicazione dei decreti attuativi
- definizione delle regole tecniche relative a creazione e gestione dell’infrastruttura
Le tempistiche stimate prevedono la disponibilità di una versione dimostrativa entro fine anno e di quella pubblica non prima di metà 2024.
3 Mi Piace
Spero si avrà il buonsenso di renderlo più fruibile a quella fascia di popolazione che fino ad oggi ha visto con ritrosia l’uso di SPID e CIE. Come dimostra un minimo di attenzione nei rapporti tra uffici della P.A. e utenza di riferimento se uno strumento è troppo complicato/astruso/difficile chi non ne ha un vantaggio tangibile o ha metodi alternativi equipollenti semplicemente quello strumento non lo usa (P.S. sarei curioso di sapere quanti italiani hanno utilizzato davvero per l’autenticazione telematica la CIE 3.0… P.S.-bis come contano di far accedere il cittadino ad App IO a regime?)
è la sfida più complicata…
1 Mi Piace
anche perchè si parla di uso offline del wallet, dunque cartificherà in maniwra autonoma l’identità per un certo lasso di tempo?
1 Mi Piace
Android e iOS hanno schemi appositi per lo stoccaggio sicuro/offline di dati. Le carte di credito salvate nei wallet non invocano internet ad ogni uso. Probabilmente useranno i secure enclave forniti dai dispositivi.
1 Mi Piace
“Non è da escludere che, al termine del periodo, si possa optare per un’ulteriore proroga di 24 mesi.”
2+2=4
Se tutto va bene, se ne parlerà tra 4 anni !!!