Introdurre la fattura elettronica e allo stesso momento offrire un sito web pubblico, intuitivo, facile da gestire, accessibile da tutte le piattaforme/ browser e’ una cosa. Introdurla e poi di fatto rimandare a nuovi package software a pagamento, che girano solo su alcune combinazioni astrali di hardware - sistema operativo - versione Java - qualche altro pacchetto commerciale del quale e’ pero’ disponibile solo la versione XP o Internet Explorer e’ un’altra. Credo che la reazione spontanea, “a pelle”, della cittadinanza quando sente parlare di digitalizzazione e’ il secondo scenario, non il primo.
Esistono per fortuna ottimi esempi del primo scenario. ANPR, ad esempio.
1 Mi Piace
io con Aruba ho come token una card con visore dei numeri random (Credenziali L2 OTP DISPLAY) che sostituiscono le App e gli Sms. Quindi evito l’uso del cellulare.
Però mi costa 10 euro +iva l’anno!
1 Mi Piace
Anpr ci hanno messo 18 anni per realizzarlo …non mi pare un modello da seguire! 
1 Mi Piace
Avevo valutato quella possibilita’. Mi sta un po’ sullo stomaco il prezzo, visto che il suo valore di mercato sara’ 2 EUR al massimo e per Aruba e’ un sistema ancora piu’ sicuro di una app su smartphone, proprio per il fatto di essere token fisico. Ma la cosa piu’ divertente, ne ho fatto anche degli screenshot, e’ la pubblicita’ di Aruba “la usi in modo molto comodo e senza dipendere dallo smartphone”. Wow! E’ quello che sostengo da anni 
il costo di Aruba per la fattura elettronica è di qualche decina di euro l’anno e non mi pare sia questo il problema per qualsiasi soggetto (seppure di piccola dimensione) che abbia una partita iva da gestire. Fare le fatture a mano costa sicuramente di più.
“Anpr ci hanno messo 18 anni per realizzarlo”
Pero’ funziona, ha un’interfaccia intuitiva e non ha o quasi eguali al mondo. In Germania tutti i certificati si fanno tuttora allo sportello, ad esempio.
non dimentichiamo che quasi tutti i comuni hanno fatto la migrazione a Anpr grazie alle varie società di consulenza informatica. Da soli era quasi impossibile per le varie complicazioni che il sistema prevedeva.
No, assolutamente no. Dove trova queste informazioni ?
Io la posseggo e la ho fatta anche per i miei genitori anziani.
La firma digitale la rilasciano tantissimi privati.
Aruba, Poste, Infocert, Namirial etc.
Sia con dispositivo fisico che da remoto. Sia con riconoscimento con documento che in video.
DOMANDA a cui non ho saputo rispondere:
Un mio conoscente che risiede a Malta (su Aire) vuole sapere se può chiedere (a distanza) la firma digitale in italia avendo come documento italiano il passaporto (ha la carta d’identità italiana scaduta) facendo il riconoscimento a distanza con la web cam? Con quale società?
Io proverei con Infocert
E per sicurezza non farei menzione di essere all’estero o iscritto all’AIRE. Li mette solo in confusione.
Allora mi sfugge qualcosa e mi piacerebbe avere migliore chiarezza.
La firma della CIE e’ digitale, ma non e’ qualificata. Malgrado la CIE sia rilasciata da un pubblico ufficiale e solo in presenza fisica del richiedente.
E’ possibile ricevere una firma “qualificata” da uno dei fornitori SPID con riconoscimento da remoto?? Qui ci vedrei una falla enorme di sicurezza.
Mentre le Camere di Commercio rilasciano una firma digitale qualificata, a pagamento, andandoci di persona. E questo va bene cosi’.
Lei sta facendo un po’ di confusione. Cerco di chiarire meglio:
SPID e firma digitale non hanno nessuna relazione l’una con l’altra.
La firma digitale qualificata esiste da molto prima di SPID ed è la versione digitale della firma olografa.
La rilasciano molteplici enti e le modalità con cui verificano l’identità del richiedente sono moltissime. Se gliela spediscono a casa, l’identificazione la fa il postino, se la ritira in un DHL la fa la persona che gliela consegna.
Se gliela rilascia la sua banca, bastano le credenziali di accesso (o cmq la Banca sceglie quali modalità di verifica usare).
Poi ci sono le identificazioni da remoto, ora che esiste SPID anche SPID è una modalità di identificazione, come la videochat con l’operatore. Non c’è bisogno di nessun pubblico ufficiale e cmq anche Infocamere la rilascia online.
Per quanto riguarda SPID che è un sistema di credenziali per l’accesso, l’unico punto di contatto con la firma elettronica è che anche per il rilascio di SPID serve l’identificazione. Il possesso di una firma digitale e la possibilità di firmare digitalmente il documento di richiesta dello SPID è, ovviamente, una modalità sufficiente di identificazione.
Un po’ come quando chiede il passaporto per la prima volta la identificano con la carta di identià e viceversa (se ha il passaporto prima della prima carta di identità).
Non c’è nessuna specifica falla di sicurezza. Se l’dentificazione da remoto va bene per SPID deve andare bene anche per qualunque altra attività che la richieda. Poi possiamo discutere della sicurezza dell’identificazione da remoto, ma in questo caso dovremmo anche discutere del fatto che quando ritira il pacchetto con la firma in un DHL, la persona che dovrebbe farlo non controlla affatto. La firma digitale di mio papà è stata ritirata da mia mamma e nessuno ha detto nulla.
e allora dovremmo pure discutere anche della sicurezza dell’identificazione in presenza …visto che Matteo Messina Denaro aveva con se diverse carte di identità cartacee false ma emesse da Comuni veri con la complicità dei funzionari dell’ufficio anagrafe.
la firma digitale è una tipologia di firma qualificata (FEQ)
semmai la firma elettronica fatta con lo spid è una FEA Firma Elettronica Avanzata
La differenza tra firma digitale e SPID mi e’ chiara. Quello che volevo sottolineare e’ un altro aspetto, se partendo con qualifiche non corrette, o chiaramente false, si puo’ salire la “catena alimentare” fino a giungere a un’identita’ digitale perfetta, o a una firma qualificata, ma rilasciata alla persona sbagliata.
Esempio concreto. Pretendo di chiamarmi John Smith ed essere cittadino canadese residente in Italia. Falsificare lo scan di un passaporto o di un permesso di soggiorno e’ facile se non viene verificato il documento originale. Compro una SIM farlocca, non difficile, darsi un codice fiscale plausibile e’ facilissimo e in videoconferenza imito Alberto Sordi dell’americano a Roma. A questo punto ricevo SPID o il fornitore si accorge dell’incongruenza e lo segnala alla Polizia?
Poi si giunge alle carte d’identita’ segnalate da @Paolo_Del_Romano o al tipo che promette di starsene buono ai domiciliari…
@ettoremazza @Paolo_Del_Romano
Secondo il regolamento europeo eIDAS (Sezione 21.1) ci sono tre diversi livelli di firma elettronica, firma elettronica standard (Standard Electronic Signature, SES), firma elettronica avanzata (Advanced Electronic Signature, AES), firma elettronica qualificata (Qualified Electronic Signature, QES)
Qual e’ il livello della firma CIE secondo nel quadro delle norme europee?
Se non e’ un livello QES, ha senso che fornitori di identita’ digitale forniscano la firma QES basandosi sulle credenziali CIE? O non lo fanno, e richiedono altre verifiche?
Il termine “digitale” e’ equivalente a “elettronico” oppure no? E’ necessario fare una distinzione? Nell’uso corrente sono di fatto usati come sinonimi.
Le truffe sono sempre state e saranno sempre possibili.
Non sono sinonimi. La SES è la firma elettronica semplice (equivalente ad una autenticazione nome utente e password di un sito); la AES è la firma elettronica avanzata (FEA), tra cui è inclusa la firma SPID e la firma CIE (non ha dietro un certificatore accreditato e qualificato); la QES è la firma elettronica qualificata (FEQ), munita di un certificato qualificato (tra cui è ricompresa la firma digitale): nella prassi applicativa per quest’ultima hai una smartcard da collegare ad un lettore a contatto o un token USB oppure credenziali di firma digitale remota con app/programma.
2 Mi Piace
A questo punto e’ lecito chiedersi perche’ la CIE non sia adatta per QES visto che e’ una smartcard da collegare a un lettore a contatto e verifica con PIN. L’identita’ estone e’ una QES e funziona con smartcard, lettore e PIN.
Considerato che “elettronico” e “digitale” nell’uso comune, non specialistico, sono percepiti come sinonimi forse la scelta di un’altra terminologia aiuterebbe a fare meno confusione. Lo dico anche riguardo me stesso.
chi rilascia questo certificato digitale non è accreditato per la firma digitale
(questione di business )
2 Mi Piace