I certificatori accreditati che emettono certificati per gli strumenti di cui al comma 2 (CNS/CIE) rendono disponibili strumenti di verifica della firma.
Se già non è disponibile, quando il ministero pensa di rendere disponibile un software per la verifica/apposizione di FEA tramite CIE?
Io sono riuscito a firmare con la CNS della tessera sanitaria ma DIke afferma che la firma non è valida. Sarebbe necessario poter firmare anche le fatture PA con la CNS e la CIE.
Quella apposta con CNS/CIE è una Firma Elettronica Avanzata valida nei confronti della PA, come specificato nell’art. 61, c. 2 del DPCM 22-02-2013Soluzioni di firma elettronica avanzata. Per questo motivo Dike (che appone e controlla solo Firme Elettroniche Qualificate) “afferma che la firma non è valida”.
Ogni file FatturaPA trasmesso al Sistema di Interscambio deve essere firmato dal soggetto che emette la fattura tramite un certificato di firma qualificata.
Quindi non è possibile “firmare anche le fatture PA con la CNS e la CIE”
Gia’ che ci siamo, visto che al momento la FEA (Firma Elettronica Avanzata) è normata come strumento di firma concordato fra le due parti coinvolte (classicamente un’organizzazione strutturata - pubblica amministrazione, banca, assicurazione, azienda sanitaria ecc. - e un presentatore di istanze o dichiarazioni) e che se l’organizzazione strutturata intende dotarsi di un sistema di FEA deve fare varie cose fra cui dotarsi di una assicurazione con massimali non indifferenti, chiedo:
se una p.a. avvia un sistema di FEA tramite CNS o CIE deve farsi l’assicurazione?
Poi si’, un software di verifica serve, perche’ una firma CAdES/PAdES/XAdES tecnicamente corretta si ottiene con qualsiasi certicato PKI, la differenza la fa (fra l’altro) l’autorità che lo ha rilasciato e serve quindi un repository affidabile di soggetti autorizzati a rilasciare i certificati.
In realtà, nel caso della PA che accetta documenti sottoscritti con CNS/CIE non stiamo parlando della realizzazione di una soluzione di FEA di cui all’art 58 del DPCM 22-02-2013.
L’art. 61 prevede che:
L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe) , del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice.
Quindi mi verrebbe da dire che l’art. 58 non si applica alla FEA apposta con CIE/CNS.
Per quanto riguarda il repository affidabile, questo c’è già ed è la TSL pubblicata sul sito AgID nella quale sono presenti anche tutte le CA emittenti certificati CNS/CIE.
Hai pienamente ragione sul discorso assicurazione e co. E’ che quando sento parlare di PA e FEA mi si drizzano sempre le antenne.
Venendo al discorso software: appunto, il repository c’e’, manca il software facile da usare e pubblicato sul sito AgID per dargli autorevolezza. E’ un grande peccato, eppure basterebbe poco: si potrebbe richiedere a chi produce software per apposizione e verifica di firma digitale e lo vuole pubblicato sul sito AgID (che e’ l’“autorità eidas” italiana) di implementare anche firma e verifica con Tessera sanitaria, CNS; CIE agganciandosi alla TSL esistente. Come spesso capita lo Stato si fa carico di oneri rognosi e poi manca il passettino finale per arrivare al risultato. A me pare difficile che l’operatore di mercato implementi sua sponte la firma e la verifica tramite un certificato fuori dal suo business.
Diciamocelo, nella maggior parte degli scenari d’uso che interessano la PA la firma con CNS/TS/CIE basta e avanza, sicuramente migliorativa rispetto agli accrocchi attuali.
Esatto. Conoscevo il software e ho apprezzato e apprezzo l’articolo.
Tuttavia, visto che il valore della firma passa anche da questioni meramente “amministrative” di autorevolezza degli strumenti per apporla e verificarla, credo che la presenza dei software sul sito dell’autorità nazionale AgID sia imprescindibile.
Qui ci sono quelli per la firma digitale (o qualificata): https://www.agid.gov.it/it/piattaforme/firma-elettronica-qualificata/software-verifica
Quelli per firma CNS/CIE dove sono? (E quindi mi riallaccio alla sacrosanta domanda iniziale)
In realtà, e giuro che lo dico con “ampia e profonda” cognizione di causa, ad oggi il panorama dei dispositivi CNS è caratterizzato da “grande diversità” di fornitori, e conseguentemente di sowfater do gestione.
Per spiegarmi meglio, magari alla stessa Regione in una stessa gara vengono forniti per l’emissione delle CNS 4 dispositivi di marca/tipo differente, con driver in alcuni casi tra loro non compatibili (ad es: se emetti con un driver, poi con l’altro non firmi/non vedi i certificati…follia…).
Insomma, il “povero Stato” mollato dal privato…non esiste: le gare vengono fatte SENZA cognizione di causa, senza tenere a mente una VERA interoperabilità che poi consenta a chi fa software di poter contare su almeno una mappatura della situazione gestita/distribuita sul territorio, onde poter garantire una soluzione che gestisca effettivamente “l’esistente”. E la soluzione NON è il Software di Firma di Stato (brrr…roba da soviet), ma semplicemente garantire uno standard tecnologico vero partendo da chi fornisce i dispositivi, implementando EIDAS in toto, senza speciailizzazioni (tipo il "bollino AgID sui certificati…).
Dico male?
Aggiungo un elemento:
se la FEA della CIE fosse riconosciuta dai normali sw di controllo firma, ogni cittadino con un lettore adeguato potrebbe mandare documenti firmati digitalmente alla PA. Questa è semplificazione.
I normali sw di controllo firma sono prodotti da soggetti che commercializzano delle FEQ, che non hanno alcun interesse a stimolare l’uso di CIE/CNS per l’apposizione dei FEA (valide anche solo nei confronti della PA).
Per la verità Actalis File Protector consentiva di apporre FEA usando la CNS (ma non consentiva la verifica) ma le ultime versioni rilasciate on supportano tutte le smart card (es. OT2015)
Io penso che dovremmo sollecitare @IPZS-CIE a rilasciare un software di firma e verifica per CIE, come previsto dalle regole tecniche
Infatti. Se non si cambiano le logiche di mercato si va da poche parti. Si possono cambiare tutti i modelli di governance che si vogliono, ma se poi ai soggetti di cui sopra consentiamo, come “consumatori”, di avere un modello di business cosi’ limitato e di bassa qualità…
Pero’ per non fare confusione io non le chiamerei FEA ma le chiamerei firma con CNS o firma con CIE.
Poi, per legge, hanno valore di FEA ma hanno in piu’ il vantaggio di non essere una soluzione particolare concordata fra le parti e, in caso di valutazione, non c’è bisogno di verificare che la realizzazione del sistema di firma sia conforme ai requisiti di una FEA, la p.a. che accetta documenti firmati con CNS e/o CIE non deve fare assicurazioni o far firmare (a mano) il consenso all’uso del sistema ecc.
Buongiorno a tutti,
ho letto l’articolo https://www.linkedin.com/pulse/firmo-con-cie-ugo-chirico/ e scaricato l’interessante app Firmo con CIE, direi che quello che manca è proprio uno strumento per la verifica della firma con CIE, da parte di chi riceve un file firmato ai sensi dell’art. 61 del DPCM 22/02/2013. Avete aggiornamenti in merito? Grazie
Riporto anche qui ciò che avevo scritto nell’altro thread:
i software di alcuni certificatori italiani non riconoscono il certificato della Certification Authority che ha emesso il certificato del cittadino sulla CIE semplicemente perchè non importano tale certificato della Certification Authority nella propria trusted list.
Altri invece funzionano correttamente, come ad esempio FirmaCerta di Namirial, che riconosce correttamente una firma apposta con una CIE.
Il certificato della Certification Authority che ha emesso la CIE è pubblicato nella TSL di AgID, secondo la normativa europea eIDAS, a questo link: https://eidas.agid.gov.it/TL/TSL-IT.xml
Questa lista contiene tutti i trusted service provider italiani che sono riconosciuti a livello europeo come trusted e pertanto dovrebbero essere riconosciuti da tutti i software di firma digitale europei. Probabilmente quei software che ad oggi non riconoscono la firma con la CIE non caricano tale lista ma ne usano una proprietaria dove il certificato della Certification Authority non è presente.