Strumenti di verifica della FEA apposta con CIE

In realtà esistono liste ufficiali eIDAS diverse a seconda dello scopo della Certification Authority.
Le CA trusted per rilasciare certificati di autenticazione su web sono attendibili solo per quello scopo (esempio: https://webgate.ec.europa.eu/tl-browser/#/tl/IT/3)
Quelle attendibili per rilasciare certificati di Firma Digitale (“Firma Elettronica Qualificata”) sono attendibili solo in quell’ambito.
I software europei e italiani (a partire da quello di riferimento: https://ec.europa.eu/cefdigital/DSS/webapp-demo/home) fanno esattamente il loro lavoro, verificare l’attendibilità di una Firma Elettronica Qualificata, ovvero firmata con un certificato che è stato rilasciato da una CA attendibili per la Firma Elettronica Qualificata.

Quello che si fa firmando con la CIE (o con TS, o con CNS) è usare una firma rilasciata da una CA ritenuta attendibile per la sola autenticazione.

Non credo abbia senso lo sviluppo di software “standard” e di uso generale per la verifica della FEA, in quanto quali certificati ritenere attendibili dipende molto dalle parti coinvolte e dall’uso fatto della firma.

Ad esempio una PA potrebbe scegliere di ritenere FEA attendibili tutte quelle eseguite con la CIE 3.0 (strumento consegnato e rilasciato dopo identificazione faccia a faccia fatta dal comune) e non quelle eseguite con qualsiasi altra CNS (i quali provider sono soggetti a policy relative all’autenticazione).

Personalmente credo che sia stata una grande miopia non approfittare della CIE per rilasciare a tutti i cittadini un certificato addizionale di Firma Elettronica Qualificata vero e proprio, come viene fatto ad esempio in Estonia e in Sardegna sulla TS (https://tscns.regione.sardegna.it/it/faq/come-posso-installare-il-certificato-di-firma-digitale-sulla-ts-cns).

Risolvere questa mancanza iniziale firmando impropriamente con un certificato di autenticazione mi sembra una soluzione abbastanza arraffazzonata e che potrebbe causare problemi e ancora più confusione.

2 Mi Piace

Per la CIE ad oggi è disponibile l’app CieSign per smartphone dell’Istituto Poligrafico-Zecca dello Stato.
Invece per la verifica da pc di una firma apposta con CIE/CNS si può ricorrere a questa semplice guida, da pag. 7.
Ad oggi comunque l’art. 61 comma 5 del DPCM 22/02/2013 è rimasto disatteso.

1 Mi Piace