Unifucazione app CIE ID e CIESign non è possibile?

Perché non vengono unificate le due app? Per l’app CieSign perché non implementate la firma anche su altri formati differenti dai Pdf? Potreste anche implementare la firma dell’Email?

Perche’ si tratta di funzioni differenti

Si tratta di una scelta amministrativa e, probabilmente, anche politica. I formati di firma previsti dalle regole europee sono tre, tra cui un contenitore per qualsiasi tipo di file. Ma ogni paese si regola poi come vuole. Inoltre il pdf e’ il formato piu’ pratico per la gestione di documenti, anche e soprattutto da parte di utenti di un largo pubblico non specializzato.

E’ una cosa totalmente differente. Pero’ si potrebbe rivedere l’intero concetto della PEC e pensare a una soluzione che integri la verifica dell’identita’ (CIE) e la conferma dell’avvenuta consegna (PEC).

  1. per l’applicativo per i desktop autenticazione e firma sono in un unico programma, non vedo perché per android sono stati sdoppiati.

  2. bisogna anche tener conto che i documenti vengono scritti in formato doc e poi trasformati in pdf anche se con LibreOffice puoi salvare direttamente in pdf.

  3. La Pec dovrebbe essere già considerata in modo particolare perché si è identificati alla sua attivazione e si accede tramite autenticazione di primo livello. Comunque tempo fa Aruba mi scrisse che in base ad una norma Europea (che l’Italia non mi sembra abbia recepito ancora) era riconosciuta a livello Europeo con firmata dal titolare dell’account Pec, però una conferma a questa affermazione di Aruba non l’ho trovata da nessuna parte.

Comunque in Italia sarebbe meglio che chi si occupa della digitazione del paese emanasse norme semplice e chiare che siano recepite da tutti. Perchè ancora oggi fanno storie con la Pec e la Firma FEA e poi ti chiedono di riproporre la richiesta tramite il vecchio fax allegando il proprio documento.

Su questo credo che tutti i partecipanti al Forum siano d’accordo

Tieni presente che c’e’ un problema aggiuntivo a quelli che descrivi. Da dieci anni c’e’ il regolamento europeo eIDAS per l’armonizzazione dei sistemi di identificazione e di firma elettronica in tutta Europa, di grande utilita’ se vogliamo un “mercato comune”. In pratica sono state sviluppate 27 soluzioni differenti e non compatibili. Dalla PEC italiana non puoi raggiungere l’equivalente in altri paesi e viceversa. Pochissimi paesi prevedono la PEC e si fidano (incredibile!?!) delle email normali. Se sei danese o bulgaro e hai la firma di li’, verso l’Italia dovrai comunque inviare fax con fotocopia di documenti di identita’.
Da Fubini e Rampini sul Corriere a Letta e Draghi in sede europea sono in tanti a dire che l’Europa, da questo e molti altri punti di vista, deve svegliarsi. Ora non e’ piu’ di moda “smart” e si e’ passati alla c.d. “intelligenza artificiale”. A cosa servano in un mondo di fax e fotocopie di documenti di identita’ non e’ chiaro.

Sono due funzioni diverse come indicato da @GiP ed inoltre il metodo usato da ciesign è un’anomalia normativa, che in molteplici casistiche viene ignorata in quanto FEA e non FEQ. Aggiungere complessità ad un’app per una funzione dal limitato valore (grazie all’assenza dei corretti certificati sulle tessere CIE) significa aumentare costi aggiornamento per sport.

1 Mi Piace

@GiP Il problema non è tanto la PEC oggetto sconosciuto in UE ma che in Italia lo Stato ha dotato i propri cittadini di 2 strumenti di firma digitale (CIE posseduta da un 75% e dalla CNS posseduta dal 100% dei residenti) ma per chiare politiche di favorire gli amici (Poste, Camere di Commercio, Privati) queste firme digitali non hanno pieno valore legale, ma solo la CIE e per analogia le altre firme FEA hanno valore legale solo verso la PA (di cui sarebbe opportuno conoscere il perimetro) perché alcune Amministrazioni affermano che non rientrano nel perimetro della PA.
Il nocciolo della questione, secondo il mio punto di vista, è le firme digitali di CIE e CNS sono uguali ad una FEQ (nel senso che hanno gli stessi certificati) o mancano in un qualcosa? Il Ministero degli Interni ed il MEF e le Regioni possono diventare Autorità di Certificazioni (CA) o sono carenti in qualcosa? Se le firme digitali sono uguali alle FEQ perché il Ministero degli Interni ed il MEF e Regioni non attivano le procedure per farle riconoscere come tali? Per non pestare i piedi a chi ora guadagna lautamente vendendo le FEQ?

@matteosaitta che sono funzioni differenti è ovvio, per la versione desktop il programma è unico, per gli smartphone è sdoppiato come mai?
Ma questi certificati delle CIE soddisfano o no i requisiti per essere delle FEQ?

Come gia’ detto, e’ la domanda che ci poniamo da anni in questo Forum. E la risposta piu’ probabile, o piu’ plausibile, e’ quella della frase immediatamente successiva nel tuo messaggio. La solita conferma dell’aforisma andreottiano.

A quanto mi risulta, ma ascolto volentieri e con interesse altri commenti, i certificati di CIE e CNS-TS di per se’ sono sufficienti. Il problema e’ la certificazione degli enti che emettono le CIE e le TS.

@GiP Il Ministero degli Interni a chi deve presentare domanda per ottenere la Certificazione (CA) ad Agid o altra istituzione?

@malfegio In teoria andrebbe bene qualsiasi societa’ di certificazione. In pratica sarebbe bene che si rivolgesse a una delle maggiori, che a loro volta sono certificate da una delle societa’ base mondiali ‘root’. SI puo’ ricostruire almeno parte del percorso di certificazione di un sito cliccando sul lucchetto che appare nel browser accanto alla barra degli indirizzi o cercando tra le impostazioni di security.
Ripeto. Il problema non e’ tecnico ed e’ solo parzialmente, probabilmente solo in minima parte, economico. Se c’e’ la volonta’ si risolve rapidamente senza dovere sostituire tutte le CIE o TS in circolazione.

Diciamo che TS/CNS e CIE contengono dati e certificati per l’autenticazione, non per la firma. Che sono due cose diverse e, correttamente, anche per legge e regole tecniche sono cose distinte.
La firma fatta con un certificato di autenticazione non andrà mai oltre il livello di FEA, chiunque rilasci il certificato.

1 Mi Piace

@GiP Col fischio, i certificati presente in CIE e CNS sono certificati con ruolo “Autenticazione” che vale come il fante di coppe a poker nel contesto di firma digitale. Servono certificati con il ruolo apposito di firma/non ripudio. Le tessere/penne usb di firma digitale hanno due certificati (uno per autenticazione, uno per firma) per quello.

@malfegio Su mobile sono sdoppiati perché sono usciti in tempi diversi, cieid ha primo rilascio in aprile 2020, ciesign in dicembre 2020. All’epoca del primo rilascio mi ricordo che le funzioni API NFC su iOS erano fortemente limitate e quindi è uscita ben dopo su Apple. Situazione di separazione che per semplicità è stata mantenuta così da allora, visto anche il non voler rendere inutilmente complessa l’app di cieid.

@matteosaitta In Italia la FEA delle CIE e CNS-TS (oltre a strumenti equivalenti) è normata dal DCPM del 22 febbraio 2013.

L’art. 61 recita "

                           Art. 61 


           Soluzioni di firma elettronica avanzata 
  1. L’invio tramite posta elettronica certificata di cui all’art.
    65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la
    ricevuta completa di cui all’art. 1, comma 1, lettera i) del decreto
    2 novembre 2005 recante «Regole tecniche per la formazione, la
    trasmissione e la validazione, anche temporale, della posta
    elettronica certificata» sostituisce, nei confronti della pubblica
    amministrazione, la firma elettronica avanzata ai sensi delle
    presenti regole tecniche.
  2. L’utilizzo della Carta d’Identita’ Elettronica, della Carta
    Nazionale dei Servizi, del documento d’identita’ dei pubblici
    dipendenti (Mod. ATe), del passaporto elettronico e degli altri
    strumenti ad essi conformi sostituisce, nei confronti della pubblica
    amministrazione,la firma elettronica avanzata ai sensi delle presenti
    regole tecniche per i servizi e le attivita’ di cui agli articoli 64
    e 65 del codice.
  3. I formati della firma di cui al comma 2 sono gli stessi previsti
    ai sensi dell’art. 4, comma 2.
  4. Le applicazioni di verifica della firma generata ai sensi del
    comma 2 devono accertare che il certificato digitale utilizzato nel
    processo di verifica corrisponda ad uno degli strumenti di cui al
    medesimo comma.
  5. I certificatori accreditati che emettono certificati per gli
    strumenti di cui al comma 2 rendono disponibili strumenti di verifica
    della firma.
  6. Fermo restando quanto disposto dall’art. 55, comma 1, al fine di
    favorire la realizzazione di soluzioni di firma elettronica avanzata,
    l’Agenzia elabora Linee guida sulla base delle quali realizzare
    soluzioni di firma elettronica avanzata conformi alle presenti regole
    tecniche. "

Leggere con attenzione i comma 2 e 3 quest’ultimo rimanda all’art. 4 che recita "1. Le regole tecniche relative ai dispositivi sicuri per la
generazione delle firme di cui all’art. 35 del Codice sono conformi
alle norme generalmente riconosciute a livello internazionale.
2. Gli algoritmi di generazione e verifica della firma elettronica
qualificata e della firma digitale, le caratteristiche delle chiavi
utilizzate, le funzioni di hash, i formati e le caratteristiche dei
certificati qualificati e dei certificati di attributo, i formati e
le caratteristiche della firma elettronica qualificata e della firma
digitale, delle marche temporali, le caratteristiche delle
applicazioni di verifica di cui all’art. 14, il formato dell’elenco
di cui all’art. 43 del presente decreto, le modalita’ con cui rendere
disponibili le informazioni sullo stato dei certificati, sono
definiti, anche ai fini del riconoscimento e della verifica del
documento informatico, con provvedimenti dell’Agenzia e pubblicati
sul sito internet dello stesso ente. Nelle more dell’emanazione di
tali provvedimenti continua ad applicarsi la deliberazione del Centro
nazionale per l’informatica nella pubblica amministrazione n. 45 del
21 maggio 2009 e successive modificazioni.
3. Il documento informatico, sottoscritto con firma elettronica
qualificata o firma digitale, non soddisfa il requisito di
immodificabilita’ del documento previsto dall’art. 21, comma 2, del
Codice, se contiene macroistruzioni, codici eseguibili o altri
elementi, tali da attivare funzionalita’ che possano modificare gli
atti, i fatti o i dati nello stesso rappresentati. "

Quindi la legge Italiana stabilisce che una FEA della CIE e Della CNS-TS nei rapporti con la pubblica amministrazione è equiparata ad una FEQ.

Quindi siccome queste cose non le dico io ma il DCPM del 22 febbraio 2013. Nessun Ufficio della PA può oppore dinieghi alla validità legale della firma apposta con questi strumenti.

Il problema è che le strutture centrali di queste amministrazioni centrali e periferiche ricevono le opportune istruzioni e strumenti per verificare che le firme siano originali.

Esiste qualche strumento di intervento nella PA per dare istruzioni alle varie Amministrazioni?

Bisogna usare lo strumento dell’autotutela per far valere i propri diritti? o fare segnalazioni alla procura per il mancato rispetto della Legge?

A scanso di equivoci questo vale solo nei confronti della Pubblica Amministrazione e solo in Italia.

           Soluzioni di firma elettronica avanzata

Ho l’impressione che stiamo argomentando su due livelli diversi.

FEQ e FEA non sono la stessa cosa. D’accordo. Ma in quanto si distinguono per via della normativa e in quanto per aspetti quantitativi/ oggettivi, ad es.

  • con la FEA c’e’ una probabilita’ di 0,x % che una firma falsa sia riconosciuta come vera
  • con la FEQ c’e’ una probabilita’ di 0,y % che una firma falsa sia riconosciuta come vera

in entrambi i casi tenendo presente tutta la catena di certificazione e verifica.

Se y << x, allora ha senso distinguere le firme. Se y = x facendo la distinzione ci complichiamo la vita e basta. Lo stesso vale se sia x sia y sono cosi’ piccoli da essere in pratica insignificanti.

In altre parole, la distinzione prevista dalle norme europee e dalla legge italiana ha un significato oggettivo preciso, oppure e’ solo formale?

La CIE con valore FEA e’ emessa su decisione di un funzionario pubblico che verifica de visu e con altri elementi l’identita’ del richiedente. La FEQ e’ emessa da un dipendente di Camera di Commercio che usa la CIE come verifica di identita’. Qual e’ il valore aggiunto di questa operazione? Il richiedente non puo’ ricevere un’identita’ piu’ solida sulla base di una potenzialmente meno sicura.

Esempio pratico. Nel preparare la dichiarazione fiscale online si puo’ fare tutto a terminale e la firma e’ implicita nell’identificazione con la CIE (o con SPID). Si puo’ anche stampare la dichiarazione, firmarla a mano e portarla alla Posta. Ma allora perche’ non dovrebbe valere una FEA su un pdf della dichiarazione spedito per email? Il valore probatorio dovrebbe essere identico a quello degli altri due metodi.

In conclusione, dov’e’ il valore aggiunto di una FEQ rispetto a una FEA, se la FEQ e’ assegnata sulla base di una identificazione a livello “FEA”? O torniamo al fatto che i gestori FEQ sono certificati per la firma e il Ministero no?

@GiP La problematica nasce dal fatto che le norme e i burocrati fanno spesso riferimento alle tecniche/tecnologie precedenti a EIDAS, invocando firma digitale sempre. EIDAS ha aggiunto FEA(basta che ci sia un certificato) e FES(non serve che respiri, basta che sia tiepido chi conferma) ma per programmi e flussi non fatti da zero si invoca il diretto equivalente in FEQ( e a volerla dir tutta, chi è il suicida che va a firmare un documento con valore legale con una firma che non è certo che abbia un valore appropriato alla casistica? Con FEQ hai la certezza assoluta, con FEA se trovi un legalista con la luna storta rendi tutte le pezze invalide).

FEQ ha due aggiunte rispetto a FEA, il certificato indica chiaramente che serve per firmare e dare il valore alla firma di “non ripudio” (ovvero sono io che firmo e non ci sono santi sull’appellarsi alla invalidità della firma).

Mah… io direi che il comma 3 dell’articolo 61 e l’articolo 4 che citi a suffragio di questi tesi poco condivisibile dicono solo che con la CIE firmi in CAdES, PAdES e XAdES (livello tecnico) non che soddsifi i requisiti di firma elettronica qualificata (livello giuridico).

CAdES, PAdES e XAdES, in teoria, li realizzi anche con dati e certificati fatti in casa con openssh.

I certificati autoprodotti con openssh contano come FES, non FEA. Serve una piena catena valida, dalla CA in giù fino al certificato usato per firmare. :slight_smile:

@matteosaitta parlo del formato elettronico o algoritmo sottostante, non del suo valore.
Intendo, un file .p7m (fomato CAdES), lo ottieni con qualsiasi chiave/certificato.

Poi, ok, se le regole CAdES comprendono anche la parte di autorevolezza di chi emette dati di firma e certificato chiedo venia. Comunque le regole tecniche a quello si riferiscono, che l’algoritmo e’ lo stesso della firma digitale anche se usi la CIE nei rapporti con la PA.

Chiaro che la tecnica è la stessa, è giusto che hanno valori legali diversi. Volevo solo mettere in evidenza per evitare di generare confusione aggiuntiva.