Ma allora per la firma elettronica, di qualsiasi tipo, non converrebbe fare tutte FEQ per default? Prevedere in ogni caso una catena di certificazione? A quale scopo la distinzione tra firme piu’ o meno solide? Sottoscrivendo un foglio a mano non c’e’ differenza tra firmina, firmetta e firmona. Un impegno preso, e’ preso. Per casi molto particolari si va dal notaio.
Se al momento di firmare su carta accanto a nome e firma scrivessi in chiaro “questa e’ la mia firma” suonerebbe bizzarro anche per legulei estremi.
Oppure il rischio e’ che se invio un CV con la mia firma FEA (CIE) e non FEQ e vinco un concorso, un azzeccagarbugli motivato potrebbe invalidare la mia posizione, a prescindere dai contenuti? Mi suona come un rischio molto italiano.
@GiP In un mondo giusto FEA e FES non esisterebbero, sono storture che sono state richieste da paesi europei più ricchi di noi ma che sotto questo frangente della digitalizzazione sono ben indietro. La procedura giusta sarebbe stata di fare tutto il necessario per FEQ nelle tessere CIE ma ho il presentimento che le varie camere di commercio e gli altri che vivono di rendita sulle forniture di firme digitali avrebbero chiamato l’antitrust o qualche altra corte europea .
Il tuo caso di CV come allegato di iscrizione ad un concorso è un caso in cui qualsiasi firma va bene, sia questa FES, FEA o FEQ.
Nella documentazione del contratto di assunzione nel pubblico impiego invece serve una firma vera e solida e quasi tutti gli enti chiederanno una FEQ, o da parte tua o dall’ente tramite firme a consumo se non ne sei fornito. L’accettazione di FEA è una casistica limitata al rapporto tra cittadino e pubbliche istituzioni, cosa che non vale nel caso di un’assunzione.
Piccolo aneddoto, da EIDAS la differenza tra FEA e FEQ è il valore notarile, quindi proprio il dominio degli azzeccagarbugli .
Cioe’, firmando con la CIE e’ come se usassi inchiostro simpatico.
Chissa’ se nella stesura del suo rapporto Draghi si e’ scontrato anche con la questione della firma digitale. Mette in chiaro che l’Europa deve svegliarsi, soprattutto riguardo tecnologie IT, ma la vedo dura.
@frantheman l’art. 4 del Dcpm 2023 equipara la FEA della CIE, CNS-TS, Passaporto Elettronico, Tessere Ministeriali ed altro ad una FEQ nei rapporti con la PA.
Tecnicamente il certificato della CIE non è una FEQ secondo l’articolo 25 di EIDAS perchè non è certificata da un Ente Certificatore riconosciuto da uno stato membro.
Nel regolamento EIDAS esiste un articolo che le firme elettroniche che rispecchiano determinati requisiti tecnici (quindi anche le FEA CIE e similari) nelle varie formule hanno valore giuridico davanti ad un giudice, quindi un avvocato che volesse fare le pulci sulla sua validità giuridica si attacca al tram.
Nel regolamento Eidas allegato 1 e 2 trovi i requisiti per una FEQ, ed alla CIE e similari manca solo il certificato di un ente certificatore riconosciuto da uno stato membro. In Italia Agid è ente certificatore.
@matteosaitta Se ti leggi gli allegati 1 e 2 di Eidas trovi i requisiti tecnici della FEQ ed alla CIE manca solo il certificato di un ente certificatore riconosciuto in uno stato membro.
Comunque deve uscire Eidas 2.0 ed entro in 2026 l’idendità digitale in tutta l’UE deve essere attuata, con IT Wallet di prossima uscita qualcosa sulle firme dovrà esserci. Il 2025 sarà che si risolve la questione firme?
Non è solo la certifica dell’ente che emette i certificati, ci sta un po’ di altra roba che manca. Il principale bloccante è KeyUsage del certificato FEQ deve essere nonRepudiation/contentCommitment (e solo quello, per norme ETSI EN 319 412-2, section 4.3.2 non puoi avere keyusage misti a nonrepudiation) che equivale al numero 40. Anche se per magia domani IPSZ e ministero dell’interno avessero lo stampino di enti qualificati per FEQ, avresti il keyusage sbagliato su tutte le firme apposte declassandola a FEA in ogni caso.
Pero’ in questo caso potrebbero proporre un sito sul quale caricare documenti, identificarsi con CIE e vederseli restituiti con la firma.
Altra domanda. Come fare con firme che vanno a scadenza, cioe’ tutte? Chi puo’ prevedere se un documento servira’ tra 10, 20, 30 o 100 anni? Come sara’ possibile allora verificarne la validita o anche solo stabilire chi l’ha firmato? Il sistema degli enti di certificazione e’ destinato a durare in eterno?
Se la Costituzione degli USA “We, the People” fosse stata firmata digitalmente sarebbe scaduta al massimo nel 1799?
Corollario. Se voglio che la firma su un documento resti valida, devo pagare un ente certificatore in teoria all’infinito? In qualche modo devo poter mantenere il token di firma, e soprattutto con le stesse chiavi.
Punto1: Esistono svariate piattaforme che fanno quel che dici, adobe sign o cineca u-sign sono esempi che mi balzano in mente. Adobe sign lo paghi a firma mentre non ho idea di come venga licenziata la soluzione di cineca.
Punto2: La firma digitale ha validità equivalente alla durata del certificato apposto. Puoi estenderne la validità usando una marca temporale assieme ad essa in fase di applicazione firma oppure archiviare in maniera conforme il documento firmato in un sistema di protocollo e conservazione sostitutiva.
Certo, le soluzioni private vanno pagate. Cosa che non succede con le firme a mano. La mia proposta era volta a unire l’identita’ della CIE con il certificato di firma se il garante e’ lo Stato (a sua volta certificato).
Una firma sotto una domanda di assunzione perde di importanza non appena la decisione e’ presa. Ma la firma di un contratto quanto a lungo deve valere, considerando anche possibili contenziosi futuri e la necessita’ di risalire alle parti? Come posso sapere oggi se tra dieci anni qualcuno si inventera’ qualcosa per portarmi in tribunale? La tecnologia “inchiostro su carta” ha dimostrato di funzionare per centinaia di anni, ma quella digitale?
Posto il problema in questi termini una possibile soluzione potrebbe essere un “notariato digitale” dove lo Stato offre un repository di contratti digitali o dei loro hash con un tempo di conservazione di 50 o 100 anni. A quel punto sarebbe il repository a fare fede. Non sarebbe piu’ nemmeno necessario acquistare una marca temporale a lungo termine, se lo Stato certifica che alla data del contratto tutte le firme erano regolari. E’ anche piu’ probabile che tra 50 anni lo Stato esista ancora, i privati, chissa’?
Una volta che prendi in carico un documento firmato nel tuo gestore documentale, lo protocolli e lo archivi nel suo archivio, la firma è a posto per sempre (così mi hanno raccontato archivisti, quindi magari mi han raccontato favole però sembra che si dian ragione varie campane).
@matteosaitta va da se che l’attuale certificato della CIE deve essere sostituito se diventa una FEQ perché non puoi modificare l’attuale certificato. E mettere un nuovi certificato sulle CIE in circolazione, se sono state programmate per bene non sarebbe un problema.
@GiP la scadenza del certificato è una cosa, la firma apposta sul documento è sempre valida a prescindere dalla scadenza del certificato.
I vari provider di identità digitale hanno l’obbligo per legge della conservazione della documentazione per 20 anni.
Se vuoi andare oltre puoi sempre registrare il documento anche in forma digitale presso l’Ufficio del Registro.
.
.