Il quesito è: si può firmare con una Carta Nazionale dei Servizi (CNS) e quale validità legale ?
La solita risposta sintetica è, si può firmare e il valore dipende dal contesto.
Nel seguito un po’ di storia e le spiegazioni del caso.
Il cortese lettore che non è interessato alla storia e ai conseguenti approfondimenti trova di seguito la risposta.
La CNS deve essere distribuita con la possibilità di ospitare la firma elettronica qualificata/digitale. Esistono emissioni (Es.: Infocamere per le Camere di Commercio) con a bordo la firma qualificata.
La CNS associata alla Tessera Sanitaria dispone di certificato di autenticazione che può essere utilizzato per la generazione di una firma elettronica avanzata (FEA) come stabilito nel DPCM 22 febbraio 2013 e in particolare nell’articolo 61, comma 2
“2. L’utilizzo …., della Carta Nazionale dei Servizi, …. sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice”.
Trattandosi di una FEA e non di una firma qualificata/digitale bisogna prestare attenzione agli strumenti di verifica da utilizzare per la FEA generata con CNS che non sono diffusi e chiaramente descritti se non nei casi dove l’emissione della CNS è legata ad un dispositivo per la firma qualificata/digitale.
Qualora la FEA non sia nei confronti della PA è indispensabile applicare le regole tecniche stabilite nel Titolo V del già citato DPCM 22 febbraio 2013.
In seguito il già citato approfondimento sulla CNS, le cui regole tecniche sono di circa 18 anni fa. Nell’approfondimento ci sono anche i link aggiornati ai siti informativi specializzati della Commissione Europea.
La storia della Carta Nazionale dei Servizi.
La Carta Nazionale dei Servizi è stata introdotta nel quadro normativo italiano dal Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (decreto del Presidente della Repubblica 28 dicembre 2000, n. 445), modificato dal decreto legislativo 23 gennaio 2002 n.10 e dal decreto del Presidente della Repubblica 7 aprile 2003 n. 137, in attuazione della direttiva europea 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. Nel Testo unico la Carta Nazionale dei Servizi è definita come “il documento rilasciato su supporto informatico per consentire l'accesso per via telematica ai servizi erogati dalla pubblica amministrazione” (articolo 1 lettera bb).
Tale definizione è rimasta inalterata (articolo 1, comma 1, lettera d) ) nel decreto legislativo 4 aprile 2006, n. 159 recante “Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82, recante codice dell’amministrazione digitale”. Il medesimo decreto legislativo aggiorna anche le regole per l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni.
Le numerose modifiche al Codice dell’amministrazione digitale non hanno cambiato la sostanza della definizione che comunque, a normativa vigente si chiude con la frase “erogati dalle pubbliche amministrazioni”.
Le regole tecniche della CNS sono stabilite con un decreto interministeriale del 9 dicembre 2004 recante “le regole tecniche e di sicurezza relative alla tecnologia e ai materiali utilizzati per la produzione della Carta Nazionale dei Servizi”.
L’analisi di queste regole tecniche evidenzia che la produzione di una CNS non è una generica produzione di un token crittografico ma è soggetta a numerosi e ineludibili vincoli organizzati e produttivi. Tutto ciò è dovuto all’aspetto storico che vedeva la CNS come alternativa alla CIE per l’accesso in rete ai servizi della pubblica amministrazione, fatte salve le differenze sulla sicurezza fisica del supporto che, ovviamente, per la CIE è elemento fondamentale per evitare le contraffazioni.
In ogni caso il microchip della CNS è analogo a quello della CIE versione 2.0 (è in emissione la versione 3.0 della CIE che si è aggiornata alle specifiche del passaporto elettronico e quindi il microchip è contactless), sia in termini di sicurezza fisica che logica.
Riprendiamo alcuni punti cruciali indispensabili per la corretta emissione della CNS (Regole Tecniche paragrafo 3.3).
La CNS, non presenta particolari restrizioni per quanto riguarda la struttura del supporto fisico.
Va comunque rilevato che devono essere fatti salvi i vincoli imposti dagli standard internazionali sulle smart card, con particolare riferimento alle norme che regolamentano i Documenti di Identità International Standards Organization (ISO)/IEC 7816-1-2.
Le dimensioni nominali dovranno essere di 53,98 x 85,6 mm come specificato nella norma ISO/IEC 7810: 1995 per la carta di tipo ID-1. La tolleranza, nelle dimensioni, è quella definita dalla norma stessa.
Lo spessore della CNS, compresi i film di protezione, dovrà essere conforme alla norma ISO/IEC 7810: 1995.
Inoltre, poiché la carta CNS deve essere predisposta per ospitare la firma digitale, valgono le norme vigenti in materia.
Per il layout del supporto è stabilito che su di esso deve essere presente la scritta Carta Nazionale dei Servizi ed il nome della pubblica amministrazione che l’ha emessa. (par. 3.3.1)
La CNS può essere emessa esclusivamente da una pubblica amministrazione che può assegnare la produzione ad un soggetto di mercato che sia in grado di produrla in conformità alla legislazione nazionale ed europea.
I dati da stampare sulla CNS e l’eventuale loro memorizzazione sul microchip sono stabiliti dall’Ente che la rilascia. In ogni caso sulla CNS non devono essere presenti dei dati utilizzabili in alcun modo per il riconoscimento a vista del titolare, come per esempio la fotografia.
Il microchip deve avere una memoria EEPROM di capacità non inferiore a 32 KB. Il microprocessore deve essere conforme agli standard della serie ISO/IEC 7816 di pertinenza e comunque deve rispettare le specifiche del sistema operativo (APDU) pubblicate sul sito del Centro Nazionale per l’Informatica nella Pubblica Amministrazione e sul sito della Carta d’Identità Elettronica. (par. 3.3.4)
Quanto indispensabile per la produzione della CNS ha impatti imprescindibili sulla produzione di CNS. E’ opportuno ricordare che per una maggiore fruibilità ed efficienza dell’uso, anche grazie alla disponibilità di funzionalità di supporto alla CNS (Es. un browser portatile, il software per la firma digitale, uno spazio di memorizzazione sicura per gestire la protezione dei dati personali a livello comunitario, ecc.) la CNS può essere emessa con un dispositivo token con interfaccia USB ovvero con canale di comunicazione wireless.
Ben nota è anche l’emissione della CNS associata alla Tessera Sanitaria (TS-CNS). Questo dispositivo ha anche il ruolo di Tessera per il Codice Fiscale.
La CNS ha sempre installato nel microchip un certificato di autenticazione da utilizzare per l’identificazione in rete del titolare sui siti della pubblica amministrazione. Gli esempi più diffusi, sono l’INPS, l’Agenzia delle Entrate e le Camere di Commercio.
Un elemento cruciale per la definizione di un microchip per la CNS è la sua obbligatoria conformità alla normativa europea sulle firme elettroniche qualificate (in Italia equiparate alle firme digitali, quindi i due termini sono equivalenti a livello nazionale).
Il microchip deve essere conforme alla
DECISIONE DI ESECUZIONE (UE) 2016/650 DELLA COMMISSIONE del 25 aprile 2016 che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma dell'articolo 30, paragrafo 3, e dell'articolo 39, paragrafo 2, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Questa norma evidentemente derivata dal Regolamento 910/2014 (eIDAS) rappresenta la norma tecnica che deve essere applicata per valutare la conformità di un microchip alle caratteristiche obbligatorie per essere utilizzato come dispositivo qualificato per la creazione della firma ovvero per consentire la generazione di una firma digitale.
La Commissione Europea pubblica la lista ufficiale dei dispositivi che sono da considerare qualificati ovvero che rispondono alle regole di sicurezza del regolamento europeo eIDAS.
La lista, aggiornata periodicamente è disponibile al collegamento seguente:
Il microchip da utilizzare per la CNS deve obbligatoriamente essere presente in questa lista.
La produzione della CNS richiede un’altra serie di requisiti al produttore.
La stampa dei loghi Carta Nazionale dei Servizi e il nome della Pubblica Amministrazione emittente devono essere stampati almeno in quadricromia con la tecnica della tampografia. Se l’emissione avviene per un’organizzazione complessa (Es. loghi regionali per la TS-CNS, Camere di Commercio, ecc.) i loghi possono essere alcune decine.
L’esigenza di essere conforme alle specifiche comunitarie, oltre quanto detto in precedenza per le caratteristiche del microchip richiede anche il soddisfacimento dei requisiti della specifica tecnica ETSI TS 119 312 V1.3.1 con particolare riguardo per algoritmi crittografici e lunghezza delle relativa chiavi.
Vista l’evoluzione dei sistemi di identità digitale nazionali verso lo SPID, devono essere assicurate per i dispostivi crittografici anche le funzionalità del Livello 3 dello SPID medesimo.
Il capitolo 5 delle Regole Tecniche della CNS (sopra citato) stabilisce complesse e indispensabile regole di sicurezza per il circuito di emissione della CNS.
Altre caratteristiche tecniche sono un identificativo “riconoscibile” del token per interagire con il software dei sistemi, dati processore e Id Carta per soddisfare le Regole tecniche della CNS.
Vista la normativa comunitaria sui servizi fiduciari l’Italia ha legittimamente aggiornato le norme in materia e introdotto un servizio fiduciario qualificato nazionale per l’emissione dei certificati di autenticazione per la CNS. Il prestatore di questo servizio è in possesso di uno stato “non regulatory” nell’elenco di fiducia pubblicato dalla Commissione Europea consultabile al seguente collegamento:
https://esignature.ec.europa.eu/efda/tl-browser/#/screen/home
L'elenco di fiducia evidenzia 12 soggetti che emettono certificati non qualificati per la CNS. Ad essi deve essere aggiunto il Ministero dell'Interno che ne emette per la Carta di Identità Elettronica (CIE).