In questo post di fine anno rispondiamo a 10 quesiti che ci sono stati posti sui canali privati e social.
Il BLOG di Giovanni vi augura Buon Anno 2022.
1
La firma con la Carta di Identità Elettronica (CIE) o una Carta Nazionale dei Servizi (CNS) è una Firma Elettronica Avanzata (FEA)?
Falso. In questo scenario si applica l’articolo 61, comma 2 del DPCM 22 febbraio 2013.
“2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi (…omissis…) sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice.”
Il “codice” è il Codice dell’Amministrazione Digitale (CAD).
La parola cruciale è “sostituisce” che ha lo specifico scopo di evitare che CIE e CNS siano una FEA. Questo per evitare l’applicazione dell’articolo 27 del Regolamento eIDAS (n. 910/2014) per i servizi online delle pubbliche amministrazioni.
In particolare, se uno Stato Membro richiede una FEA per utilizzare i servizi online offerti da un organismo del settore pubblico, o per suo conto, tale Stato membro riconosce le firme elettroniche avanzate (…omissis…) che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione previsti nel paragrafo 3 del sopra citato articolo 27.
Questa cautela evita di dover accettare firme elettroniche avanzate da altri Stati membri sulle quali non si hanno adeguate misure di sicurezza sui metodi di rilascio, anche sulla base del valore giuridico e dell’efficacia probatoria della FEA italiana.
2
Qual è il valore giuridico di un sigillo elettronico avanzato?
Il sigillo elettronico avanzato (citato nelle Linee guida sulla formazione, gestione e conservazione dei documenti informatici emesse da AgID e operative dal 1^ gennaio 2022) non è referenziato nella normativa primaria nazionale. Si applica l’articolo 35, paragrafo 1 del Regolamento eIDAS che fa riferimento al sigillo elettronico “semplice”.
Quindi il sigillo elettronico avanzato è liberamente valutabile in giudizio, ma non ha un valore giuridico e un’efficacia probatoria definiti a priori come per la firma elettronica avanzata.
3
È possibile generare un sigillo elettronico qualificato tramite una smart card?
Vero. Per una corretta generazione che sia conforme al Regolamento eIDAS e quindi anche alla normativa nazionale è indispensabile che il sigillo sia generato con un dispositivo qualificato presente nella lista comunitaria disponibile con link disponibile premendo il seguente tasto
In pratica i sigilli elettronici qualificati sono generati tramite dispositivi HSM (Hardware Security Module) e non tramite smart card anche utilizzate in modalità token.
4
È possibile generare un sigillo elettronico qualificato con una limitazione d’uso?
La limitazione d’uso è applicabile nel certificato qualificato per il sigillo elettronico. I requisiti per questi certificati sono stabiliti nell’allegato III del Regolamento eIDAS. Peraltro, l’articolo 38, paragrafo 3 del medesimo regolamento stabilisce che
“I certificati qualificati di sigilli elettronici possono includere attributi specifici aggiuntivi non obbligatori. Tali attributi non pregiudicano l’interoperabilità e il riconoscimento dei sigilli elettronici qualificati”.
Quindi è possibile emettere certificati qualificati per il sigillo elettronico con limitazione d’uso. La limitazione d’uso può essere associata a quanto stabilito da AgID per i certificati di firma con l’avviso disponibile premendo il seguente tasto
Si deve tenere in conto degli effetti giuridici del sigillo elettronico qualificato che gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato (articolo 35, paragrafo 2 del Regolamento eIDAS).
Quindi ha senso applicare una limitazione d’uso ad un sigillo elettronico che è apposto da una persona giuridica? In generale non ha senso.
5
In fase di verifica e validazione come distinguo un documento firmato da uno sigillato?
La verifica è tramite il certificato associato al sigillo. Nella referenza dell’Organization Identifier è presente il testo VATIT–numero di partita IVA dell’organizzazione che utilizza il sigillo.
L’estensione identificata dal codice di oggetto: 0.4.0.1862.1.6.2 che caratterizza il certificato qualificato per sigillo elettronico (QcT-eseal) è un ulteriore segno di riconoscimento.
Si tratta naturalmente di verifiche a carico del software specializzato anche se l’utente può rilevare la presenza del VATIT.
6
Il sigillo elettronico è la sottoscrizione di una persona giuridica?
Falso. Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo qualificato è associato.
Utilizzando una classificazione “classica” utilizzata dai giuristi, possiamo dire che le tre principali funzioni di una sottoscrizione autografa sono: la funzione indicativa, la funzione probatoria e la funzione dichiarativa.
Il sigillo svolge certamente la funzione indicativa in quanto individua e distingue il creatore del sigillo da altri soggetti giuridici.
La persona giuridica può essere identificata da un sigillo elettronico.
Il sigillo elettronico e anche idoneo a svolgere la funzione probatoria cioè, nel caso del sigillo qualificato, forma prova sulla correttezza dell’origine dei dati ai quali il sigillo e associato.
La funzione che il regolamento eIDAS non richiama in modo diretto è quella dichiarativa, consistente nell’assunzione della paternità del documento.
La funzione dichiarativa non è da escludere per il sigillo elettronico. Tuttavia, non essendoci una posizione esplicita nel regolamento eIDAS si deve valutare con l’applicazione del diritto nazionale.
7
Per dimostrare che ho formato un documento ad una certa data e ora posso usare la data contenuta nel documento sottoscritto?
Falso. Tale data può essere valutata in giudizio ma non è opponibile ai terzi. I riferimenti temporali opponibili ai terzi sono stabiliti nell’articolo 41 del DPCM 22 febbraio 2013.
I più comunemente noti sono la segnatura di protocollo, l’utilizzo della Posta Elettronica Certificata (PEC) e la marca temporale.
8
Il messaggio di errore “Firma non valida” stabilisce in modo certo che il documento con è validamente sottoscritto?
Falso. Il messaggio “firma non valida” da parte dei software di verifica della firma elettronica qualificata e talvolta utilizzato in modo opinabile. Un messaggio cosi drastico può essere il risultato di un paio di bit fuori posto nel file verificato. Non esiste una soluzione “chiavi in mano” al problema. Sarebbe utile e opportuno che i software di verifica mettessero a disposizione una maggiore evidenza al problema con un adeguato numero di informazioni sulle cause del fallimento della verifica. In ogni caso si applica l’articolo 63, comma 3 del DPCM 22 febbraio 2013. Le difformità che non mettono a rischio la sicurezza della sottoscrizione come, ad esempio, l’evidenza della non integrità del documento, non ne inficiano la validità.
I contenziosi sono gestiti da AgID su richiesta degli interessati.
9
Quante “firme con SPID” esistono?
La terminologia comune e in sovrapposizione può creare confusione e ambiguità soprattutto nell’ambito della semplificazione del linguaggio.
La “firma con SPID” può essere quella originata nell’articolo 20, comma 1-bis del CAD con regole tecniche emesse dall’Agenzia per l’Italia Digitale (AgID) con la Determinazione 157/2020 del 23 marzo 2020 recante le “Linee guida per la sottoscrizione elettronica di documenti ai sensi dell’articolo 20 del CAD”.
Questa tipologia di sottoscrizione è legata all’attivazione del servizio da parte dei gestori dell’identità in ambito SPID. Solo un gestore (Lepida S.p.A.) ha attivato un servizio sperimentale.
L’altra “firma con SPID” è invece diffusa ed è relativa all’autenticazione tramite SPID per l’accesso a dispositivi di firma. Questa tipologia di accesso che consente di generare sia firme qualificate che avanzate è utilizzata anche per la sottoscrizione di quesiti relativi alla adesione a referendum popolari.
In questo scenario è utile ricordare che l’utilizzo dello SPID produce, nelle transazioni elettroniche o per l’accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente (articolo 35 del DPR 445/2000). Quanto appena indicato e ulteriori effetti sono stabiliti nell’articolo 64, comma 2-duodecies del CAD.
10
L’unica firma valida è quella con estensione .p7m
Falso. L’estensione del documento sottoscritto con .p7m è relativa ad un formati di sottoscrizione denominato CAdES. La normativa comunitaria secondaria (Decisione di esecuzione) prevede almeno tre formati per i documenti sottoscritti. In base alla normativa comunitaria sono valide anche le sottoscrizioni in formato PAdES, che rappresenta firme di file PDF e lo XAdES che è totalmente in formato XML.
Nella pratica può creare qualche problema il fatto che un file PDF firmato o no abbia la stessa estensione. Sarebbe utile introdurre una nomenclatura specifica per il nome file. Per esempio pippo.pdf potrebbe diventare pippo_signed (o semplicemente _sig.pdf).
Su questo tema ci sono state delle sentenze in ambito nazionale che hanno confermato l’equivalenza dei formati di firma CAdES e PAdES anche se la giurisprudenza per questa specifica problematica non è ancora consolidata, nonostante la normativa primaria.
In alcuni procedimenti automatizzati non è viene consentito l’utilizzo del formato PAdES per motivi legati ai tempi di elaborazione, che possono creare colli di bottiglia in scenari dove devono essere elaborati flussi documentali molto intensi.
Anche su questo tema il dibattito è attivo ma le soluzioni non sono unanimi.