Firma

[AndreaTironi1]

Io aggiungere la firma FEA tramite IDEA, altrimenti l'utilità dell'app è relativa, con la firma FEA invece mi sembra molto più utile.

[zolfariot]

Aggiungo come riferimento alcuni link di forum.italia.it dove l'argomento è stato ampiamente discusso.

• È possibile firmare digitalmente documenti tramite la CIE 3.0?
• Cie 3.0 firma di file e validita’ legale
• Strumenti di verifica della FEA apposta con CIE

I miei due cent sono che sebbene la cosa sia tecnicamente fattibile (e diversi software indipendenti lo consentano) usare lo stesso certificato crittografico per autenticazione e firma digitale sia molto lontano dalle best practice. I due usi sono contraddisti da specifici flag sui certificati (e credo anche sulle CA) e non è solo una questione burocratica, tant'è che sull'uso dei flag per i certificati vi sono importanti RFC adottate.

Inoltre l'azione di "autenticarsi" e l'azione di "sottoscrivere/firmare" un documento dovrebbero essere chiaramente distinte per l'utente, ad esempio con l'uso di pin distinti (come mi sembra venga applicato con l'eID Estone).

L'uso dello stesso certificato permette a un sito web o a una applicazione, semplicemente richiedendo l'autenticazione dell'utente, di produrre documenti firmati. In uno scenario in cui "Entra con CIE" venisse esteso a una platea molto ampia di servizi, anche privati, questa situazione di compromesso sembra molto meno accettabile.

Secondo me urge fare passi avanti verso il rilascio di certificati di Firma Digitale a tutti i cittadini in maniera massiva, o su richiesta sul modello TesseraSanitaria/Regione Sardegna. Qualora l'aggiunta di un certificato sulla CIE sia tecnicamente complessa è possibile creare un servizio di Firma Remota con autenticazione tramite CIE.

La questione (secondo me l'unico vero fattore veramente bloccante) del danno economico ai fornitori commerciali di Firma Digitale potrebbe essere in un primo momento vincolando l'uso dei nuovi certificati di firma alle comunicazioni con le PA, ma deve necessariamente essere superato, con un po' di coraggio da parte delle istitituzioni e/o con la creazione di bandi appositi a costi ragionevoli per le casse pubbliche per l'emissione di 60 milioni di certificati di firma digitale...

[AndreaTironi1]

Io sottoscrivo al 100%. Mi sembra che l'analisi di Lorenzo sia chiara efficace ed utile, oltre che competente.

[ugochirico]

L'articolo articolo 61 del DPCM 22/02/2013 sancisce che la firma apposta con una CIE è da considerasi una Firma Elettronica Avanzata (e aggiungo, indipendentemente dal fatto che i flag di key usage del certificato non riportino "non ripudio", come richiesto per la firma digitale qualificata). L'articolo infatti recita:-

2. "L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe) , del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione,la fi rma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice.
   3. I formati della fi rma di cui al comma 2 sono gli stessi previsti ai sensi dell’art. 4, comma 2.
   4. Le applicazioni di verifica della firma generata ai sensi del comma 2 devono accertare che il certificato digitale utilizzato nel processo di verifica corrisponda ad uno degli strumenti di cui al medesimo comma."

Quindi, secondo tale articolo tutti i cittadini in possesso di una CIE possono apporre Firme Elettroniche Avanzate" ai documenti che trasmettono alla pubblica amministrazione e a qualsiasi altro documento che richiede l'apposizione di una firma, quali, ad esempio, contratti, atti notarili, moduli, etc

Inoltre, l'uso di due PIN separati, o di una seconda firma, non sarebbe praticabile per la grande maggioranza della popolazione che già ora, ha difficoltà a conservare il PIN della CIE. Figuruamoci a conservare e/o ricordare due PIN distinti per due certificati distinti. Una FEA con la CIE deve essere accessibile a tutti, anche ai "monkey user", con pochi semplici passaggi.

Pertanto, non vedo la necessità di creare ulteriori strutture (e storture) informatiche per la gestione di un'ulteriore firma qualficata a partire dalla CIE.