italia / cie-middleware

Middleware della CIE (Carta di identità elettronica)
BSD 3-Clause "New" or "Revised" License
67 stars 19 forks source link

Firma non attendibile #124

Closed foscone closed 1 year ago

foscone commented 1 year ago

Buongiorno, ho firmato un file con il software cie-middleware per poterlo caricare nel portale suap.impresainungiorno.gov.it Al momento del caricamento il portale mi ha avvisato che la firma apposta non è valida e impedisce il caricamento.

Se verifico il file con il software cie-middleware la firma risulta valida: CIE ID

Al contrario, la verifica con il software firmaOK! delle poste italiane non va a buon fine: firmaOK

È possibile risolvere questo problema?

Grazie mille Fosco

ugochirico commented 1 year ago

Il problema non è di CIE ID ma è nei software di verifica della firma che non sono aggiornati. CIE ID usa il certificato digitale presente sulla CIE che è emesso dal ministero dell'interno. Tale certificato è un certificato di firma elettronica avanzata (come sancito dall'articolo 61 del DPCM 22/02/2013) e pertanto ha valore legale sia tra privati sia tra privati e pubbliche amministrazioni. Ora, le pubbliche amministrazioni per verificare la firma elettronica apposta sui documenti, usano spesso dei software di verifica non aggiornati che non sono conformi a tale articolo 61 e pertanto non verificano la firma elettronica avanzata apposta con la CIE ma sono in grado di verificare solo la firma digitale qualificata. Nello specifico PosteOK non è aggiornato, o meglio, non ha recepito tale articolo 61 e pertanto, sbagliando, afferma che il certificato non è attendibile, mentre dovrebbe dire che la firma è valida ed il certificato è un certificato di firma elettronica avanzata. Quindi può succedere che un etnte non accetti (sbagliando) un documento firmato con la CIE. In tal caso bisogna contattare l'ente, citare tale articolo e far valere i propri diritti.

foscone commented 1 year ago

Buongiorno @ugochirico, grazie per la risposta esaustiva. Tralasciando il software delle poste, che ho usato per fare una contro verifica del file firmato, il fatto che il portale impresa in un giorno (che è un portale governativo) non accetti la firma emessa dal ministero dell'interno mi sembra bizzarro. Proverò a segnalarlo. Grazie Fosco