pensioni

Inps: “Firma Elettronica Avanzata (FEA) con Spid, così semplifichiamo l’APE”

La soluzione di firma elettronica avanzata individuata dall’INPS per la sottoscrizione dell’APE potrebbe essere adottata come best practice da tutti i Service Provider SPID e può costituire un forte tassello abilitante alla telematizzazione dei processi della PA. Vediamo come funziona e quali sono i vantaggi

29 Nov 2018
Mario Cilla

Responsabile Sicurezza Informatica, INPS

Netherlands, 02 November 2012. Sales of the new Apple iPad mini start in different countries on the same day. EPA/EVERT ELZINGA

La soluzione adottata dall’Inps per semplificare la sottoscrizione dell’APE volontario (Anticipo Finanziario a Garanzia Pensionistica, DPCM 4/9/2017 n. 150) prevede che la domanda debba essere presentata mediante un’identità digitale SPID almeno di secondo livello e che la stessa debba essere sottoscritta tramite firma elettronica avanzata (FEA).  La FEA, a differenza della firma qualificata, non richiede al cittadino il possesso di strumenti di firma digitale e allo stesso tempo soddisfa il requisito della forma scritta richiesto dagli atti sopra elencati.

Il processo di domanda dell’APE prevede la sottoscrizione di 3 documenti:

  • la proposta di contratto di finanziamento con una banca
  • la proposta di una polizza assicurativa per il rischio di premorienza con la compagnia di assicurazione
  • l’istanza di accesso al fondo di garanzia

La soluzione adottata solleva i cittadini dalla necessità di interagire con molteplici attori (l’INPS, la Banca e l’Assicurazione) e allo stesso tempo rende il processo sostenibile per i vari attori coinvolti, l’art. 7 del citato DPCM.

La soluzione adottata

Considerato che l’INPS svolge un ruolo di intermediario, e dunque di garante, nei confronti delle banche e assicurazioni coinvolte, si è cercato di individuare una implementazione della FEA che fornisse le massime garanzie di non ripudio del processo di sottoscrizione e di autenticità dei documenti sottoscritti verso tali soggetti.

WHITEPAPER
Tutto quello che c'è da sapere oggi per la collaboration nella PA

La soluzione individuata, attraverso particolari accorgimenti, sfrutta il processo di autenticazione con identità digitale SPID per soddisfare i requisiti richiesti e fornire un elevato grado di sicurezza e non ripudio delle firme apposte.

Come è noto, il sistema SPID si basa sul protocollo di identità federata SAML v.2.0 secondo il profilo “Web Browser SSO” versione “SP-Initiated”.

Tale protocollo prevede che l’Authentication Request, per la richiesta di autenticazione da parte del Service Provider verso l’Identity Provider, avvenga attraverso una struttura XML firmata digitalmente con il certificato digitale del Service Provider.

Allo stesso modo la risposta da parte dell’Identity Provider (SAML Response) viene anch’essa firmata digitalmente con il certificato digitale dell’Identity Provider.

Per avere il massimo delle garanzie, la soluzione individuata tende a legare in modo indissolubile il firmatario ai documenti firmati attraverso elementi certificati da entità esterne trusted e opponibili a terzi. Nella fattispecie la soluzione tende a legare l’hash del documento con le asserzioni SAML del processo di autenticazione.

Il processo definito è il seguente:

  • L’utente accede al servizio APE attraverso le sue credenziali SPID di livello 2
  • Dopo la compilazione della domanda il servizio produce i documenti di contratto che il richiedente deve sottoscrivere
  • Dopo aver verificato il contenuto dei documenti da firmare l’utente richiede di apporre la sua FEA
  • Il documento da sottoscrivere viene trasferito al sottosistema di firma elettronica avanzata che:
    • Calcola l’hash del documento
    • Produce una Authentication Request attribuendo come ID univoco della stessa una stringa così composta <prefisso del sottosistema di FEA>-<hash del documento da firmare>-<stringa randomica>

Es.

<saml2p:AuthnRequest xmlns:saml2p=”urn:oasis:names:tc:SAML:2.0:protocol”

AssertionConsumerServiceIndex=”0″

AttributeConsumingServiceIndex=”0″

Destination=”https://spid.test.it”

ForceAuthn=”true”

ID=”_FEA-C018617042CEC6ABA67B811A27A1A21DDC389FC8-INULFIEQ”

IssueInstant=”2017-10-20T08:13:07.116Z”

Version=”2.0″ >

    • l’Authentication Request così composta viene firmata dal Service Provider e trasmessa all’Identity Provider dell’utente
    • l’Identity Provider chiede all’utente si autenticarsi ed inserire le sue credenziali SPID, e produce la SAML Response firmata digitalmente che verrà trasmessa al sottosistema di firma elettronica del Service Provider. La SAML Response, poiché contiene il riferimento alla Request, contiene anche l’hash del documento riportato nel suo ID.

Es.

<saml2p:Response xmlns:saml2p=”urn:oasis:names:tc:SAML:2.0:protocol”

xmlns:xs=”http://www.w3.org/2001/XMLSchema”

Destination=”https://test/AssertionConsumerService”

ID=”_ca21b044-4c20-4745-95a7-1af43e0807c3″

InResponseTo=”_FEA-C018617042CEC6ABA67B811A27A1A21DDC389FC8-INULFIEQ”

IssueInstant=”2017-10-20T08:13:36.593Z”

Version=”2.0″ >

    • il sottosistema di firma, dopo aver verificato che l’identità autenticata sia corrispondente al firmatario, appone un Sigillo Digitale sul documento a garanzia del processo di sottoscrizione e della sua integrità.

Punti di forza

La soluzione individuata è una FEA, utilizzabile in quasi tutti i processi di sottoscrizione digitale che richiedono la forma scritta, ma, nell’ambito delle possibili implementazioni, presenta elevati livelli di garanzia opponibili a terzi.

Infatti, oltre a quanto previsto dalle tradizionali implementazioni di FEA che basano la loro integrità principalmente sul logging delle transazioni, la soluzione individuata abbina indissolubilmente l’oggetto della sottoscrizione (attraverso l’hash del documento) con il processo di autenticazione SPID e dunque l’identità del firmatario.

Tale abbinamento è ottenuto riportando l’hash del documento sia nella SAML Authentication Request che nella SAML Response e, poiché entrambi devono essere sottoscritti digitalmente, ciò costituisce un elemento di garanzia opponibile a terzi per attestare l’associazione del documento sottoscritto al processo di firma attivato con le credenziali SPID.

Tale garanzia è ancora più forte per il fatto che viene coinvolto un soggetto esterno ‘trusted’, l’Identity Provider, che è indipendente dal gestore del servizio FEA (INPS) a tutto vantaggio della non ripudiabilità. In termini di sicurezza, la soluzione implementata è molto vicina ad una firma remota qualificata.

Il processo di sottoscrizione digitale termina con l’apposizione del Sigillo Digitale da parte dell’INPS (Service Provider SPID) a garanzia dell’integrità e della fonte di produzione del documento sottoscritto.

In questo scenario, il non ripudio del documento è facilmente sostenibile secondo il seguente processo:

  • dal documento firmato con il Sigillo Digitale viene determinato l’hash del documento
  • nei log del Service Provider e dell’Identity Provider si ricerca la SAML Authentication Request e la SAML Response aventi rispettivamente gli attributi “ID” e “InResponseTo” pari all’hash del documento
  • con tali elementi è possibile dimostrare
    • l’integrità del documento, garantita dal Sigillo Digitale
    • l’identità del firmatario, dimostrata dalle asserzioni SAML riportanti l’hash del documento

Infine, poiché le asserzioni SAML riportano anche il timestamp di generazione, è facile intuire che si avrebbe anche una garanzia dell’istante in cui la sottoscrizione è avvenuta (marca temporale).

Come è possibile osservare, la soluzione impiega tecnologie standard e il sistema SPID in conformità con gli attuali regolamenti ed è dunque sfruttabile da qualsiasi Service Provider e per qualsiasi Identity Provider. Tuttavia, un’eventuale integrazione ai regolamenti, potrebbe consentire schemi di utilizzo meglio strutturati e specifici per tali casi d’uso.

La soluzione individuata potrebbe essere adottata come best practice da tutti i Service Provider SPID e può costituire un forte tassello abilitante alla telematizzazione dei processi della P.A.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati