Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Nuove specifiche tecniche

Firma e sigillo elettronici, le regole eiDAS per verifica e convalida

Con il regolamento europeo eIDAS, per la verifica della firma elettronica viene introdotta la figura del grafologo digitale: un soggetto qualificato che convalida legalmente le sottoscrizioni. È stato introdotto inoltre un nuovo procedimento di convalida della firma, il quale si svolge in tre stati di verifica diversi

31 Gen 2019

Giovanni Manca

consulente, Anorc


Il procedimento di verifica di una firma elettronica può portare a un risultato diagnostico di “firma non valida” senza che l’estensore del controllo abbia maggiori dettagli su questa situazione. Perché la firma non è valida? Forse il documento sottoscritto non è integro, la crittografia non è conforme alla normativa piuttosto che i formati utilizzati per la firma elettronica avanzata non sono conformi alle specifiche o banalmente perché qualche bit non è settato in modo corretto?

Come possibile soluzione al problema, una novità molto significativa è costituita dalla più recente emissione di specifiche tecniche nell’ambito della realizzazione delle previsioni del regolamento eIDAS.

La firma elettronica nel regolamento eIDAS

Dobbiamo infatti ricordare che nel regolamento eIDAS, tra i servizi fiduciari sono compresi anche quelli per la creazione, la verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche. All’interno del medesimo regolamento sono stabiliti specificamente i requisiti per la convalida delle firme elettroniche qualificate (articolo 32). Quest’ultima norma è piuttosto strutturata e prevede che il processo di convalida di una firma elettronica qualificata conferma la validità di una tale firma purché siano soddisfatti una serie di requisiti. In particolare:

  • il certificato associato alla firma fosse, al momento della firma, un certificato qualificato di firma elettronica conforme all’allegato I di eIDAS;
  • il certificato qualificato è stato rilasciato da un prestatore di servizi fiduciari qualificato ed è valido al momento della firma;
  • i dati di convalida siano corrispondenti con quelli trasmessi alla parte facente affidamento sulla certificazione;
  • l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione;
  • l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione, se uno pseudonimo era utilizzato al momento della firma;
  • la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata;
  • l’integrità dei dati firmati non sia stata compromessa;
  • i requisiti base di una firma elettronica avanzata fossero soddisfatti al momento della firma:

Il regolamento eIDAS stabilisce nel medesimo articolo che il sistema utilizzato per convalidare la firma elettronica qualificata fornisce alla parte facente affidamento sulla certificazione (la persona fisica o giuridica che fa affidamento su un’identificazione elettronica o su un servizio fiduciario) il risultato corretto del processo di convalida e le consente di rilevare eventuali questioni attinenti alla sicurezza. Il regolamento eIDAS stabilisce regole anche per il servizio di convalida qualificato delle firme elettroniche qualificate che può essere prestato solo da un soggetto qualificato e, nota particolare, consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato.

La nascita del grafologo digitale

La messa in opera di questa normativa fa nascere il grafologo digitale ovvero un soggetto qualificato che convalida legalmente le sottoscrizioni e quindi soggetto a vigilanza tramite gli organismi nazionali notificati (in Italia è l’AgID e per i dispositivi di firma l’OCSI presso il Ministero dello Sviluppo Economico). Questo soggetto firmando o sigillando la convalida della firma (o sigillo) posta a verifica si assume la responsabilità della convalida della sottoscrizione. Queste circostanze hanno attivato in ETSI il classico procedimento di standardizzazione che ha, alla data prodotto i documenti seguenti:

  • TR 119 100 v1.1.1 Guidance on the use of standards or signature creation and validation.
  • TS 119 101 v1.1.1 Policy and security requirements for applications for signature creation and signature validation.
  • TS 119 102-1 v1.2.1 Procedures for Creation and Validation of AdES Digital Signatures, Part 1: Creation and Validation.
  • TS 119 102-2 v1.1.1 Procedures for Creation and Validation of AdES Digital Signatures, Part 2: Signature Validation Report.
  • TS 119 441 v1.1.1 Policy requirements for TSP providing signature validation services.

Un elevato numero di standard è stato pubblicato da ETSI per definire i formati dei certificati e delle firme elettroniche avanzate. Affinché questi standard siano pienamente applicabili in conformità al regolamento eIDAS si dovrà attendere la pubblicazione della specifica decisione di esecuzione della Commissione europea. Naturalmente, gli Stati membri possono procedere autonomamente applicando gli standard senza che questo sia impedito da alcuna normativa. Le policy contenuta nella specifica 119 441 sono la base per il procedimento di qualifica dello specifico prestatore di servizi fiduciari.

La verifica della firma elettronica

Di particolare rilevanza e novità è invece la specifica 119 102-1 che in modo articolato e dettagliato fornisce le metodologie per generare, convalidare e svolgere una verifica sulla firma elettronica. La specifica è molto complessa e conferma sostanzialmente gli aspetti ben noti nella generazione della firma in linea con il nostro CAD. È comunque apprezzabile che tutti gli elementi che coinvolgono la sottoscrizione siano definiti e descritti (ad esempio, il documento da sottoscrivere, la presentazione di questo al sottoscrittore, gli attributi della sottoscrizione). Decisamente innovativa è l’introduzione nella convalida della firma di un modello di riferimento ben specificato. Nell’ambito del procedimento di verifica si stabiliscono tre stati di verifica:

  • TOTAL-PASSED: nel caso che i controlli crittografici (compresi i controlli delle impronte dei documenti a qualsiasi titolo calcolate sugli oggetti) abbiano esito positivo insieme alle politiche di convalida della firma.
  • TOTAL-FAILED: nel caso i controlli precedenti falliscano ovvero il certificato digitale non è valido al momento della sottoscrizione o perché la firma non è conforme ai formati stabiliti negli standard di base per quanto attiene ai componenti di formazione dei formati stessi.
  • INDETERMINATE: quando non ci si trova in nessuno degli stati precedenti.

Questi nuovi paradigmi consentono un nuovo approccio alla verifica della firma. Certamente dobbiamo continuare a verificare che il documento sottoscritto sia integro, che il firmatario sta utilizzando un certificato valido o che sono soddisfatti alcuni specifici requisiti della firma come, ad esempio, l’appartenenza del firmatario ad un ordine professionale.

Gli stati della convalida devono essere dettagliati in modo standard nel report di convalida e ogni decisione operativa è comunque predefinita e deve essere conforme ad una precisa regola stabilita in questa specifica.

La previsione: servono le Linee Guida dell’AgID

Questa metodologia consente di migliorare il procedimento attuale applicato dai prestatori di servizi fiduciari attualmente qualificati in Italia (ma anche in Europa). Allo stato attuale si applicano le regole di dettaglio AgID (le regole tecnologiche contenute nelle deliberazioni e determine, peraltro da aggiornare in ottica comunitaria) e gli standard sui blocchi base di costruzione dei documenti firmati (CAdES, PAdES e XAdES). In questo nuovo contesto europeo la verifica di una firma è un’operazione vincolante, su regole precise e comportamenti errati o fraudolenti comportano sanzioni anche economiche come per tutti i servizi fiduciari qualificati.

Oggi la verifica sulla firma elettronica viene condotta sulla base di inevitabili interpretazioni dei certificatori (che ricordiamo sono qualificati solo per l’emissione di certificati qualificati e validazioni temporali) con il risultato di avere diagnostici di “firma non valida” senza avere informazioni specifiche sulla natura del problema.

Sarebbe molto positivo se l’AgID, anticipando i tempi, cominciasse a sviluppare le specifiche Linee Guida consentendo un grande salto di qualità e incremento di efficienza al mercato nazionale che costituisce ampiamente il maggiore utilizzatore europeo e mondiale di firme digitali con circa 21 milioni di certificati qualificati attivi (fonte AgID). Per completezza concludiamo precisando che i meccanismi previsti per la convalida dei sigilli elettronici qualificati sono analoghi a quelli delle firme.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3