Con la nuova carta d’identità elettronica la Pubblica Amministrazione sta facendo passi da gigante. La CIE infatti rende obsoleto il documento di riconoscimento più falsificato al mondo, lo rivoluziona con le ultime tecnologie disponibili e lo accessoria con funzioni che fino a qualche anno fa i comuni cittadini non avrebbero neanche potuto immaginare.
Tra queste funzioni è presente anche la Firma Elettronica Avanzata, detta FEA, che con alcuni provvedimenti legislativi recenti viene accettata senza pregiudizi e al pari della firma cartacea nei documenti trasmessi alla Pubblica Amministrazione.
Quali sono le norma per la firma digitale?
Le firma digitali, avanzate o qualificate che in Italia se non per alcune specifiche occasioni vengono – secondo la stessa AgID – usate come sinonimi, vengono normate sia da leggi nazionali che europee. Nello specifico, sia la Carta d’Identità Elettronica che la firma elettronica avanzata applicata dal documento rispondono ai requisiti del “Regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno” che spesso viene abbreviato in “eIDAS”.
Il Codice dell’Amministrazione Digitale (CAD), aggiornato per l’ultima volta al momento in cui scrivo questo articolo al 29 Settembre 2018, è un testo amministrativo che tra gli effetti, norma anche il modo in cui la Pubblica Amministrazione ed il Cittadino possono rapportarsi l’un l’altro anche con gli strumenti digitali più recenti.
Vale la pena estrarre dal CAD gli articolo 3, 3-bis, 14-bis, 64, 65 e 66:
- l’articolo 3 afferma che chiunque può usare in modo accessibile gli strumenti previsti dal CAD
- l’articolo 3-bis è il primo articolo dove si definisce il domicilio digitale e l’identità digitale (che nel tempo sono state applicate rispettivamente nella PEC e nello SPID / CIE)
- l’articolo 14-bis conferisce ad AgID lo scopo di applicare, normare e promuovere quanto descritto nel Codice dell’Amministrazione Digitale.
- gli articolo 64-66 stabiliscono la Carta d’identità elettronica, la carta nazionale dei servizi, la loro validità presso la pubblica amministrazione, il modo in cui si presentano le istanze alla PPAA e il modo in cui si può accedere proprio ai servizi digitali erogati dalla stessa Pubblica Amministrazione.
Hai già richiesto la tua Carta d’Identità Elettronica? Non sai cos’è?
Leggi il nostro articolo per scoprire le novità, la storia e la differenza tra il nuovo documento e quello cartaceo, oramai obsoleto.
CieSign
La Carta d’Identità può essere usata in questo senso grazie ad una semplice applicazione disponibile sia per iPhone che per Android chiamata CieSign. L’app è sviluppata dall’ “Istituto Poligrafico e Zecca dello Stato” ovvero dall’ente che produce la Carta d’Identità Elettronica e richiede per le piene funzionalità uno smartphone con Android 6 e chip NFC o almeno un iPhone 7.
Una volta installata l’applicazione dovremo associare la carta d’identità elettronica, per farlo avremo bisogno del doppio pin numerico che otterremo associando i 4 numeri presenti sulla lettera di consegna della CIE e gli ultimi 4 ricevuti al momento di richiesta di rilascio del documento. Inserito il codice sarà sufficiente avvicinare la tesserino al telefono per avviare il processo di associazione.
Questo passaggio potrebbe dare luogo ad errori qualora usassimo una cover spessa o con un materiale in grado di limitare il chip NFC dello smartphone, essendo richiesto il chip NFC dovremo anche assicurarci di averlo abilitato (su Android) ed in generale di aver concesso tutte le autorizzazioni del caso.
Una volte che avremo associato la carta sarà sufficiente inviare allo smartphone il documento da firmare per poi aprirlo con CieSign.
Una volta aperto potremo firmarlo in tre formati differenti attraverso i due standard qualificati (sono entrambi validi ai fini legali, cambia solo il modo in cui il file viene trattato):
- PAdES: con firma grafica -> il formato del file rimane lo stesso
- PAdES: senza firma grafica -> il formato del file rimane lo stesso
- CAdES: firma p7M -> al file viene aggiunta l’estensione .p7m
Se sceglieremo di apporre la firma grafica sarà sufficiente posizionare a mo’ di timbro il rettangolo contenente la firma nella posizione desiderata per poi confermare la firma. Altrimenti sarà sufficiente procedere allo step finale.
Una volta scelto il formato bisognerà procedere alla firma vera e propria: sarà necessario inserire gli ultimi 4 numeri del PIN e avvicinare il documento allo smartphone quando richiesto.
Al termine della procedura nell’app troveremo il file firmato digitalmente che potrà essere esportato con tutte le opzioni del caso.
Nella mia verifica ho potuto notare che l’iPhone ha avuto qualche problema ad esportarmi il file p7m. Ho risolto andando nell’app file, spostandomi nell’archivio del telefono ed aprendo il contenuto dell’app CieSign. Da lì ho potuto estrarre il file corretto ed inviarlo – nel mio caso – al Mac tramite AirDrop.
Con Android invece ho notato che l’invio tramite Whatsapp del file con firma PAdES non è mai andato a buon fine. In fase di verifica della firma il file risultava compromesso e quindi “inutile” anche se utilizzabile.
Ci tengo a sottolineare che queste prove le ho fatte sapendo il file sarebbe stato potenzialmente danneggiatile e dunque, l’invio tramite messaggistica tra smartphone è stata volontaria per sperimentare l’utilizzo del sistema da parte di un utente medio.
Vale anche la pena ricordare che i documenti firmati digitalmente andrebbero conservati a norma per essere opponibili a terzi. Il consiglio quindi è di trasferirli “a mano”, di verificare la loro integrità, se necessario vale la pena applicare una marca temporale e procedere al loro caricamento definitivo in un sistema conferme alle leggi. Al momento posso citare Aruba e Infocert che offrono soluzioni a questo tipo di esigenze, entrambi infatti sono accreditati dall’AgID e quindi risultano completamente affidabili.
Verificare un file firmato digitalmente con CieSign
Nonostante l’applicazione faccia i corretti riferimenti normativi, ovvero cita l’art 61 del DPCM del 22 Febbraio 2013, gli articoli 64 e 65 del Codice dell’Amministrazione Digitale ed infine il Regolamento UE n° 910/2014 – eIDAS, in fase di verifica dei documenti firmato con la Carta d’Identità Elettronica potrebbero – in base ai sistemi utilizzati – essere mostrati dei messaggi d’errore.
Ciò avviene perché – probabilmente – il certificato di sicurezza che accompagna il documento è si corretto, valido e funzionante ma non inserito tra quelli considerati validi dall’AgID. Ciò accade perché il Ministero dell’Interno non rientrata nella Determinazione 189/2017 di Agid (modifica art. 12 comma 2). Inoltre spesso viene notificato il problema di verifica del processo di revoca in quanto il certificato è presente – anche se con catena di certificazione (forse non verificabile) – nello smartphone della persona interessata.
Viene quindi a crearsi un paradosso: un file firmato su un dispositivo considerato sicuro, tramite uno strumento normato dalla legge che viene tra l’altro rilasciato dal Ministero dell’Interno (e quindi non da un privato / privato accreditato) non venga riconosciuto valido da alcuni sistemi di verifica nonostante la presenza di molteplici riferimenti normativi.
Nella speranza che tutto ciò venga risolto nei prossimi mesi o anni, ecco alcuni sistemi che potete utilizzare per verificare la firma fatta con la Carta d’Identità Elettronica. Ricordatevi che i sistemi vanno bene anche per tutte le altre principali firme elettroniche avanzate / digitali e qualificate rilasciate in Italia e a seconda del sistema impiegato anche dai Paesi Membri della Comunità Europea.
Software:
- Digital Signature Service – Europa
- DigitalSign Reader – Comped
- Firma OK! – Poste Italine (Postecert)
- DIKE – Infocert
- Acrobat Reader DC – Adobe
- ArubaSign – Aruba
Sistemi online:
- Consiglio Nazionale del Notariato
- Infocert – verifica anche le firme PDF (PAdES)
- Namirial – verifica anche le firme PDF (PAdES) e le firme accreditate in UE
- Comped – verifica anche le firme PDF (PAdES) e le firme accreditate in UE
Mentre per i software è necessario procedere all’installazione dell’applicativo, per i sistemi online è sufficiente visitare il sito dell’applicativo per procedere all’upload del file ed avere un responso pressoché immediato della firma e del contenuto.
Come si presenta il certificato di Firma della Carta d’Identità Elettronica?
La parte “pratica” dell’articolo è finita ma ci tenevo a raccontarvi una curiosità prima di salutarci, vorrei mostrarvi almeno in parte come si presenta un certificato applicato con la Carta d’Identità Elettronica.
Il certificato presenta le seguenti informazioni:
Informazioni nel Certificato:
| Nome e Cognome del soggetto: | CODICEFISCALE/STRINGA |
| Codice Fiscale / Partita IVA: | IDCIT-IDCIE |
| Nome proprio: | NOME DEL FIRMATARIO |
| Cognome: | COGNOME DEL FIRMATARIO |
| Nazione: | SIGLA NAZIONALITÁ |
Rilasciato da:
| Nome e Cognome del soggetto: | Issuing sub CA for the Italian Electronic Identity Card – SUBCA1 |
| Organizzazione: | Direz. Centr. per i Servizi Demografici – CNSD |
| Organizzazione: | Ministero dell’Interno |
| Nazione: | IT |
Avente numero di serie: [NUMERO DI SERIE]
Data Inizio Validità: giorno di rilascio del documento espresso in formato
gg/mm/yyyy alle ore hh:mm UTC
Data Fine Validità: 23.59 italiane del giorno di scadenza naturale del documento espresso in formato gg/mm/yyyy alle ore hh:mm UTC
Politiche del Certificato: “X.509 authentication certificate issued by the Italian Ministry of Interior for the Electronic Identity Card”
Informazioni sulle politiche applicate dal certificatore: http://www.cartaidentita.interno.gov.it/policy/cittadini_cps.pdf
