EIDAS: la dematerializzazione europea interoperoperabile diventa realtà

Il Consiglio dell’Unione Europea ha adottato il 23 luglio 2014 il regolamento EIDAS – Electronic Identification and Signature (Electronic Trust Services) che stabilisce le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica (eID – Electronic IDentification), le regole guida per i servizi fiduciari per le transazioni elettroniche (eTS – Electronic Trust Services), creando così un quadro giuridico europeo per le firme elettroniche, i sigilli elettronici, marche temporali elettroniche, documenti elettronici, nonché servizi di raccomandata elettronica (l’italica PEC) e servizi di certificazione per Autenticazione web (PE-CONS 60/14; dichiarazione: 11733/14 ADD 1).

Le nuove norme sono proposte con l’intento di consentire, garantire ed estendere il regime transfrontaliero previsto per merci e persone alle transazioni elettroniche. Il regolamento si propone di garantire che persone e imprese possano utilizzare i loro regimi nazionali di identificazione elettronica (eID) per accedere ai servizi pubblici in altri paesi dell’unione in cui sono disponibili altri sitemi eID nazionali; in pratica la firma digitale fatta con certificato emesso dalla CA italiana, “appoggiato” su un dispositivo di firma certificato (Common Criteria), potrà e dovrà essere riconosciuta negli altri stati dove vige uno schema nazionale di rilascio e “tenuta” dei certificati analogo.

L’adozione finale dell’atto legislativo da parte del Consiglio fa seguito ad un accordo raggiunto in prima lettura c/o il Parlamento europeo all’inizio dell’anno. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, che dovrebbe avvenire entro i prossimi giorni.

Ma che benefici possiamo aspettarci con l’entrata in vigore di “REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC  (abrogazione della Direttiva 1999/93/EC, ndr.)?

Transazioni transfrontaliere più semplici e sicure!

Il nuovo regolamento prevede una base comune per la sicurezza delle interazioni elettroniche tra le imprese, i cittadini e le autorità pubbliche. Esso mira ad aumentare l’efficienza dell’amministrazione pubblica e dei servizi privati ​​online, del business elettronico in generale e nello specifico del commercio elettronico UE, e migliorare/aumentare la fiducia delle transazioni elettroniche nel mercato interno. Il reciproco riconoscimento dell’identificazione e autenticazione elettronica risulta essere di vitale importanza, ad esempio per rendere realtà l’assistenza sanitaria transfrontaliera dei cittadini europei.

Sistema di riconoscimento reciproco dell’identificazione elettronica!

Le nuove regole obbligano gli Stati membri a riconoscere, a determinate condizioni, gli strumenti di identificazione elettronica delle persone fisiche e giuridiche che rientrano nell’ambito di uno schema di identificazione elettronica nazionale che sia stato notificato alla Commissione. Spetta agli Stati membri scegliere se vogliono notificare tutti, alcuni o nessuno degli schemi di identificazione elettronica utilizzati a livello nazionale per accedere almeno ai servizi online pubblici o ad altri specifici servizi.

Tali norme riguardano solo aspetti transfrontalieri di identificazione elettronica, mentre rimane invariato il regime di emissione di mezzi di identificazione elettronica che resta una prerogativa nazionale.

Timeline per il riconoscimento reciproco!

Gli Stati membri che lo desiderano possono aderire al regime di mutuo riconoscimento reciproco al più presto una volta che i necessari provvedimenti di attuazione saranno emanati. Questi sono previsti per la seconda metà del 2015. Prima della definitiva entrata in vigore, il regolamento richiede un’analisi degli standard attuali e di quelli nuovi. Ci sono circa 100 standard e capire cosa serve e cosa no non è, e non sarà impresa facile.  Da ora in poi, a seguito della emanazione del regolamento, partiranno i tavoli tecnici con gli organismi di standardizzazione e gli Stati Membri.

Il riconoscimento reciproco obbligatorio è comunque previsto nella seconda metà del 2018.

Dalla firma elettronica ai servizi fiduciari!

Fino ad ora, ci sono state disposizioni comunitarie solo su firme elettroniche, stabilite dalla direttiva sulle firme elettroniche 1999/93/EC relativa ad un quadro comunitario per le firme elettroniche, che verrà abrogata nel mese di luglio 2016.

Il nuovo regolamento oltre a migliorare ed ampliare queste disposizioni, introduce anche, per la prima volta, norme a livello UE in materia di servizi fiduciari, come la creazione e la verifica di marche temporali/sigilli elettronici, servizi di posta certificata, nonché la creazione e la convalida di certificati per l’autenticazione dei siti web. Servizi fiduciari conformi al regolamento potranno “circolare” liberamente nel mercato unico. Inoltre, verrà creato un marchio di fiducia UE per identificare i servizi fiduciari che soddisfino determinati e rigorosi requisit anche se l’uso del marchio di fiducia sarà fatto su base volontaria.

In definitiva, solo fornendo certezza sulla validità giuridica e la mutualità di tutti questi servizi, le imprese e i cittadini utilizzeranno le interazioni digitali come il loro modo naturale di interagire.

eID ed ETS, hanno lo scopo di creare un contesto normativo armonizzato/prevedibile per consentire interazioni elettroniche sicure e senza soluzione di continuità tra le imprese, i cittadini e le autorità pubbliche. A tal proposito un piano d’azione in materia di firme elettroniche ed identificazioni elettroniche è stato adottato a partire dal 2008, con il chiaro obiettivo di rimuovere le barriere di interoperabilità.

“Le persone e le imprese dovrebbero essere in grado di effettuare transazioni in un mercato digitale unico senza confini, che rappresenta il valore di Internet.”

Neelie Kroes
Vice-President of the European Commission

“Da gestire per l’imprenditoria italiana il fatto che le regole UE saranno uguali per tutti gli Stati Membri. Se la cosa viene sfruttata bene possiamo avere buone chance nei confronti delle aziende estere.”

Giovanni Manca
Il “papà” della firma digitale italiana

Approvazione Rapporto Finale di Valutazione del prodotto “ARX CoSign v.7.1″

Con PEC inviata al distributore italiano della soluzione CoSign, il Ministero dello Sviluppo Economico – Istituto Superiore C.T.I. comunica che il Rapporto Finale di Valutazione prodotto dal LVS (Laboratorio di Valutazione della Sicurezza Informatica accreditato) IMQ è stato approvato dall’Organismo di Certificazione della Sicrezza Informatica (OCSI) in data 17 luglio 2014. Tale approvazione attesta che il relativo processo di valutazione di sicurezza secondo i Common Criteria si è concluso con esito positivo.

OCSI afferma che emetterà il Certificato Common Criteria e la relazione di Certificazione, entro il termine previsto (60 giorni) dallo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione.

Domani, 25 luglio 2014, scade il termine ultimo del regime delle autocertificazioni ad opera delle CA e si entra nell’era delle certificazioni dei dispositivi di firma digitale: da domani, che io firmi con una smartcard o con un dispositivo/server di firma centralizzata, requisito fondamentale sarà la certificazione del dispositivo di firma, conforme allo standard ISO/IEC 15408, meglio noto come Common Criteria, con un livello di assurance EAL 4+ (i livelli indicano quanto deve essere “robusto” il dispositivo sia a livello hardware che a livello software).

Rebus sic stantibus e riprendendo le fila della storia “La firma remota fra innovazione e sicurezza: lo stato dell’arte“, da domani, 25 luglio 2014, il mercato ha a disposizione due prodotti, che possono soddisfare qualsiasi esigenza presente e futura di firma remota:

  1. CoSign della società produttrice ARX

2. Luna® PCI Configured for Use in Luna SA 4.1 e Luna® PCI Configured for Use in Luna® SA 4.5.1 (RF) della società produttrice SafeNet

Dell’Attestato di Conformità n. 1/12 rilasciato lo scorso 12 dicembre 2012, per il dispositivo Luna® PCI Configured for Use in Luna SA 4.1 del produttore SafeNet Inc e dei limiti di validità della Certificazione CC, si veda a tal proposito Attestato di Conformità n. 1/12.

Da domani, chi non avrà a disposizione questi dispositivi per l’erogazione dei servizi di firma digitale, dovrà presentare ad AgID (Agenzia per l’Italia Digitale) un piano di migrazione verso i dispositivi di firma certificati menzionati, entro e non oltre il 10 agosto 2014 (15 giorni, ndr.). Dopodichè trascorreranno altri 6 mesi per effettuare la migrazione (febbraio 2015).

IMQ sottopone ad OCSI il suo Rapporto Finale di Valutazione sul dispositivo di firma CoSign

CoSign compie un altro passo verso la certificazione Common Criteria EAL4+ avendo completato con successo tutti i test di sicurezza hardware e software presso il laboratorio IMQ – Istituto Italiano del Marchio di Qualità, che lo scorso 25 giugno 2014 ha consegnato il report, contenente i risultati positivi dei test di sicurezza effettuati, ad OCSI (Organismo di Certificazione della Sicurezza Informatica), che gestisce lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione, facente riferimento all’ente europeo CEN (European Committee for Standardization).

La Procedura di Accertamento è basata su certificazione Common Criteria (standard pubblicato dall’ISO (ISO/IEC 15408:2005), e nello specifico il livello è l’EAL4+. Il certificato, vale la pena ricordarlo, è il documento rilasciato da un organismo europeo di certificazione accreditato (OCSI per l’Italia) sulla base delle evidenze (Rapporto Finale di Valutazione – RFV) prodotte da un Laboratorio di Valutazione della Sicurezza Informatica accreditato (come nel caso del LVS/IMQ rispetto ad ARX che è il prodtuttore/sponsor della valutazione di CoSign). Nello specifico, il Laboratorio di Valutazione della Sicurezza Informatica accreditato, attesta che il prodotto XYZ soddisfa il suo security Target con un livello di garanzia almeno pari a CC EAL4+.

L’OCSI esamina il Rapporto Finale di Valutazione (RFV) e lo utilizza come base per la produzione del Rapporto di Certificazione e del Certificato, concludendo con questo atto il processo di certificazione.

Il Rapporto di Certificazione attesta che l’LVS ha condotto la valutazione conformemente ai criteri, svolgendo tutte le attività elencate nel Piano di Valutazione (PDV) e previste per il livello di garanzia prescelto. Inoltre, le verifiche sono mirate a stabilire la correttezza e l’efficacia delle funzioni di sicurezza dichiarate nel Traguardo di Sicurezza. Di conseguenza, la certificazione può essere intesa come un giudizio sulla sicurezza dell’ODV unicamente se la si riferisce al contesto dichiarato nel Traguardo di Sicurezza.

I certificati Common Criteria (CC), con i relativi marchi e loghi, vengono forniti allo scopo di indicare ufficialmente che una particolare versione di un prodotto IT è stata valutata con successo secondo i CC, in accordo con i requisiti dello Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti IT.

Per ulteriori informazioni http://www.arx.com/blog/digital-signature-legislation/imq-submits-final-approval-of-common-criteria-eal4-certification-for-cosign-by-arx/

Storie di ordinaria inusabilità

Tante buone intenzioni e voglia di dematerializzare frustrate da un Error loading pkcs#11 criptoki library.

E’ ancora una volta il caso di ribadire il motto del blog, una tecnologia utile deve essere usabile!

Procedo ad acquistare il servizio Legalinvoice PA, “la soluzione web semplice e sicura per la fatturazione elettronica alle PA” presso il negozio online InfoCert https://ecommerce.infocert.it

Il servizio Legalinvoice PA, nella sua versione standard, include:

  • la gestione di una realtà emittente fattura, la firma digitale delle fatture elettroniche;
  • l’invio di 50 fatture elettroniche alle PA;
  • un GB di conservazione (sostitutiva, ndr.) a norma delle fatture garantita per 10 anni.

Dopo aver effettuato il pagamento “in via anticipata” con carta di credito, arriva il momento della firma del contratto per richiedere l’attivazione del Servizio Legal Invoice PA

La procedura di attivazione del servizio consente la scelta della procedura:

  1. firmare digitalmente la Richiesta di Attivazione
  2. stampare e inviare per fax la Richiesta di Attivazione

“Wow – penso io – una vera vera dematerilizzazione senza produzione di carta carta”, scelgo la procedura con firma digitale.

Mi viene richiesto di selezionare il tipo di firma digitale da usare ed io scelgo di selezionare Firma con smartcard/token, avendo una CNS (Carta Nazionale dei Servizi) della Camera di Commercio, rilasciata, coincidenza vuole, dallo stesso fornitore del servizio Legalinvoice PA.

Peccato che una volta clickato il pulsante Continua quello che mi appare è un messaggio di errore per nulla rassicurante:

la Firma però è in corso … e quindi aspetto fiducioso, ma il tempo passa inesorabile e il mio ottimismo si rivela eccessivo, e la Firma in corso … non si materializza. Cambio browser, aggiorno Java, provo a firmare un documento di prova con un client di firma per verificare che i driver del lettore funzionino, chiedo a tecnici che ne sanno più di me (“non hai la libreria PKCS#11 buona”), chiamo il call center che mi suggerisce due cose:

  1. “stampi il documento, lo firmi (con la penna, ndr.), lo scansioni, lo firmi digitalmente e ce lo rimandi” (la dematerilizzazione mezza vuota);
  2. per poter utilizzare correttamente il browser di Microsoft per la navigazione SSL (autenticazione sicura, firma su moduli online…), e’ necessario installare il modulo CSP (Cryptograpic Service Provider, il software indispensabile per l’importazione del certificato di autenticazione nello store Microsoft). I moduli CSP sono diversi, a seconda del dispositivo di firma utilizzato (per i dettagli sui dispositivi di firma, vedere la tabella delle caratteristiche generali al link https://www.firma.infocert.it/installazione/certificato3.php) (tecnologia usabile? don’t make me think?).

Installo il mdulo CSP, ma neanche questo tentativo porta alla soluzione del problema, a questo punto (trascorse già alcune ore) scrivo all’help desk descrivendogli il mio problema, ma che oltre a mandarmi una risposta automatica di generazione del mio ticket in tempi rapidissimi (qualche secondo), resta muto per 10 lunghi giorni, per risponermi ad ulteriore sollecito, che la mia richiesta è stata inoltrata al reparto competente.

Alla fine scelgo la via della stampa con firme autografe e digitale, risparmiandomi almeno l’invio via fax, sulla cui tenuta in sede di controversia giudiziale ho seri dubbi che possa “tenere botta”, vista la presenza delle calusole vessatorie, ma qui si sconfina nel campo delle ipotesi e del legale e lascio volentieri la parola a chi ne sa molto di più.

A quando la tecnologia Fisher-Sign?


6 giugno 2014: F-Day della Fatturazione Elettronica PA

Tutti pronti?

Speriamo che il mito che solo il 2% dei fornitori arriveranno pronti alla scadenza rimanga tale!

Sarebbe interessante conoscere in tempo reale i dati sul volume di invi giornalieri a SdI di modo da poter avere l’indice dello stato avanzamento adesioni/adozioni da parte degli operatori economici. Speriamo che qualcuno ci ascolti e ci faccia sapere …

Alla ricerca di indizi sul come stiamo messi: Credemtel annuncia sulla sua homepaga che lo scorso 29 maggio (2014, ndr.) ha ricevuto la conferma della prima FatturaPA inviata al Ministero della Salute mediante il suo servizio GEDFATT, ponendo l’azienda tra i primi 5 (cinque!!!) intermediari in Italia ad aver veicolato fatture elettroniche verso la PA in generale, ma tra i primi in assoluto ad averlo fatto utilizzando il formato di firma XADES.

Se qualcuno ne ha altri, di indizi, si faccia sentire …

FatturaPA questa sconosciuta? Vedasi: FatturaPA, la fatturazione elettronica verso la PA

25 luglio 2014: la caduta del regime … delle autocertificazioni

Click sull'immagine per ingrandire

Dopo 15 anni, 8 decreti proroga, il prossimo 25 luglio 2014 finalmente cessa il regime da “oste come è il vino”, e avverrà un passaggio epocale: la sicurezza dei dispositivi/server di firma remota verrà equiparata a quella delle tanto sicure ma poco usabili smartcard.

Il passaggio al regime di certificazione finalmente arriva con l’ultimo decreto in cui il legislatore ha dato prova di funambolismo e incertezza della norma, decretando un ritorno al passato, attraverso il passaggio da un regime di certificazione, sancito dal precedente decreto, il 7°, ad un regime di autocertificazione, e stabilendo il termine ultimo (25 luglio 2014 per l’appunto) come  “definitivo” (la scadenza superlativa?).

In virtù di ciò la certificazione della sicurezza diventa un concetto non più opinabile, ma verificabile a fronte di un “bollino blu” di standard di sicurezza Common Criteria EAL4+, che i vari produttori di apparati in certificazione, o certificati presso OCSI (Organismo di Certificazione della Sicurezza Informatica), potranno esporre a garanzia della sicurezza e della utilizzabilità della loro soluzione a partire da luglio 2014. Il marchio CC EAL4+ dimostra ai clienti attuali e potenziali che il prodotto ha subito un processo di revisione e test molto rigorosi (il processo di certificazione EAL4+ ha tempi che variano da un minimo di 6 mesi ad un massimo che può arrivare anche a 4 anni) che ne certificano l’utilizzabilità nei contesti d’uso per cui è stata emessa la ceritficazione.

La certificazione diviene requisito sostanziale per la validità delle firme digitali “apposte” sui documenti, una firma digitale remota apposta tramite l’uso di un dispositivo non certificato non potrà più esistere, ed esporrà il firmatario alla possibilità (non remota, ma molto concreta) di vedere invalidato l’atto, perché firmato con firma digitale non “buona”.

Ad oggi OCSI ha rilasciato due attestati di conformità alla società Safenet Inc.

Attestato di Conformità n. 1/12 del dispositivo Luna® PCI Configured for Use in Luna SA 4.1 per la Creazione di Firme Elettroniche ai Requisiti di Sicurezza Previsti dall’Allegato III della Direttiva 1999/93/CE

Attestato di Conformità n. 1/14 del dispositivo Luna® PCI Configured for Use in Luna® SA 4.5.1 (RF) per la Creazione di Firme Elettroniche ai Requisiti di Sicurezza Previsti dall’Allegato III della Direttiva 1999/93/CE

E sono in corso di accertamento altri due prodotti:

  1. il prodotto CoSign della società ARX, che a specifica richiesta ha dichiarato ufficialmente di essere nei tempi previsti e si aspetta di completare la certificazione in linea con le scadenze della legge italiana, leggasi prima del 25 luglio 2014.
  2. il prodotto nShield Solo F3 PCIe HSM della società Thales e-Security Ltd che interpellata sul tema dapprima si è dichiarata disponibile a farci avere un riscontro, successivamente, come la volta scorsa, non ha dato risposta.

Sul tema abbiamo richiesto una dichiarazione anche ad Assocertificatori, chiedendo la posizione della Associazione a riguardo del tema certificazione, ed in particolare come si sta muovendo l’Associazione nei confronti dei “consumatori finali” (se ha approntato una campagna di comunicazione? se sta organizzando seminari per addetti ai lavori? ecc.) e di come si sta rapportando con gli enti preposti, OCSI e AgID. Restiamo in fiduciosa attesa di ricevere un riscontro.

La certificazione è qualcosa su cui la Comunità Europea sta spingendo molto, in quanto garantisce una valutazione di prodotto e di servizio super-partes, ed essendo basata su standard internazionali (Common Criteria, nel caso di specie) può essere spesa su tutto il territorio dell’unione, senza la necessità di logoranti processi di mutui riconoscimenti di validità. La proposta di regolamento dell’Unione europea in materia – 2012/0146 (COD), votato al Parlamento europeo il 3 aprile 2014, mantiene l’obbligatorietà della certificazione di sicurezza dei dispositivi di firma e lascia inalterata la necessità del controllo esclusivo, non modificando quanto già stabilito dalla legislazione nazionale.

Articolo 29

Certificazione dei dispositivi per la creazione di una firma elettronica qualificata

1. La conformità dei dispositivi per la creazione di una firma elettronica qualificata con l’allegato II è certificata da appropriati organismi pubblici o privati designati dagli Stati membri.

Risoluzione legislativa del Parlamento europeo del 3 aprile 2014 sulla proposta di regolamento del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (COM(2012)0238 – C7-0133/2012 – 2012/0146(COD))

Inoltre i nuovi standard di sicurezza su cui fare la certificazione saranno pronti alla fine del 2015, con un margine di tempo dato agli Stati membri per adeguarsi di 24 mesi.

“Gli standard internazionali portano vantaggi tecnologici, economici e sociali. Aiutano ad armonizzare le specifiche tecniche dei prodotti e servizi per rendere le aziende più efficienti e abbattere le barriere al commercio internazionale. La conformità alle norme internazionali aiuta a rassicurare i consumatori che i prodotti sono sicuri, efficienti e buoni per l’ambiente”.

25 luglio 2014, tempo di ceritficazione.

Torna a sanguinare il cuore della sicurezza

Puntualmente e ciclicamente arriva la notizia che la sicurezza informatica non è poi così tanto sicura. Questa volta a sanguinare è un cuore importante della sicurezza, OpenSSL. Il Secure Socket Layer  (SSL) oggi declinato in  Transport Layer Security (TLS), è il protocollo crittografico che permette una comunicazione sicura punto punto (end-to-end) su reti TCP/IP, leggasi Internet, fornendo lo strato (sicuro, per l’appunto) per autenticazione, integrità dei dati e cifratura. L’evidenza nota ai più del Secure Socket Layer è il lucchetto e il prefisso https prima della URL del sito che stiamo visitando e che abbiamo imparato a riconoscere come simbolo di sicurezza e fiducia.

In Internet Mis-Trust Services avevamo affrontato il caso di ComodoHacker, che a marzo 2011 aveva “derubato” la CA Comodo (da qui il nome del hacker) di alcuni certificati che facevano capo, fra gli altri, a mail.google.com. All’epoca più di 500 certificati Secure Socket Layer (SSL) erano stati fabbricati da parte di intrusi, ed alcuni di questi certificati erano stati usati per “impersonare” siti e/o servizi, di Google, tra cui Gmail. Il certificato SSL fasullo era stato utilizzato per firmare digitalmente connessioni HTTPS a qualsiasi sito di Google ed era stato emesso dalla società olandese DigiNotar, che nella sua Homepage recitava: “Iternet Trust Services – DigiNotar offers (legal) security in the online process of identification, validation and preservation”,

recitava, perchè Diginotar oggi non esiste più, è fallita, la falla di sicurezza è stata così importante e grave da scatenare un tale effetto domino da far sparire in poco tempo (un paio di mesi) la più importante CA olandese.

All’epoca era stata colpita una CA e falsificati alcuni certificati modello “io sono io, perciò ti puoi fidare”, oggi, fatto ben più grave, è il rischio che ad essere colpito è il protocollo che serve una buona parte delle connessioni sicure sulla rete (si parla di circa i 2/3) ed il fatto che Heartbleed (così hanno battezzato il baco) ha vissuto troppo a lungo nell’anonimato, senza essere scoperto, lasciando in balia dei potenziali malintenzionati, per due lunghi anni, enormi quantità di chiavi private e altri segreti esposti alla luce del “sole Internet”. Mettiamoci anche la facilità di attacco, il rischio di frittata fatta c’e’ tutto!

Il buco-baco “cuore sanguinante” consente di rubare tutte le informazioni che transitano sul canale trasmissivo, che fino ad oggi si pensava essere protetto e impenentrabile grazie alla crittografia SSL / TLS, ma non solo, Heartbleed consente di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL. Volendo fare un elenco non esaustivo, sono a rischio di compromissione:

  1. le chiavi utilizzate per identificare i fornitori di servizi (“io sono io, perciò ti puoi fidare, ma in realtà sono un ladro”)
  2. le chiavi per crittografare il traffico (“tutto è cifrato, ma tutti dispongono della Stele di Rosetta per tradurre”);
  3. i nomi e le password degli utenti;
  4. le informazioni riservate (numeri di carta di credito, dati e documenti coperti da privacy, ecc.).

Ad essere colpiti massicciamente rischiano di essere stati i server web open source più amati dagli amministratori di rete, Apache e nginx, che fanno copiosamente uso del protocollo OpenSSL utilizzato per proteggere ad esempio i server di posta (protocolli SMTP, POP e IMAP), chat server (protocollo XMPP), reti private virtuali (VPN SSL), apparecchi di rete e un’ampia varietà di software lato client.

Il bug è stato scoperto da Neel Mehta di Google Security e da Riku, Antti e Matti di Codenomicon che hanno segnalato la vulnerabilità al National Cyber Security Centre Finland (NCSC-FI) che ha a sua volta segnalato il bug agli autori di OpenSSL, fornitori di software e sistemi operativi, e appliance vendor potenzialmente interessati. Tuttavia, la portata della notizia è stata tale che se ne è avuta eco, anche con un notevole risalto, sulla stampa quotidiana (Corriere della Sera, Repubblica, ecc.).

Chi ha scoperto heartbleed lo ha verificato sui propri servizi, mettendosi dalla parte dell’attaccante. Ebbene, l’attacco ha avuto successo, e per di più senza lasciare nessuna traccia nei log (l’incubo di tutti gli amministratori di sistemi: il bug “invisibile”). Senza usare informazioni o credenziali riservate, l’attaccante è stato in grado di rubare le chiavi di cifratura utilizzate dai certificati X.509, nomi utente e password, messaggi istantanei, e-mail e documenti aziendali critici e comunicazioni riservate. In pratica nulla si è salvato, solo l’informazione che non c’era, da sempre quella più sicura!

Il rischio di essere stati colpiti direttamente o indirettamente è quindi accertato. Tutti i siti, dal social a quello aziendale, dai siti governativi ai siti di e.commerce potrebbero utilizzare OpenSSL vulnerabile. La stragrande maggioranza di servizi online utilizzano TLS sia per identificare se stessi verso gli utenti che li visitano che per proteggere la privacy e le transazioni degli stessi. Inoltre, il software lato client del dispositivo dell’utente potrebbe esporre i dati dal computer una volta connesso ai servizi compromessi.

Sono nati/esistono sulla rete diversi siti per verificare se il sito https che visitiamo/usiamo è potenzialmente a rischio,

ma vale la pena ricordare la definizione di rischio:

Il rischio c’e', c’è stato e ci sarà ancora, ma trattandosi di rischio, non potrebbe essere che per una volta tanto la falla di sicurezza non sia stata, bontà nostra, sfruttata?

FatturaPA e dematerializzazione

KEY4PAPERLESS 2014 ritorna sui temi della dematerializzazione. Il workshop “in-formativo” di mezza giornata punta a fornire lo stato dell’arte tecnico e legale sui temi caldi del mondo paperless. Un aiuto per chi deve affrontare o è già impegnato nel passaggio dalla carta al digitale:

  • Fatturazione elettronica per la PA: come funziona, come si fa.
  • Firma remota: la scadenza del 25 luglio 2014. Sarete in regola? Venite a scoprirlo.
  • Firma grafometrica: tutto quello che dovreste sapere (e che raramente vi dicono)
  • Firma elettronica avanzata: un anno di esperienza sul campo
  • Conservazione digitale: le nuove regole, cosa è cambiato
  • Gestione documentale: strumenti e progetti innovativi
  • Timbro digitale o glifo digitale?
  • Regolamento europeo: identità digitale, firma digitale. Cosa cambia.

Realizzato in collaborazione con Credemtel, Docugest, itAgile e Land il roadshow sarà il 9 aprile a Milano, il 15 maggio a Padova, l’11 giugno a Roma e il 16 ottobre a Napoli.

www.key4paperless.com

FatturaPA, la fatturazione elettronica verso la PA

http://countingdownto.com/

Ci siamo, mancano ormai pochi giorni alla fatturazione elettronica verso la PA, che a partire dal 6 giugno 2014 non sarà un opzione, bensi un obbligo per una buona parte dei circa 2 milioni di fornitori dei circa 21.000 enti della PA. In realtà a giugno 2014 non tutti i 21.000 enti andranno a regime con la fatturazione elettronica, ma solo una parte, meno della metà, ma pur sempre una parte consistente.

A titolo non esaustivo ma piuttosto rappresentativo, di seguito un elenco dei soggetti pubblici che a partire da giugno 2014 accetteranno solo fatture elettroniche:

  1. Presidenza del Consiglio
  2. Ministeri
  3. Avvocatura dello Stato
  4. Polizia di Stato
  5. Questure e Prefetture,
  6. Esercito
  7. Vigili del Fuoco
  8. Enti Nazionali di Previdenza e Assistenza sociale:
    • INAIL
    • INPS
    • INPDAP
    • INARCASSA
    • Cassa Nazionale del Notariato
    • Cassa Nazionale Dottori Commercialisti
  9. Agenzie Fiscali:
    • Agenzia del Demanio
    • Agenzia delle Dogane e dei Monoipoli
    • Agenzia delle Entrate
  10. Istituti di Istruzione Statale di ogni ordine e grado (tutti, ma proprio tutti, gli istituti scolastici statali, di ogni ordine e grado presenti sul territorio italiano!)

I succitati Ministeri, Agenzie fiscali, enti nazionali di previdenza e scuole, a partire dal 6 giugno 2014, è il caso di ribadirlo, non potranno più accettare fatture emesse o trasmesse in forma cartacea. La stessa disposizione si applicherà, dal 6 giugno 2015, ai restanti enti nazionali. Inoltre, a partire dai tre mesi successivi a queste date, le PA non potranno procedere al pagamento, neppure parziale, fino all’invio del documento in forma elettronica.

La Fatturazione Elettronica verso la Pubblica Amministrazione è divenuta effettivo obbligo di legge grazie alla promulgazione del DMEF n.55 del 3 aprile 2013, pubblicato in Gazzetta Ufficiale il 22 maggio 2013 con entrata in vigore 6 Giugno 2013. A partire dalla data di entrata in vigore del Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche (ai sensi dell’articolo 1, commi da 209 a 213 della legge Finanziaria 2008 del 24 dicembre 2007, n. 244), l’emissione, la trasmissione, la conservazione e l’archiviazione delle fatture emesse nei rapporti con le Pubbliche Amministrazioni, deve essere effettuata esclusivamente in forma elettronica.

Come si può capire dalla numerosità dei soggetti coinvolti e dalle scadenze (a breve) citate, la Fatturazione Elettronica verso la Pubblica Amministrazione sarà un tema molto caldo (incandescente?) nei mesi estivi del 2014.

La legge in pratica ci dice che o mi mandi a me PA la fattura in formato elettronico, oppure tu fornitore non hai titolo per essere pagato!!!

Ma come si predispone e si invia la FatturaPA?

La FatturaPA prevede un formato delle informazioni da riportare obbligatoriamente in fattura in quanto rilevanti ai fini fiscali secondo la normativa vigente; in aggiunta a queste il formato prevede l’indicazione obbligatoria delle informazioni indispensabili ai fini di una corretta trasmissione della fattura al soggetto destinatario attraverso il Sistema di Interscambio. In pratica FatturaPA “naviga” con i suoi dati di pertinenza e anche i dati sulla “rotta da seguire”.

La “navigazione” avviene all’interno di un canale, denominato SdI – Sistema di Interscambio.

Il Sistema di Interscambio è implementato da SOGEI ed è un sistema informatico in grado di:

  • ricevere le fatture sotto forma di file con le caratteristiche della FatturaPA,
  • effettuare controlli sui file ricevuti,
  • inoltrare le fatture alle Amministrazioni destinatarie.

Da annotare che il Sistema di Interscambio non ha alcun ruolo amministrativo e non assolve compiti relativi all’archiviazione e conservazione delle fatture.

E’ complicato spedire FatturaPA?

Il fornitore della PA, denominato Operatore Economico, può predisporre, emettere e trasmettere autonomamente la fattura elettronica oppure avvalersi di un Intermediario.

Faccio tutto io!

Nel caso decida di procedere autonomamente, senza avvalersi di intermediari, le operazioni che l’Operatore Economico deve svolgere, in sintesi, sono:

  1. Predisporre la FatturaPA:
    • ogni fattura, o lotto di fatture, costituisce, per il Sistema di Interscambio, un file predisposto secondo il formato della FatturaPA.
  2. Firmare la FatturaPA:
    • ogni file FatturaPA trasmesso al Sistema di Interscambio deve essere firmato dal soggetto che emette la fattura tramite un certificato di firma qualificata, firma che garantisce l’integrità delle informazioni contenute nella fattura e l’autenticità dell’emittente (purtroppo nei formati di firma non appare il tanto usabile PADES – PDF Advanced Electronic Signatures).
  3. Inviare la FatturaPA:
    • il file preparato, firmato e nominato nel rispetto delle regole previste, può essere inviato al Sistema di Interscambio attraverso cinque diversi canali di trasmissione per l’invio dei file:
      • invio tramite Posta Elettronica Certificata (PEC);
      • da sito web, tamite apposita interfaccia web;
      • invio tramite web-services (Servizio SDICoop – Trasmissione);
      • invio tramite web-services SPC attraverso il canale Sistema Pubblico di Connettività (SPC) (Servizio SPCoop-Trasmissione);
      • invio tramite protocollo FTP (Servizio SDIFTP).
  4. Una volta inviata FatturaPA:
    • conservarle sotitutivamente; trattandosi di fatturazione elettronica (simmetrica, ndr.) vige l’obbligo di conservazione sostitutiva almeno del sezionale dedicato a tale tipologia di fatture.

Ma chi me lo fa fare, mi faccio dare una mano!

Nel caso l’Operatore Economico decida di farsi aiutare, esistono gli Intermediari (banche, Poste, MePA, altri intermediari finanziari, intermediari di filiera, commercialisti, imprese ICT), soggetti terzi ai quali gli Operatori Economici possono rivolgersi per la compilazione/trasmissione della fattura elettronica (FatturaPA) e per l’archiviazione sostitutiva prevista dalla legge. Possono servirsi degli intermediari anche le PA per la ricezione del flusso elettronico dei dati e per l’archiviazione sostitutiva.

L’Intermediario è quindi il soggetto a cui rivolgersi nel caso in cui si voglia evitare di doversi attrezzare autonomamente per soddisfare i requisiti tecnici ed operativi imposti dagli obblighi di legge sulla Fatturazione Elettronica verso la PA, e che è (deve essere!)  in grado di seguire l’Operatore Economico in tutte le fasi del processo (compilazione, invio, ricezione di fatture e notifiche).

Puff puff pant pant“, mi sa che non ce la facciamo, ci saranno proroghe?

L’obiettivo è quello di facilitare la dematerializzazione e l’integrazione dei processi sia nella relazione Business to Government (B2G) che, a tendere,  in quella Business to Business (B2B).

Gestore del Sistema d’Interscambio è l’Agenzia delle Entrate, alla quale è stato demandato il compito, fra i vari, di coordinamento con il sistema informatico della fiscalità, leggasi il mandato di verificare/controllare in primis i pagamenti e/o mancati pagamenti dell’IVA. Questa singola finalità suggerisce che non ci saranno proroghe, in quanto una proroga andrebbe contro l’interesse dello Stato di combattere il fenomeno dell’evasione e di fare cassa in una situazione di grande bisogno. Aggiungasi anche che l’obbligo formale introdurrà un adempimento ulteriore per il pagamento della fattura, caratteristica di sicuro interesse per le amministrazioni che partiranno per prime. Infine soggetti istituzionali autorevoli (in ordine sparso, AgID, INPS, Agenzia delle Entrate, Ministero della Economia e delle Finanze) stanno ribadendo pubblicamente e ad ogni pie sospinto che la roadmap sarà rispettata e non ci saranno proroghe, un malcostume peraltro che dovrebbe cessare, per proiettare il paese verso un modus operandi imperniato sulla certezza delle date.

Siamo in ritardo?

Si, in grave ritardo! Per usare una unità di misura/raffronto, basta considerare che ad oggi gli Operatori Economici che si sono avvicinati e preso confidenza con strumenti elettronici (firma digitale e workflow documentale) e interagiscono con la PA sul canale MePA (Mercato Elettronico della P.A.) sono stati nel 2013 poco più di 21.000, per un volume di acquisti di oltre 900 milioni di euro, concludendo on line più di 335.000 contratti, numeri che se rapportati ai totali di cui a inizio post fanno capire che la situazione non è per niente tranquilla.

Ma possiamo e dobbiamo recuperare!

Terminata pausa pranzo?

Al lavoro per FatturaPA!

Per maggiori dettagli: http://www.fatturapa.gov.it/export/fatturazione/it/index.htm

De visu o de webcam: da remoto è possibile!

Nel lontano 2009, l’allora CNIPA, ieri DigitPA, oggi AgID, nella sua pubblicazione “Guida alla Firma Digitale”, stabiliva, con tanto di testo in rosso, che:

“in nessun caso è possibile ottenere un dispositivo di firma digitale senza incontrarsi personalmente con il certificatore, o suo incaricato, che avrà l’obbligo di richiedere un documento di riconoscimento in corso di validità per verificare l’identità del richiedente”.

Cap. 12. Dove e come dotarsi di firma digitale – CNIPA – Guida alla Firma Digitale (2009)

Il CNIPA stabiliva in modo perentorio che “un tale evento costituirebbe una grave violazione dei requisiti operativi inerenti la sicurezza da segnalare rapidamente al CNIPA/DigitPA che, in qualità di ente governativo preposto alla vigilanza, potrà intraprendere le azioni del caso”. Parafrasando e traducendo Henry Ford (You can have any colour, as long as it’s black!) fino a ieri si poteva procedere a qualsivoglia tipo di riconoscimento l’importante è che fosse de visu.

Da oggi, al de visu esiste una alternativa remota: il “de webcam“.

InfoCert, Autorità di Certificazione accreditata, annuncia in questi giorni la possibilità di ottenere la Firma Digitale senza spostamenti, a Km 0!

Con il Riconoscimento Web, oggi è già possibile richiedere ed ottenere la firma digitale senza muoversi da casa o dal proprio ufficio, con la stessa sicurezza garantita dal riconoscimento tradizionale, de visu. Il processo di Riconoscimento Web è in fase di brevetto (così annuncia il sito InfoCert), ed ha ricevuto l’approvazione da parte dell’Agenzia per l’Italia Digitale (ex DigitPA) e parere favorevole da parte del Garante per la Protezione dei dati Personali.

I prerequisiti per il rilascio della Firma Digitale con riconoscimento Webcam sono:

  1. computer con collegamento ad internet;
  2. webcam (almeno 1200 x 800) installata e provata almeno una volta;
  3. audio e microfono;
  4. software Adobe Flash Player installato
  5. ad ulteriore garanzia del successo dell’operazione si consiglia, in via preventiva, di eseguire la scansione del documento di identità (valido, ndr.) e tenerlo a disposizione del PC dove verrà effettuato il collegamento.

A pagamento avvenuto, sarà necessario compilare il form di prenotazione per la sessione in videoconferenza con l’operatore InfoCert, che effettuerà il riconoscimento. Una volta completato il riconoscimento, verranno spediti i certificati di firma direttamente all’indirizzo fisico indicato e sul dispositivo scelto, che allo stato attuale sono solo smart card o business key.

Rifacendosi a quanto affermato da Danilo Cattaneo, Direttore Generale di InfoCert, che “intravede una esisgenza di semplificazione alla base della evoluzione della normativa in tema di firma elettronica”, in linea, aggiungiamo noi, con uno sviluppo IT sempre più “fra le nuvole” (leggasi Cloud), sia che si parli di identificazione, o che si parli di strumento di firma digitale, la remotizzaizione/centralizzazione sta rendendo l’utilizzo e la diffuzione della firma digitale ancora più semplice ed usabile.

Da qui a poco, il passo credo sarà molto breve, per potersi dotare di una firma digitale in tempi rapidissimi e senza dover aspettare i tempi postali di consegna per ricevere dispositivi di firma hardware, associando riconoscimento da remoto a firma digitale remota.

ADDENDUM

Su segnalazione della Certification Authority Namirial segnaliamo che anche Namirial dispone del servizio di identificaizone via webcam e Skype, così come riportato a pagina 27 del suo “Manuale Operativo – Firma Digitale e Marca Temporale

Namirial nel suo manuale specifica che i dati di registrazione, costituiti da file audio video e metadati strutturati in formato elettronico, vengono conservati in forma protetta per una durata ventennale, presso il Certificatore. Tale procedura in uso soddisfa quanto richiesto dall’art.32, comma 3, lettera a) del CAD.

Art. 32.
Obblighi del titolare e del certificatore
[...]
3. Il certificatore che rilascia, ai sensi dell’articolo 19, certificati qualificati deve inoltre:
a) provvedere con certezza alla identificazione della persona che fa richiesta della certificazione;
[...]