IMQ sottopone ad OCSI il suo Rapporto Finale di Valutazione sul dispositivo di firma CoSign

CoSign compie un altro passo verso la certificazione Common Criteria EAL4+ avendo completato con successo tutti i test di sicurezza hardware e software presso il laboratorio IMQ – Istituto Italiano del Marchio di Qualità, che lo scorso 25 giugno 2014 ha consegnato il report, contenente i risultati positivi dei test di sicurezza effettuati, ad OCSI (Organismo di Certificazione della Sicurezza Informatica), che gestisce lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione, facente riferimento all’ente europeo CEN (European Committee for Standardization).

La Procedura di Accertamento è basata su certificazione Common Criteria (standard pubblicato dall’ISO (ISO/IEC 15408:2005), e nello specifico il livello è l’EAL4+. Il certificato, vale la pena ricordarlo, è il documento rilasciato da un organismo europeo di certificazione accreditato (OCSI per l’Italia) sulla base delle evidenze (Rapporto Finale di Valutazione – RFV) prodotte da un Laboratorio di Valutazione della Sicurezza Informatica accreditato (come nel caso del LVS/IMQ rispetto ad ARX che è il prodtuttore/sponsor della valutazione di CoSign). Nello specifico, il Laboratorio di Valutazione della Sicurezza Informatica accreditato, attesta che il prodotto XYZ soddisfa il suo security Target con un livello di garanzia almeno pari a CC EAL4+.

L’OCSI esamina il Rapporto Finale di Valutazione (RFV) e lo utilizza come base per la produzione del Rapporto di Certificazione e del Certificato, concludendo con questo atto il processo di certificazione.

Il Rapporto di Certificazione attesta che l’LVS ha condotto la valutazione conformemente ai criteri, svolgendo tutte le attività elencate nel Piano di Valutazione (PDV) e previste per il livello di garanzia prescelto. Inoltre, le verifiche sono mirate a stabilire la correttezza e l’efficacia delle funzioni di sicurezza dichiarate nel Traguardo di Sicurezza. Di conseguenza, la certificazione può essere intesa come un giudizio sulla sicurezza dell’ODV unicamente se la si riferisce al contesto dichiarato nel Traguardo di Sicurezza.

I certificati Common Criteria (CC), con i relativi marchi e loghi, vengono forniti allo scopo di indicare ufficialmente che una particolare versione di un prodotto IT è stata valutata con successo secondo i CC, in accordo con i requisiti dello Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti IT.

Per ulteriori informazioni http://www.arx.com/blog/digital-signature-legislation/imq-submits-final-approval-of-common-criteria-eal4-certification-for-cosign-by-arx/

Storie di ordinaria inusabilità

Tante buone intenzioni e voglia di dematerializzare frustrate da un Error loading pkcs#11 criptoki library.

E’ ancora una volta il caso di ribadire il motto del blog, una tecnologia utile deve essere usabile!

Procedo ad acquistare il servizio Legalinvoice PA, “la soluzione web semplice e sicura per la fatturazione elettronica alle PA” presso il negozio online InfoCert https://ecommerce.infocert.it

Il servizio Legalinvoice PA, nella sua versione standard, include:

  • la gestione di una realtà emittente fattura, la firma digitale delle fatture elettroniche;
  • l’invio di 50 fatture elettroniche alle PA;
  • un GB di conservazione (sostitutiva, ndr.) a norma delle fatture garantita per 10 anni.

Dopo aver effettuato il pagamento “in via anticipata” con carta di credito, arriva il momento della firma del contratto per richiedere l’attivazione del Servizio Legal Invoice PA

La procedura di attivazione del servizio consente la scelta della procedura:

  1. firmare digitalmente la Richiesta di Attivazione
  2. stampare e inviare per fax la Richiesta di Attivazione

“Wow – penso io – una vera vera dematerilizzazione senza produzione di carta carta”, scelgo la procedura con firma digitale.

Mi viene richiesto di selezionare il tipo di firma digitale da usare ed io scelgo di selezionare Firma con smartcard/token, avendo una CNS (Carta Nazionale dei Servizi) della Camera di Commercio, rilasciata, coincidenza vuole, dallo stesso fornitore del servizio Legalinvoice PA.

Peccato che una volta clickato il pulsante Continua quello che mi appare è un messaggio di errore per nulla rassicurante:

la Firma però è in corso … e quindi aspetto fiducioso, ma il tempo passa inesorabile e il mio ottimismo si rivela eccessivo, e la Firma in corso … non si materializza. Cambio browser, aggiorno Java, provo a firmare un documento di prova con un client di firma per verificare che i driver del lettore funzionino, chiedo a tecnici che ne sanno più di me (“non hai la libreria PKCS#11 buona”), chiamo il call center che mi suggerisce due cose:

  1. “stampi il documento, lo firmi (con la penna, ndr.), lo scansioni, lo firmi digitalmente e ce lo rimandi” (la dematerilizzazione mezza vuota);
  2. per poter utilizzare correttamente il browser di Microsoft per la navigazione SSL (autenticazione sicura, firma su moduli online…), e’ necessario installare il modulo CSP (Cryptograpic Service Provider, il software indispensabile per l’importazione del certificato di autenticazione nello store Microsoft). I moduli CSP sono diversi, a seconda del dispositivo di firma utilizzato (per i dettagli sui dispositivi di firma, vedere la tabella delle caratteristiche generali al link https://www.firma.infocert.it/installazione/certificato3.php) (tecnologia usabile? don’t make me think?).

Installo il mdulo CSP, ma neanche questo tentativo porta alla soluzione del problema, a questo punto (trascorse già alcune ore) scrivo all’help desk descrivendogli il mio problema, ma che oltre a mandarmi una risposta automatica di generazione del mio ticket in tempi rapidissimi (qualche secondo), resta muto per 10 lunghi giorni, per risponermi ad ulteriore sollecito, che la mia richiesta è stata inoltrata al reparto competente.

Alla fine scelgo la via della stampa con firme autografe e digitale, risparmiandomi almeno l’invio via fax, sulla cui tenuta in sede di controversia giudiziale ho seri dubbi che possa “tenere botta”, vista la presenza delle calusole vessatorie, ma qui si sconfina nel campo delle ipotesi e del legale e lascio volentieri la parola a chi ne sa molto di più.

A quando la tecnologia Fisher-Sign?


6 giugno 2014: F-Day della Fatturazione Elettronica PA

Tutti pronti?

Speriamo che il mito che solo il 2% dei fornitori arriveranno pronti alla scadenza rimanga tale!

Sarebbe interessante conoscere in tempo reale i dati sul volume di invi giornalieri a SdI di modo da poter avere l’indice dello stato avanzamento adesioni/adozioni da parte degli operatori economici. Speriamo che qualcuno ci ascolti e ci faccia sapere …

Alla ricerca di indizi sul come stiamo messi: Credemtel annuncia sulla sua homepaga che lo scorso 29 maggio (2014, ndr.) ha ricevuto la conferma della prima FatturaPA inviata al Ministero della Salute mediante il suo servizio GEDFATT, ponendo l’azienda tra i primi 5 (cinque!!!) intermediari in Italia ad aver veicolato fatture elettroniche verso la PA in generale, ma tra i primi in assoluto ad averlo fatto utilizzando il formato di firma XADES.

Se qualcuno ne ha altri, di indizi, si faccia sentire …

FatturaPA questa sconosciuta? Vedasi: FatturaPA, la fatturazione elettronica verso la PA

25 luglio 2014: la caduta del regime … delle autocertificazioni

Click sull'immagine per ingrandire

Dopo 15 anni, 8 decreti proroga, il prossimo 25 luglio 2014 finalmente cessa il regime da “oste come è il vino”, e avverrà un passaggio epocale: la sicurezza dei dispositivi/server di firma remota verrà equiparata a quella delle tanto sicure ma poco usabili smartcard.

Il passaggio al regime di certificazione finalmente arriva con l’ultimo decreto in cui il legislatore ha dato prova di funambolismo e incertezza della norma, decretando un ritorno al passato, attraverso il passaggio da un regime di certificazione, sancito dal precedente decreto, il 7°, ad un regime di autocertificazione, e stabilendo il termine ultimo (25 luglio 2014 per l’appunto) come  “definitivo” (la scadenza superlativa?).

In virtù di ciò la certificazione della sicurezza diventa un concetto non più opinabile, ma verificabile a fronte di un “bollino blu” di standard di sicurezza Common Criteria EAL4+, che i vari produttori di apparati in certificazione, o certificati presso OCSI (Organismo di Certificazione della Sicurezza Informatica), potranno esporre a garanzia della sicurezza e della utilizzabilità della loro soluzione a partire da luglio 2014. Il marchio CC EAL4+ dimostra ai clienti attuali e potenziali che il prodotto ha subito un processo di revisione e test molto rigorosi (il processo di certificazione EAL4+ ha tempi che variano da un minimo di 6 mesi ad un massimo che può arrivare anche a 4 anni) che ne certificano l’utilizzabilità nei contesti d’uso per cui è stata emessa la ceritficazione.

La certificazione diviene requisito sostanziale per la validità delle firme digitali “apposte” sui documenti, una firma digitale remota apposta tramite l’uso di un dispositivo non certificato non potrà più esistere, ed esporrà il firmatario alla possibilità (non remota, ma molto concreta) di vedere invalidato l’atto, perché firmato con firma digitale non “buona”.

Ad oggi OCSI ha rilasciato due attestati di conformità alla società Safenet Inc.

Attestato di Conformità n. 1/12 del dispositivo Luna® PCI Configured for Use in Luna SA 4.1 per la Creazione di Firme Elettroniche ai Requisiti di Sicurezza Previsti dall’Allegato III della Direttiva 1999/93/CE

Attestato di Conformità n. 1/14 del dispositivo Luna® PCI Configured for Use in Luna® SA 4.5.1 (RF) per la Creazione di Firme Elettroniche ai Requisiti di Sicurezza Previsti dall’Allegato III della Direttiva 1999/93/CE

E sono in corso di accertamento altri due prodotti:

  1. il prodotto CoSign della società ARX, che a specifica richiesta ha dichiarato ufficialmente di essere nei tempi previsti e si aspetta di completare la certificazione in linea con le scadenze della legge italiana, leggasi prima del 25 luglio 2014.
  2. il prodotto nShield Solo F3 PCIe HSM della società Thales e-Security Ltd che interpellata sul tema dapprima si è dichiarata disponibile a farci avere un riscontro, successivamente, come la volta scorsa, non ha dato risposta.

Sul tema abbiamo richiesto una dichiarazione anche ad Assocertificatori, chiedendo la posizione della Associazione a riguardo del tema certificazione, ed in particolare come si sta muovendo l’Associazione nei confronti dei “consumatori finali” (se ha approntato una campagna di comunicazione? se sta organizzando seminari per addetti ai lavori? ecc.) e di come si sta rapportando con gli enti preposti, OCSI e AgID. Restiamo in fiduciosa attesa di ricevere un riscontro.

La certificazione è qualcosa su cui la Comunità Europea sta spingendo molto, in quanto garantisce una valutazione di prodotto e di servizio super-partes, ed essendo basata su standard internazionali (Common Criteria, nel caso di specie) può essere spesa su tutto il territorio dell’unione, senza la necessità di logoranti processi di mutui riconoscimenti di validità. La proposta di regolamento dell’Unione europea in materia – 2012/0146 (COD), votato al Parlamento europeo il 3 aprile 2014, mantiene l’obbligatorietà della certificazione di sicurezza dei dispositivi di firma e lascia inalterata la necessità del controllo esclusivo, non modificando quanto già stabilito dalla legislazione nazionale.

Articolo 29

Certificazione dei dispositivi per la creazione di una firma elettronica qualificata

1. La conformità dei dispositivi per la creazione di una firma elettronica qualificata con l’allegato II è certificata da appropriati organismi pubblici o privati designati dagli Stati membri.

Risoluzione legislativa del Parlamento europeo del 3 aprile 2014 sulla proposta di regolamento del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (COM(2012)0238 – C7-0133/2012 – 2012/0146(COD))

Inoltre i nuovi standard di sicurezza su cui fare la certificazione saranno pronti alla fine del 2015, con un margine di tempo dato agli Stati membri per adeguarsi di 24 mesi.

“Gli standard internazionali portano vantaggi tecnologici, economici e sociali. Aiutano ad armonizzare le specifiche tecniche dei prodotti e servizi per rendere le aziende più efficienti e abbattere le barriere al commercio internazionale. La conformità alle norme internazionali aiuta a rassicurare i consumatori che i prodotti sono sicuri, efficienti e buoni per l’ambiente”.

25 luglio 2014, tempo di ceritficazione.

Torna a sanguinare il cuore della sicurezza

Puntualmente e ciclicamente arriva la notizia che la sicurezza informatica non è poi così tanto sicura. Questa volta a sanguinare è un cuore importante della sicurezza, OpenSSL. Il Secure Socket Layer  (SSL) oggi declinato in  Transport Layer Security (TLS), è il protocollo crittografico che permette una comunicazione sicura punto punto (end-to-end) su reti TCP/IP, leggasi Internet, fornendo lo strato (sicuro, per l’appunto) per autenticazione, integrità dei dati e cifratura. L’evidenza nota ai più del Secure Socket Layer è il lucchetto e il prefisso https prima della URL del sito che stiamo visitando e che abbiamo imparato a riconoscere come simbolo di sicurezza e fiducia.

In Internet Mis-Trust Services avevamo affrontato il caso di ComodoHacker, che a marzo 2011 aveva “derubato” la CA Comodo (da qui il nome del hacker) di alcuni certificati che facevano capo, fra gli altri, a mail.google.com. All’epoca più di 500 certificati Secure Socket Layer (SSL) erano stati fabbricati da parte di intrusi, ed alcuni di questi certificati erano stati usati per “impersonare” siti e/o servizi, di Google, tra cui Gmail. Il certificato SSL fasullo era stato utilizzato per firmare digitalmente connessioni HTTPS a qualsiasi sito di Google ed era stato emesso dalla società olandese DigiNotar, che nella sua Homepage recitava: “Iternet Trust Services – DigiNotar offers (legal) security in the online process of identification, validation and preservation”,

recitava, perchè Diginotar oggi non esiste più, è fallita, la falla di sicurezza è stata così importante e grave da scatenare un tale effetto domino da far sparire in poco tempo (un paio di mesi) la più importante CA olandese.

All’epoca era stata colpita una CA e falsificati alcuni certificati modello “io sono io, perciò ti puoi fidare”, oggi, fatto ben più grave, è il rischio che ad essere colpito è il protocollo che serve una buona parte delle connessioni sicure sulla rete (si parla di circa i 2/3) ed il fatto che Heartbleed (così hanno battezzato il baco) ha vissuto troppo a lungo nell’anonimato, senza essere scoperto, lasciando in balia dei potenziali malintenzionati, per due lunghi anni, enormi quantità di chiavi private e altri segreti esposti alla luce del “sole Internet”. Mettiamoci anche la facilità di attacco, il rischio di frittata fatta c’e’ tutto!

Il buco-baco “cuore sanguinante” consente di rubare tutte le informazioni che transitano sul canale trasmissivo, che fino ad oggi si pensava essere protetto e impenentrabile grazie alla crittografia SSL / TLS, ma non solo, Heartbleed consente di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL. Volendo fare un elenco non esaustivo, sono a rischio di compromissione:

  1. le chiavi utilizzate per identificare i fornitori di servizi (“io sono io, perciò ti puoi fidare, ma in realtà sono un ladro”)
  2. le chiavi per crittografare il traffico (“tutto è cifrato, ma tutti dispongono della Stele di Rosetta per tradurre”);
  3. i nomi e le password degli utenti;
  4. le informazioni riservate (numeri di carta di credito, dati e documenti coperti da privacy, ecc.).

Ad essere colpiti massicciamente rischiano di essere stati i server web open source più amati dagli amministratori di rete, Apache e nginx, che fanno copiosamente uso del protocollo OpenSSL utilizzato per proteggere ad esempio i server di posta (protocolli SMTP, POP e IMAP), chat server (protocollo XMPP), reti private virtuali (VPN SSL), apparecchi di rete e un’ampia varietà di software lato client.

Il bug è stato scoperto da Neel Mehta di Google Security e da Riku, Antti e Matti di Codenomicon che hanno segnalato la vulnerabilità al National Cyber Security Centre Finland (NCSC-FI) che ha a sua volta segnalato il bug agli autori di OpenSSL, fornitori di software e sistemi operativi, e appliance vendor potenzialmente interessati. Tuttavia, la portata della notizia è stata tale che se ne è avuta eco, anche con un notevole risalto, sulla stampa quotidiana (Corriere della Sera, Repubblica, ecc.).

Chi ha scoperto heartbleed lo ha verificato sui propri servizi, mettendosi dalla parte dell’attaccante. Ebbene, l’attacco ha avuto successo, e per di più senza lasciare nessuna traccia nei log (l’incubo di tutti gli amministratori di sistemi: il bug “invisibile”). Senza usare informazioni o credenziali riservate, l’attaccante è stato in grado di rubare le chiavi di cifratura utilizzate dai certificati X.509, nomi utente e password, messaggi istantanei, e-mail e documenti aziendali critici e comunicazioni riservate. In pratica nulla si è salvato, solo l’informazione che non c’era, da sempre quella più sicura!

Il rischio di essere stati colpiti direttamente o indirettamente è quindi accertato. Tutti i siti, dal social a quello aziendale, dai siti governativi ai siti di e.commerce potrebbero utilizzare OpenSSL vulnerabile. La stragrande maggioranza di servizi online utilizzano TLS sia per identificare se stessi verso gli utenti che li visitano che per proteggere la privacy e le transazioni degli stessi. Inoltre, il software lato client del dispositivo dell’utente potrebbe esporre i dati dal computer una volta connesso ai servizi compromessi.

Sono nati/esistono sulla rete diversi siti per verificare se il sito https che visitiamo/usiamo è potenzialmente a rischio,

ma vale la pena ricordare la definizione di rischio:

Il rischio c’e', c’è stato e ci sarà ancora, ma trattandosi di rischio, non potrebbe essere che per una volta tanto la falla di sicurezza non sia stata, bontà nostra, sfruttata?

FatturaPA e dematerializzazione

KEY4PAPERLESS 2014 ritorna sui temi della dematerializzazione. Il workshop “in-formativo” di mezza giornata punta a fornire lo stato dell’arte tecnico e legale sui temi caldi del mondo paperless. Un aiuto per chi deve affrontare o è già impegnato nel passaggio dalla carta al digitale:

  • Fatturazione elettronica per la PA: come funziona, come si fa.
  • Firma remota: la scadenza del 25 luglio 2014. Sarete in regola? Venite a scoprirlo.
  • Firma grafometrica: tutto quello che dovreste sapere (e che raramente vi dicono)
  • Firma elettronica avanzata: un anno di esperienza sul campo
  • Conservazione digitale: le nuove regole, cosa è cambiato
  • Gestione documentale: strumenti e progetti innovativi
  • Timbro digitale o glifo digitale?
  • Regolamento europeo: identità digitale, firma digitale. Cosa cambia.

Realizzato in collaborazione con Credemtel, Docugest, itAgile e Land il roadshow sarà il 9 aprile a Milano, il 15 maggio a Padova, l’11 giugno a Roma e il 16 ottobre a Napoli.

www.key4paperless.com

FatturaPA, la fatturazione elettronica verso la PA

http://countingdownto.com/

Ci siamo, mancano ormai pochi giorni alla fatturazione elettronica verso la PA, che a partire dal 6 giugno 2014 non sarà un opzione, bensi un obbligo per una buona parte dei circa 2 milioni di fornitori dei circa 21.000 enti della PA. In realtà a giugno 2014 non tutti i 21.000 enti andranno a regime con la fatturazione elettronica, ma solo una parte, meno della metà, ma pur sempre una parte consistente.

A titolo non esaustivo ma piuttosto rappresentativo, di seguito un elenco dei soggetti pubblici che a partire da giugno 2014 accetteranno solo fatture elettroniche:

  1. Presidenza del Consiglio
  2. Ministeri
  3. Avvocatura dello Stato
  4. Polizia di Stato
  5. Questure e Prefetture,
  6. Esercito
  7. Vigili del Fuoco
  8. Enti Nazionali di Previdenza e Assistenza sociale:
    • INAIL
    • INPS
    • INPDAP
    • INARCASSA
    • Cassa Nazionale del Notariato
    • Cassa Nazionale Dottori Commercialisti
  9. Agenzie Fiscali:
    • Agenzia del Demanio
    • Agenzia delle Dogane e dei Monoipoli
    • Agenzia delle Entrate
  10. Istituti di Istruzione Statale di ogni ordine e grado (tutti, ma proprio tutti, gli istituti scolastici statali, di ogni ordine e grado presenti sul territorio italiano!)

I succitati Ministeri, Agenzie fiscali, enti nazionali di previdenza e scuole, a partire dal 6 giugno 2014, è il caso di ribadirlo, non potranno più accettare fatture emesse o trasmesse in forma cartacea. La stessa disposizione si applicherà, dal 6 giugno 2015, ai restanti enti nazionali. Inoltre, a partire dai tre mesi successivi a queste date, le PA non potranno procedere al pagamento, neppure parziale, fino all’invio del documento in forma elettronica.

La Fatturazione Elettronica verso la Pubblica Amministrazione è divenuta effettivo obbligo di legge grazie alla promulgazione del DMEF n.55 del 3 aprile 2013, pubblicato in Gazzetta Ufficiale il 22 maggio 2013 con entrata in vigore 6 Giugno 2013. A partire dalla data di entrata in vigore del Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche (ai sensi dell’articolo 1, commi da 209 a 213 della legge Finanziaria 2008 del 24 dicembre 2007, n. 244), l’emissione, la trasmissione, la conservazione e l’archiviazione delle fatture emesse nei rapporti con le Pubbliche Amministrazioni, deve essere effettuata esclusivamente in forma elettronica.

Come si può capire dalla numerosità dei soggetti coinvolti e dalle scadenze (a breve) citate, la Fatturazione Elettronica verso la Pubblica Amministrazione sarà un tema molto caldo (incandescente?) nei mesi estivi del 2014.

La legge in pratica ci dice che o mi mandi a me PA la fattura in formato elettronico, oppure tu fornitore non hai titolo per essere pagato!!!

Ma come si predispone e si invia la FatturaPA?

La FatturaPA prevede un formato delle informazioni da riportare obbligatoriamente in fattura in quanto rilevanti ai fini fiscali secondo la normativa vigente; in aggiunta a queste il formato prevede l’indicazione obbligatoria delle informazioni indispensabili ai fini di una corretta trasmissione della fattura al soggetto destinatario attraverso il Sistema di Interscambio. In pratica FatturaPA “naviga” con i suoi dati di pertinenza e anche i dati sulla “rotta da seguire”.

La “navigazione” avviene all’interno di un canale, denominato SdI – Sistema di Interscambio.

Il Sistema di Interscambio è implementato da SOGEI ed è un sistema informatico in grado di:

  • ricevere le fatture sotto forma di file con le caratteristiche della FatturaPA,
  • effettuare controlli sui file ricevuti,
  • inoltrare le fatture alle Amministrazioni destinatarie.

Da annotare che il Sistema di Interscambio non ha alcun ruolo amministrativo e non assolve compiti relativi all’archiviazione e conservazione delle fatture.

E’ complicato spedire FatturaPA?

Il fornitore della PA, denominato Operatore Economico, può predisporre, emettere e trasmettere autonomamente la fattura elettronica oppure avvalersi di un Intermediario.

Faccio tutto io!

Nel caso decida di procedere autonomamente, senza avvalersi di intermediari, le operazioni che l’Operatore Economico deve svolgere, in sintesi, sono:

  1. Predisporre la FatturaPA:
    • ogni fattura, o lotto di fatture, costituisce, per il Sistema di Interscambio, un file predisposto secondo il formato della FatturaPA.
  2. Firmare la FatturaPA:
    • ogni file FatturaPA trasmesso al Sistema di Interscambio deve essere firmato dal soggetto che emette la fattura tramite un certificato di firma qualificata, firma che garantisce l’integrità delle informazioni contenute nella fattura e l’autenticità dell’emittente (purtroppo nei formati di firma non appare il tanto usabile PADES – PDF Advanced Electronic Signatures).
  3. Inviare la FatturaPA:
    • il file preparato, firmato e nominato nel rispetto delle regole previste, può essere inviato al Sistema di Interscambio attraverso cinque diversi canali di trasmissione per l’invio dei file:
      • invio tramite Posta Elettronica Certificata (PEC);
      • da sito web, tamite apposita interfaccia web;
      • invio tramite web-services (Servizio SDICoop – Trasmissione);
      • invio tramite web-services SPC attraverso il canale Sistema Pubblico di Connettività (SPC) (Servizio SPCoop-Trasmissione);
      • invio tramite protocollo FTP (Servizio SDIFTP).
  4. Una volta inviata FatturaPA:
    • conservarle sotitutivamente; trattandosi di fatturazione elettronica (simmetrica, ndr.) vige l’obbligo di conservazione sostitutiva almeno del sezionale dedicato a tale tipologia di fatture.

Ma chi me lo fa fare, mi faccio dare una mano!

Nel caso l’Operatore Economico decida di farsi aiutare, esistono gli Intermediari (banche, Poste, MePA, altri intermediari finanziari, intermediari di filiera, commercialisti, imprese ICT), soggetti terzi ai quali gli Operatori Economici possono rivolgersi per la compilazione/trasmissione della fattura elettronica (FatturaPA) e per l’archiviazione sostitutiva prevista dalla legge. Possono servirsi degli intermediari anche le PA per la ricezione del flusso elettronico dei dati e per l’archiviazione sostitutiva.

L’Intermediario è quindi il soggetto a cui rivolgersi nel caso in cui si voglia evitare di doversi attrezzare autonomamente per soddisfare i requisiti tecnici ed operativi imposti dagli obblighi di legge sulla Fatturazione Elettronica verso la PA, e che è (deve essere!)  in grado di seguire l’Operatore Economico in tutte le fasi del processo (compilazione, invio, ricezione di fatture e notifiche).

Puff puff pant pant“, mi sa che non ce la facciamo, ci saranno proroghe?

L’obiettivo è quello di facilitare la dematerializzazione e l’integrazione dei processi sia nella relazione Business to Government (B2G) che, a tendere,  in quella Business to Business (B2B).

Gestore del Sistema d’Interscambio è l’Agenzia delle Entrate, alla quale è stato demandato il compito, fra i vari, di coordinamento con il sistema informatico della fiscalità, leggasi il mandato di verificare/controllare in primis i pagamenti e/o mancati pagamenti dell’IVA. Questa singola finalità suggerisce che non ci saranno proroghe, in quanto una proroga andrebbe contro l’interesse dello Stato di combattere il fenomeno dell’evasione e di fare cassa in una situazione di grande bisogno. Aggiungasi anche che l’obbligo formale introdurrà un adempimento ulteriore per il pagamento della fattura, caratteristica di sicuro interesse per le amministrazioni che partiranno per prime. Infine soggetti istituzionali autorevoli (in ordine sparso, AgID, INPS, Agenzia delle Entrate, Ministero della Economia e delle Finanze) stanno ribadendo pubblicamente e ad ogni pie sospinto che la roadmap sarà rispettata e non ci saranno proroghe, un malcostume peraltro che dovrebbe cessare, per proiettare il paese verso un modus operandi imperniato sulla certezza delle date.

Siamo in ritardo?

Si, in grave ritardo! Per usare una unità di misura/raffronto, basta considerare che ad oggi gli Operatori Economici che si sono avvicinati e preso confidenza con strumenti elettronici (firma digitale e workflow documentale) e interagiscono con la PA sul canale MePA (Mercato Elettronico della P.A.) sono stati nel 2013 poco più di 21.000, per un volume di acquisti di oltre 900 milioni di euro, concludendo on line più di 335.000 contratti, numeri che se rapportati ai totali di cui a inizio post fanno capire che la situazione non è per niente tranquilla.

Ma possiamo e dobbiamo recuperare!

Terminata pausa pranzo?

Al lavoro per FatturaPA!

Per maggiori dettagli: http://www.fatturapa.gov.it/export/fatturazione/it/index.htm

De visu o de webcam: da remoto è possibile!

Nel lontano 2009, l’allora CNIPA, ieri DigitPA, oggi AgID, nella sua pubblicazione “Guida alla Firma Digitale”, stabiliva, con tanto di testo in rosso, che:

“in nessun caso è possibile ottenere un dispositivo di firma digitale senza incontrarsi personalmente con il certificatore, o suo incaricato, che avrà l’obbligo di richiedere un documento di riconoscimento in corso di validità per verificare l’identità del richiedente”.

Cap. 12. Dove e come dotarsi di firma digitale – CNIPA – Guida alla Firma Digitale (2009)

Il CNIPA stabiliva in modo perentorio che “un tale evento costituirebbe una grave violazione dei requisiti operativi inerenti la sicurezza da segnalare rapidamente al CNIPA/DigitPA che, in qualità di ente governativo preposto alla vigilanza, potrà intraprendere le azioni del caso”. Parafrasando e traducendo Henry Ford (You can have any colour, as long as it’s black!) fino a ieri si poteva procedere a qualsivoglia tipo di riconoscimento l’importante è che fosse de visu.

Da oggi, al de visu esiste una alternativa remota: il “de webcam“.

InfoCert, Autorità di Certificazione accreditata, annuncia in questi giorni la possibilità di ottenere la Firma Digitale senza spostamenti, a Km 0!

Con il Riconoscimento Web, oggi è già possibile richiedere ed ottenere la firma digitale senza muoversi da casa o dal proprio ufficio, con la stessa sicurezza garantita dal riconoscimento tradizionale, de visu. Il processo di Riconoscimento Web è in fase di brevetto (così annuncia il sito InfoCert), ed ha ricevuto l’approvazione da parte dell’Agenzia per l’Italia Digitale (ex DigitPA) e parere favorevole da parte del Garante per la Protezione dei dati Personali.

I prerequisiti per il rilascio della Firma Digitale con riconoscimento Webcam sono:

  1. computer con collegamento ad internet;
  2. webcam (almeno 1200 x 800) installata e provata almeno una volta;
  3. audio e microfono;
  4. software Adobe Flash Player installato
  5. ad ulteriore garanzia del successo dell’operazione si consiglia, in via preventiva, di eseguire la scansione del documento di identità (valido, ndr.) e tenerlo a disposizione del PC dove verrà effettuato il collegamento.

A pagamento avvenuto, sarà necessario compilare il form di prenotazione per la sessione in videoconferenza con l’operatore InfoCert, che effettuerà il riconoscimento. Una volta completato il riconoscimento, verranno spediti i certificati di firma direttamente all’indirizzo fisico indicato e sul dispositivo scelto, che allo stato attuale sono solo smart card o business key.

Rifacendosi a quanto affermato da Danilo Cattaneo, Direttore Generale di InfoCert, che “intravede una esisgenza di semplificazione alla base della evoluzione della normativa in tema di firma elettronica”, in linea, aggiungiamo noi, con uno sviluppo IT sempre più “fra le nuvole” (leggasi Cloud), sia che si parli di identificazione, o che si parli di strumento di firma digitale, la remotizzaizione/centralizzazione sta rendendo l’utilizzo e la diffuzione della firma digitale ancora più semplice ed usabile.

Da qui a poco, il passo credo sarà molto breve, per potersi dotare di una firma digitale in tempi rapidissimi e senza dover aspettare i tempi postali di consegna per ricevere dispositivi di firma hardware, associando riconoscimento da remoto a firma digitale remota.

ADDENDUM

Su segnalazione della Certification Authority Namirial segnaliamo che anche Namirial dispone del servizio di identificaizone via webcam e Skype, così come riportato a pagina 27 del suo “Manuale Operativo – Firma Digitale e Marca Temporale

Namirial nel suo manuale specifica che i dati di registrazione, costituiti da file audio video e metadati strutturati in formato elettronico, vengono conservati in forma protetta per una durata ventennale, presso il Certificatore. Tale procedura in uso soddisfa quanto richiesto dall’art.32, comma 3, lettera a) del CAD.

Art. 32.
Obblighi del titolare e del certificatore
[...]
3. Il certificatore che rilascia, ai sensi dell’articolo 19, certificati qualificati deve inoltre:
a) provvedere con certezza alla identificazione della persona che fa richiesta della certificazione;
[...]

La firma remota fra innovazione e sicurezza: lo stato dell’arte

Il presente blog “Firma Facile” segue ormai da tempo e con attenzione le vicende della cosiddetta “firma digitale remota”, ovvero la soluzione di firma elettronica centralizzata che supera le difficoltà della smartcard e dell’approccio distribuito, e che rende lo strumento di firma facile da usare.

E’ il caso di fare il punto della situazione per tre motivi:

  1. quest’anno (2013) è giunto a compimento il processo di evoluzione normativa che ha consentito l’adozione di questo strumento: la firma remota ed i relativi dispositivi di firma denominati HSM (Hardware Security Module) fanno parte ufficialmente della normativa, per conferme sul tema leggasi “Habemus DPCM 22 febbraio 2013” dedicato “all’apparizione” in Gazzetta Ufficiale (GU n.117 del 21-5-2013) delle tanto attese (dopo due anni) Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali [...];
  2. fra otto mesi (luglio 2014) termina il regime di autocertificazione degli apparati HSM;
  3. in ambito comunitario si sta lavorando alacremetne al testo del nuovo “REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno“, regolamento europeo sulle identità digitali, la firma digitale ed in generale i cosiddetti “trusted services”, che ricordiamo che per sua natura è, e sarà, obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, a partirte presumibilemtne dalla seconda metà dell’anno prossimo (2014)

Qual’è dunque lo stato dell’arte della firma remota? Quali valutazione di carattere generale si possono fare? Procediamo con ordine:

  • la diffusione della firma remota è stato ed è un fenomeno importante sia nella variante firma utente singolo documento (al pari di una smartcard), sia nella variante “sottoscrizione con procedura automatica” (la firma massiva). Centinaia di soggetti, grandi aziende di tutti i settori, grandi amministrazioni dello Stato ed istituzioni l’hanno adottata direttamente. Altre migliaia di aziende, amministrazioni e persone l’anno acquisita in outsourcing. L’Italia è senza dubbio il paese in Europa più avanti di tutti. Lo era stato nella prima adozione della firma elettronica, lo è oggi per la firma remota. In un quadro generale di piagnistei sulle nostre nazionali deficienze è bene sottolineare le cose in cui non solo non ci dobbiamo vergognare, ma anzi siamo un passo avanti agli altri.
  • Il processo di evoluzione normativa iniziato da Giovanni Manca (affettuosamente indicato come il papà dela firma digitale) quando era a capo dell’Ufficio Sicurezza di DigitPA (ora AgID) è stato completato positivamente da Stefano Arbia (oggi al suo posto) con il summenzionato DPCM 22 febbraio 2013. E’ stato un processo complicato, un po’ lentino, a volte sincopato, ma è giunto a compimento senza stravolgere le basi “logiche” e probatorie della firma, e senza cedere a “canti di sirene” sul fronte della sicurezza. Anzi, è stata introdotta la possibilità di usare tecnologie di firma, come quella grafometrica, in grado di far completare il processo di dematerializzazione dove per problemi pratici, o di digital divide, la firma digitale non era e non è utilizzabile. Anche qui, in un quadro generale in cui il legislatore italiano fa’ e disfa’ continuamente le stesse norme (soprattutto in materia fiscale!), mi sembra doveroso sottolineare il successo sostanziale di questa evoluzione normativa.
  • La certificazione di sicurezza degli apparati HSM – necessaria per assicurare l’affidabilità della tecnologia – è proseguita secondo le procedure stabilite a suo tempo da OCSI (Organismo di Certificazione della Sicurezza Informatica). OCSI, i laboratori accreditati (uno di questi IMQ) ed i produttori, hanno perseguito con pazienza e tenacia il complesso iter di certificazione CC EAL4+ e ad oggi ci sono tre produttori di tecnologia coinvolti:
    • SafeNet con il prodotto Luna SA, che ha già completato il processo di certificazione con Luna® PCI Configured for Use in Luna SA 4.1
      • Dell’Attestato di Conformità n. 1/12 rilasciato lo scorso 12 dicembre 2012, per il dispositivo Luna® PCI Configured for Use in Luna SA 4.1 del produttore SafeNet Inc e dei limiti di validità della Certificazione CC, si veda a tal proposito Attestato di Conformità n. 1/12.


    • ARX, con il prodotto CoSign, che a specifica richiesta ha dichiarato ufficialmente di essere nei tempi previsti e si aspetta di completare la certificazione in linea con le scadenze della legge italiana.

    • Thales e-Security Ltd con il prodotto nShield Solo F3 PCIe HSM che interpellata sul tema non ci ha ancora risposto.

Rebus sic stantibus il mercato ha comunque a disposizione almeno due prodotti, che possono soddisfare qualsiasi esigenza presente e futura di firma remota.

  • Il nuovo regolamento europeo si muove nel quadro tracciato dall’Italia, mantenendo l’obbligatorietà della certificazione di sicurezza dei dispositivi di firma (HSM, ndr.) per la firma digitlae qualificata ed elaborando nuovi profili di certificazione di sicurezza.

In conclusione: l’Italia è stato un paese innovatore sulla firma elettronica sin dal lontano 1997 ed oggi reitera e rivendica il suo spirito nel voler essere all’avanguardia con la firma remota, anticipando quello che avverrà nel 2014 in Europa con il nuovo regolamento e mantenendo i necessari standard di sicurezza, a garanzia e tutela degli utilizzatori.

Una storia di successo per questo nostro paese!

La firma elettronica avanzata non è un prodotto, bensì un processo

E’ il caso, ancora una volta, di ribadirlo!

Volendo essere pragmatici, la Firma Elettronica Avanzata non è LA tavoletta grafica di firma, meglio nota come tablet di firma, bensì un processo che deve essere conforme ai vincoli contenuti nel Titolo V delle Regole Tecniche dedicato specificatamente alla Firma Elettronica Avanzata.

La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

Art. 55 comma 1- Disposizioni generali
Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali [...]

Sull’onda del primo comma dell’articolo 55 su riportato, si è aperto un nuovo “mercato di firme” elettroniche, sostenuto da una forte spinta generata dai produttori/rivenditori di tablet di firma, a loro volta sospinti da una clientela alla ricerca di soluzioni elettroniche di firma USABILI, che ha visto in prima fila gli operatori finanziari (banche e assicurazioni). Nelle more della pubblicazione delle regole tecniche, si è ahimè assitito ad un fiorire di proposte dalla dematerilizzazione facile, che molto, troppo spesso, hanno cavalcato l’onda lunga (durata due lunghissimi anni, vedasi a tal proposito: Habemus DPCM 22 febbraio 2013) dell’incertezza e del poco definito, per vendere soluzioni software e/o hardware dalla dubbia (per non dire altro) validità.

Fatta la doverosa premessa e ciò nonostante, la firma biometrica, meglio nota come firma grafometrica (la firma su tablet che raccoglie/calcola ritmo, velocità, pressione, accelerazione, movimento del gesto di firma), se opportunamente progettata può essere una Firma Elettronica Avanzata, venendoci così a trovare di fronte ad una FEA basata su tecnologie grafometriche.

La firma grafometrica basa la sua solidità su quattro pilastri:

  1. la tecnologia della tavoletta;
  2. la sicurezza nella protezione del dato biometrico;
  3. la sicurezza nella gestione della chiave di protezione (master key) del dato biometrico;
  4. la qualità del tool forensic (grafologia).

I punti suesposti si devono armonizzare con elementi organizzativi e di processo che definiscono gli ambiti entro i quali si sta parlando, e rendendo valida, la fattispecie Firma Elettronica Avanzata, secondo quanto disposto dagli articoli 56 (Caratteristiche delle soluzioni di firma elettronica avanzata) e 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata) delle succitate regole tecniche.

Dato che, come abbiamo visto, la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva, l’onere della prova che quella utilizzata è “assolutamente una Firma Elettronica Avanzata”, ricade in capo a chi la realizza e conseguentemente a chi la propone. La fattispecie, come abbiamo visto, è fresca di Gazzetta Ufficiale, non esiste quindi prassi consolidata che definisca in maniera chiara ed inequivocabile quale sia la FEA buona e quella non buona, o quella così e così, ergo, per poterla confezionare/valutare nel migliore dei modi, a prova di possibile disconoscimento in sede giudiziaria (“signor giudice, mi dispiace ma quella con cui ha firmato il mio cliete non è una FEA!”), oltre alla diligenza e al buon senso del buon padre di famiglia, è il caso di rivolgersi ad autorità ed enti che siano in grado di guidare noi tutti (fornitori e consumatori) nel nostro “viaggio elettronico avanzato”.

E’ notizia di questi giorni il parere n. 396 del 12 settembre 2013 del Garante per la protezione dei dati personali (autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy – legge 31 dicembre 1996, n. 675) riguardante il sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da banca Fineco Bank S.p.A. “società operante esclusivamente online e tramite promotori finanziari dislocati su tutto il territorio nazionale di volersi dotare di un sistema (di firma grafometrica, ndr.) in grado di consentire la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti dalla banca”.

Il processo che Fineco ha intenzione di adottare si basa su una soluzione di firma grafometrica sviluppata da Namirial S.p.A. (organismo di certificazione accreditato presso l’Agenzia per l’Italia Digitale) che ha ricevuto la certificazione ISO 27001 per Impostare e Gestire un Sistema di Gestione della Sicurezza delle Informazioni (certificazione espressamente richiesta ex art. 58 delle Regole tecniche – Obblighi per i soggetti che realizzano per terzi soluzioni di firma elettronica avanzata) e su un “Archivio di conservazione a norma” di In.TE.SA. S.p.A. (organismo di certificazione accreditato anch’esso presso l’Agenzia per l’Italia Digitale, incaricato della gestione documentale e nello specifico responsabile della conservazione).

Il processo consta delle seguenti fasi:

  1. i promotori finanziari collaboratori della Banca illustrano al cliente le modalità di fruizione del servizio di “firma grafometrica”;
  2. il servizio verrebbe attivato su base esclusivamente volontaria, previa acquisizione del libero consenso informato di questi ultimi (ove il cliente non intendesse fornire il proprio consenso al trattamento, ovvero lo abbia successivamente revocato, i documenti resteranno sottoscrivibili secondo “il processo tradizionale” di firma su carta);
  3. il promotore rilascia la prevista Informativa ex art. 13 del Codice della Privacy e acquisisce il relativo consenso in caso di adesione al servizio;
  4. il promotore sottopone al cliente (previamente identificato) il documento in formato elettronico;
  5. il cliente appone la “firma grafometrica” su un dispositivo hardware in grado di acquisire i dati biometrici contestualmente all’atto di apposizione della firma;
  6. i dati biometrici cifrati (e “sigillati elettronicamente all’interno del documento informatico cui si riferiscono”) e il tratto grafico della firma sono inseriti in appositi campi del documento registrato in formato pdf;
  7. sono generate una serie di stringhe hash per la successiva verifica dell’integrità della firma e dei documenti acquisiti in formato elettronico;
  8. il documento informatico sottoscritto viene inviato tramite canali sicuri al “Sistema documentale di Fineco” e all’”Archivio di conservazione a norma” di In.TE.SA. S.p.A. per la relativa conservazione;
  9. il cliente riceve una copia cartacea del documento sottoscritto con “firma grafometrica” o, in alternativa, il duplicato informatico via posta elettronica.

In nessuno caso i dati biometrici del firmatario avrebbero “residenza”, nemmeno temporaneamente, all’interno dei “tablet” e, una volta incorporati nel documento, verrebbero “cancellati e sovrascritti dalla memoria del computer”, non risultando conseguentemente visualizzabili né dai promotori finanziari, né da In.TE.SA S.p.A., né, tantomeno, da Fineco Bank S.p.A. e da Namirial S.p.A.

La decifrazione dei dati biometrici e il relativo accesso “in chiaro” sarebbero consentiti “esclusivamente nei casi previsti dalla legge, su richiesta delle Autorità competenti” (tipicamente riconducibili a ipotesi di contenzioso legate al disconoscimento della firma); in tale evenienza, Namirial S.p.A. metterebbe a disposizione del perito calligrafico nominato dall’autorità giudiziaria un apposito strumento (denominato “FirmaCerta Forense”) che consentirà di gestire la procedura di decriptazione secondo elevati standard di sicurezza, garantendo che le operazioni di “cifratura e decifratura [si svolgano] contestual[ment]e […] all’apertura e alla chiusura della perizia”.

Le valutazioni del Garante della protezione dei dati personali (a tutti noto come Garante della Privacy) stabiliscono (fra le altre) che:

  • sotto il profilo della sicurezza dei dati trattati, si può ritenere che l’insieme degli accorgimenti adottati nell’intero processo di gestione dei dati biometrici degli interessati costituiscano, nel complesso, misure di sicurezza che, sulla base delle attuali conoscenze, possono essere ritenute idonee;
  • il metodo di sottoscrizione biometrica può risultare funzionale, anche a garanzia del cliente della banca, in vista di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale, fornendo possibili elementi di valutazione utili anche in sede giudiziaria, in virtù del fatto che l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti. In altri termini, la Firma Elettronica Avanzata garantisce maggiormente il consumatore da frodi;
  • la riservatezza dei dati biometrici durante la fase di raccolta si basa, oltre che sulla robustezza del processo, anche sulla sicurezza dei dispositivi, aspetto sul quale la banca dovrà porre la massima attenzione garantendone l’uso esclusivo, nell’ambito del processo di specie, ai soli utenti (promotori finanziari) abilitati al relativo utilizzo.

In conclusione il Garante accoglie l’istanza di verifica preliminare presentata da Fineco Bank S.p.A., a condizione che:

1. Fineco Bank S.p.A., qualora non vi abbia già provveduto, adotti gli ulteriori presidi tecnici e organizzativi di sicurezza a protezione dei dati biometrici degli interessati:

    • idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, adottando altresì ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli (malware);
    • un sistema di gestione dei dispositivi impiegati nei trattamenti grafometrici basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro. In particolare, dovranno risultare disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi;
    • adeguate policy per la gestione degli incidenti di sicurezza nell’ambito delle diverse fasi del processo biometrico/grafometrico;

2. Fineco Bank S.p.A. si faccia rilasciare e conservi l’attestato di conformità di cui alla regola 25 – Misure di tutela e garanzia – dell’Allegato “B” del Codice (Disciplinare tecnico in materia di misure minime di sicurezza);

3. Fineco Bank S.p.A. osservi effettivamente tutti gli obblighi che, nel corso del procedimento, si è impegnata a rispettare (repetita iuvant) e quelli ulteriori eventualmente gravanti sulla base della disciplina vigente;

4. il processo venga effettuato con le modalità indicate e per le sole finalità dichiarate.

… per le sole finalità dichiarate …