Torna a sanguinare il cuore della sicurezza

Puntualmente e ciclicamente arriva la notizia che la sicurezza informatica non è poi così tanto sicura. Questa volta a sanguinare è un cuore importante della sicurezza, OpenSSL. Il Secure Socket Layer  (SSL) oggi declinato in  Transport Layer Security (TLS), è il protocollo crittografico che permette una comunicazione sicura punto punto (end-to-end) su reti TCP/IP, leggasi Internet, fornendo lo strato (sicuro, per l’appunto) per autenticazione, integrità dei dati e cifratura. L’evidenza nota ai più del Secure Socket Layer è il lucchetto e il prefisso https prima della URL del sito che stiamo visitando e che abbiamo imparato a riconoscere come simbolo di sicurezza e fiducia.

In Internet Mis-Trust Services avevamo affrontato il caso di ComodoHacker, che a marzo 2011 aveva “derubato” la CA Comodo (da qui il nome del hacker) di alcuni certificati che facevano capo, fra gli altri, a mail.google.com. All’epoca più di 500 certificati Secure Socket Layer (SSL) erano stati fabbricati da parte di intrusi, ed alcuni di questi certificati erano stati usati per “impersonare” siti e/o servizi, di Google, tra cui Gmail. Il certificato SSL fasullo era stato utilizzato per firmare digitalmente connessioni HTTPS a qualsiasi sito di Google ed era stato emesso dalla società olandese DigiNotar, che nella sua Homepage recitava: “Iternet Trust Services – DigiNotar offers (legal) security in the online process of identification, validation and preservation”,

recitava, perchè Diginotar oggi non esiste più, è fallita, la falla di sicurezza è stata così importante e grave da scatenare un tale effetto domino da far sparire in poco tempo (un paio di mesi) la più importante CA olandese.

All’epoca era stata colpita una CA e falsificati alcuni certificati modello “io sono io, perciò ti puoi fidare”, oggi, fatto ben più grave, è il rischio che ad essere colpito è il protocollo che serve una buona parte delle connessioni sicure sulla rete (si parla di circa i 2/3) ed il fatto che Heartbleed (così hanno battezzato il baco) ha vissuto troppo a lungo nell’anonimato, senza essere scoperto, lasciando in balia dei potenziali malintenzionati, per due lunghi anni, enormi quantità di chiavi private e altri segreti esposti alla luce del “sole Internet”. Mettiamoci anche la facilità di attacco, il rischio di frittata fatta c’e’ tutto!

Il buco-baco “cuore sanguinante” consente di rubare tutte le informazioni che transitano sul canale trasmissivo, che fino ad oggi si pensava essere protetto e impenentrabile grazie alla crittografia SSL / TLS, ma non solo, Heartbleed consente di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL. Volendo fare un elenco non esaustivo, sono a rischio di compromissione:

  1. le chiavi utilizzate per identificare i fornitori di servizi (“io sono io, perciò ti puoi fidare, ma in realtà sono un ladro”)
  2. le chiavi per crittografare il traffico (“tutto è cifrato, ma tutti dispongono della Stele di Rosetta per tradurre”);
  3. i nomi e le password degli utenti;
  4. le informazioni riservate (numeri di carta di credito, dati e documenti coperti da privacy, ecc.).

Ad essere colpiti massicciamente rischiano di essere stati i server web open source più amati dagli amministratori di rete, Apache e nginx, che fanno copiosamente uso del protocollo OpenSSL utilizzato per proteggere ad esempio i server di posta (protocolli SMTP, POP e IMAP), chat server (protocollo XMPP), reti private virtuali (VPN SSL), apparecchi di rete e un’ampia varietà di software lato client.

Il bug è stato scoperto da Neel Mehta di Google Security e da Riku, Antti e Matti di Codenomicon che hanno segnalato la vulnerabilità al National Cyber Security Centre Finland (NCSC-FI) che ha a sua volta segnalato il bug agli autori di OpenSSL, fornitori di software e sistemi operativi, e appliance vendor potenzialmente interessati. Tuttavia, la portata della notizia è stata tale che se ne è avuta eco, anche con un notevole risalto, sulla stampa quotidiana (Corriere della Sera, Repubblica, ecc.).

Chi ha scoperto heartbleed lo ha verificato sui propri servizi, mettendosi dalla parte dell’attaccante. Ebbene, l’attacco ha avuto successo, e per di più senza lasciare nessuna traccia nei log (l’incubo di tutti gli amministratori di sistemi: il bug “invisibile”). Senza usare informazioni o credenziali riservate, l’attaccante è stato in grado di rubare le chiavi di cifratura utilizzate dai certificati X.509, nomi utente e password, messaggi istantanei, e-mail e documenti aziendali critici e comunicazioni riservate. In pratica nulla si è salvato, solo l’informazione che non c’era, da sempre quella più sicura!

Il rischio di essere stati colpiti direttamente o indirettamente è quindi accertato. Tutti i siti, dal social a quello aziendale, dai siti governativi ai siti di e.commerce potrebbero utilizzare OpenSSL vulnerabile. La stragrande maggioranza di servizi online utilizzano TLS sia per identificare se stessi verso gli utenti che li visitano che per proteggere la privacy e le transazioni degli stessi. Inoltre, il software lato client del dispositivo dell’utente potrebbe esporre i dati dal computer una volta connesso ai servizi compromessi.

Sono nati/esistono sulla rete diversi siti per verificare se il sito https che visitiamo/usiamo è potenzialmente a rischio,

ma vale la pena ricordare la definizione di rischio:

Il rischio c’e', c’è stato e ci sarà ancora, ma trattandosi di rischio, non potrebbe essere che per una volta tanto la falla di sicurezza non sia stata, bontà nostra, sfruttata?

FatturaPA e dematerializzazione

KEY4PAPERLESS 2014 ritorna sui temi della dematerializzazione. Il workshop “in-formativo” di mezza giornata punta a fornire lo stato dell’arte tecnico e legale sui temi caldi del mondo paperless. Un aiuto per chi deve affrontare o è già impegnato nel passaggio dalla carta al digitale:

  • Fatturazione elettronica per la PA: come funziona, come si fa.
  • Firma remota: la scadenza del 25 luglio 2014. Sarete in regola? Venite a scoprirlo.
  • Firma grafometrica: tutto quello che dovreste sapere (e che raramente vi dicono)
  • Firma elettronica avanzata: un anno di esperienza sul campo
  • Conservazione digitale: le nuove regole, cosa è cambiato
  • Gestione documentale: strumenti e progetti innovativi
  • Timbro digitale o glifo digitale?
  • Regolamento europeo: identità digitale, firma digitale. Cosa cambia.

Realizzato in collaborazione con Credemtel, Docugest, itAgile e Land il roadshow sarà il 9 aprile a Milano, il 15 maggio a Padova, l’11 giugno a Roma e il 16 ottobre a Napoli.

www.key4paperless.com

FatturaPA, la fatturazione elettronica verso la PA

http://countingdownto.com/

Ci siamo, mancano ormai pochi giorni alla fatturazione elettronica verso la PA, che a partire dal 6 giugno 2014 non sarà un opzione, bensi un obbligo per una buona parte dei circa 2 milioni di fornitori dei circa 21.000 enti della PA. In realtà a giugno 2014 non tutti i 21.000 enti andranno a regime con la fatturazione elettronica, ma solo una parte, meno della metà, ma pur sempre una parte consistente.

A titolo non esaustivo ma piuttosto rappresentativo, di seguito un elenco dei soggetti pubblici che a partire da giugno 2014 accetteranno solo fatture elettroniche:

  1. Presidenza del Consiglio
  2. Ministeri
  3. Avvocatura dello Stato
  4. Polizia di Stato
  5. Questure e Prefetture,
  6. Esercito
  7. Vigili del Fuoco
  8. Enti Nazionali di Previdenza e Assistenza sociale:
    • INAIL
    • INPS
    • INPDAP
    • INARCASSA
    • Cassa Nazionale del Notariato
    • Cassa Nazionale Dottori Commercialisti
  9. Agenzie Fiscali:
    • Agenzia del Demanio
    • Agenzia delle Dogane e dei Monoipoli
    • Agenzia delle Entrate
  10. Istituti di Istruzione Statale di ogni ordine e grado (tutti, ma proprio tutti, gli istituti scolastici statali, di ogni ordine e grado presenti sul territorio italiano!)

I succitati Ministeri, Agenzie fiscali, enti nazionali di previdenza e scuole, a partire dal 6 giugno 2014, è il caso di ribadirlo, non potranno più accettare fatture emesse o trasmesse in forma cartacea. La stessa disposizione si applicherà, dal 6 giugno 2015, ai restanti enti nazionali. Inoltre, a partire dai tre mesi successivi a queste date, le PA non potranno procedere al pagamento, neppure parziale, fino all’invio del documento in forma elettronica.

La Fatturazione Elettronica verso la Pubblica Amministrazione è divenuta effettivo obbligo di legge grazie alla promulgazione del DMEF n.55 del 3 aprile 2013, pubblicato in Gazzetta Ufficiale il 22 maggio 2013 con entrata in vigore 6 Giugno 2013. A partire dalla data di entrata in vigore del Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche (ai sensi dell’articolo 1, commi da 209 a 213 della legge Finanziaria 2008 del 24 dicembre 2007, n. 244), l’emissione, la trasmissione, la conservazione e l’archiviazione delle fatture emesse nei rapporti con le Pubbliche Amministrazioni, deve essere effettuata esclusivamente in forma elettronica.

Come si può capire dalla numerosità dei soggetti coinvolti e dalle scadenze (a breve) citate, la Fatturazione Elettronica verso la Pubblica Amministrazione sarà un tema molto caldo (incandescente?) nei mesi estivi del 2014.

La legge in pratica ci dice che o mi mandi a me PA la fattura in formato elettronico, oppure tu fornitore non hai titolo per essere pagato!!!

Ma come si predispone e si invia la FatturaPA?

La FatturaPA prevede un formato delle informazioni da riportare obbligatoriamente in fattura in quanto rilevanti ai fini fiscali secondo la normativa vigente; in aggiunta a queste il formato prevede l’indicazione obbligatoria delle informazioni indispensabili ai fini di una corretta trasmissione della fattura al soggetto destinatario attraverso il Sistema di Interscambio. In pratica FatturaPA “naviga” con i suoi dati di pertinenza e anche i dati sulla “rotta da seguire”.

La “navigazione” avviene all’interno di un canale, denominato SdI – Sistema di Interscambio.

Il Sistema di Interscambio è implementato da SOGEI ed è un sistema informatico in grado di:

  • ricevere le fatture sotto forma di file con le caratteristiche della FatturaPA,
  • effettuare controlli sui file ricevuti,
  • inoltrare le fatture alle Amministrazioni destinatarie.

Da annotare che il Sistema di Interscambio non ha alcun ruolo amministrativo e non assolve compiti relativi all’archiviazione e conservazione delle fatture.

E’ complicato spedire FatturaPA?

Il fornitore della PA, denominato Operatore Economico, può predisporre, emettere e trasmettere autonomamente la fattura elettronica oppure avvalersi di un Intermediario.

Faccio tutto io!

Nel caso decida di procedere autonomamente, senza avvalersi di intermediari, le operazioni che l’Operatore Economico deve svolgere, in sintesi, sono:

  1. Predisporre la FatturaPA:
    • ogni fattura, o lotto di fatture, costituisce, per il Sistema di Interscambio, un file predisposto secondo il formato della FatturaPA.
  2. Firmare la FatturaPA:
    • ogni file FatturaPA trasmesso al Sistema di Interscambio deve essere firmato dal soggetto che emette la fattura tramite un certificato di firma qualificata, firma che garantisce l’integrità delle informazioni contenute nella fattura e l’autenticità dell’emittente (purtroppo nei formati di firma non appare il tanto usabile PADES – PDF Advanced Electronic Signatures).
  3. Inviare la FatturaPA:
    • il file preparato, firmato e nominato nel rispetto delle regole previste, può essere inviato al Sistema di Interscambio attraverso cinque diversi canali di trasmissione per l’invio dei file:
      • invio tramite Posta Elettronica Certificata (PEC);
      • da sito web, tamite apposita interfaccia web;
      • invio tramite web-services (Servizio SDICoop – Trasmissione);
      • invio tramite web-services SPC attraverso il canale Sistema Pubblico di Connettività (SPC) (Servizio SPCoop-Trasmissione);
      • invio tramite protocollo FTP (Servizio SDIFTP).
  4. Una volta inviata FatturaPA:
    • conservarle sotitutivamente; trattandosi di fatturazione elettronica (simmetrica, ndr.) vige l’obbligo di conservazione sostitutiva almeno del sezionale dedicato a tale tipologia di fatture.

Ma chi me lo fa fare, mi faccio dare una mano!

Nel caso l’Operatore Economico decida di farsi aiutare, esistono gli Intermediari (banche, Poste, MePA, altri intermediari finanziari, intermediari di filiera, commercialisti, imprese ICT), soggetti terzi ai quali gli Operatori Economici possono rivolgersi per la compilazione/trasmissione della fattura elettronica (FatturaPA) e per l’archiviazione sostitutiva prevista dalla legge. Possono servirsi degli intermediari anche le PA per la ricezione del flusso elettronico dei dati e per l’archiviazione sostitutiva.

L’Intermediario è quindi il soggetto a cui rivolgersi nel caso in cui si voglia evitare di doversi attrezzare autonomamente per soddisfare i requisiti tecnici ed operativi imposti dagli obblighi di legge sulla Fatturazione Elettronica verso la PA, e che è (deve essere!)  in grado di seguire l’Operatore Economico in tutte le fasi del processo (compilazione, invio, ricezione di fatture e notifiche).

Puff puff pant pant“, mi sa che non ce la facciamo, ci saranno proroghe?

L’obiettivo è quello di facilitare la dematerializzazione e l’integrazione dei processi sia nella relazione Business to Government (B2G) che, a tendere,  in quella Business to Business (B2B).

Gestore del Sistema d’Interscambio è l’Agenzia delle Entrate, alla quale è stato demandato il compito, fra i vari, di coordinamento con il sistema informatico della fiscalità, leggasi il mandato di verificare/controllare in primis i pagamenti e/o mancati pagamenti dell’IVA. Questa singola finalità suggerisce che non ci saranno proroghe, in quanto una proroga andrebbe contro l’interesse dello Stato di combattere il fenomeno dell’evasione e di fare cassa in una situazione di grande bisogno. Aggiungasi anche che l’obbligo formale introdurrà un adempimento ulteriore per il pagamento della fattura, caratteristica di sicuro interesse per le amministrazioni che partiranno per prime. Infine soggetti istituzionali autorevoli (in ordine sparso, AgID, INPS, Agenzia delle Entrate, Ministero della Economia e delle Finanze) stanno ribadendo pubblicamente e ad ogni pie sospinto che la roadmap sarà rispettata e non ci saranno proroghe, un malcostume peraltro che dovrebbe cessare, per proiettare il paese verso un modus operandi imperniato sulla certezza delle date.

Siamo in ritardo?

Si, in grave ritardo! Per usare una unità di misura/raffronto, basta considerare che ad oggi gli Operatori Economici che si sono avvicinati e preso confidenza con strumenti elettronici (firma digitale e workflow documentale) e interagiscono con la PA sul canale MePA (Mercato Elettronico della P.A.) sono stati nel 2013 poco più di 21.000, per un volume di acquisti di oltre 900 milioni di euro, concludendo on line più di 335.000 contratti, numeri che se rapportati ai totali di cui a inizio post fanno capire che la situazione non è per niente tranquilla.

Ma possiamo e dobbiamo recuperare!

Terminata pausa pranzo?

Al lavoro per FatturaPA!

Per maggiori dettagli: http://www.fatturapa.gov.it/export/fatturazione/it/index.htm

De visu o de webcam: da remoto è possibile!

Nel lontano 2009, l’allora CNIPA, ieri DigitPA, oggi AgID, nella sua pubblicazione “Guida alla Firma Digitale”, stabiliva, con tanto di testo in rosso, che:

“in nessun caso è possibile ottenere un dispositivo di firma digitale senza incontrarsi personalmente con il certificatore, o suo incaricato, che avrà l’obbligo di richiedere un documento di riconoscimento in corso di validità per verificare l’identità del richiedente”.

Cap. 12. Dove e come dotarsi di firma digitale – CNIPA – Guida alla Firma Digitale (2009)

Il CNIPA stabiliva in modo perentorio che “un tale evento costituirebbe una grave violazione dei requisiti operativi inerenti la sicurezza da segnalare rapidamente al CNIPA/DigitPA che, in qualità di ente governativo preposto alla vigilanza, potrà intraprendere le azioni del caso”. Parafrasando e traducendo Henry Ford (You can have any colour, as long as it’s black!) fino a ieri si poteva procedere a qualsivoglia tipo di riconoscimento l’importante è che fosse de visu.

Da oggi, al de visu esiste una alternativa remota: il “de webcam“.

InfoCert, Autorità di Certificazione accreditata, annuncia in questi giorni la possibilità di ottenere la Firma Digitale senza spostamenti, a Km 0!

Con il Riconoscimento Web, oggi è già possibile richiedere ed ottenere la firma digitale senza muoversi da casa o dal proprio ufficio, con la stessa sicurezza garantita dal riconoscimento tradizionale, de visu. Il processo di Riconoscimento Web è in fase di brevetto (così annuncia il sito InfoCert), ed ha ricevuto l’approvazione da parte dell’Agenzia per l’Italia Digitale (ex DigitPA) e parere favorevole da parte del Garante per la Protezione dei dati Personali.

I prerequisiti per il rilascio della Firma Digitale con riconoscimento Webcam sono:

  1. computer con collegamento ad internet;
  2. webcam (almeno 1200 x 800) installata e provata almeno una volta;
  3. audio e microfono;
  4. software Adobe Flash Player installato
  5. ad ulteriore garanzia del successo dell’operazione si consiglia, in via preventiva, di eseguire la scansione del documento di identità (valido, ndr.) e tenerlo a disposizione del PC dove verrà effettuato il collegamento.

A pagamento avvenuto, sarà necessario compilare il form di prenotazione per la sessione in videoconferenza con l’operatore InfoCert, che effettuerà il riconoscimento. Una volta completato il riconoscimento, verranno spediti i certificati di firma direttamente all’indirizzo fisico indicato e sul dispositivo scelto, che allo stato attuale sono solo smart card o business key.

Rifacendosi a quanto affermato da Danilo Cattaneo, Direttore Generale di InfoCert, che “intravede una esisgenza di semplificazione alla base della evoluzione della normativa in tema di firma elettronica”, in linea, aggiungiamo noi, con uno sviluppo IT sempre più “fra le nuvole” (leggasi Cloud), sia che si parli di identificazione, o che si parli di strumento di firma digitale, la remotizzaizione/centralizzazione sta rendendo l’utilizzo e la diffuzione della firma digitale ancora più semplice ed usabile.

Da qui a poco, il passo credo sarà molto breve, per potersi dotare di una firma digitale in tempi rapidissimi e senza dover aspettare i tempi postali di consegna per ricevere dispositivi di firma hardware, associando riconoscimento da remoto a firma digitale remota.

ADDENDUM

Su segnalazione della Certification Authority Namirial segnaliamo che anche Namirial dispone del servizio di identificaizone via webcam e Skype, così come riportato a pagina 27 del suo “Manuale Operativo – Firma Digitale e Marca Temporale

Namirial nel suo manuale specifica che i dati di registrazione, costituiti da file audio video e metadati strutturati in formato elettronico, vengono conservati in forma protetta per una durata ventennale, presso il Certificatore. Tale procedura in uso soddisfa quanto richiesto dall’art.32, comma 3, lettera a) del CAD.

Art. 32.
Obblighi del titolare e del certificatore
[...]
3. Il certificatore che rilascia, ai sensi dell’articolo 19, certificati qualificati deve inoltre:
a) provvedere con certezza alla identificazione della persona che fa richiesta della certificazione;
[...]

La firma remota fra innovazione e sicurezza: lo stato dell’arte

Il presente blog “Firma Facile” segue ormai da tempo e con attenzione le vicende della cosiddetta “firma digitale remota”, ovvero la soluzione di firma elettronica centralizzata che supera le difficoltà della smartcard e dell’approccio distribuito, e che rende lo strumento di firma facile da usare.

E’ il caso di fare il punto della situazione per tre motivi:

  1. quest’anno (2013) è giunto a compimento il processo di evoluzione normativa che ha consentito l’adozione di questo strumento: la firma remota ed i relativi dispositivi di firma denominati HSM (Hardware Security Module) fanno parte ufficialmente della normativa, per conferme sul tema leggasi “Habemus DPCM 22 febbraio 2013” dedicato “all’apparizione” in Gazzetta Ufficiale (GU n.117 del 21-5-2013) delle tanto attese (dopo due anni) Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali [...];
  2. fra otto mesi (luglio 2014) termina il regime di autocertificazione degli apparati HSM;
  3. in ambito comunitario si sta lavorando alacremetne al testo del nuovo “REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno“, regolamento europeo sulle identità digitali, la firma digitale ed in generale i cosiddetti “trusted services”, che ricordiamo che per sua natura è, e sarà, obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, a partirte presumibilemtne dalla seconda metà dell’anno prossimo (2014)

Qual’è dunque lo stato dell’arte della firma remota? Quali valutazione di carattere generale si possono fare? Procediamo con ordine:

  • la diffusione della firma remota è stato ed è un fenomeno importante sia nella variante firma utente singolo documento (al pari di una smartcard), sia nella variante “sottoscrizione con procedura automatica” (la firma massiva). Centinaia di soggetti, grandi aziende di tutti i settori, grandi amministrazioni dello Stato ed istituzioni l’hanno adottata direttamente. Altre migliaia di aziende, amministrazioni e persone l’anno acquisita in outsourcing. L’Italia è senza dubbio il paese in Europa più avanti di tutti. Lo era stato nella prima adozione della firma elettronica, lo è oggi per la firma remota. In un quadro generale di piagnistei sulle nostre nazionali deficienze è bene sottolineare le cose in cui non solo non ci dobbiamo vergognare, ma anzi siamo un passo avanti agli altri.
  • Il processo di evoluzione normativa iniziato da Giovanni Manca (affettuosamente indicato come il papà dela firma digitale) quando era a capo dell’Ufficio Sicurezza di DigitPA (ora AgID) è stato completato positivamente da Stefano Arbia (oggi al suo posto) con il summenzionato DPCM 22 febbraio 2013. E’ stato un processo complicato, un po’ lentino, a volte sincopato, ma è giunto a compimento senza stravolgere le basi “logiche” e probatorie della firma, e senza cedere a “canti di sirene” sul fronte della sicurezza. Anzi, è stata introdotta la possibilità di usare tecnologie di firma, come quella grafometrica, in grado di far completare il processo di dematerializzazione dove per problemi pratici, o di digital divide, la firma digitale non era e non è utilizzabile. Anche qui, in un quadro generale in cui il legislatore italiano fa’ e disfa’ continuamente le stesse norme (soprattutto in materia fiscale!), mi sembra doveroso sottolineare il successo sostanziale di questa evoluzione normativa.
  • La certificazione di sicurezza degli apparati HSM – necessaria per assicurare l’affidabilità della tecnologia – è proseguita secondo le procedure stabilite a suo tempo da OCSI (Organismo di Certificazione della Sicurezza Informatica). OCSI, i laboratori accreditati (uno di questi IMQ) ed i produttori, hanno perseguito con pazienza e tenacia il complesso iter di certificazione CC EAL4+ e ad oggi ci sono tre produttori di tecnologia coinvolti:
    • SafeNet con il prodotto Luna SA, che ha già completato il processo di certificazione con Luna® PCI Configured for Use in Luna SA 4.1
      • Dell’Attestato di Conformità n. 1/12 rilasciato lo scorso 12 dicembre 2012, per il dispositivo Luna® PCI Configured for Use in Luna SA 4.1 del produttore SafeNet Inc e dei limiti di validità della Certificazione CC, si veda a tal proposito Attestato di Conformità n. 1/12.


    • ARX, con il prodotto CoSign, che a specifica richiesta ha dichiarato ufficialmente di essere nei tempi previsti e si aspetta di completare la certificazione in linea con le scadenze della legge italiana.

    • Thales e-Security Ltd con il prodotto nShield Solo F3 PCIe HSM che interpellata sul tema non ci ha ancora risposto.

Rebus sic stantibus il mercato ha comunque a disposizione almeno due prodotti, che possono soddisfare qualsiasi esigenza presente e futura di firma remota.

  • Il nuovo regolamento europeo si muove nel quadro tracciato dall’Italia, mantenendo l’obbligatorietà della certificazione di sicurezza dei dispositivi di firma (HSM, ndr.) per la firma digitlae qualificata ed elaborando nuovi profili di certificazione di sicurezza.

In conclusione: l’Italia è stato un paese innovatore sulla firma elettronica sin dal lontano 1997 ed oggi reitera e rivendica il suo spirito nel voler essere all’avanguardia con la firma remota, anticipando quello che avverrà nel 2014 in Europa con il nuovo regolamento e mantenendo i necessari standard di sicurezza, a garanzia e tutela degli utilizzatori.

Una storia di successo per questo nostro paese!

La firma elettronica avanzata non è un prodotto, bensì un processo

E’ il caso, ancora una volta, di ribadirlo!

Volendo essere pragmatici, la Firma Elettronica Avanzata non è LA tavoletta grafica di firma, meglio nota come tablet di firma, bensì un processo che deve essere conforme ai vincoli contenuti nel Titolo V delle Regole Tecniche dedicato specificatamente alla Firma Elettronica Avanzata.

La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

Art. 55 comma 1- Disposizioni generali
Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali [...]

Sull’onda del primo comma dell’articolo 55 su riportato, si è aperto un nuovo “mercato di firme” elettroniche, sostenuto da una forte spinta generata dai produttori/rivenditori di tablet di firma, a loro volta sospinti da una clientela alla ricerca di soluzioni elettroniche di firma USABILI, che ha visto in prima fila gli operatori finanziari (banche e assicurazioni). Nelle more della pubblicazione delle regole tecniche, si è ahimè assitito ad un fiorire di proposte dalla dematerilizzazione facile, che molto, troppo spesso, hanno cavalcato l’onda lunga (durata due lunghissimi anni, vedasi a tal proposito: Habemus DPCM 22 febbraio 2013) dell’incertezza e del poco definito, per vendere soluzioni software e/o hardware dalla dubbia (per non dire altro) validità.

Fatta la doverosa premessa e ciò nonostante, la firma biometrica, meglio nota come firma grafometrica (la firma su tablet che raccoglie/calcola ritmo, velocità, pressione, accelerazione, movimento del gesto di firma), se opportunamente progettata può essere una Firma Elettronica Avanzata, venendoci così a trovare di fronte ad una FEA basata su tecnologie grafometriche.

La firma grafometrica basa la sua solidità su quattro pilastri:

  1. la tecnologia della tavoletta;
  2. la sicurezza nella protezione del dato biometrico;
  3. la sicurezza nella gestione della chiave di protezione (master key) del dato biometrico;
  4. la qualità del tool forensic (grafologia).

I punti suesposti si devono armonizzare con elementi organizzativi e di processo che definiscono gli ambiti entro i quali si sta parlando, e rendendo valida, la fattispecie Firma Elettronica Avanzata, secondo quanto disposto dagli articoli 56 (Caratteristiche delle soluzioni di firma elettronica avanzata) e 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata) delle succitate regole tecniche.

Dato che, come abbiamo visto, la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva, l’onere della prova che quella utilizzata è “assolutamente una Firma Elettronica Avanzata”, ricade in capo a chi la realizza e conseguentemente a chi la propone. La fattispecie, come abbiamo visto, è fresca di Gazzetta Ufficiale, non esiste quindi prassi consolidata che definisca in maniera chiara ed inequivocabile quale sia la FEA buona e quella non buona, o quella così e così, ergo, per poterla confezionare/valutare nel migliore dei modi, a prova di possibile disconoscimento in sede giudiziaria (“signor giudice, mi dispiace ma quella con cui ha firmato il mio cliete non è una FEA!”), oltre alla diligenza e al buon senso del buon padre di famiglia, è il caso di rivolgersi ad autorità ed enti che siano in grado di guidare noi tutti (fornitori e consumatori) nel nostro “viaggio elettronico avanzato”.

E’ notizia di questi giorni il parere n. 396 del 12 settembre 2013 del Garante per la protezione dei dati personali (autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy – legge 31 dicembre 1996, n. 675) riguardante il sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da banca Fineco Bank S.p.A. “società operante esclusivamente online e tramite promotori finanziari dislocati su tutto il territorio nazionale di volersi dotare di un sistema (di firma grafometrica, ndr.) in grado di consentire la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti dalla banca”.

Il processo che Fineco ha intenzione di adottare si basa su una soluzione di firma grafometrica sviluppata da Namirial S.p.A. (organismo di certificazione accreditato presso l’Agenzia per l’Italia Digitale) che ha ricevuto la certificazione ISO 27001 per Impostare e Gestire un Sistema di Gestione della Sicurezza delle Informazioni (certificazione espressamente richiesta ex art. 58 delle Regole tecniche – Obblighi per i soggetti che realizzano per terzi soluzioni di firma elettronica avanzata) e su un “Archivio di conservazione a norma” di In.TE.SA. S.p.A. (organismo di certificazione accreditato anch’esso presso l’Agenzia per l’Italia Digitale, incaricato della gestione documentale e nello specifico responsabile della conservazione).

Il processo consta delle seguenti fasi:

  1. i promotori finanziari collaboratori della Banca illustrano al cliente le modalità di fruizione del servizio di “firma grafometrica”;
  2. il servizio verrebbe attivato su base esclusivamente volontaria, previa acquisizione del libero consenso informato di questi ultimi (ove il cliente non intendesse fornire il proprio consenso al trattamento, ovvero lo abbia successivamente revocato, i documenti resteranno sottoscrivibili secondo “il processo tradizionale” di firma su carta);
  3. il promotore rilascia la prevista Informativa ex art. 13 del Codice della Privacy e acquisisce il relativo consenso in caso di adesione al servizio;
  4. il promotore sottopone al cliente (previamente identificato) il documento in formato elettronico;
  5. il cliente appone la “firma grafometrica” su un dispositivo hardware in grado di acquisire i dati biometrici contestualmente all’atto di apposizione della firma;
  6. i dati biometrici cifrati (e “sigillati elettronicamente all’interno del documento informatico cui si riferiscono”) e il tratto grafico della firma sono inseriti in appositi campi del documento registrato in formato pdf;
  7. sono generate una serie di stringhe hash per la successiva verifica dell’integrità della firma e dei documenti acquisiti in formato elettronico;
  8. il documento informatico sottoscritto viene inviato tramite canali sicuri al “Sistema documentale di Fineco” e all’”Archivio di conservazione a norma” di In.TE.SA. S.p.A. per la relativa conservazione;
  9. il cliente riceve una copia cartacea del documento sottoscritto con “firma grafometrica” o, in alternativa, il duplicato informatico via posta elettronica.

In nessuno caso i dati biometrici del firmatario avrebbero “residenza”, nemmeno temporaneamente, all’interno dei “tablet” e, una volta incorporati nel documento, verrebbero “cancellati e sovrascritti dalla memoria del computer”, non risultando conseguentemente visualizzabili né dai promotori finanziari, né da In.TE.SA S.p.A., né, tantomeno, da Fineco Bank S.p.A. e da Namirial S.p.A.

La decifrazione dei dati biometrici e il relativo accesso “in chiaro” sarebbero consentiti “esclusivamente nei casi previsti dalla legge, su richiesta delle Autorità competenti” (tipicamente riconducibili a ipotesi di contenzioso legate al disconoscimento della firma); in tale evenienza, Namirial S.p.A. metterebbe a disposizione del perito calligrafico nominato dall’autorità giudiziaria un apposito strumento (denominato “FirmaCerta Forense”) che consentirà di gestire la procedura di decriptazione secondo elevati standard di sicurezza, garantendo che le operazioni di “cifratura e decifratura [si svolgano] contestual[ment]e […] all’apertura e alla chiusura della perizia”.

Le valutazioni del Garante della protezione dei dati personali (a tutti noto come Garante della Privacy) stabiliscono (fra le altre) che:

  • sotto il profilo della sicurezza dei dati trattati, si può ritenere che l’insieme degli accorgimenti adottati nell’intero processo di gestione dei dati biometrici degli interessati costituiscano, nel complesso, misure di sicurezza che, sulla base delle attuali conoscenze, possono essere ritenute idonee;
  • il metodo di sottoscrizione biometrica può risultare funzionale, anche a garanzia del cliente della banca, in vista di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale, fornendo possibili elementi di valutazione utili anche in sede giudiziaria, in virtù del fatto che l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti. In altri termini, la Firma Elettronica Avanzata garantisce maggiormente il consumatore da frodi;
  • la riservatezza dei dati biometrici durante la fase di raccolta si basa, oltre che sulla robustezza del processo, anche sulla sicurezza dei dispositivi, aspetto sul quale la banca dovrà porre la massima attenzione garantendone l’uso esclusivo, nell’ambito del processo di specie, ai soli utenti (promotori finanziari) abilitati al relativo utilizzo.

In conclusione il Garante accoglie l’istanza di verifica preliminare presentata da Fineco Bank S.p.A., a condizione che:

1. Fineco Bank S.p.A., qualora non vi abbia già provveduto, adotti gli ulteriori presidi tecnici e organizzativi di sicurezza a protezione dei dati biometrici degli interessati:

    • idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, adottando altresì ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli (malware);
    • un sistema di gestione dei dispositivi impiegati nei trattamenti grafometrici basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro. In particolare, dovranno risultare disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi;
    • adeguate policy per la gestione degli incidenti di sicurezza nell’ambito delle diverse fasi del processo biometrico/grafometrico;

2. Fineco Bank S.p.A. si faccia rilasciare e conservi l’attestato di conformità di cui alla regola 25 – Misure di tutela e garanzia – dell’Allegato “B” del Codice (Disciplinare tecnico in materia di misure minime di sicurezza);

3. Fineco Bank S.p.A. osservi effettivamente tutti gli obblighi che, nel corso del procedimento, si è impegnata a rispettare (repetita iuvant) e quelli ulteriori eventualmente gravanti sulla base della disciplina vigente;

4. il processo venga effettuato con le modalità indicate e per le sole finalità dichiarate.

… per le sole finalità dichiarate …


HSM in valutazione “decrescono”

OCSI, Organismo di Certificazione della Sicurezza Informatica, ha aggiornato di recente l’elenco dei dispositivi di firma per i quali è in corso un processo di Accertamento di Conformità presso OCSI stessa. Come si potrà notare dall’elenco, fra i produttori che hanno in corso un processo di Accertamento di Conformità, si è ritirato Keyper Hardware Security Module (HSM) v2.0 della società AEP Networks, riportando a tre il numero dei dispositivi di firma di tipo HSM, in corso di accertamento e accertati.

Ad oggi quindi, vista la decorrenza del termine del 8 gennaio 2013, che stabiliva per questa data il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI), relativo ai dispositivi di firma in corso di accertamento, o accertati, presenti nell’elenco OCSI (DPCM 19 luglio 2012), gli UNICI apparati utilizzabili su cui generare nuovi certificati di firma digitale remota sono:

CoSign della società produttrice ARX

Luna® PCI Configured for Use in Luna SA 4.1 della società produttrice SafeNet

Dell’Attestato di Conformità n. 1/12 rilasciato lo scorso 12 dicembre 2012, per il dispositivo Luna® PCI Configured for Use in Luna SA 4.1 del produttore SafeNet Inc e dei limiti di validità della Certificazione CC, si veda a tal proposito Attestato di Conformità n. 1/12.

nShield Solo F3 PCIe HSM della società produttrice Thales e-Security Ltd

Come avemmo modo di scrivere nel post Giuristi del sole control, filosofi del PKCS#7 e venditori di caffè, spesso, la preoccupazione di molti che devono iniziare a valutare l’impiego di “vecchie e nuove” soluzioni di firma digitale, è quella di sentirsi rassicurati, non solo sul fronte della tecnologia, ma sopratutto su quello della normativa, che continua ad evolvere e che richiede a volte più di uno sforzo di interprertazione. A tal proposito è il caso di ricordare che in Italia i giusti riferimenti per chiarirsi le idee su cosa è “buono” e su cosa “no buono” (o non del tutto) sono sempre disponibili e al loro posto:

Diffidate delle “imitazioni”!

Per la puntata precedente si veda: HSM in valutazione “crescono”

Banca nuvola, banca mobile, banca con te, Subito Banca

E’ di questi giorni la notizia che UniCredit ha lanciato un’offerta di servizi per la propria clientela, che ha come obiettivo quello di privilegiare ed incrementare il contatto in mobilità fra banca e cliente, ridurre il ‘digital divide’, con particolare attenzione alla usabilità, e che, a parole UniCredit, si configura come risposta al bisogno di digitalizzazione del Paese. Nell’offerta, denominata Subito Banca, rinveniamo smartphone, tablet, e App Mobile Banking, e-Wallet,  ma anche tablet di firma “FirmaMia” da utilizzare in filiale.

L’iniziativa Subito Banca di UniCredit prende le mosse da una serie di considerazioni:

  • i comportamenti dei clienti bancari sono cambiati!

Il 29% dei clienti UniCredit opera esclusivamente in modalità ‘fai da te’, e all’Online Banking di UniCredit accedono ogni giorno circa 600.000 clienti.

  • Smartphone e tablet stanno sempre più sostituendo i “tradizionali” PC (in ABN Ambro – Olanda, dal 2012 si sono registrati più login via mobile app che via Online Banking – Fonte: Mobile Banking, EFMA Conference 2012); l’adozione degli Smartphone, utilizzati in mobilità, è ormai ad un livello molto elevato, mentre la storia dei tablet (sostituti del “vecchio” Pc) è un esempio di technology replacement e velocità di adozione di Device:

  • Voltare pagina: basta uscire dalla banca pieni di fogli!

  • anziani e “digital divide” sono realtà da non sottovalutare! Oggigiorno, meno di un terzo dei clienti UniCredit accede alla banca via Internet, 4,2 milioni di clienti “individuals” non utilizza o non ha aderito a Banca via Internet … e 1,8 milioni sono nella fascia di età >61 anni

FirmaMia

FirmaMia è la soluzione per cui UniCredit ha richiesto ed ottenuto il parere positivo sul trattamento dei dati biometrici del cliente da parte del Garante della Privacy (Trattamento di dati biometrici. Verifica preliminare richiesta da Unicredit S.p.A. – 31 gennaio 2013 [2304808]), che sfrutta l’autenticazione grafometrica per lo sblocco, tramite signpad, del certificato di firma qualificato residente su un dispositivo di firma remoto (HSM, ndr.).

Il processo di autenticazione di FirmaMia è “autonomo e distinto rispetto alle procedure di firma delle disposizioni bancarie e/o di sottoscrizione di contratti” con la banca. L’apposizione della firma sul tablet, infatti, costituisce “unicamente l’elemento da cui scaturisce il processo di autenticazione, risultando così prodromico al processo di firma”. UniCredit dichiara che la “certification authority […] non è in alcun modo coinvolta nel processo di trattamento del dato grafometrico”, intervenendo quest’ultima “esclusivamente nel processo di firma dei documenti” e in vista “della creazione e gestione del certificato qualificato e delle chiavi per la firma”.

(Garante della Privacy: Trattamento di dati biometrici. Verifica preliminare richiesta da Unicredit S.p.A. – 31 gennaio 2013 [2304808])

FirmaMia è integrata con un servizio di firma digitale remota. Lo sblocco del certificato digitale del cliente viene attivato a fronte dell’esito positivo dell’autenticazione della firma biometrica, rendendo l’utilizzo della firma digitale remota più semplice e accessibile, in quanto non viene più richiesto all’utente l’utilizzo di dispositivi di firma, o l’inserimento di codici personali (PIN), ma solo una firma autografa con la penna sul tablet. Rispetto alla firma digitale ‘tradizionale’ con smart card, FirmaMia incorpora la sicurezza di una firma non replicabile, che rende ogni cliente unico. Il titolare della firma viene riconosciuto inequivocabilmente in base alla valutazione delle caratteristiche della sua firma: ritmo, velocità, pressione, accelerazione, movimento.

In altre parole, rispetto alla soluzione di firma grafomentrica allo sportello, con valenza di firma elettronica, per l’eliminazione delle contabili, introdotta nel 2011 da Intesa San Paolo (Filiale Paperless), e poi seguita da altre realtà bancarie, FirmaMia è a tutti gli effetti una firma digitale con certificato qualificato, che può essere utilizzata per la dematerializzazione non solo delle contabili, ma anche dei contratti e delle transazioni.

Parafrasando un antico proverbio:

FirmaMia, FirmaMia, per biometrica che tu sia, tu sei sempre FirmaMia!

Per ulteriori approfondimenti: Conferenza stampa SUBITO BANCA.

Un ringraziamento a Renato Vichi Responsabile Media Relations Italia e Daniele Chieffi Media Relations Italy entrambi di UniCredit per la stesura del presente post.

Habemus fatturazione elettronica

Dopo cinque lunghissimi anni è finalmente “apparso” ieri in Gazzetta Ufficiale (Serie Generale n. 118 del 22-5-2013) il Regolamento in materia di emissione, trasmissione e ricevimento della fattura elettronica da applicarsi alle amministrazioni pubbliche (ai sensi dell’articolo 1, commi da 209 a 213vedi qui di seguito, della legge Finanziaria 2008 del 24 dicembre 2007, n. 244).

comma 209. Al fine di semplificare il procedimento di fatturazione e registrazione delle operazioni imponibili, a decorrere dalla data di entrata in vigore del regolamento di cui al comma 213, l’emissione, la trasmissione,la conservazione e l’archiviazione delle fatture emesse nei rapporti con le amministrazioni dello Stato, anche ad ordinamento autonomo, e con gli enti pubblici nazionali, anche sotto forma di nota, conto, parcella e simili, deve essere effettuata esclusivamente in forma elettronica, con l’osservanza del decreto legislativo 20 febbraio 2004, n. 52, e del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82.

comma 210. A decorrere dal termine di tre mesi dalla data di entrata in vigore del regolamento di cui al comma 213, le amministrazioni e gli enti di cui al comma 209 non possono accettare le fatture emesse o trasmesse in forma cartacea né possono procedere ad alcun pagamento, nemmeno parziale, sino all’invio in forma elettronica.

comma 211. La trasmissione delle fatture elettroniche avviene attraverso il Sistema di interscambio istituito dal Ministero dell’economia e delle finanze e da questo gestito anche avvalendosi delle proprie strutture societarie.

comma 212. Con decreto del Ministro dell’economia e delle finanze da emanare entro il 31 marzo 2008 é individuato il gestore del Sistema di interscambio e ne sono definite competenze e attribuzioni, ivi comprese quelle relative:

a) al presidio del processo di ricezione e successivo inoltro delle fatture elettroniche alle amministrazioni destinatarie;
b) alla gestione dei dati in forma aggregata e dei flussi informativi anche ai fini della loro integrazione nei sistemi di monitoraggio della finanza pubblica.

comma 213. Con decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro per le riforme e le innovazioni nella pubblica amministrazione, sono definite:

a) le regole di identificazione univoca degli uffici centrali e periferici delle amministrazioni destinatari della fatturazione;
b) le regole tecniche relative alle soluzioni informatiche da utilizzare per l’emissione e la trasmissione delle fatture elettroniche e le modalita`di integrazione con il Sistema di interscambio;
c) le linee guida per l’adeguamentodelle procedure interne delle amministrazioni interessate alla ricezione ed alla gestione delle fatture elettroniche;
d) le eventuali deroghe agli obblighi di cui al comma 209, limitatamente a determinate tipologie di approvvigionamenti;
e) la disciplina dell’utilizzo, tanto da parte degli operatori economici, quanto da parte delle amministrazioni interessate, di intermediari abilitati, ivi compresi i certificatori accreditati ai sensi dell’articolo 29 del codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, allo svolgimento delle attivita` informatiche necessarie all’assolvimento degli obblighi di cui ai commi da 209 al presente comma;
f) le eventuali misure di supporto, anche di natura economica, per le piccole e medie imprese;
g) la data a partire dalla quale decorrono gli obblighi di cui al comma 209 e i divieti di cui al comma 210, con possibilita di introdurre gradualmente il passaggio al sistema di trasmissione esclusiva in forma elettronica

Dixitque Deus fiat lux et lux facta est!

Habemus DPCM 22 febbraio 2013

Dopo due lunghissimi anni sono finalmente “apparse”, oggi, alle 18:00, in Gazzetta Ufficiale (GU n.117 del 21-5-2013) le Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali [...]

Dixitque Deus fiat lux et lux facta est!