Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Firma digitale in ambito professionale

Firma digitale in ambito professionale

Tipologie e casi d'uso

Emanuele Cisbani

February 25, 2021
Tweet

More Decks by Emanuele Cisbani

Other Decks in Business

Transcript

  1. La Firma Digitale in ambito professionale: tipologie di firma e

    casi d’uso Emanuele Cisbani [email protected] linkedin.com/in/emanuelecisbani Milano Percorsi - 25 Febbraio 2021 1
  2. La Firma Digitale e le identità basate sulla Crittografia La

    Firma Digitale si basa su una chiave crittografica associata, tramite un certificato, in modo univoco alla persona che la possiede e la controlla in modo esclusivo: • Garantisce la privacy • Oggi è gestibile con lo smartphone • Può essere revocata • Non presenta errori di misura • È “nativa digitale” 3
  3. La Firma Grafometrica e le identità basate sulla Biometria I

    dispositivi biometrici si basano su caratteristiche fisiologiche o comportamentali: • impronta digitale • scansione dell’iride • calligrafia • riconoscimento facciale • riconoscimento vocale Non è necessario identificare la persona ma sono necessari dispositivi inusuali. 4
  4. Firma Digitale PDF o P7M? • Il formato PDF è

    un'immagine (visibile) che può contenere la firma digitale (invisibile) • il formato P7M è una busta contenente: ◦ la firma digitale ◦ e qualunque tipo di file 5
  5. • Il Regolamento eIDAS è la base per la costruzione

    del Mercato Unico Digitale in Europa • eIDAS impone l’interoperabilità in tutta Europa dal 1/7/2016 • La Firma Elettronica Qualificata ha valore legale equivalente a quella autografa • Il Regolamento implica l’adozione obbligatoria per tutti gli Stati membri eIDAS: la firma e l’identità digitale dell’Europa 7
  6. 8 • Dati in forma elettronica • acclusi oppure connessi

    tramite associazione logica • ad altri dati elettronici • e utilizzati dal firmatario per firmare Articolo 3 - Definizione n. 10 - Firma Elettronica eIDAS - REGOLAMENTO (UE) N. 910/2014
  7. 9 Una firma elettronica avanzata soddisfa i seguenti requisiti: •

    è connessa unicamente al firmatario • è idonea a identificare il firmatario • è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo • è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati eIDAS - REGOLAMENTO (UE) N. 910/2014 Articolo 26 - Requisiti di una firma elettronica avanzata
  8. 10 • è una firma elettronica avanzata con un certificato

    qualificato ◦ cioè che si basa sulla crittografia, non sulla biometria • emesso da un fornitore di servizi fiduciari qualificato (QTSP) ◦ cioè che si è accreditato tramite un ente certificatore • utilizzando un dispositivo sicuro qualificato (QSCD) ◦ cioè che ha passato un processo di certificazione eIDAS - REGOLAMENTO (UE) N. 910/2014 Firma Elettronica Qualificata (Art. 28-34)
  9. 11 Un certificato di firma elettronica è un attestato elettronico

    che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona. Un certificato qualificato di firma elettronica è un certificato di firma elettronica che è rilasciato da un prestatore di servizi fiduciari qualificato. Certificati per le firme elettroniche qualificate Articolo 3 - Definizioni n. 14 e 15
  10. Un QSCD (Qualified Secure Creation Device) è un dispositivo sicuro

    per la creazione di firme che è stato certificato e approvato per essere usato nella generazione di Firme Elettroniche Qualificate. Esso utilizza mezzi tecnici e procedurali atti a garantire che: • Le chiavi di firma siano custodite in modo sicuro • Le chiavi di firma siano create usando determinate tecniche crittografiche • Le chiavi di firma possano essere usate solo dal legittimo proprietario • Siano rispettati i rigorosi standard normativi della Firma Elettronica Qualificata 12 Dispositivi per le firme elettroniche qualificate
  11. 15 1. A una firma elettronica non possono essere negati

    gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate. 2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa. 3. Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri. eIDAS - REGOLAMENTO (UE) N. 910/2014 Art. 25 - Effetti giuridici delle firme elettroniche
  12. Non tutti gli atti giuridici hanno effetti voluti dalla persona

    che li compie Esempi di negozi giuridici: • contratto • testamento Esempi di dichiarazioni di scienza: • quietanza • ricevuta • comunicazione • testimonianza • confessione 16
  13. 17 Digitale, Qualificata, Avanzata, Elettronica? Esistono dunque tre tipi di

    firma elettronica dal punto di vista legale: • La Firma Digitale detta anche Firma Elettronica Qualificata è quella con il maggior valore, livello di sicurezza e garanzia di non ripudiabilità - è quindo indispensabile proprio quando si deve garantire il non ripudio. • La Firma Elettronica Avanzata è la "sorella minore" di quella Digitale, può averne le stesse caratteristiche tecniche, ma minori garanzie legali. • La Firma Elettronica senza nessuna specificazione ulteriore ha anch'essa valore probatorio ma potendo essere disconosciuta dall'autore - è più adatta alle dichiarazioni di scienza che ai negozi giuridici.
  14. 20 Firma visibile o invisibile La firma visibile nel file

    firmato digitalmente non ha valore perché la firma non è un'immagine! La firma visibile è solo un "segnale" per farci capire che è stato firmato! La vera firma digitale è una sequenza di bit invisibili non rappresentabile graficamente
  15. 21 Duplicare un documento - La firma non è un'immagine!

    • La foto di una firma su carta non ha valore. Perché l'immagine non basta per garantire l'autenticità della firma: contano anche altre cose come la pressione esercitata sulla carta o l'inclinazione della penna • La stampa di un file contenente una Firma Digitale non ha valore. Perché l'immagine stampata non contiene i bit invisibili della Firma Digitale
  16. Firma Digitale e Autografa a confronto Caratteristiche comuni alla firma

    tradizionale su carta: • provenienza o paternità del documento • “non ripudio” (fatta salva la querela di falso) Caratteristiche nuove, derivanti dalla tecnologia digitale e dalla crittografia: • integrità del documento • autenticità delle copie • duplicabilità e trasmissibilità a costo marg. nullo • validità temporale (certezza della data e dell’ora) 22
  17. 24 Non ripudiabilità E se l'autore nega di esserlo? •

    Il “non ripudio” significa l'impossibilità di disconoscere la paternità del documento da parte di chi lo ha sottoscritto • La crittografia consente di controllare la firma digitale con due strumenti di autenticazione: • Una cosa che SAI - il tuo PIN • Una cosa che HAI - il tuo SmartPhone
  18. • Chi sono gli attori coinvolti? Sconosciuti o noti a

    priori? Quanti? • A quale scopo? Sottoscrizione di un contratto? Dichiarazione di scienza? • Quali implicazioni legali ci sono? C'è il rischio di ripudio? Ci sono norme o regolamenti? • In quale contesto si opera? In mobilità? In ufficio? A uno sportello aperto al pubblico? • Con quali dispositivi? Con un PC Desktop? Con uno SmartPhone? 28 Come orientarsi
  19. 29 Il primo contraente crea un fascicolo con un documento

    da sottoporre alla firma di se stesso e del secondo contraente. I due firmatari possono essere inseriti in un unico step approvativo quando l'ordine di apposizione delle firme non è rilevante. Caso d'uso n. 1 - Contratto tra due contraenti
  20. 30 Nel primo step un addetto predispone un fascicolo contenente

    i documenti da firmare. Nel secondo step il cliente sottoscrive il documento con una Firma Elettronica Semplice Addetto Cliente Professionista Generazione del fascicolo Firma Qualificata Step 1 Step 2 Step 3 Firma Elettronica Semplice Nel terzo step il professionista o il rappresentante dell'azienda appone una Firma Elettronica Qualificata Caso d'uso n. 2 - Cliente e azienda o professionista
  21. 31 Il richiedente imposta il fascicolo con alcuni allegati tecnici

    e una copia dell’ordine prodotta dal sistema ERP. Nel primo step viene indicato il responsabile del processo di acquisto, a cui riporta gerarchicamente il richiedente, che deve siglare il fascicolo verificando la conformità della pratica e la titolarità dei vari attori. Nel secondo step sono indicati dei manager come approvatori, competenti a vario titolo per aspetti tecnici o funzionali inerenti la fornitura. Nel terzo step è indicato come approvatore un responsabile del procurement. Nell’ultimo step è indicata la persona con potere di firma, cui viene associato il file dell’ordine che dovrà sottoscrivere con firma elettronica. ERP Procurement Resp. Processo Manager 1, 2, 3, ... Rappresentante legale con poteri di firma Caso d'uso n. 3 - Procedura di acquisto aziendale
  22. Da un lato esistono oggi molte applicazioni di gestione documentale,

    che si occupano del workflow di creazione ed elaborazione del documento. Abbiamo digitalizzato quasi tutti i processi documentali, sia per quanto concerne la loro generazione e gestione, che per la loro conservazione. Solitamente le applicazioni con cui si creano o gestiscono i documenti non contengono le funzionalità di firma elettronica Quando si deve apporre una firma, come si fa? Per i processi di approvazione, autenticazione e sottoscrizione spesso i documenti digitali... si stampano! 32 Il problema dell’ultimo miglio
  23. Owner Firmatario Valid Creazione Fascicolo Applicativi BMP / ERP /

    DMS Creazione Fascicolo Firmatario Firma Documenti Firma Documenti 33 Esempio di software per il processo approvativo