Firma Digitale si basa su una chiave crittografica associata, tramite un certificato, in modo univoco alla persona che la possiede e la controlla in modo esclusivo: • Garantisce la privacy • Oggi è gestibile con lo smartphone • Può essere revocata • Non presenta errori di misura • È “nativa digitale” 3
dispositivi biometrici si basano su caratteristiche fisiologiche o comportamentali: • impronta digitale • scansione dell’iride • calligrafia • riconoscimento facciale • riconoscimento vocale Non è necessario identificare la persona ma sono necessari dispositivi inusuali. 4
un'immagine (visibile) che può contenere la firma digitale (invisibile) • il formato P7M è una busta contenente: ◦ la firma digitale ◦ e qualunque tipo di file 5
del Mercato Unico Digitale in Europa • eIDAS impone l’interoperabilità in tutta Europa dal 1/7/2016 • La Firma Elettronica Qualificata ha valore legale equivalente a quella autografa • Il Regolamento implica l’adozione obbligatoria per tutti gli Stati membri eIDAS: la firma e l’identità digitale dell’Europa 7
tramite associazione logica • ad altri dati elettronici • e utilizzati dal firmatario per firmare Articolo 3 - Definizione n. 10 - Firma Elettronica eIDAS - REGOLAMENTO (UE) N. 910/2014
è connessa unicamente al firmatario • è idonea a identificare il firmatario • è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo • è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati eIDAS - REGOLAMENTO (UE) N. 910/2014 Articolo 26 - Requisiti di una firma elettronica avanzata
qualificato ◦ cioè che si basa sulla crittografia, non sulla biometria • emesso da un fornitore di servizi fiduciari qualificato (QTSP) ◦ cioè che si è accreditato tramite un ente certificatore • utilizzando un dispositivo sicuro qualificato (QSCD) ◦ cioè che ha passato un processo di certificazione eIDAS - REGOLAMENTO (UE) N. 910/2014 Firma Elettronica Qualificata (Art. 28-34)
che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona. Un certificato qualificato di firma elettronica è un certificato di firma elettronica che è rilasciato da un prestatore di servizi fiduciari qualificato. Certificati per le firme elettroniche qualificate Articolo 3 - Definizioni n. 14 e 15
per la creazione di firme che è stato certificato e approvato per essere usato nella generazione di Firme Elettroniche Qualificate. Esso utilizza mezzi tecnici e procedurali atti a garantire che: • Le chiavi di firma siano custodite in modo sicuro • Le chiavi di firma siano create usando determinate tecniche crittografiche • Le chiavi di firma possano essere usate solo dal legittimo proprietario • Siano rispettati i rigorosi standard normativi della Firma Elettronica Qualificata 12 Dispositivi per le firme elettroniche qualificate
gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate. 2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa. 3. Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri. eIDAS - REGOLAMENTO (UE) N. 910/2014 Art. 25 - Effetti giuridici delle firme elettroniche
firma elettronica dal punto di vista legale: • La Firma Digitale detta anche Firma Elettronica Qualificata è quella con il maggior valore, livello di sicurezza e garanzia di non ripudiabilità - è quindo indispensabile proprio quando si deve garantire il non ripudio. • La Firma Elettronica Avanzata è la "sorella minore" di quella Digitale, può averne le stesse caratteristiche tecniche, ma minori garanzie legali. • La Firma Elettronica senza nessuna specificazione ulteriore ha anch'essa valore probatorio ma potendo essere disconosciuta dall'autore - è più adatta alle dichiarazioni di scienza che ai negozi giuridici.
firmato digitalmente non ha valore perché la firma non è un'immagine! La firma visibile è solo un "segnale" per farci capire che è stato firmato! La vera firma digitale è una sequenza di bit invisibili non rappresentabile graficamente
• La foto di una firma su carta non ha valore. Perché l'immagine non basta per garantire l'autenticità della firma: contano anche altre cose come la pressione esercitata sulla carta o l'inclinazione della penna • La stampa di un file contenente una Firma Digitale non ha valore. Perché l'immagine stampata non contiene i bit invisibili della Firma Digitale
tradizionale su carta: • provenienza o paternità del documento • “non ripudio” (fatta salva la querela di falso) Caratteristiche nuove, derivanti dalla tecnologia digitale e dalla crittografia: • integrità del documento • autenticità delle copie • duplicabilità e trasmissibilità a costo marg. nullo • validità temporale (certezza della data e dell’ora) 22
Il “non ripudio” significa l'impossibilità di disconoscere la paternità del documento da parte di chi lo ha sottoscritto • La crittografia consente di controllare la firma digitale con due strumenti di autenticazione: • Una cosa che SAI - il tuo PIN • Una cosa che HAI - il tuo SmartPhone
priori? Quanti? • A quale scopo? Sottoscrizione di un contratto? Dichiarazione di scienza? • Quali implicazioni legali ci sono? C'è il rischio di ripudio? Ci sono norme o regolamenti? • In quale contesto si opera? In mobilità? In ufficio? A uno sportello aperto al pubblico? • Con quali dispositivi? Con un PC Desktop? Con uno SmartPhone? 28 Come orientarsi
da sottoporre alla firma di se stesso e del secondo contraente. I due firmatari possono essere inseriti in un unico step approvativo quando l'ordine di apposizione delle firme non è rilevante. Caso d'uso n. 1 - Contratto tra due contraenti
i documenti da firmare. Nel secondo step il cliente sottoscrive il documento con una Firma Elettronica Semplice Addetto Cliente Professionista Generazione del fascicolo Firma Qualificata Step 1 Step 2 Step 3 Firma Elettronica Semplice Nel terzo step il professionista o il rappresentante dell'azienda appone una Firma Elettronica Qualificata Caso d'uso n. 2 - Cliente e azienda o professionista
e una copia dell’ordine prodotta dal sistema ERP. Nel primo step viene indicato il responsabile del processo di acquisto, a cui riporta gerarchicamente il richiedente, che deve siglare il fascicolo verificando la conformità della pratica e la titolarità dei vari attori. Nel secondo step sono indicati dei manager come approvatori, competenti a vario titolo per aspetti tecnici o funzionali inerenti la fornitura. Nel terzo step è indicato come approvatore un responsabile del procurement. Nell’ultimo step è indicata la persona con potere di firma, cui viene associato il file dell’ordine che dovrà sottoscrivere con firma elettronica. ERP Procurement Resp. Processo Manager 1, 2, 3, ... Rappresentante legale con poteri di firma Caso d'uso n. 3 - Procedura di acquisto aziendale
che si occupano del workflow di creazione ed elaborazione del documento. Abbiamo digitalizzato quasi tutti i processi documentali, sia per quanto concerne la loro generazione e gestione, che per la loro conservazione. Solitamente le applicazioni con cui si creano o gestiscono i documenti non contengono le funzionalità di firma elettronica Quando si deve apporre una firma, come si fa? Per i processi di approvazione, autenticazione e sottoscrizione spesso i documenti digitali... si stampano! 32 Il problema dell’ultimo miglio
cisba
nagatsu
superstudio
tsuchihashi
xid
pxt_gs_ssol
kakaojapan
tbpgr
buyselltechnologies
malna
dmm
jpax
shlominoach
baasie
kimpetersen
bryan
samlambert
hatefulcrawdad
marktimemedia
tammyeverts
chrislema
portentint
codingconduct
ammeep
![Grazie! EMANUELE CISBANI Technology Evangelist [email protected] www.intesigroup.com 37](https://files.speakerdeck.com/presentations/de66024b50854f2197ab884a331735d2/slide_36.jpg){kind=link}