Tipi di firme elettroniche, e rapporti con la PEC

[Checklist]

soluzione
Firma con una FEA , non con Ts Cns.

Eh, grazie... ci arrivavo anche io fin qui... ma, quali? TS-CNS è gratuita, le altre non mi pare, magari però mi sbaglio..

Sul resto del tuo discorso tecnico perdonami ma non ti seguo, limite mio ovviamente, che non ho forse le tue competenze/conoscenze in merito. Ma quando io firmo un documento pdf con TS-CNS (con firma in formato PAdES) cosa c'è di non leggibile? Il documento mantiene la sua estensione.. Se non sbaglio anche in formato MS Word + TS-CNS il file risultante è leggibile, lo feci tempo fa.. Se invio un documento firmato in pdf con TS-CNS, chi lo riceve basta semplicemente che faccia tasto dx>proprietà per vedere che c'è la firma con TS-CNS... no?

 

[Faldone81]

e vero TS é gratuita ma non è una FEA e non puoi usarla come tale. sul gratuito poi esistono Fea gratuite abbinate ad esempio al conto corrente, o la camera di commercio la rilascia gratuita su smart card cosi leggevo in un comunicato stampa, ma il costo di una Fea è basso di solito sono 40 euro per 3 anni il modello base. Oggi la Fea serve in moltissime occasioni come la carta di credito se inizi ad usarla ti diventa utile in abbinamento alla Pec risolvi moltissime situazioni.

per la parte tecnica. in realtà dipende dall'ambiente in cui lo leggi. Sap è un ambiente operativo utilizzato da molte grandi aziende (come probabilmente tu a casa utilizzi un ambiente Win o MacOS ) il file Pdf in Sap viene letto solo se in formato standard non se modificato da un formato non standard. TS non è una firma standard FEA e quindi modifica il file per firmarlo e Sap non legge il file. Ts firma secondo lo standard utilizzato della Pa che è il P7m.
P7m Standard assurdo a mio parere definito Busta ma non è conosciuto a livello mondiale e quindi illeggibile,
inoltre un consiglio prima di firmare parti con un file pdf/a sei sicuro che hai un formato standard in partenza
quindi se vuoi essere certo che vedano al tua firma e leggano il file PDF usa uno standard FEA per firmare o meglio FEQ

La nostra Pa è famosa per complicare le cose non per semplificarle qui puoi leggere la storia del p7m dal punto di vista legale perché da punto di vista tecnico in origine erano 2 formati diversi Firma digitale: pdf e p7m sono uguali poi unificati con un accordo tutto italiano ma non riconosciuto in altri paesi.

per farti un altro esempio se oggi invii un documento alla camera di commercio in PDF firmato FEA riconosciuto in EU e non p7m rischi di vedertelo respinto!!!! soprattutto se firmato in Fea Aruba o altro provider privato invece se firmato in Ts lo accettano.

spero di essere stato chiaro contattami se hai dei dubbi

 

[Checklist]

e vero TS é gratuita ma non è una FEA e non puoi usarla come tale. sul gratuito poi esistono Fea gratuite abbinate ad esempio al conto corrente, o la camera di commercio la rilascia gratuita su smart card cosi leggevo in un comunicato stampa, ma il costo di una Fea è basso di solito sono 40 euro per 3 anni il modello base. Oggi la Fea serve in moltissime occasioni come la carta di credito se inizi ad usarla ti diventa utile in abbinamento alla Pec risolvi moltissime situazioni.

Immagino, ma nonostante il costo non sia esorbitante, per l'uso che ne dovrei fare io (e penso la stragrande maggioranza delle persone, anche data la giovinezza di questa tecnologia) preferisco stampare/scansionare una firma autografa piuttosto che pagare..

per la parte tecnica. in realtà dipende dall'ambiente in cui lo leggi. Sap è un ambiente operativo utilizzato da molte grandi aziende (come probabilmente tu a casa utilizzi un ambiente Win o MacOS )

Non ho mai visto un ambiente SAP, ma più che un sistema operativo lo ritenevo (forse erroneamente) un software gestionale o una suite che include software per la gestione di diversi rami aziendali, un ambiente operativo all'interno di un sistema operativo più diffuso come quelli citati.. A prescindere da questo, comunque, mi pare assurdo che questo debba costituire un deterrente per la ricezione di un pdf, in particolare se guardiamo l'aspetto legale: io mando un pdf con firma autografa via pec, questo deve essere accettato a prescindere dal SO del ricevente; perché lo stesso pdf firmato (in formato PAdES), leggibile allo stesso modo di un pdf senza FEA, non debba valere allo stesso modo? L'istituto che riceve la mail deve leggerlo secondo la via standard (email), presente presumibilmente nel suo sistema operativo (tipicamente windows/mac/unix-like).

il file Pdf in Sap viene letto solo se in formato standard non se modificato da un formato non standard. TS non è una firma standard FEA e quindi modifica il file per firmarlo e Sap non legge il file. Ts firma secondo lo standard utilizzato della Pa che è il P7m.

Ed è qui che non mi trovo. Con TS-CNS posso anche firmare in formato PAdES, che non prevede la creazione di un file .P7m perché il file risultante è sempre un .pdf, leggibile da tutti i più comuni software per pdf.

 

[ido]

Non ho mai visto un ambiente SAP, ma più che un sistema operativo lo ritenevo (forse erroneamente) un software gestionale o una suite che include software per la gestione di diversi rami aziendali, un ambiente operativo all'interno di un sistema operativo più diffuso come quelli citati

non sbagli tu, SAP è un software che si può considerare un gestionale (tecnicamente è un ERP) e non un sistema operativo, infatti le tue osservazioni sono corrette rispetto a quelle dell'utente a cui hai risposto.

 

[salsipuede]

segnalo la cosa per chi fosse interessato [fonte] [link]

 

[yumatu]

C'è lo stesso problema della TS-CNS, è sempre una FEA e non FEQ...

 

[salsipuede]

questo è poco ma sicuro...

 

[Faldone81]

Immagino, ma nonostante il costo non sia esorbitante, per l'uso che ne dovrei fare io (e penso la stragrande maggioranza delle persone, anche data la giovinezza di questa tecnologia) preferisco stampare/scansionare una firma autografa piuttosto che pagare..
ripeto esistono firma gratuitte basta averne voglia

Non ho mai visto un ambiente SAP, ma più che un sistema operativo lo ritenevo (forse erroneamente) un software gestionale o una suite che include software per la gestione di diversi rami aziendali, un ambiente operativo all'interno di un sistema operativo più diffuso come quelli citati.. A prescindere da questo, comunque, mi pare assurdo che questo debba costituire un deterrente per la ricezione di un pdf, in particolare se guardiamo l'aspetto legale: io mando un pdf con firma autografa via pec, questo deve essere accettato a prescindere dal SO del ricevente; perché lo stesso pdf firmato (in formato PAdES), leggibile allo stesso modo di un pdf senza FEA, non debba valere allo stesso modo? L'istituto che riceve la mail deve leggerlo secondo la via standard (email), presente presumibilmente nel suo sistema operativo (tipicamente windows/mac/unix-like).

LEGGI IL LINK inserito IN PRECEDENZA E CAPISCI LO STANDARD PDF è QUELLO ADOBE IL RESTO SONO SOLO INVENZIONI ITALIANE non supportate da nessuno standard internazionale.quindi anche da Sap . la nostra PA ti respinge le pratiche, vedi camera di commercio, se non firmi P7M Paedes perché ci sono sono dei "Conservatori" che applicano "CAD" = una legislazione obsoleta per cui se non firmi 7P/M in un software che si chiama COMUNICA WEB non puoi fare una pratica alla camera di commercio. spiegalo ad uno straniero che ci siamo inventati un sistema di firma che non esiste nel resto del mondo.
Poi devi usare la Cns con alcuni conservatori( sono i boss delle camere dei commercio) ,mentre con altri puoi usare altri certificati regna l'narchia più assoluta basta che sia p7m. assurdo . prova a leggere le istruzioni di Comunica web http://starweb.infocamere.it/starweb/docPubblici/GUIDA_STARWEB.PDF parla per firma di CNIPA un ente certificatore chiuso nel 2009!!!! li trovi i certifiacti che devi usare!!!!! sono una massa di ........ i riferimenti al P7m non ci sono... peccato che ti rifiutano una pratica se non firmi in p7m dopo aver pagato anche 40 euro ovviamente persi




Ed è qui che non mi trovo. Con TS-CNS posso anche firmare in formato PAdES, che non prevede la creazione di un file .P7m perché il file risultante è sempre un .pdf, leggibile da tutti i più comuni software per pdf.

vero in realtà esiste un trucco usando un software file protector e firmi .p7m ma è illegale perché non e un certificato di firma la Ts cuie non è un Fea . FEa ha un regolamento europea eidas Il Regolamento UE ndeg 910/2014 - eIDAS|Agenzia per l'Italia digitale
questi sono attualmente i certificati riconosciuti anche dall'Italia

 

[gingir]

Ovvio che siamo su casi o esempi limite, poi ognuno la pensa come vuole, per me una PEC non può essere un sostituto della firma digitale.

ho letto la "discussione accesa" iniziale di questa discussione.

che dire, oggi è evidente a tutti che ido avesse pienamente ragione!

---

 

[Ad hoc]

Esiste nel forum una classifica o guida su quale PEC conviene per una piccola impresa?

 

[Checklist]

Esiste nel forum una classifica o guida su quale PEC conviene per una piccola impresa?

Non so non credo, fare una guida su questo mi pare un po' eccessivo.. Puoi benissimo affidarti ad un qualsiasi provider, magari scegliendo quello più economico.

 

[avchd]

ciao raga' purtroppo ho urgenza di una firma elettronica e non ho il tempo per leggere tutti i vostri preziosissimi tread , mi sono fatto una pec aruba a meno di 10 euro all'anno con un 1gb di spazio, ma vorrei capire al volo se c'e' un metodo veloce e possibilmente gratuito o dal costo irrisolrio che mi consenta di poter usufruire
della firma elettronica ??
se avete altre idee su integrare altre funzionalita' utili non esitate a segnalarmele
grazie infinite avchd

 

[Fero]

ciao raga' purtroppo ho urgenza di una firma elettronica e non ho il tempo per leggere tutti i vostri preziosissimi tread , mi sono fatto una pec aruba a meno di 10 euro all'anno con un 1gb di spazio, ma vorrei capire al volo se c'e' un metodo veloce e possibilmente gratuito o dal costo irrisolrio che mi consenta di poter usufruire
della firma elettronica ??
se avete altre idee su integrare altre funzionalita' utili non esitate a segnalarmele
grazie infinite avchd

Firma Digitale Usa e Getta | Shop Namirial

 

[SilvioVernillo]

Mi trova a passare in questo thread dopo un bel po' di tempo.
Sono sconcertato dalla totale confusione che denotano gli interventi degli ultimi mesi, è evidente che nessuno di quelli che posta si preoccupa di leggere il thread, e ripropone questioni già affrontate e chiarite mille volte.
L'argomento delle firme elettroniche è molto complesso, a chi vuole chiarirsi le idee consiglio di ripartire dalla base:
- cosa vuol dire firma (in generale)
- cosa vuol dire firma elettronica (in generale)
- quali sono i "tipi ideali" di firme elettroniche definite dalle normative (Regolamento EiDAS, CAD, normative di dettaglio).
- quali sono le relazioni tra aspetti normativi, aspetti culturali, esigenze organizzative, soluzioni tecniche disponibili? In particolare, qual è il livello di accettazione delle varie soluzioni tecniche?

In particolare va tenuto presente che i "tipi ideali" di firme definiti dalle norme sono concetti giuridici, in quanto tali generali ed astratti; le soluzioni tecniche disponibili sono altra cosa, si situano su un piano diverso.
In particolare la cosa è particolarmente vistosa per la nozione di "Firma Elettronica Avanzata", che ha generato il maggior livello di confusione; la FEA è una nozione giudica, sul piano pratico esistono un'infinità di soluzioni tecniche che possono o meno soddisfare i requisiti della nozione giuridica; l'efficacia pratica delle varie soluzioni tecniche dipende anche dalla valutazione fatta dell'interlocutore, che può dipendere da un'infinità di fattori.

Alla fine il tema delle firme elettroniche si inserisce nel grande scenario della comunicazione umana a distanza ai tempi di Internet, scenario in cui risultano inadeguate e inaffidabili soluzioni consolidate e millenarie quali la firma autografa.

Saluti

 

[SilvioVernillo]

La bufala della firma digitale come totem di sicurezza con poteri magici

La firma digitale è praticamente indispensabile ad alcune categorie professionali, in particolare notai e avvocati, ma anche altri; per la stragrande maggioranza dei cittadini comuni offre benefici molto modesti, tali da non giustificare i costi di acquisto e mantenimento nel tempo di una soluzione tecnica di firma digitale.

L'elemento particolarmente robusto nelle soluzioni tecniche di firma digitale, allo stato attuale della tecnologia, è la crittografia asimmetrica a doppia chiave pubblico-privata che è alla base dell'uso dei certificati; ma in una soluzione tecnica di firma digitale reale la crittografia costituisce solo un elemento della procedura, e anche abbastanza marginale; la sicurezza complessiva della soluzione dipende da molti altri fattori, in particolare dalle modalità di acquisizione (e assegnazione da parte del fornitore di servizi), e dalla modalità di conservazione e utilizzo degli strumenti tecnici che compongono la soluzione, ad esempio smart-card e lettore.

La crittografia da sola non crea sicurezza come per magia; attribuire poteri magici alla crittografia è un tipico vezzo da tecnologi, in passato si è già verificato ad esempio con l'infatuazione per i token hardware come totem di sicurezza, oggi scaduti al livello di gadget scomodi.
In realtà l'abuso di crittografia è anche funzionale agli interessi pratici di tanti aspiranti tecnocrati pazzi, ma questo è un argomento più complesso da trattare in altra sede.

L'infatuazione per la firma digitale traspare chiaramente anche in tanti interventi in questo thread, da cui emerge l'idea della firma digitale come soluzione finale ai problemi di sicurezza; e in realtà origina anche da alcuni slogan del tutto inopportuni proposti nel tempo anche nei siti dell'attuale AgID (che ricordo non è fonte di diritto).

Dal punto di vista pratico, acquistare una soluzione di firma digitale non offre alcun potere magico all'acquirente; se un signor Pinco Pallino (che non conosco) mi invia una qualsiasi comunicazione, la presenza di una firma digitale (o anche autografa) è del tutto irrilevante; anzi in vari casi l'uso della firma digitale costituisce un handicap: molti interlocutori, tra cui molte banche, non accettano comunicazioni firmate con firma digitale.

Dal punto di vista normativo, la firma digitale è definita espressamente solo nell'italiano C.A.D., il regolamento europeo EiDAS non ne fa cenno e si limita a definire la nozione più ampia di "firma qualificata".
Il C.A.D. richiede espressamente l'uso della firma digitale solo per poche funzioni (essenzialmente contratti immobiliari e poco altro), ma impone anche al proprio titolare oneri di custodia e uso particolarmente stringenti; l’art. 32, comma 1, precisa che il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma e ad utilizzare personalmente il dispositivo.
In altri termini la firma digitale deve garantire anche i requisiti previsti per una FEA, oltre che quelli suoi specifici.

La nozione giuridica di firma digitale delinea quindi una procedura (generale e astratta) notevolmente sicura, ma anche molto rigida, prevista per l'utilizzo solo in casi particolari.
Invece discorso del tutto diverso è se una specifica procedura di firma digitale "reale" offra gli stessi requisiti di sicurezza previsti dalla norma; ad esempio molto spesso i dispositivi di firma sono usati da collaboratori del titolare, il che inficia del tutto le caratteristiche di sicurezza previste nella norma.

Un utilizzo del tutto improprio della nozione giuridica di "firma digitale" riguarda le procedure cosiddette di "firma digitale remota", usate anche da varie banche; in questo caso il certificato viene memorizzato nei server della banca, e l'utente si limita a "firmare digitalmente" usando un OTP SMS o procedure analoghe.
Queste procedure non hanno nulla a che vedere con la nozione giuridica di "firma digitale", perché viene a mancare l'elemento base del controllo personale degli strumenti di firma da parte del titolare; al più costituisce una "firma elettronica avanzata" camuffata da "firma digitale", ma anche su questo ci sarebbe da discutere.

Saluti

 

[SilvioVernillo]

La firma autografa non può essere inviata a distanza per via elettronica

Riporto da un altro thread:
Conto Corrente “Banca Widiba” di Wise Dialog Bank - Cap. 23 [FAQ Post #1]
Leo2015 18-05-21, 22:40 #753
Se devi inviare ad Ade un documento firmato questo lo firmi “di pugno” e lo alleghi come. pdf alla PEC da inviare, e ha pieno valore legale
---
Sul tema delle firme ai tempi di Internet c'è molta confusione, anche in chi ha notevoli conoscenze di diritto, perché coinvolge sia aspetti normativi, sia aspetti squisitamente tecnici.

Non c'è modo di inviare una firma autografa a distanza per via elettronica, e tutta l'elaborazione normativa sulle firme elettroniche nasce proprio dall'impossibilità di usare la firma autografa su Internet.

Una firma autografa inviata tramite Internet, ad esempio su un PDF tramite mail o PEC, diventa automaticamente una "riproduzione meccanica" della firma originale, in pratica un'immagine bitmap facilmente manipolabile.

Saluti

 

[bozzolom]

Una firma autografa inviata tramite Internet, ad esempio su un PDF tramite mail o PEC, diventa automaticamente una "riproduzione meccanica" della firma originale, in pratica un'immagine bitmap facilmente manipolabile.

Saluti

Nemmeno su questo c'è ancora accordo, vedasi ad esempio qui: In assenza di firma digitale e sufficiente la firma autografa | Giurdanella.it

 

[claudia sars]

Riporto da un altro thread:
Conto Corrente “Banca Widiba” di Wise Dialog Bank - Cap. 23 [FAQ Post #1]
Leo2015 18-05-21, 22:40 #753
Se devi inviare ad Ade un documento firmato questo lo firmi “di pugno” e lo alleghi come. pdf alla PEC da inviare, e ha pieno valore legale
---
Sul tema delle firme ai tempi di Internet c'è molta confusione, anche in chi ha notevoli conoscenze di diritto, perché coinvolge sia aspetti normativi, sia aspetti squisitamente tecnici.

Non c'è modo di inviare una firma autografa a distanza per via elettronica, e tutta l'elaborazione normativa sulle firme elettroniche nasce proprio dall'impossibilità di usare la firma autografa su Internet.

Una firma autografa inviata tramite Internet, ad esempio su un PDF tramite mail o PEC, diventa automaticamente una "riproduzione meccanica" della firma originale, in pratica un'immagine bitmap facilmente manipolabile.

Saluti

Non ho compreso l'autorevolezza di chi scrive, ad esempio : tu sei un esperto del settore? Chiedo perchè le tue affermazioni sono assolutistiche, come se fossero verità assoluta. Ovviamente è solo un'esigenza di chiarezza, nessun intento polemico.

 

[SilvioVernillo]

Non ho compreso l'autorevolezza di chi scrive, ad esempio : tu sei un esperto del settore? Chiedo perchè le tue affermazioni sono assolutistiche, come se fossero verità assoluta. Ovviamente è solo un'esigenza di chiarezza, nessun intento polemico.

Nei forum non esistono verità assolute, solo opinioni; tanto più in materie magmatiche e in evoluzione come quella delle firme elettroniche; la "funzione di verità" di una opinione poi dipende dal consenso, che non dipende da me.
Forse è meglio se spieghi cosa non ti convince, e magari io o qualcun altro potrà darti altri chiarimenti.
Saluti

 

[SilvioVernillo]

Firma elettronica avanzata, il coltellino svizzero

La firma digitale è molto sicura solo se si rispettano le modalità d'uso previste dalle norme, però rispettare tali modalità rende la firma digitale molto rigida e scomoda, adatta per eventi speciali come i contratti immobiliari ma non per gli affari di tutti i giorni di una nazione; ad esempio si può immaginare cosa succederebbe se per ogni acquisto online si dovesse firmare con firma digitale.

Per gli affari di tutti i giorni le norme ritengono sufficiente una "firma elettronica avanzata"; la nozione giuridica è estremamente ampia ed elastica, le procedure tecniche che possono rientrare nella nozione sono praticamente infinite:
"insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati."

L'ampiezza della definizione la rende anche poco comprensibile, in effetti è abbastanza difficile capire cosa costituisca nei fatti una FEA.
Ad esempio varie banche usano procedure di identificazione molto diverse tra loro, qualificandole tutte come FEA.
Anche per il semplice accesso tramite username e password l'interpretazione comune è che costituisca a tutti gli effetti una FEA.
A maggior ragione costituisce una FEA l'accesso a più fattori.

È abbastanza evidente che nella nozione di FEA rientrano procedure di identificazione diverse e con diversi livelli di "robustezza".

Il CAD e le norme derivate offrono qualche dettaglio solo per le procedure che costituiscono una FEA nei confronti della Pubblica Amministrazione, che oltretutto spesso oppone resistenza.
Nei rapporti tra privati la situazione è ancora più indefinita.

Probabilmente si chiarirà solo nel tempo quali procedure di identificazione saranno generalmente accettate.

Da diverso tempo la mia strategia è di inviare una PEC fornendo all'interlocutore un numero elevato di dati miei, tali da tranquillizzarlo sulla mia reale identità; e tutto sommato funziona bene.

D'altra parte la situazione di incertezza legata alle procedure FEA è bifronte.
Se è difficile essere certi che una certa procedura soddisfi i requisiti di una FEA, è altrettanto difficile essere certi del contrario.
Se io invio una comunicazione che certifica la mia identità in modo sufficientemente certo, per il ricevente rifiutare tale comunicazione in base a motivi puramente formali comporta il rischio di un contenzioso.

Saluti