Tipi di firme elettroniche, e rapporti con la PEC

SilvioVernillo

Nuovo Utente
Registrato
6/8/10
Messaggi
1.425
Punti reazioni
126
Termino la mia partecipazione a questo thread, i miei tempi sono quelli che sono.
Saluti
 

claudia sars

Nuovo Utente
Sospeso dallo Staff
Registrato
27/5/21
Messaggi
219
Punti reazioni
5
Le procedure per ottenere una firma digitale sono analoghe a quelle per ottenere un indirizzo PEC, basta inviare al gestore un documento di identità e il codice fiscale.
Se io entro in possesso dei documenti del signor Pinco Pallino (e oggi è abbastanza facile), posso ottenere una firma digitale a nome Pinco Pallino, ed emettere documenti con la firma digitale di Pinco Pallino.

Se poi il signor Pinco Pallino ha già una firma digitale, la sostituzione è ancora più semplice; basta impadronirsi con l'inganno o la violenza dei suoi dispositivi di firma, ed emettere documenti con la sua firma digitale.

In questo forum sono stati già riportati casi di furto d'identità, e dei guai che comporta per il malcapitato.

Saluti

Ma tu hai mai chiesto la pec e la firma digitale? Perchè da quello che scrivi non sembrerebbe. Guarda che prima di rilasciare pec e firma digitale il provider deve identificarti, e di certo non lo fa a mezzo documenti mandati via email o simile!
Il problema del furto di identità si pone per qualsiasi documento personale, e non hanno neanche bisogno di rubarteli o estorceteli. Ti sfugge poi che se ti rubano i dispositivi digitali puoi direttamente bloccarli dal sito del provider, ben prima di formalizzare la denuncia alle autorità : cosa che in caso di documenti identificativi personali non puoi fare.
 

isomerasi

Nuovo Utente
Registrato
8/3/19
Messaggi
2.322
Punti reazioni
280
Le procedure per ottenere una firma digitale sono analoghe a quelle per ottenere un indirizzo PEC, basta inviare al gestore un documento di identità e il codice fiscale.
Se io entro in possesso dei documenti del signor Pinco Pallino (e oggi è abbastanza facile), posso ottenere una firma digitale a nome Pinco Pallino, ed emettere documenti con la firma digitale di Pinco Pallino.

Se poi il signor Pinco Pallino ha già una firma digitale, la sostituzione è ancora più semplice; basta impadronirsi con l'inganno o la violenza dei suoi dispositivi di firma, ed emettere documenti con la sua firma digitale.

ci deve essere sempre un riconoscimento con presenza fisica, nel mio caso (aruba) presso una filiale mbe...certo, ci possono essere complicità varie , ma lo stesso vale anche nel caso di un pubblico ufficiale in malafede...

...Guarda che prima di rilasciare pec e firma digitale il provider deve identificarti, e di certo non lo fa a mezzo documenti mandati via email o simile!
Il problema del furto di identità si pone per qualsiasi documento personale, e non hanno neanche bisogno di rubarteli o estorceteli. Ti sfugge poi che se ti rubano i dispositivi digitali puoi direttamente bloccarli dal sito del provider, ben prima di formalizzare la denuncia alle autorità : cosa che in caso di documenti identificativi personali non puoi fare.

beh, a parte la possibilità di blocco non riesco ad immaginare che tipo di truffe si possano realizzare essendo in possesso della firma digitale di un' altra persona...ma io sono carente di fantasia...anche perchè per innumerevoli operazioni serve il notaio...

vinco il concorso, e poi chiedo il risarcimento danni

intanto ti sei comunque dovuto procurare la firma...fare causa dopo solo per principio non sò che senso abbia...lo potresti fare già adesso anche per innumerevoli altre questioni...
 
Ultima modifica:

SilvioVernillo

Nuovo Utente
Registrato
6/8/10
Messaggi
1.425
Punti reazioni
126
CIE3 come FEA verso la PA, alcune informazioni da Google Play

NOTA: al 27/06 l'app non è più presente su Google Play; indirizzo al 29/05
Not Found
Altri riferimenti:
Home
Cyberneid - cybernetics and electronic identity
Ugo Chirico, Cybernetic Physicist, Technology Advisor, Project Manager, Full Stack Developer


=== Dalle recensioni all'app "Firmo con CIE" by Cyberneid

Cyberneid 26aprile 2021
il sensore NFC del Realme 8 Pronon è in grado di leggere la CIE, presenta una incompatibilità di fabbrica conla CIE e purtroppo non possiamo fare nulla.

Tonio Vaglio 20aprile 2021
Non mi funziona, dà errore 810000
Cyberneid 20aprile 2021
Ci spiace per l'inconveniente. quell'errore indica che c'è un problema nella lettura della CIE. Potrebbe essere dovuto ad un errore nel posizionamento della CIE in prossimità del sensore NFC o a un problema nel sensore NFC stesso o ad un problema nel chip della sua CIE.

Cyberneid 16febbraio 2021
Il certificato presente nella CIE è stato emesso dal Ministero dell'Interno in conformità a eIDAS ed è un certificato di firma elettronica avanzata come sancito dall'articolo 61 del DPCM 22/02/2013. Firmo con CIE usa tale certificato e genera una firma elettronica avanzata conforme alla normativa eIDAS, che deve essere accettatada tutte le PA.

Gigi Vernazza 30dicembre 2020
CA non attendibile per sito Agenzia delle Entrate
Cyberneid 4gennaio 2021
La CA (Certification Authority) che emette i certificati dei cittadini che sono memorizzati nel chip della CIE è quella del ministero degli interni. Non è colpa nostra se il sito dell'agenzia delle entrate non riconosce la CA del ministero. La firma apposta con Firmo con CIE è una firma elettronica avanzata che ha validità legate in tutta europa.

Massimiliano 20 novembre 2020
la firma viene scartata da molti, eccetto Poste.
Cyberneid 27novembre 2020
Purtroppo l'aggiornamento dei protocolli di verifica non dipende da noi. Dobbiamo attendere che gli altri si adeguino all'articolo 61 del DPCM 22/02/2013

Graziano Vigani 20 novembre 2020
Testato con Dike/Infocert e Aruba/Actalis, riscontro questi problemi:
1)firma tipo P7M: la firma è riconosciuta ma mi viene dato un alert di tipo "Key Usage C firma non conforme alla delibera AgID 147/2019. Certificato di firma non residente su dispositivo sicuro."
2)firma tipo PDF: la firma non è rilevata.
Cyberneid 18novembre 2020
Salve, purtroppo alcuni software, tra cui Dike a Aruba, non verificano correttamentela firma apposta con il certificato sulla CIE poichè non implementano correttamente le direttive dell'art. 61 del DPCM 22/02/2013 e le direttive eIDAS. Le suggerisco di usare il verificatore online di Poste italiane:
https://postecert.poste.it/verificatore

 
Ultima modifica:

SilvioVernillo

Nuovo Utente
Registrato
6/8/10
Messaggi
1.425
Punti reazioni
126
Identità digitale, verso nuovi paradigmi

Il CAD (Codice Amministrazione Digitale) è stato promulgato nel 2005, firmatari Berlusconi e Gasparri; l'elaborazione concettuale ovviamente è avvenuta negli anni precedenti.

Le successive elaborazioni concettuali si spostano man mano in ambito europeo, oggi il testo principale di riferimento è il Regolamento europeo EiDAS; la cosa è verificabile anche visivamente, nelle versioni recenti del CAD molti degli articoli originali risultano abrogati, sostituiti da riferimenti al Regolamento EiDAS.

Il Regolamento EiDAS è diventato pienamente operativo in Italia di recente, mi sembra nel 2016.
Seguendo i principi base sulla gerarchia delle fonti, il Regolamento ha la prevalenza sulle norme nazionali, e in caso di contrasto il giudice italiano deve applicare il Regolamento e disapplicare le norme nazionali.

Il Regolamento europeo è più recente del CAD, quindi concettualmente più "moderno", reca principi innovativi e "rivoluzionari" rispetto alla cultura giuridica e alle consuetudini imperanti in Italia.
In particolare le due norme seguenti ad oggi sono in gran parte ancora disapplicate in Italia, e la loro adozione piena probabilmente richiederà decenni, anche se già oggi sono vincolanti per i giudici italiani:
art. 25:
a una firma elettronica non possono essere negati effetti giuridici e l’ammissibilità come prova in procedimenti giudiziari per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti delle firme elettroniche qualificate
art. 46:
a un documento elettronico non sono negati gli effetti giuridici e la ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica

Il CAD del 2005 cerca di estendere al mondo digitale i principi e i concetti giuridici elaborati nei millenni per il "mondo analogico", ad esempio: documento, forma scritta, firma autografa.
In quella fase l'operazione era probabilmente necessaria per dare una "sistemazione giuridica" a fenomeni del tutto nuovi; però il mondo digitale funziona in modo molto diverso dal mondo tradizionale, interpretare il mondo digitale solo in base a similitudine e analogia col mondo tradizionale porta a distorsioni pericolose.

Il CAD attribuisce alla firma digitale gli stessi effetti giuridici che una firma autografa ha nel mondo analogico, e un cittadino italiano non può che prenderne atto; però firma digitale e firma autografa sono strumenti completamente diversi dal punto di vista ontologico e strutturale.
La firma autografa (e in genere la scrittura) è strettamente connessa alle caratteristiche dell'individuo, sia fisiche che psichiche, tanto che esiste una scienza apposita che studia questi aspetti, la grafologia.
La firma digitale è solo un accrocchio tecnologico complicato, scomodo, e pericoloso per chi la usa in modo improprio senza rendersi conto delle implicazioni giuridiche coinvolte.
Il problema grave è che nel mondo digitale non è disponibile uno strumento altrettanto efficace, semplice, potente, come la firma autografa.
Credo che col tempo si dovrà per il mondo digitale elaborare delle norme specifiche che facciano riferimento esclusivamente alle sue caratteristiche, evitando analogie e similitudini improprie con gli strumenti del mondo tradizionale; in particolare si dovrà fare a meno di qualsiasi riferimento alla firma autografa, che non è utilizzabile nel mondo digitale.

Saluti
 
Ultima modifica:

SilvioVernillo

Nuovo Utente
Registrato
6/8/10
Messaggi
1.425
Punti reazioni
126
Arretratezza e scarsa consapevolezza in Italia sui temi dell'identità digitale

Richiamo i due articoli del Regolamento EiDAS citati sopra:
art. 25:
“a una firma elettronica non possono essere negati effetti giuridici e l’ammissibilità come prova in procedimenti giudiziari per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti delle firme elettroniche qualificate”
art. 46:
a un documento elettronico non sono negati gli effetti giuridici e la ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica


Per contrasto, riporto una sintesi (adattamento mio) di due discussioni recenti nel FOL, che oltretutto rappresenta un ambiente culturale avanzato rispetto alla media del paese.

=== FOL /1660670-chiusura-del-conto-widiba-di-wise-dialog-bank-138.html
backpack 08-06-21, 11:16 #1373
utilizzando la loro pec il modulo richiesta estinzione rapporto va firmato da tastiera o devo stamparlo firmarlo e riscansionarlo?

zlais 08-06-21, 11:18 #1374
io ho stampato e firmato, e aggiunto in testa anche che il recesso è per non accettazione PMU
al massimo ti conviene usare la firma pdf che cmq è autografa seppur non fatta con la penna

ok100% 08-06-21, 11:51 #1375
Io ho stampato firmato e riscansionato perchè mi è già capitato che se "incolli" la firma se ne accorgono e non lo accettano.

capibara 14-06-21, 16:37 #1446
Da come la vedo io in base all'operatore che raccoglie la richiesta accetta o non accetta la firma.
Infatti su 2 chiusure effettuate oggi, una e' stata respinta (vogliono firma olografa) e l'altra accettata, entrambe con lo stesso tipo di firma.
Ovviamente il conto su cui osteggiano per ora la chiusura, e' quello con movimentazioni piu' importanti.

zlais 14-06-21, 18:26 #1451
io, come scritto, ho stampato e firmato, quindi usando la penna
se uno non vuole stampare, io mi riferivo alla prima soluzione, che imprime una immagine della propria firma, da considerarsi comunque sempre autografa (quindi se accettano quella fatta con le penna e scansionata inviata via pec insieme alla carta di identità, accettano pure quella); niente a che vedere con la firma digitale



=== FOL /1972695-conto-corrente-banca-widiba-di-wise-dialog-bank-cap-23-faq-post-1-a-75.html
nexus 7 18-05-21, 22:33 #750
suona poco chiaro anche a me, ma l'ADE riporta questo:
in alternativa puoi inviare la tua richiesta all’ufficio territoriale tramite PEC, sottoscrivendola digitalmente insieme alla copia del documento di identità.

TestaQ 18-05-21, 22:35 #751
E' la richiesta all'ufficio territoriale a dover essere firmata digitalmente. Poi alleghi il PDF firmato alla PEC.

nexus 7 18-05-21, 22:40 #752
non ti seguo. non devo inviare nessun pdf, solo richiesta generica via mail allegando documento d'identita

Leo2015 18-05-21, 22:40 #753
Se devi inviare ad Ade un documento firmato questo lo firmi “di pugno” e lo alleghi come .pdf alla PEC da inviare, e ha pieno valore legale

nexus 7 18-05-21, 22:47 #754
in pratica devo formulare una richiesta all'ADE, le modalità proposte sono due, la prima tramite "visita" fisica allo sportello, la seconda formulando la richiesta via mail certificata (PEC) allegando un documento d'identità, ma non ho capito cosa intendono per "sottoscrivendola digitalmente" visto che per me una PEC è "sottoscritta digitalmente" di default, forse mi sto facendo un problema che non esiste
ma se intendono una PEC "ordinaria" non vedo perché specificare "sottoscritta digitalmente" quando lo è già per definizione

nexus 7 18-05-21, 22:50 #755 @Leo2015, non devo inviare un documento firmato, ma solo effettuare una richiesta scritta, accompagnandola da un doc d'identita'

TestaQ 18-05-21, 22:55 #756
Io lo interpreto in questo modo.
La richiesta generica la devi scrivere in un documento, diciamo PDF, che poi firmerai digitalmente. Per fare ciò ti occorre uno "strumento" per la firma digitale (smart card, token USB o firma digitale remota). Poi il documento firmato lo alleghi alla PEC insieme al documento di identità.
 

claudia sars

Nuovo Utente
Sospeso dallo Staff
Registrato
27/5/21
Messaggi
219
Punti reazioni
5
Le firme elettroniche e grafometriche hanno valore legale limitato perchè i firmatari possono disconoscerle. Cosa impossibile per la firma digitale.
@nexus7 : infatti è così, se il documento è nel corpo della pec, non serve nessuna firma digitale perchè è gia inclusa. Se invece il documento è inviato in allegato, quello deve essere in pdf firmato digitalmente altrimenti non ha valore legale.
 

claudia sars

Nuovo Utente
Sospeso dallo Staff
Registrato
27/5/21
Messaggi
219
Punti reazioni
5
ci deve essere sempre un riconoscimento con presenza fisica, nel mio caso (aruba) presso una filiale mbe...certo, ci possono essere complicità varie , ma lo stesso vale anche nel caso di un pubblico ufficiale in malafede...



beh, a parte la possibilità di blocco non riesco ad immaginare che tipo di truffe si possano realizzare essendo in possesso della firma digitale di un' altra persona...ma io sono carente di fantasia...anche perchè per innumerevoli operazioni serve il notaio...



intanto ti sei comunque dovuto procurare la firma...fare causa dopo solo per principio non sò che senso abbia...lo potresti fare già adesso anche per innumerevoli altre questioni...

Beh, non è che serva tanta fantasia, se rubi una firma digitale con quella puoi firmare un bel po' di documenti e spacciarti per quella persona, pensa ad esempio ai documenti bancari, assicurativi, ecc.
 

isomerasi

Nuovo Utente
Registrato
8/3/19
Messaggi
2.322
Punti reazioni
280
Beh, non è che serva tanta fantasia, se rubi una firma digitale con quella puoi firmare un bel po' di documenti e spacciarti per quella persona, pensa ad esempio ai documenti bancari, assicurativi, ecc.

ovviamente intendevo con il solo possesso della firma digitale, oltre al nome e cognome del soggetto, data di nascita, residenza, codice fiscale...ma senza documenti d' identita
 
Ultima modifica:

SilvioVernillo

Nuovo Utente
Registrato
6/8/10
Messaggi
1.425
Punti reazioni
126
Tipi di firme elettroniche, repetita juvant

Riporto ancora dal regolamento EiDAS:
art. 25:
a una firma elettronica non possono essere negati effetti giuridici e l’ammissibilità come prova in procedimenti giudiziari per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti delle firme elettroniche qualificate

Alcuni corollari immediatamente desumbili dalla norma:
- esistono molti tipi di firma elettroniche
- qualsiasi firma elettronica ha effetti giuridici e può essere usata come prova in un processo, non solo la firma qualificata o digitale (che è una sottospecie della firma qualificata).


Nel mondo analogico tradizionale "firma" è sostanzialmente equivalente a "firma autografa", in pratica esiste un solo tipo di firma, e la sua presenza su un documento è di norma un evento binario senza incertezze: o c'è, o non c'è.
In realtà anche nel mondo analogico vi sono casi di indeterminatezza, ma sono abbastanza rari; ad esempio: firma incerta e tremolante dovuta a malattia o stati di alterazione psico-fisica, documento deteriorato, autografi e sigle, firma contraffatta.

Nel mondo digitale al contrario non è disponibile la firma autografa, ma esistono infinite procedure elettroniche che possono identificare un individuo in modo più o meno forte ed affidabile; però nessuna procedura elettronica è altrettanto efficace, semplice, potente, come la firma autografa; bisogna accontentarsi di "surrogati".

Le norme disegnano il sistema delle firme elettroniche come una serie di insiemi inclusi, rappresentabili visivamente come quattro cerchi concentrici racchiusi l'uno nell'altro.
L'espressione "firme elettroniche" in senso giuridico indica l'insieme di tutti i "tipi ideali" di firme definiti nelle norme: semplice, avanzata, qualificata, digitale. In particolare:

1. La nozione giuridica generale di "firma elettronica"oggi è nel regolamento EiDAS, articolo 3:
10) «firma elettronica», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare;
Una firma elettronica che non soddisfa i requisiti di una firma avanzata descritti appresso viene solitamente indicata come "firma semplice" o "firma debole".

2. La firma elettronica avanzata (ne ho parlato qualche post addietro) è anche una firma elettronica (punto 1 precedente) con ulteriori requisiti, oggi il riferimento normativo è nel regolamento EiDAS, articolo 26:
Una firma elettronica avanzata soddisfa i seguenti requisiti:
a) è connessa unicamente al firmatario;
b) è idonea a identificare il firmatario;
c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;
d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

3. La firma elettronica qualificata deve soddisfare i requisiti di una firma elettronica e di una firma avanzata (punti precedenti), con l'ulteriore requisito di usare un certificato rilasciato da un'autorità di certificazione; requisito non tecnologico ma ideologico e politico, su questo forse tornerò in un post dedicato, ma il discorso è molto complicato.

4. la firma digitale (definita solo nel CAD italiano, non a livello europeo) è anche una firma elettronica, una firma avanzata, una firma elettronica qualificata; con l'ulteriore requisito che il certificato deve basarsi sulla crittografia asimmetrica a doppia chiave pubblico-privata (o almeno questa è l'interpretazione più comune sulla distinzione tra firma qualificata e firma digitale) .


Per quanto riguarda gli effetti giuridici dei vari tipi di firme, nei primi post del thread già cinque anni fa ho riportato un riepilogo tratto da Wikipedia; ripeto ancora una volta cose trite e ritrite, ma ancora oggi sconosciute ai tanti burocrati ottusi che periodicamente si affacciano a pontificare in questo thread, rendendone difficile la lettura e la comprensione.

Il comma 2 bis dell'art. 21 prevede che "le scritture private di cui all'articolo 1350, primo comma, numeri da 1 a 12, del codicecivile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale."
La norma riguarda i seguenti atti:
- contratti che, in relazione a beni immobili, ne trasferiscano la proprietà, costituiscano, modifichino o trasferiscano l'usufrutto, il diritto di superficie, il diritto del concedente o dell'enfiteuta, la comunione su tali diritti, le servitù prediali, il diritto di uso, il diritto di abitazione, atti di rinuncia dei diritti precedenti, contratti di affrancazione del fondo enfiteutico, contratti di anticresi, contratti di locazione per una durata superiore a nove anni;
- contratti di società o di associazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un tempo determinato;
- gli atti che costituiscono rendite perpetue o vitalizie, salve le disposizioni relative alle rendite di Stato;
- gli atti di divisione di beni immobili e di altri diritti reali immobiliari;
- le transazioni che hanno per oggetto controversie relative ai diritti di cui sopra.

Gli atti di cui all'articolo 1350, numero 13), del codicecivile sono validi anche se sottoscritti con firma elettronica avanzata.
Si tratta degli altri atti (diversi da quelli sopraindicati) per cui sia prevista la forma scritta ad substantiam e tra questi ci sono contratti importanti come i contratti bancari e di intermediazione mobiliaria.

Saluti
 
Ultima modifica:

SilvioVernillo

Nuovo Utente
Registrato
6/8/10
Messaggi
1.425
Punti reazioni
126
La firma autografa in Internet è inutile e pericolosa

Negli ultimi mesi ho chiuso diversi conti correnti usando un messaggio PEC adatto; per l'efficacia di un messaggio PEC è determinate il contenuto, non solo il protocollo PEC in quanto tale, quindi ha poco senso dire "ho usato la PEC"; ci tornerò in un altro thread, appena avrò tempo.

Ho scritto il contenuto del messaggio in un documento Word, poi ho creato un nuovo messaggio email, ho impostato mittente e destinatario PEC, e nel corpo della mail ho copiato il contenuto del documento Word.
Dal punto di vista delle norme vigenti potevo limitarmi a inviare il messaggio PEC, che soddisfa pienamente i requisiti di una firma elettronica avanzata.

Però dato il livello di arretratezza e ignoranza del bancario medio (esclusi i presenti ovviamente), e del sistema bancario e della burocrazia italiana nel suo complesso, e dato che non posso dedicare tutto il mio tempo a litigare, ho dovuto fare una cosa del tutto stupida, inutile, e pericolosa: nel documento Word ho incollato un file bitmap contenete la mia firma autografa, ho "stampato" in PDF con una stampante virtuale, e ho inserito nell'email come allegato il PDF "firmato".

Ho "stampato" il PDF conservando il contenuto in formato testo, in modo da ottenere un PDF da pochi Kbyte.

Se si incappa in un burocrate particolarmente ottuso, può essere necessario "stampare" in modo da ottenere un file con contenuto di tipo bitmap, il che però crea file di qualche megabyte, che occupa più spazio disco e consuma più banda in fase di trasmissione.
La stampa in formato bitmap produce un file del tutto identico a quello che si otterrebbe stampando su carta, apponendo a mano la firma autografa, e poi scansionando il foglio di carta.
Quindi la firma autografa manuale è sempre inutile quando si deve inviare a mezzo Internet, il prodotto finale è sempre e comunque una "riproduzione meccanica" della firma autografa, non la firma originale.
Stampare su carta, firmare a mano, e scansionare il foglio, è solo una gran perdita di tempo e uno spreco di carta; è molto più veloce e pratico incollare una firma bitmap nel documento Word, e poi stampare in formato bitmap; il risultato è del tutto identico, e nessuno può capire se il file bitmap finale è stato ottenuto per scansione o per stampa virtuale bitmap.

Se il contenuto da trasmettere è un modulo PDF e si incappa in un burocrate ancora più ottuso, può essere necessario usare un editor PDF; io ne ho diversi con più o meno effetti scenografici, ma ho sempre usato solo il vecchio Foxit PDF Editor 2.2.1 del 2011, circa 3 Megabyte.


Qua comincia la parte dura del discorso, per i deboli di cuore è meglio non proseguire.
Con la stessa procedura descritta sopra ho inviato anche i messaggi PEC di chiusura per i miei familiari, in pratica su loro delega ho "firmato" io al posto loro.
Quello che interessa per questo thread è che il destinatario verificatore non ha alcun modo per individuare come la "firma" sia stata apposta, né se c'è stata effettivamente una delega.

Disclaimer: chi procede nella lettura lo fa a suo rischio.
Se io posso disporre in qualche modo di un documento elettronico con la "firma autografa" del signor Pinco Pallino, ad esempio se sono un dipendente di un'azienda con cui il signor Pinco Pallino ha rapporti (banca, assicurazione, telco, etc.), per me è un gioco da ragazzi prelevare la sua "firma autografa" da quel documento e incollarla in un altro documento elettronico da me redatto a mio esclusivo vantaggio.
Come può essere usato quel documento contraffatto non è rilevante per questo thread; quello che conta è che la firma autografa su Internet è non solo inutile, ma anche pericolosa; come per tutti i dati sensibili personali, meno circola e meglio è.

Saluti
 

claudia sars

Nuovo Utente
Sospeso dallo Staff
Registrato
27/5/21
Messaggi
219
Punti reazioni
5
ovviamente intendevo con il solo possesso della firma digitale, oltre al nome e cognome del soggetto, data di nascita, residenza, codice fiscale...ma senza documenti d' identita

La firma digitale contiene un certificato di firma che identifica integralmente il titolare, una volta rubata il gioco è fatto. Chi accetta la procedura firmata digitalmente solitamente non chiede documenti identificativi (altrimenti saremmo punto e a capo).
 

SilvioVernillo

Nuovo Utente
Registrato
6/8/10
Messaggi
1.425
Punti reazioni
126
Firme elettroniche, nozioni giuridiche e firme reali

Le norme giuridiche delineano per forza di cose nozioni generali e astratte, un testo di legge non può definire tutti i dettagli possibili delle infinite forme tecniche esistenti.

Il rapporto tra procedure di firme usate in concreto e i "tipi ideali" definiti nelle norme quasi mai è semplice, diretto, automatico; per definire se una particolare procedura elettronica reale costituisca una firma semplice, avanzata, qualificata, digitale, può essere necessario un processo di interpretazione più o meno complesso.

Ad esempio per le procedure di "firma grafometrica" vi sono varie interpretazioni relative al loro status giuridico, per alcuni sono "firme elettroniche avanzate", per altri sono solo "firme semplici"; probabilmente la qualifica varia anche in funzione delle diverse procedure seguite nelle varie soluzioni tecniche di "firma grafometrica", che non sono tutte uguali tra loro.

L'uso di un dispositivo di firma dotato di certificato a crittografia asimmetrica costituisce di norma una firma digitale, però se il dispositivo non è usato dal titolare del certificato quella procedura non crea una firma digitale, e certamente non soddisfa nemmeno i requisiti di una firma elettronica avanzata; addirittura potrebbe non soddisfare nemmeno la definizione base di "firma elettronica [semplice]".
Ne deriva anche che ripudiare una firma digitale è molto semplice, basta dire che il dispositivo è stato usato da altri a propria insaputa.
Quali possano essere le conseguenze giuridiche di tali situazioni è tutto da definire.

Del tutto indefinito è anche lo status giuridico delle cosiddette "firme digitali remote" usate da alcune banche, in cui il certificato risiede obbligatoriamente nei server della banca, e l'utente "firma" tramite OTP SMS e procedure analoghe.
In questi casi sostanzialmente è la banca che emette una presunta "firma digitale" a nome del cliente, usando un certificato a lui intestato.
Anche in questo caso quali possano essere le conseguenze giuridiche di tali situazioni è tutto da definire; probabilmente andrà tutto bene, ma significa comunque andare in cerca di guai.

Un'email ordinaria (non PEC) è normalmente considerata una forma di "firma semplice", per vari motivi tecnici: il protocollo SMTP non garantisce la consegna al destinatario, è abbastanza semplice alterare il contenuto di un'email, etc.
Questo però non vuol dire che un'email ordinaria non ha effetti giuridici.
Se io invio un'email offensiva o minacciosa e il destinatario mi querela, non posso cavarmela dicendo in processo che un'email ordinaria non prova nulla; dovrò comunque ripudiare l'email e fornire quante più prove possibili della mia estraneità, poi sarà il giudice a valutare il tutto.
Se io e il destinatario non abbiamo mai avuto rapporti, è possibile che l'email venga ritenuta non probante.
Se invece abbiamo un rapporto d'affari di lunga durata con uno scambio di email regolare, e c'è stato un contrasto crescente prima dell'email incriminata, quell'email assume la forza di una firma elettronica avanzata molto probante.

Saluti
 

claudia sars

Nuovo Utente
Sospeso dallo Staff
Registrato
27/5/21
Messaggi
219
Punti reazioni
5
Mai sentito che l'email ordinaria (non pec) equivalga ad una firma identificativa nè che possa avere valore probante : oltre al fatto che spesso non è possibile risalire al mittente effettivo, si aggiunge il piccolo problemino che il testo è modificabile.
 

bozzolom

Nuovo Utente
Registrato
10/9/13
Messaggi
1.575
Punti reazioni
103
Mai sentito che l'email ordinaria (non pec) equivalga ad una firma identificativa nè che possa avere valore probante : oltre al fatto che spesso non è possibile risalire al mittente effettivo, si aggiunge il piccolo problemino che il testo è modificabile.

Per usare una mail usi nome utente e password, quindi (finché non riuscirai a dimostrare di non averla spedita tu) è chiaro che si tratti di una firma semplice ai sensi di legge. Questo è ancora più chiaro nel caso tu abbia in qualche modo "certificato" quella mail (come avviene con tutte le banche) o se l'hai comunicata come intestata a te (come quando comunichi con la PA).
 

bozzolom

Nuovo Utente
Registrato
10/9/13
Messaggi
1.575
Punti reazioni
103
Le firme elettroniche e grafometriche hanno valore legale limitato perchè i firmatari possono disconoscerle. Cosa impossibile per la firma digitale.

@nexus7 : infatti è così, se il documento è nel corpo della pec, non serve nessuna firma digitale perchè è gia inclusa. Se invece il documento è inviato in allegato, quello deve essere in pdf firmato digitalmente altrimenti non ha valore legale.

Ossignore, ancora gira questa fantatomatica leggenda metropolitana (o meglio definiamola ca*ata) del fatto che gli allegati non sarebbero firmati digitalmente e non avrebbero valore? Ma come vi viene in mente una cosa del genere?
 

bozzolom

Nuovo Utente
Registrato
10/9/13
Messaggi
1.575
Punti reazioni
103
La firma digitale contiene un certificato di firma che identifica integralmente il titolare, una volta rubata il gioco è fatto. Chi accetta la procedura firmata digitalmente solitamente non chiede documenti identificativi (altrimenti saremmo punto e a capo).

Perché mai se ti rubano la firma digitale il gioco sarebbe fatto? Hai mai usato una firma digitale tu? Come lo useresti il certificato di firma pur entrandone in possesso?
 

claudia sars

Nuovo Utente
Sospeso dallo Staff
Registrato
27/5/21
Messaggi
219
Punti reazioni
5
Per usare una mail usi nome utente e password, quindi (finché non riuscirai a dimostrare di non averla spedita tu) è chiaro che si tratti di una firma semplice ai sensi di legge. Questo è ancora più chiaro nel caso tu abbia in qualche modo "certificato" quella mail (come avviene con tutte le banche) o se l'hai comunicata come intestata a te (come quando comunichi con la PA).

Non è così. L'email semplice (non certificata) non ha alcun valore legale semplicemente perchè non ha valore identificativo : non vi è alcuna prova che quel nome utente corrisponda ad un determinato soggetto, potrebbe benissimo essere un nome di fantasia.
 

claudia sars

Nuovo Utente
Sospeso dallo Staff
Registrato
27/5/21
Messaggi
219
Punti reazioni
5
Ossignore, ancora gira questa fantatomatica leggenda metropolitana (o meglio definiamola ca*ata) del fatto che gli allegati non sarebbero firmati digitalmente e non avrebbero valore? Ma come vi viene in mente una cosa del genere?

Non è una leggenda metropolitana, informati.