Le diverse tipologie di Firme Elettronichegli aggiornamenti normativi, casi d’uso e nuove opportunità

Ing. Andrea SassettiDirettore Servizi di CertificazioneGruppo Aruba

Il Gruppo Aruba

Le Firme Elettroniche

La Firma Qualificata e la Firma Remota

La Firma Elettronica Avanzata

Strong Authentication

Il Contrassegno Elettronico

Contenuti della Presentazione

Il Gruppo ArubaUna storia d’innovazione e d’investimenti

Aruba PEC S.p.A ed Actalis S.p.A., società del Gruppo Aruba S.p.A., sono Autorità di Certificazione iscritte all'Elenco Pubblico dei Certificatori accreditati dall’Agenzia per l’Italia Digitale (ex DigitPA), nonché Gestori accreditati di Posta Elettronica Certificata (PEC)

Offerta di Servizi di Certificazione per tutte le Società, Enti e Pubbliche Amministrazioni:

Posta Elettronica Certificata Firma digitale (Smart Card, Token USB) Firma Remota, Automatica/Massiva Firma Elettronica Avanzata (Biometrica, Grafometrica, …) Carta Nazionale dei Servizi (CNS) Strong Authentication (CNS, OTP,:..) Marche Temporali Conservazione sostitutiva Infrastrutture PKI …

ArubaPEC ed ActalisServizi di Certificazione erogati dal Gruppo Aruba

Il Gruppo Aruba

Le Firme Elettroniche

La Firma Qualificata e la Firma Remota

La Firma Elettronica Avanzata

Strong Authentication

Il Contrassegno Elettronico

Contenuti della Presentazione

Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;

Firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;

non viene specificata tecnologia da adottare (non ci sono standard tecnologici di riferimento)

non deve essere necessariamente un Ente Certificatore ad offrire tali soluzioni non interoperabile

Firma Digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;

Certificato qualificato -> Enti Certificatori accreditati standard tecnologico ben definito non è specificato se utilizzare un dispositivo sicuro di firma -> nelle regole tecniche è

invece previsto

interoperabilità

Le Firme ElettronicheCome vengono definite e loro efficacia probatoria

Firma Elettronica Qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;

Certificato qualificato -> Enti Certificatori accreditati standard tecnologico ben definito richiesto l'utilizzo di un dispositivo sicuro di firma (smart card, token usb, HSM) Interoperabilità

Le Firme ElettronicheCome vengono definite e loro efficacia probatoria

Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità

Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all' articolo 20, comma 3 , che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile . L'utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria.

Firma Qualifi

cata

Firma Elettronica Firma Elettronica Avanzata

Firma Grafometrica Firma Digitale

Il Gruppo Aruba

Le Firme Elettroniche

La Firma Qualificata e la Firma Remota

La Firma Elettronica Avanzata

Strong Authentication

Il Contrassegno Elettronico

Contenuti della Presentazione

ArubaPEC CA Internet

Prov

isio

ning

Sys

tem

HA System & Monitor

HSM

HSM SignatureMiddleware Sito remoto

(es. Filiale/Cliente)

HSM

HSM SignatureMiddleware

ArubaRemoteSigningServer

Utente

App/WebApp

La Firma RemotaSoluzioni di Firma Elettronica Qualificata

Utente

ARSS: componente software che semplifica l'integrazione della Firma Remota con le Applicazioni

Servizi offerti:

Firma Remota

Firma Automatica/Massiva

Strong Authentication

Marcatura Temporale

Verifica Firma/Marca

Firma Elettronica Avanzata (coerentemente con quanto

previsto dalle regole tecniche)

ArubaRemoteSigningServer

La Firma Remota – Integrazione ApplicativaSoluzioni di Firma Elettronica Qualificata

Aruba ID Server

Aruba ID Server: interamente sviluppato da Aruba

Consente l'integrazione di vari sistemi di Strong Authentication, quali:

sistemi OTP forniti da Aruba (basati sui protocolli del consorzio OATH) quali, ad esempio

Token OTP con Display Token OTP USB Mobile OTP (sw) per dispositive mobile quali

iPhone, Blackberry, Android, Java phone OTP SMS

Token OTP brand VASCOintegrazione di altre soluzioni di autenticazione forte che il Cliente volesse adottare in futuro

integrazione di soluzioni di riconoscimento biometrico del Titolare quali la firma biometrica (grafometrica)

La Firma Remota – Sistemi di strong Auth.Soluzioni di Firma Elettronica Qualificata

La Firma RemotaSoluzioni di Firma Elettronica Qualificata

Multidevice: PC, Tablet, Smartphone, …

Integrazione semplice e veloce: qualsiasi applicazione può integrare facilmente le funzionalità di firma remota (ed altre offerte dall’infrastruttura)

Architettura flessibile: personalizzazioni in funzione di specifiche esigenze del Cliente

Servizio offerto in outsourcing o installato presso l’infrastruttura IT del Cliente (in house)

Il Gruppo Aruba

Le Firme Elettroniche

La Firma Qualificata e la Firma Remota

La Firma Elettronica Avanzata

Strong Authentication

Il Contrassegno Elettronico

Contenuti della Presentazione

Regole Tecniche

Art. 55 (Disposizioni generali), comma 1: La realizzazione di soluzioni di firma elettronica

avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva

Art. 56 (Caratteristiche delle soluzioni di firma elettronica avanzata), comma 1: Le

soluzioni di firma elettronica avanzata garantiscono:

a) l’identificazione del firmatario del documento

b) la connessione univoca della firma al firmatario

c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati

biometrici eventualmente utilizzati per la generazione della firma medesima

d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche

dopo l’apposizione della firma

e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto

f) l’individuazione del soggetto di cui all’articolo 55, comma 2, lettera a)

g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti,

fatti o dati nello stesso rappresentati

h) la connessione univoca della firma al documento sottoscritto

Firma Elettronica Avanzataun processo di firma…

Regole Tecniche (segue)

Art. 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata),

comma 1: I soggetti di cui all’articolo 55, comma 2, lettera a) devono:

a) identificare in modo certo l’utente tramite un valido documento di riconoscimento,

informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa

ogni eventuale limitazione dell'uso, subordinare l’attivazione del servizio alla

sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte

dell’utente;

b) conservare per almeno venti anni copia del documento di riconoscimento e la

dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare

l’ottemperanza a quanto previsto all’articolo 56, comma 1, garantendone la disponibilità,

integrità, leggibilità e autenticità;

Art. 58 (Soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi)

I soggetti che offrono una soluzione di firma elettronica avanzata alle pubbliche

amministrazioni devono essere in possesso della certificazione di conformità del proprio

sistema di gestione per la sicurezza delle informazioni ad essi relative alla norma ISO/IEC

27001 ed avere la certificazione di conformità del proprio sistema di qualità alla norma ISO

9001.

Firma Elettronica Avanzataun processo di firma…

Regole Tecniche (segue)

Art. 60 (Limiti d’uso della firma elettronica avanzata), comma 1: La firma elettronica

avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è

utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il

soggetto di cui all’articolo 55, comma 2, lettera a)

Art. 61 (Soluzioni di firma elettronica avanzata)

comma 1. L’invio tramite posta elettronica certificata ..... sostituisce, nei confronti della

pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole

tecniche.

comma 2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi,

del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e

degli altri strumenti ad essi conformi sostituisce ..... la firma elettronica avanzata ai sensi

delle presenti regole tecniche per i servizi e le attività

comma 6. ... al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata,

DigitPa elabora Linee guida sulla base delle quali realizzare soluzioni di firma elettronica

avanzata conformi alle presenti regole tecniche

Firma Elettronica Avanzataun processo di firma…

Firma Elettronica Avanzataun processo di firma…

FEA

infrastrutture a chiave pubblica(certificati digitali) Firma grafometrica

….

Firma Elettronica Avanzatabasata su infrastrutture a chiave pubblica

Firma Elettronica Avanzatabasata su tecnologie grafometriche

La Firma Grafometrica (biometrica) è una tecnologia che consente di apporre, nei documenti informatici, una Firma Elettronica Avanzata

La Firma Grafometrica rispetta pienamente quanto previsto dalle regole tecniche per la

Firma Elettronica Avanzata, garantendo:

l’identificazione del firmatario del documento

la connessione univoca dei dati di firma al firmatario

il controllo esclusivo del firmatario del sistema di generazione della firma

la possibilità di verificare che l’oggetto della sottoscrizione non abbia subito

modifiche dopo l’apposizione della firma (integrità della firma)

la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto

La ”identificazione biometrica della firma” avviene

riconoscendo parametri grafometrici quali velocità,

pressione, ritmo, accelerazione, movimento

09380923847483..4823 +

*

Firma Elettronica Avanzatabasata su tecnologie grafometriche

Il Gruppo Aruba

Le Firme Elettroniche

La Firma Qualificata e la Firma Remota

La Firma Elettronica Avanzata

Strong Authentication

Il Contrassegno Elettronico

Contenuti della Presentazione

Aruba fornisce Servizi di Autenticazione forte sia “as a service” (outsourcing) che

installate presso l’infrastruttura IT del Cliente

Il sistema consente l'utilizzo di un qualsiasi sistema di strong authentication tra quelli da

noi proposti :

Aruba Call

Aruba Call plus

Aruba SMS

Aruba SMS Plus

Token OTP (display) , basato sui protocolli del consorzio OATH

Token OTP USB, basato sui protocolli del consorzio OATH

Client OTP Mobile

Carta Nazionale dei Servizi (CNS)

Browser sicuro su TokenUSB

Per la fruizione di tali servizi di autenticazione Aruba mette a disposizione semplici

interfacce (tipicamente webservice) che rendono estremamente facile l’integrazione con

gli applicativi cliente.

Strong Authentication

Aruba OTP - Differenti Soluzioni OTP in grado di soddisfare le varie esigenze dei Clienti:

OTP di tipo hardware (display OTP, USB OTP, Display Card,..)

OTP Mobile (iOS, Android, BlackBerry, JavaPhone)

OTP sw (librerie per integrazione con le applicazioni del Cliente)

OTP brand di mercato (Vasco, RSA, Verisign VIP, …)

Strong Authentication - Soluzioni OTP

ArubaCall

Massima semplicità d’uso

Zero costi telefonici

Impatti per l’integrazione: minimi

ArubaCall: vantaggi della soluzione

Non richiede la distribuzione di dispositivi (es. token OTP) agli utenti

Non esposta ad attacchi di mobile impersonation (caller ID spoofing)

Nessun costo telefonico a carico dell'utente finale

Semplicità e velocità

Strong Authentication – Aruba Call

Aruba SMS

Codice OTP OATH

Costi telefonici per invio SMS all’utente

Impatti per l’integrazione: bassi

Aruba SMS Plus

Autenticazione della transazione

Costi telefonici per invio SMS all’utente

Impatti per l’integrazione: modesti

Strong Authentication – Aruba SMS - SMS Plus

Il Cliente può scegliere una qualsiasi delle soluzioni offerte, selezionando

per ciascun utente quale sistema di autenticazione forte adottare

Singola Interfaccia (Web Service) per l’integrazione di tutte le soluzioni di

Strong Authentication offerte, così da avere il minor impatto sugli

applicativi attualmente in uso

Possiamo offrire il servizio di Strong Authentication sia in modalità

Outsourcing che “in casa” del Cliente

Strong Authentication

Flessibilità delle nostre soluzioni

Il Gruppo Aruba

Le Firme Elettroniche

La Firma Qualificata e la Firma Remota

La Firma Elettronica Avanzata

Strong Authentication

Il Contrassegno Elettronico

Contenuti della Presentazione

Contrassegno ElettronicoContesto normativo e definizione

Il “Contrassegno elettronico” è regolamentato da quanto disposto nell’articolo 23-ter, comma 5 del vigente Codice dell’Amministrazione Digitale, Decreto Legislativo 7 marzo 2005, n. 82, che recita: 

“Sulle copie analogiche di documenti amministrativi informatici può essere

apposto a stampa un contrassegno, sulla base dei criteri definiti con linee guida

dell'Agenzia per l'Italia Digitale, tramite il quale è possibile ottenere il documento

informatico, ovvero verificare la corrispondenza allo stesso della copia analogica. Il

contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la

sottoscrizione autografa e non può essere richiesta la produzione di altra copia analogica con

sottoscrizione autografa del medesimo documento informatico. I programmi software

eventualmente necessari alla verifica sono di libera e gratuita disponibilità.”

Nell’ambito delle "Linee guida per il contrassegno generato elettronicamente ai sensi

dell’articolo 23-ter, comma 5 del CAD" per contrassegno generato elettronicamente si

intende:

“una sequenza di bit, codificata mediante una tecnica grafica e idonea a

rappresentare un documento amministrativo informatico o un suo estratto o una sua

copia o un suo duplicato o i suoi dati identificativi. A tutti gli effetti di legge sostituisce

la sottoscrizione autografa della copia analogica.”

Contrassegno ElettronicoScenari d’uso

Contrassegno generato elettronicamente contenente i dati identificativi del documento amministrativo informatico originale

Contrassegno generato elettronicamente contenente estratto/copia/duplicato del documento amministrativo informatico originale conservato presso l’amministrazione

Contrassegno generato elettronicamente contenente il documento amministrativo informatico originale non conservato presso l’amministrazione

Un documento originale firmato digitalmente

La trasposizione dello stesso originale in forma grafica

La creazione di un documento a stampa

31

Contrassegno ElettronicoScenari d’uso

Due macro tipologie di contrassegno digitale

“Copia Controllata” - Questo Timbro è verificabile solo in presenza di collegamento internet ed è possibile utilizzarla per qualsiasi documento di qualsiasi dimensione con firma PAdES o CAdES.

In questo caso il contrassegno contiene gli elementi che rendono possibile la verifica accedendo on line al documento amministrativo informatico originale;

“Autocontenuta” - Questo Timbro è verificabile anche senza collegamento internet ma è legato alla dimensione del documento originale.

Le informazioni contenute nel contrassegno generato elettronicamente consentono la verifica rispetto al documento amministrativo informatico o al duplicato o all’estratto da cui ha origine senza accesso telematico

32

PC

SCANNER

Posta Cartaceo

PEC o Mail

HTTP o FTP

Contrassegno Elettronicocome verificarlo

E’ disponibile uno strumento di verifica gratuito denominato Viewer

33

Contrassegno Elettronicocome verificarlo

…ma la verifica è complicata?

Grazie !