Firma elettronica qualificata: tutti i dispositivi revocati da inizio 2022
La firma elettronica qualificata è uno strumento che permette di scambiare documenti online con piena validità legale. La procedura che garantisce l’autenticità, l’integrità e la sicurezza dell’accettazione dei documenti informatici, è chiamata validazione. Tutte le persone fisiche hanno facoltà di dotarsi di FEQ (Firma elettronica qualificata). I prestatori di servizi fiduciari qualificati autorizzati da AgID (Agenzia per l’Italia Digitale) possono garantire l’identità dei soggetti che utilizzano la FEQ. Da quando esiste questo strumento, esiste anche un elenco per la certificazione dei dispositivi per la firma elettronica qualificata. Quest’anno è uscita una nuova comunicazione che revoca l’utilizzo di due secure electronic signature creation devices (SSCD) e qualified electronic signature creation devices (QSCD) dall’elenco notificato alla Commissione europea.
Firma elettronica qualificata e ANSSI
L’ANSSI, acronimo di Agenzia nazionale per la sicurezza dei sistemi informativi, è un ente francese creato allo scopo di assistere il Primo ministro nell’esercizio delle sue responsabilità in materia di difesa e sicurezza nazionale. In altre parole deve assicurare, a livello internazionale, la sicurezza dei sistemi informativi. Svolge il compito di proporre ai vari Stati dell’UE, le regole da seguire e applicare per la tutela dei sistemi dello stato e di verificarne l’applicazione. Inoltre fornisce anche un servizio di monitoraggio, rilevamento, allerta e risposta ad attacchi informatici, in particolare sulle reti statali.
Scopi e poteri conferiti grazie al Regolamento eIDAS che ha disposto, in base all’articolo 30, c1, la certificazione dei dispositivi per la firma elettronica qualificata.
Firma elettronica qualificata: dispositivi revocati
L’ANSSI ha comunicato all’AgiD che a partire dal 2023 due dispositivi utilizzati per la certificazione dei dispositivi per la firma elettronica qualificata, non saranno più validi. Si tratta di:
- smart card di tipo Applet ID One Classic v1.01.1 en configuration CNS, Classic ou CIE chargée sur Cosmo v7.0-n Large, Standard et Basic (modes dual ou contact) sur composants NXP T;
- smart card TS-CNS con chip NXP ASEPCOS-CNS v1.84 in SSCD configuration with patch PL07 on NXP P60D080PVG dual interface microcontroller T.
La scelta della revoca di validità è dettata dalla longevità dei due dispositivi, che ormai risultavano essere datati. In Italia il 25% dei certificati qualificati di firma digitale attivi, sono archiviati su smart card o token appartenenti alle due tipologie revocate. La revoca comporta la non validità delle firme digitali opposte con tali dispositivi a partire dal 31 dicembre 2022. La revoca comporta infatti il venir meno della catena trust eIDAS.
Firma digitale elettronica qualificata e AgID
A seguito della comunicazione dell’ANSSI, AgID ha inoltrato la direttiva di dismissione ai prestatori di servizi fiduciari qualificati. In questo modo le Amministrazioni, le aziende e i professionisti clienti che utilizzano i dispositivi revocati, possono provvedere alla loro sostituzione in tempi brevi. Gli strumenti da sostituire devono essere rimpiazzati con dispositivi alternativi certificati e con tecnologie più innovative e recenti.
L’alternativa è rappresentata dalla firma digitale da remoto e dall’identificazione e autenticazione elettroniche che rispettino le disposizioni vigenti in materia d’identificazione elettronica e servizi fiduciari qualificati in ambito eIDAS. Per firma digitale da remoto si intende quella ottenuta usando proprio specifici strumenti di autenticazione, solitamente rappresentati dalla formula: user id+ password +OTP o telefono cellulare. Si tratta di elementi che sono in grado di generare la firma del firmatario su un dispositivo HSM. Dispositivo custodito dal certificatore (in terminologia europea, prestatore del servizio fiduciario qualificato).