Italian Version
English Version

Nuove regole tecniche firma elettronica avanzata


Art. 55 (Disposizione generali)
Dettaglio Commento
 
1. La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva. Il mercato è quindi aperto. È importante valutare una soluzione certificata che adotta precauzioni e sicurezze
2. I soggetti che erogano o realizzano soluzioni di firma elettronica avanzata si distinguono in:  
a) coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b); I soggetti di tipo a) sono gli Enti, le Aziende e tutti coloro che adottano la soluzione con l’obiettivo di ridurre i costi. Da analizzare bene il caso in cui c’è un terzo soggetto, ad esempio quando una banca propone ai propri clienti prodotti di terzi utilizzando la soluzione di questi ultimi. In tal caso va regolarizzato bene il rapporto in sede contrattuale.
b) coloro che, quale oggetto dell'attività di impresa, realizzano soluzioni di firma elettronica avanzata a favore dei soggetti di cui alla lettera a). Tra I soggetti di tipo b) c'è la Namirial Spa che ha realizzato Firma GrafoCerta per i soggetti di tipo a).

Torna all'elenco


Articolo 56 (Caratteristiche delle soluzioni di firma elettronica avanzata)
Dettaglio Commento
 
1. Le soluzioni di firma elettronica avanzata garantiscono:  
a) l'identificazione del firmatario del documento; Il firmatario va riconosciuto con la raccolta del documento d’identità o, più in generale, con le stesse modalità previste oggi per il cartaceo.
b) la connessione univoca della firma al firmatario; È nella natura della firma del titolare e, in particolare nel caso di GrafoCerta, viene assicurata dalla presenza e dalla qualità dello strumento grafometrico a supporto del perito. Se si adotta la soluzione STRONG l’identificazione e la connessione univoca sono rafforzate nel processo di FEA Namirial dall’apposizione contestuale della firma digitale di chi riconosce.
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima; Nel caso della firma grafometrica, il sistema di generazione della firma viene considerato  l’insieme Mano + Tablet + Dati biometrici. Il procedimento che avviene in un ambiente presidiato e consente la verifica della certezza dei dati biometrici una volta apposti sul documento attraverso lo strumento grafometrico.
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma; Il processo GrafoCerta garantisce l’integrità del documento attraverso l’apposizione di una firma in formato PadEs con la contestuale generazione di HASH.
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto; Il firmatario può ricevere una copia del documento sul cartaceo o eventualmente l’originale o copia di esso (versione flat del pdf) in formato digitale. La soluzione Namirial garantisce ulteriormente la possibilità di ottenere evidenza in quanto, anche in casi di creazione ed esposizione di sintesi del documento (es: contabili), durante l’operazione di firma permette di visualizzare a video l’originale in sottoscrizione. Le dimensioni del tablet utilizzato influenzano la capacità di visualizzare una porzione o l’intero documento.
f) l'individuazione del soggetto di cui all'articolo 55, comma 2, lettera a) L’Ente o l’azienda che propone la firma grafometrica dovrà essere soggetto proponente e rispettare tutti i requisiti previsti.
g) l'assenza di qualunque elemento nell'oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati; Il processo di FirmaGrafoCerta può essere integrato all’interno di flussi aziendali. L’Ente o l’azienda che propone la firma devono generare documenti in formato PDF/A.
h) la connessione univoca della firma al documento sottoscritto. Il processo GrafoCerta lo consente attraverso la generazione di HASH al momento della firma, che vengono utilizzati poi in fase di verifica e controllo.

Torna all'elenco


Articolo 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata)
Dettaglio Commento
 
1. I soggetti di cui all'articolo 55, comma 2, lettera a) devono:  
a) identificare in modo certo l'utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa ogni eventuale limitazione dell'uso, subordinare l'attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell'utente; Va predisposta un’informativa sull’utilizzo della FEA (Namirial rende disponibili degli esempi) che deve essere sottoscritta dal firmatario. Nell’informativa vanno evidenziati i punti dell’Art.56. Dibattiti sulla modalità di sottoscrizione, per alcuni valida solo se cartacea. Namirial ritiene sia corretto farla sottoscrivere con la grafometrica che fino ad un istante prima sarà solo una firma elettronica non avanzata. Sarà cmq il giudice a decidere se la sottoscrizione è valida.
b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare l'ottemperanza a quanto previsto all'articolo 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità; Vanno conservati entrambi i documenti. E' fondamentale il collegamento con un sistema di conservazione a norma.
c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo; SI può procedere con la stampa, con l’invio via mail/PEC o con l’invio cartaceo.
d) rendere note le modalità con cui effettuare la richiesta di cui al punto c), pubblicandole anche sul proprio sito internet; Namirial supporta i soggetti di tipo a) nella definizione delle modalità e nella pubblicazione sul proprio sito internet.
e) rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall'articolo 56, comma 1; Namirial supporta i soggetti di tipo a) nel rispettare i 3 punti attraverso la consegna di documentazione a supporto.
f) specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto;
g) pubblicare le caratteristiche di cui alle lettere e) ed f) sul proprio sito internet;
h) assicurare, ove possibile, la disponibilità di un servizio di revoca del consenso all'utilizzo della soluzione di firma elettronica avanzata e un servizio di assistenza. Namirial offre il servizio di assistenza al soggetto di tipo a). La revoca è sempre possibile, va gestito dal soggetto di tipo a)
2. Al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche, i soggetti di cui all'articolo 55, comma 2, lettera a), si dotano di una copertura assicurativa per la responsabilità civile rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali per un ammontare non inferiore ad euro cinquecentomila (500.000€). Non è ancora chiaro il discorso della polizza  a cosa si riferisce. L’inserimento di questa clausola serve a salvaguardare il mercato da soluzioni non affidabili. Infatti il soggetto di tipo a) deve pretendere che anche il soggetto di tipo b) sia coperto da un’assicurazione analogo a ancora più cautelativa. Namirial ha una polizza coma Autorità di Certificazione.
3. Le modalità scelte per ottemperare a quanto disposto al comma 2 devono essere rese note ai soggetti interessati, pubblicandole anche sul proprio sito internet. Va esposto sul sito il dettaglio della copertura assicurativa
4. Il comma 2 del presente articolo non si applica alle persone giuridiche pubbliche che erogano soluzioni di firma elettronica avanzata per conto di pubbliche amministrazioni. Si parla di società a partecipazione pubblica che erogano soluzioni per conto della pubblica amministrazione la quale, come soggetto finale deve dotarsi di assicurazione.
5. Nell'ambito delle pubbliche amministrazioni e in ambito sanitario, limitatamente alla categoria di utenti rappresentata dai cittadini fruitori di prestazioni sanitarie, la dichiarazione di accettazione delle condizioni del servizio prevista al comma 1, lettera a) può essere fornita oralmente dall'utente al funzionario della pubblica amministrazione o all'esercente la professione sanitaria, il quale la raccoglie in un documento informatico che sottoscrive con firma elettronica qualificata o firma digitale. Per la PA e per la sanità è sufficiente una dichiarazione di accettazione orale. Questa deve però essere raccolta in un documento informatico che il funzionario della PA sottoscrive. La soluzione Firma GrafoCerta versione STRONG prevede proprio che chi riconosce il firmatario apponta contestualmente una firma digitale. La soluzione Namirial è perfettamente in linea.
6. I commi 1 e 2 non si applicano alle soluzioni di cui all'articolo 61, commi 1 e 2, alle quali si applicano le norme vigenti in materia. Vedere Art.61

Torna all'elenco


Articolo 58 (Soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi)
Dettaglio Commento
 
1. I soggetti di cui all'articolo 55, comma 2, lettera b) che offrono una soluzione di firma elettronica avanzata alle pubbliche amministrazioni, devono essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia. Namirial ha ottenuto la certificazione UNI EN ISO 27001:2005 (versione internazionale) a febbraio 2012. Namirial ha conseguito il certificato n. IND12.2513U rilasciata da Bureau Veritas Italia S.p.A. Non è una dichiarazione di conformità ma una certificazione di conformità. Firma GrafoCerta è l'unica soluzione ad oggi certificata in Italia, quindi conforme alle regole per la pubblica amministrazione.
2. I soggetti di cui all'articolo 55, comma 2, lettera b) che offrono soluzioni di firma elettronica avanzata alle pubbliche amministrazioni, ovvero le società che li controllano, devono essere in possesso della certificazione di conformità del proprio sistema di qualità alla norma ISO 9001 e successive modifiche o a norme equivalenti. Namirial è certificata UNI EN ISO 9001:2008. Namirial ha conseguito il certificato n. 223776 rilasciata da Bureau Veritas Italia S.p.A.
3. I commi 1 e 2 non si applicano alle persone giuridiche private partecipate, in tutto o in parte, dalla pubblica amministrazione qualora realizzino per la stessa soluzioni di firma elettronica avanzata.  
4. I commi 1 e 2 del presente articolo non si applicano alle persone giuridiche pubbliche che rendono disponibili soluzioni di firma elettronica avanzata a pubbliche amministrazioni.  
5. I soggetti di cui all'articolo 55, comma 2, lettera b), al fine di dare evidenza del grado di conformità della soluzione di firma elettronica avanzata a quanto previsto dalle presenti regole tecniche, possono far certificare la propria soluzione secondo la norma ISO/IEC 15408, livello EAL 1 o superiore, da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia. E' una certificazione opzionale e non obbligatoria. Ha un costo importante e normalmente viene fatta su un dispositivo fisico. Namirial è attenta e sta monitorando la possibilità della certificazione.

Torna all'elenco


Articolo 59 (Affidabilità delle soluzioni di firma elettronica avanzata)
Dettaglio Commento
 
1. I soggetti di cui all'articolo 55, comma 2 , lettera a), al fine di dare evidenza del grado di conformità alla norma ISO/IEC 27001 del proprio sistema di gestione della sicurezza delle informazioni a supporto della soluzione di firma elettronica avanzata proposta, possono richiederne la certificazione ad una terza parte indipendente autorizzata all'uopo secondo le norme vigenti in materia. Namirial si rende disponibile alla verifica delle proprie certificazioni su richiesta dei soggetti di tipo a).
2. I soggetti di cui all’articolo 55, comma 2 , lettera a), al fine di dare evidenza del grado di conformità della soluzione di firma elettronica avanzata a quanto previsto dalle presenti regole tecniche, su base volontaria, possono far certificare la propria soluzione secondo la norma ISO/IEC 15408, livello EAL 1 o superiore ad un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia. Qualora venisse fatta la certificazione ISO/IEC 15408, Namirial si renderà disponibile alla verifica delle proprie certificazioni su richiesta dei soggetti di tipo a)

Torna all'elenco


Articolo 60 (Limiti d’uso della firma elettronica avanzata)
Dettaglio Commento
 
1. La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all'articolo 55, comma 2, lettera a). La firma grafometrica non consente il libero scambio di documenti informatici: il suo uso è limitato al contesto.

Torna all'elenco


Articolo 61 (Soluzioni di firma elettronica avanzata)
Dettaglio Commento
 
1. L’invio tramite posta elettronica certificata di cui all’articolo 65, comma 1, lettera c‐bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’articolo 1, comma 1, lettera i) del decreto 2 novembre 2005 recante “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche. La PEC viene considerata una Firma Elettronica Avanzata nei confronti della Pubblica Amministrazione. Namirial è provider di PEC www.sicurezzapostale.it
2. L'utilizzo della Carta d'Identità Elettronica, della Carta Nazionale dei Servizi, del documento d'identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice. L‘utilizzo di CIE, CNS etc… La PEC viene considerato una Firma Elettronica Avanzata nei confronti della Pubblica Amministrazione.
3. I formati della firma di cui al comma 2 sono gli stessi previsti ai sensi dell'art. 4, comma 2.  

Torna all'elenco

Cos'è

La soluzione FirmaGrafoCerta è un processo di Firma Elettronica Autografa (FEA)...
Vai alla pagina

Caratteristiche

Il processo FirmaGrafoCerta in dettaglio dalla lettura dei dati biometrici...
Vai alla pagina

A chi è rivolta

Banche, Finanziarie, Società di telefonia, Aziende, liberi professionisti...
Vai alla pagina

Vantaggi

Dematerializzazione del cartaceo, risparmio della carta, taglio dei costi...
Vai alla pagina

News/Eventi

Novità ed eventi sulla Firma Grafometrica
Vai alla pagina

FIRMAGRAFOMETRICA.IT

Privacy Policy - Cookie Policy - Contatta DPO - Mappa sito - Contatti - Richiedi informazioni

NAMIRIAL S.p.A

Sede legale 60019 Senigallia (AN), Via Caduti sul Lavoro n. 4 - P.IVA IT02046570426 - C.F. e iscriz. al Reg. Impr. Ancona N. 02046570426 - REA N. AN157295 - Codice destinatario T04ZHR3 - Capitale sociale € 6.500.000,00 i.v. - © Namirial S.p.A.