InfoCamere diventa Qualified Trust Service ed Identity Provider
Digital Identity IC - QTSP
V 1,0
Nell’ambito della regolamentazione dei servizi fiduciari qualificati, sul piano normativo, l’entrata in vigore dell’ eIDAS (electronic IDentification Authentication and Signature) ha introdotto grandi cambiamenti che consentono di superare i limiti della certification authority nazionale e realizzare un trust service provider come soggetto riconosciuto a livello europeo.
1
InfoCamere ancora protagonista per permettere alle Camere di Commercio di essere volano di innovazione per le imprese e la PA nei servizi fiduciari
Il “Qualified Trust Service Provider” Infocamere
Prestatori di servizi fiduciari attivi in Italia:
https://www.agid.gov.it/it/piattaforme/firma-elettronica-qualificata/prestatori-di-servizi-fiduciari-
attivi-in-italia
Armonizzazione servizi di certificazione - servizio unico integrato
I servizi fiduciari qualificati, i nuovi token, firma remota, sigillo elettronico, firma automatica permettono al sistema camerale di presidiare e gestire l’intera filiera dell’identità e della certificazione digitale, sia verso le imprese che verso le necessità delle CCIAA
• Certificati digitali qualificati di firma e autenticazione
• Servizio di firma remota
• Marcatura temporale qualificata
• Sigillo elettronico (eSeal)
• SPID di livello 1, 2 e 3
Il “Qualified Trust Service Provider” Infocamere
2
Normativa
3
AUTORITÀ NAZIONALE
AUTORITÀ TRANSANZIONALE
ITALIA
STANDARD
Agenzia per l’Italia Digitale (AgID)
a) Provvedimenti b) Linee guida c) Autorizzazioni
generali d) Circolari e) Determina f) Interventi
sanzionatori
Autorità Europea
a) Commissione europea b) Corte di Giustizia europea
Normativa nazionale
a) D.Lgs n. 82/2005 (Codice
dell’Amministrazione Digitale - CAD) b) Normativa di secondo livello:
Regole tecniche, Linee guida e circolari
c) Normativa collegata
LEGAL FRAMEWORK
EUROPA
Normativa europea
a) Regolamento europeo per identificazione,
autenticazione e firme
elettroniche (eIDAS)
b) Regole Tecniche eIDAS
Normativa Italiana ed Europea di riferimento
4
EIDAS CAD
(Codice dell’Amministrazione Digitale)
D.P.C.M. 22 FEBBRAIO 2013
Rappresenta la disposizione comunitaria di riferimento in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche.
Testo unico che riunisce e organizza le norme riguardanti l'informatizzazione
della Pubblica Amministrazione nei rapporti con i cittadini e le imprese.
Istituito con il decreto legislativo 7 marzo 2005, n. 82, è stato successivamente modificato e integrato per promuovere e rendere effettivi i diritti di cittadinanza digitale.
Decreto del Presidente del Consiglio dei Ministri che stabilisce, le regole
tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, per la validazione temporale,
nonché per lo svolgimento delle attività dei certificatori qualificati.
Il “Qualified Tust Service Provider” Infocamere
5
• Essere affidabilecome prescritto dal regolamento
• Adottare soluzioni di sicurezzaadeguate
• Reagire agli incidenti con efficacia e gestire la comunicazione, notifiche ENISA e AgID
• Essere in grado di verificare le identitàcon certezza
• Mantenere evidenze dei riconoscimenti e di tutte le operazioni
•
Avvalersi di personale altamente specializzato e formato
• Avere risorse finanziarie adeguate per far fronte a danni causati
• Essere assicurato
• Adottare misure adeguate per la privacy
• Fornire la possibilità di revocare gratuitamente
• Disporre di un piano di cessazione
Caratteristiche stabilite da Determinazione AgID n. 185/2017
6
Art. 24 comma 1
Requisiti per i prestatori di servizi fiduciari qualificati Requirements for qualified trust service providers
1. Allorché rilascia un certificato qualificato per un servizio fiduciario, un prestatore di servizi fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.
Le informazioni di cui al primo comma sono verificate dal prestatore di servizi fiduciari qualificato direttamente o ricorrendo a un terzo conformemente al diritto nazionale:
a)mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica;
oppure
b) a distanza, mediante mezzi di identificazione elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia «significativo» o «elevato»; oppure
c) mediante un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato rilasciato a norma della lettera a) o b); oppure
d) mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente
sotto il profilo dell’affidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo di
valutazione della conformità.
7
Art. 24 comma 2
Requisiti per i prestatori di servizi fiduciari qualificati Requirements for qualified trust service providers
2 . Un prestatore di servizi fiduciari qualificato che presta servizi fiduciari qualificati:
a) informa l’organismo di vigilanza di eventuali cambiamenti nella prestazione dei propri servizi fiduciari qualificati e dell’intenzione di cessare tali attività;
a) impiega personale e, ove applicabile, subcontraenti dotati delle competenze, dell’affidabilità, dell’esperienza e delle qualifiche necessarie e che hanno ricevuto una formazione adeguata in materia di norme di sicurezza e di protezione dei dati personali e applica procedure amministrative e gestionali, che corrispondono a norme europee o internazionali;
a) riguardo alla responsabilità civile per danni a norma dell’articolo 13, mantiene risorse finanziarie adeguate e/o si procura un’assicurazione di responsabilità civile appropriata, conformemente al diritto nazionale;
a) prima di avviare una relazione contrattuale informa, in modo chiaro e completo, chiunque intenda utilizzare un servizio
fiduciario qualificato dei termini e delle condizioni esatte per l’utilizzo di tale servizio, comprese eventuali limitazioni del
suo utilizzo;
La catena della fiducia
Catena della fiducia
9
L’organizzazione del riconoscimento e delle responsabilità poggia sulla classica catena della fiducia ( trust ) basata sul conferimento di mandati.
Autorità di Certificazione CA
Certification Authority
Ufficio di registrazione RA
Registration Authority
Operatore IR/RAO
Registration Authority Officer
L’incaricato alla registrazione (IR)
10
Le Camere di commercio, in qualità di ente emettitore della Carta Nazionale dei Servizi con funzione di firma digitale, si avvale della collaborazione di
intermediari (Incaricati alla Registrazione - IR), come professionisti, società disbrigo pratiche ecc., in possesso di idonei requisiti di moralità e competenza, che, appositamente incaricati e sotto la diretta responsabilità dell’ente, svolgono le attività di identificazione e registrazione dell’utente, previste dal processo per il rilascio dei certificati digitali
Una volta identificato il soggetto e completata la richiesta di nuova Carta Nazionale dei Servizi con funzioni di firma digitale, i dispositivi vengono poi fisicamente prodotti presso l’Ufficio Ra della Camera di Commercio di
riferimento.
La qualifica di incaricato al riconoscimento (IR)
11
L’assunzione della qualifica di I.R. è subordinata al possesso dei seguenti requisiti:
1. essere titolari di una convenzione Telemaco per l’erogazione di servizi esterni;
2. assenza, in capo al richiedente, di condanne penali ovvero carichi pendenti incidenti sulla moralità
professionale, con specifico riferimento alle attività oggetto dell’incarico;
3. aver frequentato un corso formativo avente ad oggetto le specifiche nozioni di natura tecnica, giuridica e amministrativa necessarie allo svolgimento delle
attività che saranno assegnate;
4. essere in possesso di un attestato di idoneità rilasciato dal Certificatore a seguito dell’esito positivo del corso formativo sopraindicato;
5. non risultare inseriti nel registro dei protesti e non essere sottoposti a misure
di prevenzione.
L’identificazione del soggetto
12
In base al Regolamento Europeo per l’Identificazione Elettronica (EIDAS) e al Codice
dell’Amministrazione Digitale (CAD), il ruolo della Certification Authority, si esplica tramite l’operatore RAO nel:
“... provvedere con certezza alla identificazione della persona che fa richiesta della
certificazione” (EIDAS, R.E. 910/2014, art. 24, comma 1) “mediante mezzi appropriati [...] e, se del caso, eventuali attributispecifici della persona fisica o giuridica a cui il certificato
qualificato è rilasciato” (CAD, D. Lgs.82/2005, art. 32, comma 3)
Un esempio sono i certificati di ruolo, che possono venir inseriti nel
dispositivo
Le modalità di identificazione
13
Il Regolamento Europeo per l’Identificazione Elettronica (EIDAS), Art. 24 comma 1, specifica che l’identificazione può avvenire:
✔
mediante la presenza concretadella persona (riconoscimento a sportello)✔
utilizzando mezzi di identificazione elettronica✔
tramite un certificato di unafirma elettronica qualificata (firma digitale)✔
mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalenteSpid è già un sistema di identificazione “forte” e quindi non necessita ulteriori riconoscimenti qualora si utilizzi SPID per richiedere un servizio
certificato
L’importanza del riconoscimento
14
Il riconoscimento del richiedente da parte dell’operatore RAO assume un ruolo cardine, dato dal fatto che il grado di “fiducia” riconosciuto agli strumenti di identificazione a distanza (come ad esempio la CNS e la Firma Digitale) e devisu, risiede proprio nell’accuratezza e nell’affidabilità della procedura di identificazione del titolare.
La Certification Authority deve dotarsi di “personale [...] dotato delle competenze, dell’affidabilità, dell’esperienza e delle qualifiche necessarie e adeguatamente formato” (EIDAS, art. 24 comma 2)
Altri elementi dell’attività di riconoscimento
15
Il Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013 stabilisce le regole tecniche per lo svolgimento delle attività dei certificatori qualificati:
“Identificare in modo certo l'utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa ogni eventuale limitazione dell'uso, subordinare
l'attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell'utente” (DPCM, 22-2-13, art. 57, comma 1, lettera a)
All’interno del modulo “Richiesta di rilascio Carta Nazionale dei Servizi (CNS) con certificato di
autenticazione e sottoscrizione”
Responsabilità
16
Per il CAD, articolo 32 comma 4:
“Il certificatore è responsabile dell'identificazione del soggettoche richiede il certificato qualificato di firma anche se tale attività è delegata a terzi” *
*(la presenza del mandato, però, rende possibile al certificatore di agire in via di regresso nei confronti del
mandatarioche nello svolgimento delle attività di identificazione non si sia attenuto alle prescrizioni indicategli)
La responsabilità penale 1/2
17
A tutela del processo di identificazione, interviene il Codice Penale, con interventi punitivi:
sia verso il soggetto che fornisce false informazioni al momento della richiesta della firma elettronica (art. 495 bis c.p.) sia verso il certificatore che “viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato”
(art. 640 quinquies c.p.).
La responsabilità penale 2/2
18
A tutela del processo di identificazione, interviene il Codice Penale, con interventi punitivi:
sia verso il soggetto che fornisce false informazioni al momento della richiesta della firma elettronica (art. 495 bis c.p.) sia verso il certificatore che “viola gli obblighi previsti dalla legge per il rilascio di Nello specifico, l’articolo 640, quinquies del Codice Penale, punisce la frode informatica del soggetto che presta servizi di certificazione di firma elettronica:
“Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un
certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro”
(art. 640 quinquies c.p.).
Catena della fiducia
19
Certification Authority
IR/RAO
Registration Authority
RICONOSCIMENTO
La Certification Authority è il soggetto terzo e fidato che emette i certificati qualificati di firma elettronica qualificata, firmandoli con la propria chiave privata, detta chiave di CA o chiave di root.
InfoCamere è la Certification Authority (CA) che emette, pubblica nel registro e revoca i Certificati Qualificati, operando in conformità alle regole tecniche
emanate dall’Autorità di Vigilanza e secondo quanto prescritto dal
Regolamento eIDAS [1] e dal Codice dell’Amministrazione Digitale [2].
La RA individua operatori camerali che riconoscono, registrano gli utenti e
producono i dispositivi (RAO).
Le Registration Authorities o Uffici di Registrazione sono soggetti cui la CA ha conferito specifico mandato con
rappresentanza con il quale affida lo svolgimento di una o più attività proprie del processo di registrazione-
In più, sono presenti Incaricati alla Registrazione (IR) e Operatori della Registrazione (OdR), che ricevono un mandato per riconoscere le persone.
Gli IR si recheranno poi in CCIAA per
la produzione del dispositivo, gli OdR
possono produrre in loco
Certification Authority
Credibilità
coerenza della procedura di
identificazione di fronte alla legge
Responsabilità
responsabile ultimo della
correttezza dell’identità del cliente
Sicurezza
responsabile ultimo del trattamento dei dati e del rispetto delle norme di sicurezza
20
Registration Authority
Competenze
Rispetto della procedura di identificazione dei propri operatori e di quella svolta da parte di OdR e IR
Procedura
Rispetto del Manuale Operativo per la emissione degli strumenti di firma
Divulgazione
Formazione a RAO, OdR e IR prima di metterli all’opera
21
IR – RAO - ODR
RAO
Registration Authority Officer
personale camerale incaricato al riconoscimento e alla produzione dei dispositivi di firma e identità digitale.
IR
Incaricati al Riconoscimento
personale incaricato dall’Ufficio Camerale a
svolgere attività di identificazione degli utenti per lo svolgimento delle attività di rilascio dei certificati digitali di autenticazione e di sottoscrizione su dispositivo CNS
ODR
Operatori del Riconoscimento
persone fisiche o giuridiche (imprese, professionisti, associazioni) che svolgono il ruolo di IR ma
producono in loco il dispositivo
22
Elementi chiave dell’attività di riconoscimento
23
Informazione
Informare il Cliente sulla procedura di identificazione
Procedura
Seguire pedissequamente gli step della procedura previsti dalla CA
Verifiche
Concludere la procedura solo quando si è certi dell’identità del soggetto
Attenzione
Prestare attenzione al
documento, al C.F. del cliente.
Assicurarsi che siano leggibili in tutti i campi
Congruenza
Verificare la congruenza tra i documenti presentati
(documento di riconoscimento e codice fiscale/ tessera sanitaria)
Sicurezza
Identificare il richiedente usando solamente
documenti in originale e in
corso di validità
Soggetto/Titolare
24
Correttezza delle informazioni
Fornire informazioni corrette, veritiere e complete (le false dichiarazioni al
certificatore di firma elettronica sono un reato ai sensi del 495-bis del Codice Penale)
Procedura
Seguire la procedura e le istruzioni
dell’IR o dell’operatore camerale
Chi vigila sulla catena di fiducia?
L’Agenzia per l'Italia Digitale (AgID) è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi
dell’Agenda digitale italiana.
25
Spetta ad AgID verificare ciclicamente che le Autorità di Certificazione (CA) soddisfino i requisiti necessari per lo svolgimento dell’attività (art.
20 del Regolamento EIDAS).
Ove ciò non avvenga, AgID imporrà di rimediare ai mancati adempimenti e può decidere il ritiro della qualifica.
26
Richiesta di informazioni da parte della Polizia Giudiziaria
Nel caso di richiesta di informazioni da parte della Polizia Giudiziaria (Carabinieri, GDF, Polizia o altro), è necessario che vi sia un provvedimento emesso dall’Autorità Giudiziaria o del Pubblico Ministero.
Le Camere di Commercio inviano alla CA - con cadenza periodica di 3
mesi - la documentazione attraverso la quale viene emesso
un certificato qualificato
La CA trasmette, se richiesto, le necessarie informazioni all’Autorità
Giudiziaria
Controlli sui documenti di identità
Documenti accettati
28
I documenti di riconoscimento utilizzabili ai fini dell’identificazione certa del soggetto richiedente sono:
CARTA D’IDENTITA’
PATENTE DI GUIDA PASSAPORTO Il documento di riconoscimento presentato deve essere:
NON SCADUTO ORIGINALE
EMESSO DA AUTORITÀ ITALIANA (eccezione passaporto)
Il sito «PRADO» del Consiglio Europeo contiene un database con le versioni dei documenti d’identità emessi in Italia e riporta alcune delle caratteristiche principali (feature di sicurezza, periodo di validità, periodo di emissione ecc.)
https://www.crimnet.dcpc.interno.gov.it/crimnet/ricerca-documenti-rubati-smarriti
Controlli generici
29
❑
Tipologia di documenti accettati per l’identificazione❑
Firma dei documenti❑
Scadenza dei documenti❑
Volto dell’utente❑
No fotocopie documento❑
Elementi identificativi da verificare❑
Verifica coerenza nome, cognome e codice fiscale.Controlli generici
30
Firma dei documenti
❏
Deve essere sempre presente sul documento la sottoscrizione ai fini dell’identificazione e della lavorazione della pratica. Saranno accettati anche documenti siglati.❏
No firma in stampatello.Scadenza dei documenti
❏ Il documento presentato dovrà essere in corso di validità,
quindi l’operatore avrà cura di controllare la data di scadenza.
Controlli generici
31
Corrispondenza volto dell’utente
❏
Il volto dell’utente e le relative foto sui documenti di riconoscimento presentati devono corrispondere: per questo tipo di controllo ci si rifà al buon senso dell’operatore, lo stesso che usano gli ufficiali dell’anagrafe al momento del rilascio dei documenti di identità e per il loro rinnovo.Le fotocopie dei documenti non sono accettate
❏
In caso di presentazione di fotocopie di documenti, queste non sono MAI accettabili.Carta di identità
32
Carta d’identità cartacea Carta d’identità elettronica
Elementi identificativi
I dati sulla carta di identità cartacea - FRONTE
33
I dati sulla carta di identità cartacea - RETRO
34
SCADENZA IL 01/01/2025
NOME COGNOME
Carta di identità italiana bilingue
35
In province dove risiedono minoranze linguistiche, la carta d'identità è bilingue e viene emessa in colore differente:
❏ nella Provincia autonoma di Bolzano è di colore verde ed è in italiano-tedesco;
❏ nella Provincia di Trieste, Provincia di Gorizia e Provincia di Udine è di colore verde scuro ed è in italiano-sloveno e il suo rilascio è facoltativo, a richiesta dell'interessato;
❏ nella Regione autonoma Valle d'Aosta è di colore blu
ed è in italiano-francese.
I sistemi di sicurezza della carta d’identità cartacea: numeri e lettere
« TIPOGRAFICI»
36
Particolare attenzione al perimetro contraddistinto da una maggiore quantità di inchiostro depositato
(effetto “orlo”) e alla forma degli numeri.
L’araldica del comune di rilascio del documento: alcuni esempi
37
L’araldica del comune è facilmente reperibile sui siti istituzionali
Dati su CIE (emessa dopo 01/01/2004) - FRONTE
38
❏
La carta d'identità elettronica (CIE) è un documento di riconoscimento creato per sostituire la carta d'identità italiana rilasciata in formato cartaceo.❏
Si prevede di utilizzare la CIE come il cosiddetto Documento Unificato, cioè un unico documento che andrà a sostituire la carta di identità, la tessera sanitaria e il codice fiscale.❏
La data del primo rilascio della CIE è 01/01/2004.Dati su CIE (emessa dopo 01/01/2004) - RETRO
39
❏
La carta d'identità elettronica (CIE) è un documento di riconoscimento creato per sostituire la carta d'identità italiana rilasciata in formato cartaceo.❏
Si prevede di utilizzare la CIE come il cosiddetto Documento Unificato, cioè un unico documento che andrà a sostituire la carta di identità, la tessera sanitaria e il codice fiscale.❏
La data del primo rilascio della CIE è 01/01/2004.Dati su CIE (emessa dopo 04/07/2016) - FRONTE
40
Dati su CIE (emessa dopo 04/07/2016) - RETRO
41
Il codice ICAO nella MRZ (Machine Readable Zone)
42
La MRZ contiene i seguenti dati che possono essere facilmente controllati dall’operatore:
•
Il numero del documento;•
La data di nascita nella forma aa/mm/gg•
Il sesso (M/F)•
L’anno di scadenza del documento nella forma aa/mm/gg•
Il cognome e il nome del titolare del documentoSono presenti poi quattro cifre di controllo, nell’esempio 4, 8, 4, e 0.
Verifica delle cifre di controllo con app IDEA
43
6 4 1 2 3 0
7 3 1 7 3 1
42 12 1 14 9 0
2 2 1 2 3 0
7 3 1 7 3 1
14 6 1 14 9 0
DATA DI NASCITA CHIAVE 731
DATA DI SCADENZA CHIAVE 731
= 78
=
44
Passaporto
44
Il passaporto è il documento che attesta l'identità di una persona e la autorizza a circolare al di fuori dello Stato di appartenenza e degli Stati dell'Unione europea.
Ha 10 anni di validità dalla data del rilascio. Alla scadenza della validità, riportata all’interno del documento, non si rinnova ma si deve richiedere l’emissione di un nuovo passaporto.
Dal 26 ottobre 2006, in Italia viene rilasciato il passaporto elettronico (il passaporto con il microchip in copertina). In aderenza alla vigente normativa europea, dal 20 maggio 2010 viene rilasciato ai cittadini, da tutte le Questure in Italia ed all’estero dalle rappresentanze diplomatiche e consolari, un nuovo modello di passaporto elettronico costituito da un libretto a 48 pagine a modello unificato.
Tale libretto è dotato di un microchip in copertina, che contiene le informazioni relative ai dati anagrafici, la foto e
le impronte digitali del titolare.
Passaporto: controllo dati identificativi
45
1) Esaminare il numero di passaporto.
Passaporto italiano è alfanumerico (1 lettera + 6 cifre)
2) Notare l’ordine delle informazioni in ogni riga. Data di nascita, data di emissione e la data di scadenza delle informazione sono sempre elencate nel seguente ordine: giorno, mese e anno
3) Analisi dei dati presenti nella
Machine Readable Zone ( MRZ ) che si
trova nella parte inferiore del
passaporto
Passaporto: controllo dati identificativi (emesso dopo il 20/05/2010)
46
Passaporto: controllo dati identificativi (emesso dopo il 20/05/2010)
47
Patente
48
La patente di guida è un documento valido ai fini del riconoscimento in quanto ha natura di documento di identità personale, come peraltro già disposto dall'art. 35 del DPR n. 445/2000.
Patente di guida modello card
49
Errore di produzione della patente formato tessera: dal 1999 al 2002 la ü della parola Führerschein non era presente.
Numero di patente dal 19 gennaio 2013
Patente di guida: particolare numerazione nei modelli cartacei
50
I dati sulla patente (emessa dopo il 01/01/2002) - FRONTE
51
I dati sulla patente (emessa dopo il 01/01/2002) - RETRO
52
Spazi per adesivo
rinnovo patente
I dati sulla patente (emessa dopo il 01/01/2013) - RETRO
53
Codice Fiscale / Tessera Sanitaria
54
Il codice fiscale in Italia è un codice alfanumerico a lunghezza fissa di 16 caratteri, ispirato dall'uso biblioteconomico, che serve ad identificare in modo univoco ai fini fiscali e amministrativi i cittadini, le associazioni non riconosciute, i contribuenti e gli stranieri nati e domiciliati nel territorio italiano. La tessera sanitaria sostituisce il tesserino CF per i soggetti assistiti dal SSN.
Codice Fiscale / Tessera Sanitaria
55
1.
Data di scadenza: normalmente è di dieci anni per gli assistiti in via definitiva, o periodi inferiori per casi particolari (ad es. stranieri con permesso di soggiorno limitato).2.
In basso al centro, accanto alla data di nascita, si trovano tre lettere in formato Braille standard a 6 punti che rappresentano la combinazione di 3 lettere del codice fiscale.3.
L’area in basso a destra è riservata ai dati sanitari regionali ed è utilizzabile per l'apposizione di adesivi o simboli regionali.4.
Provincia: corrisponde alla sigla della provincia di nascita dell’assistito.5.
Per i cittadini nati all’estero il codice della provincia è rappresentato dalla sigla EE.6.
Luogo di nascita: riporta il Comune di nascita. Per i cittadini nati all’estero è riportato lo Stato estero di nascita.7.
Nella parte alta del retro della Tessera Sanitaria si trova la banda magnetica contenente le informazioni anagrafiche dell’assistito.8.
Immediatamente sotto la banda magnetica si trova il Codice Fiscale (barcode).9.
A destra del Codice Fiscale in formato "barcode" si trova la sigla di identificazione dello Stato che rilascia la TesseraEsempi di falso documentale
56
Risultato: NON VALIDO
Motivo: Il documento di identità
presentato per il riconoscimento non può riportare scritte aggiuntive o stampe non conformi.
Inoltre non si accettano duplicati invece del documento originale (no fotocopie).
Risultato: NON VALIDO
Motivo: Non possono essere accettati documenti recanti
correzioni apportate manualmente.
Un documento come quello in figura non è ritenuto un documento di
riconoscimento in corso di validità.
Esempi di falso documentale
57
Risultato: NON VALIDO
Motivo: la firma autografa sui documenti di identità non può essere in stampatello
Risultato: NON VALIDO
Motivo: Una carta d'identità senza timbri ad inchiostro od a
rilievo chiaramente visibili e posti nelle giuste posizioni non
è da considerarsi un documento valido.
Documento non valido
58
Risultato: NON VALIDO
Motivo: Carta di identità non integra o usurata.
Attenzione ai dettagli
59
Risultato: VALIDO
Motivo: Anche se le carte d'identità più moderne presentano la foto incollata sulla superficie del documento protetta da una sottile pellicola di plastica trasparente, può capitare che alcuni documenti rilasciati da comuni più piccoli o periferici presentino la fotografia allegata tramite
“graffettatura".
Il documento risulta valido, ma è necessario assicurarsi che non si tratti di un falso.
Verifiche che si possono effettuare:
•
controllare che non si tratti di un documento rubato
•
controllare che il timbro
parzialmente sovrapposto alla
fotografia sia visibile, valido e non
contraffatto
CNS e Firma Digitale
Carta Nazionale dei Servizi e Firma Digitale
61
Tutti i dispositivi (Smart Card e Token Wireless) prodotti presso gli uffici RA contengono 2 tipi di certificati:
Certificato di Autenticazione - Carta Nazionale dei Servizi - CNS (accesso a servizi online, portali)
Certificato di Sottoscrizione - Firma digitale (firma di documenti)
Tipologie di firma elettronica
62
Firma Elettronica Qualificata (FEQ) Qualified Electronic Signature (QES) Firma Elettronica Avanzata (FEA) Advanced Electronic Signature (AES) Firma Elettronica (FE)
Electronic Signature (ES)
Tipologie di firma elettronica
63
Caratteristiche delle firme elettroniche
64
La firma elettronica qualificata
65
I certificati di sottoscrizione presenti all’interno dei dispositivi
erogati dalle Camere di Commercio
permettono di effettuare una firma elettronica qualificata, con lo stesso valore di una firma autografa.La firma digitale è un particolare tipo di firma elettronica qualificata che trova la propria disciplina solo e soltanto nell’ordinamento italiano (definita dal CAD - art.1, lett. S).
La firma elettronica qualificata (regolamenta da Eidas, art.3, n. 12) si basa su “un sistema di chiavi crittografate che consente [...] di rendere manifesta, di verificare la provenienza e l’integrità di un documento informatico o di un insieme di essi”.
La firma elettronica qualificata
66
La firma elettronica qualificata (FEQ) è il risultato di una procedura informatica, detta
validazione, che garantisce l’autenticità, l’integrità e il non ripudio dei documenti informatici.
Possono dotarsi di FEQ tutte le persone fisiche: cittadini, amministratori e dipendenti di società e pubbliche amministrazioni.
Per la generazione della firma elettronica qualificata, sono necessari alcuni requisiti:
- elevati livelli di sicurezza dei dispositivi
- conformità al processo di certificazione prescritto a livello comunitario
- il processo di valutazione e certificazione, in Italia, è svolto dall’OCSI*
- l’Agid valuta la conformità del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma
- essere in linea con le norme per la valutazione di sicurezza dei dispositivi come da decisione della Commissione europea 2016/650
- collegare la data e l’ora ai dati in modo da escludere la possibilità di modifiche non rilevabili dei dati
EIDAS, articoli 30 e 42
Firma Digitale
67
È un particolare tipo di firma elettronica qualificata basato su un sistema di chiavi crittografiche
asimmetriche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico.
La firma digitale è basata sulla crittografia a chiave pubblica asimmetrica e si è ormai affermata come principale strumento in grado, allo stato attuale della tecnologia, di assicurare l'integrità e la provenienza dei documenti informatici, e quindi di svolgere per questi la funzione che nei documenti tradizionali è
assolta dalla firma autografa.
.
Firma Digitale
68
Ogni soggetto possiede 2 chiavi personali:
✔ la pubblica KPub (nota a tutti)
✔ la segreta KPriv (nota solo al soggetto)
La chiave pubblica serve per cifrare (integrità e riservatezza), La chiave privata per firmare (autenticità e non ripudio)
La firma digitale utilizza l’algoritmo RSA (da Ronald Rivest, Adi Shamir e Leonard Adleman) che è il primo sistema di crittografia a chiavi pubbliche ed è anche quello attualmente più diffuso ed utilizzato.
Può essere usato sia per cifrare sia per firmare digitalmente documenti. È considerato sicuro se sono
usate chiavi abbastanza lunghe (almeno 1024 bit)
Firma Digitale
69
La PKI (Public Key Infrastructure) è un'infrastruttura di sicurezza costituita da protocolli e servizi, per il supporto di applicazioni basate su crittografia a chiave pubblica. La PKI tramite l’utilizzo dei certificati digitali, consente di soddisfare i seguenti requisiti:
- Autenticazione: garantisce l'identità di un titolare.
- Confidenzialità: garantisce che solo il destinatario di un messaggio o di un documento possa leggerne il contenuto.
- Integrità: garantisce che l’informazione non sia stata alterata nella trasmissione o nell’archiviazione.
- Non ripudio: garantisce che i partecipanti ad una transazione non possano negare di averla eseguita: il mittente di un
messaggio non può negare di averlo spedito e chi lo riceve non può negare di averlo ricevuto
I certificati presenti nei dispositivi di firma digitale qualificata
70
I formati di firma elettronica qualificata / firma digitale
71
CMS – Certificate Management System
e abilitazione
CMS le novità – Abilitazione IR/RAO
73
Ogni operatore IR registrato sul sistema deve aver conseguito uno o più corsi di abilitazione
per poter operare secondo l’incarico assegnatogli. Il mancato rinnovo periodico di tale conseguimento
potrà determinare l’impossibilità, da parte dell’operatore stesso, ad accedere alle funzioni relative al suo ruolo nell’ufficio di appartenenza.
All’atto dell’autenticazione dell’operatore, il CMS verifica se tutti i corsi che egli ha conseguito risultano ancora rientrare nel periodo di validità specificato per gli stessi.
In caso di scadenza di uno dei corsi e del mancato rinnovo dello stesso, il sistema negherà
l’accesso all’operatore ed egli dovrà quindi necessariamente rinnovare la certificazione, prima di poter accedere di nuovo alle funzioni per le quali è incaricato.
Verrà predisposto un sistema automatico di avvisi tramite e-mail agli operatori riguardo la scadenza prossima
dei propri corsi. Tali avvisi verranno inviati con sufficiente anticipo, in maniera tale da consentire all’operatore di
sostenere nuovamente il corso interessato.
CMS le novità – Corso e-learning IR
74
Il corso e-learning sarà fruibile dal personale IR camerale dalla seguente piattaforma
https://cciaa-elearning.infocamere.it/ dove accederà con le proprie credenziali. User e password verranno
ricevute via e-mail (user Codice Fiscale, password provvisoria da modificare al primo accesso).
CMS le novità – Corso e-learning IR contenuti
75
Test finale di verifica (25 domande)
Al superamento del test con il 92%
delle risposte corrette si otterrà il certificato di IR
1
2
3
Modulo teorico e modulo pratico
CMS le novità Abilitazione IR
76
77
Corso di abilitazione IR al CMS
CMS – Certificate Management System
CMS requisiti e accesso
79
Collegarsi alla homepage del sistema, dopo aver inserito il proprio dispositivo (token o smart card) e il relativo PIN.
Il sistema verifica:
- validità del certificato di autenticazione - corretto inserimento PIN dispositivo - codice fiscale censito nel CMS
- validità Corso di abilitazione
per l'accesso al sistema
CMS requisiti e accesso
80
L’operatore che effettua l’accesso al CMS, può verificare consultando il menù a tendina in corrispondenza del proprio nome:
• QUALIFICA: addetto IR
• UFFICIO: sede di competenza della CCIAA di riferimento
• ULTIMO ACCESSO alla piattaforma
• ULTIMO CORSO: per la verifica del
conseguimento del corso di formazione utile allo svolgimento dell’attività di IR.
Ogni corso ha una data di scadenza dopo la
quale non sarà possibile, in caso di mancato
aggiornamento, accedere alla piattaforma.
Inserimento richiesta – dati anagrafici
81
CODICE FISCALE
Inserire il codice fiscale del Richiedente e cliccare sul tasto «Ricerca». Se l’anagrafica risulta presente nell’archivio CMS o nel
Registro Imprese, è possibile importare i dati, effettuando i dovuti controlli su
anagrafica e residenza.
Se, cliccando su «Ricerca» la piattaforma restituisce il messaggio «Nessun dato disponibile nel Registro Imprese né nell'archivio CMS», l’operatore dovrà
proseguire con l’inserimento manuale dei dati richiesti.
PROVINCIA NASCITA, COMUNE NASCITA In caso di provincia e/o comune soppresso o in caso di nascita in Stato estero indicare nel campo provincia «Non rilevabile (NR)»
e digitare il comune di nascita.
Inserimento richiesta– residenza e documento di riconoscimento
82
RESIDENZA
la residenza può essere autocertificata dal Richiedente.
DOCUMENTO DI RICONOSCIMENTO
La piattaforma prevede come documento valido al fine del riconoscimento:
- Carta d’identità (rilasciata da Autorità italiana) - Patente di guida (rilasciata da Autorità italiana)
- Passaporto (rilasciata anche da Autorità Internazionale)
I documenti dovranno essere esibiti dal
Richiedente in originale. L’operatore IR
dovrà poi provvedere all’acquisizione e al
caricamento del documento sul CMS
Inserimento richiesta – verifica documentale
83
Tramite il sito del Ministero dell’Interno si può verificare l’attendibilità dei documenti
di riconoscimento forniti dal Richiedente
https://www.crimnet.dcpc.interno.gov.it/crimnet/ricerca-documenti-rubati-smarriti
I documenti dovranno essere esibiti dal
Richiedente in originale. L’operatore IR
dovrà poi provvedere all’acquisizione e al
caricamento del documento sul CMS.
Inserimento richiesta– certificato di ruolo
84
Il termine Ruolo indica
genericamente il Titolo e/o Abilitazione professionale in possesso del Soggetto, ovvero l’eventuale Potere di rappresentare persone fisiche o enti di diritto
privato o pubblico, ovvero
l’Appartenenza a detti enti nonché l’Esercizio di funzioni pubbliche.
La richiesta di certificati con l'indicazione del Ruolo e/o
dell'Organizzazione può provenire solo da organizzazioni che hanno una forma giuridica definita.
I documenti dovranno essere esibiti dal Richiedente in originale. L’operatore IR, dovrà poi provvedere all’acquisizione e al caricamento del documento sul CMS.
L’inserimento del Certificato di Ruolo è
possibile solo sui profili IR/RAO abilitati
Inserimento richiesta – scratch card virtuale e dispositivo
85
La scratch card è impostata di default come virtuale, verrà quindi associata automaticamente dal CMS alla richiesta e verrà inviata via email all’Utente una volta terminata la produzione del
dispositivo.
I dispositivi di rilascio saranno Smart Card e Token Digital DNA
Inserimento richiesta – recapiti
86
Nella sezione recapiti, l’indirizzo e-mail e il numero di cellulare dell’utente sono dati obbligatori. È consigliato che l’utente indichi un indirizzo email personale e non PEC.
Per passare alla schermata successiva, cliccare sul tasto «Registra».
All’indirizzo email l’utente non riceverà solo la comunicazione nei 90 giorni prima della
scadenza, ma riceverà anche il contratto di
firma one shot e il modulo di richiesta, che
firmerà in CCIAA attraverso l’OTP.
Nella seconda
schermata, troviamo il riepilogo dei dati
inseriti per la richiesta del Certificato digitale e le seguenti funzioni espresse nella barra superiore:
- MODIFICA: per
tornare alla schermata precedente
dell’anagrafica utente e modificare eventuali dati errati riportati;
- FIRMA RICHIESTA:
per procedere con la firma dei moduli in modalità totalmente dematerializzata
attraverso la firma one
shot (firma con OTP
via SMS)
Firma richiesta CNS one shot
89
Nella schermata, l’operatore potrà consultare:
- Preview Documento contenente il modulo di richiesta CNS
- Preview Richiesta OneShot contenente la richiesta di attivazione, registrazione e
certificazione della Firma Digitale
“One-Shot” utilizzata dall’utente per sottoscrivere il modulo.
Tali moduli verranno inviati
automaticamente dalla piattaforma all’indirizzo email registrato, sia per presa visione prima della firma, sia in seguito alla firma operatore.
Mostrare sempre la preview dei documenti al
Richiedente ( pc o smartphone) per verificare
i dati inseriti e per mostrare effettivamente
cosa sta firmando
Nuovo riconoscimento – Firma richiesta CNS one shot
90
Per proseguire nella firma inserire il numero di cellulare dell’utente (che deve esserne fisicamente in possesso al momento della richiesta) e cliccare su «Richiedi One Shot».
L’utente riceve un SMS con il codice otp di 6 cifre da inserire nella casella «codice otp». Cliccare su «Invia OTP Code». Il codice otp ha durata di 60 minuti.
Se il processo è eseguito correttamente il sistema restituirà il messaggio «Operazione completata
con successo». Cliccare sul tasto «Chiudi» per proseguire.
Firma richiesta CNS one shot
91
IMPORTANTE: in seguito all’inserimento del numero di cellulare dell’utente e cliccando su «Richiedi One Shot» e prima di inserire l’OTP ricevuto e cliccare su «Invia OTP code», l’utente riceverà via mail i seguenti documenti per presa visione:
❑ Modulo di richiesta di rilascio CNS (già visionato durante la preview Documento)
❑ Modulo di firma one shot (già visionato durante la preview richiesta One Shot)
❑ Condizioni generali dei servizi di certificazione
❑ Informativa Privacy Servizi Fiduciari
❑ Istruzioni per l’utilizzo della CNS
L’utente ha modo di consultare dalla propria e-mail tali documenti prima di procedere con la firma one
shot.
Firma richiesta CNS one shot
92
93
Caricamento richiesta cartacea – procedura alternativa alla firma OneShot (1)
Laddove la procedura dematerializzata tramite firma OneShot non dovesse funzionare e l’errore è segnalato dal CMS, sarà possibile procedere con la funzione Stampa modulo.
Attenzione: la funzione Stampa modulo è utilizzabile solo se è la piattaforma CMS a non riuscire ad inviare il codice OTP per la
firma OneShot e non per altre casistiche.
94
Per procedere, cliccare sul tasto Stampa modulo (1):
In automatico verrà effettuato il download del modulo di richiesta (2):
1
2
Caricamento richiesta cartacea – procedura alternativa alla firma OneShot (2)
95
1. Cliccando su Apri, si visualizzerà il modulo di richiesta che andrà stampato (1 copia).
2. La copia cartacea dovrà essere sottoscritta con firma autografa da parte del titolare e dell’incaricato dopo aver verificato che tutti i dati inseriti sono corretti.
3. La copia sottoscritta dovrà poi essere caricata nel CMS a seguito di una scansione.
Caricamento richiesta cartacea – procedura alternativa alla firma OneShot (3)
96
1. Per effettuare l’upload nel CMS del modulo, chiudere la finestra Firma Richiesta (1), si ritornerà così ai dettagli della richiesta (2):
1
2
2. Collocarsi nella sezione Stato Archiviazione Documentale:
Caricamento richiesta cartacea – procedura alternativa alla firma OneShot (4)
97
Per effettuare l’upload nel CMS del modulo, cliccare sul tasto Carica Richiesta Cartacea e selezionare il file da caricare cliccando su Sfoglia:
Caricamento richiesta cartacea – procedura alternativa alla firma OneShot (5)
98
Dopo aver selezionato il file da caricare, cliccare su Invia Documento:
Caricamento richiesta cartacea – procedura alternativa alla firma OneShot (6)
99
Dopo aver caricato il modulo, sarà necessario approvarlo. Tornando in Stato Archiviazione Documentale, cliccare su Azioni (1) e poi sul tasto di spunta (2):
1
2
Caricamento richiesta cartacea – procedura alternativa alla firma OneShot (7)
100
Il modulo risulterà correttamente caricato e approvato e si procederà con gli step successivi previsti dalla procedura.
ATTENZIONE: la funzione Stampa modulo è utilizzabile, laddove la firma OneShot non dovesse funzionare, anche per la gestione del ciclo di vita dei certificati, per la ricevuta di consegna del dispositivo e per la richiesta della Firma
Remota.
Caricamento richiesta cartacea – procedura alternativa alla firma OneShot (8)
Archiviazione documentale dematerializzata
Firma richiesta CNS – firma operatore incaricato al riconoscimento
10 2
Dopo la firma attraverso l’OTP apposta
dall’utente, l’operatore IR deve controfirmare il Modulo di richiesta CNS, che arriverà via email all’utente.
Per firmare il documento:
1. Cliccare su «Stato Archiviazione Documentale»
2. Aprire il dettaglio della richiesta tramite tasto
«+»
3. Cliccare sulla penna per proseguire con la firma online dell’operatore
4. Inserire il PIN del proprio dispositivo di firma (con il quale si sta operando sul portale CMS) e cliccare su «Firma digitalmente».
Se la richiesta è firmata correttamente, ad operazione completata cliccare sul tasto
«Ritorna alla Richiesta».
1
2
3
4
Firma richiesta CNS – firma operatore incaricato al riconoscimento
10 3
Conclusa l’operazione di firma
dell’incaricato al riconoscimento, il richiedente riceverà una email con i
documenti firmati (Modulo di richiesta di
rilascio CNS e Modulo di firma one shot).
Archiviazione documentale
10 4
Sia con richiesta tramite firma OTP, sia con richiesta cartacea, è necessario proseguire con il caricamento del documento acquisito tramite scansione (bianco e nero/colori, non superando la grandezza di 1MB) e l’approvazione dello stesso tramite apposito tasto.
Procedere nel seguente modo:
1. Cliccare su «Stato Archiviazione Documentale»
2. Cliccare sul tasto di Upload
3. Selezionare il file dalla cartella presente sul proprio PC attraverso il tasto Sfoglia e cliccare su «Invia documento»
4. Tornare nella sezione Stato archiviazione documentale e cliccare in corrispondenza delle azioni sul tasto «+»
Verificare e Approvare il documento tramite il tasto
Verifica validità documento CRIMNET
1
2
3
4
Archiviazione documentale
10 5
La stessa operazione va effettuata se viene
richiesto un dispositivo con il certificato di
ruolo. Allegare ad esempio il tesserino
dell’Albo di appartenenza
106
Imposta passphrase
Conclusa la gestione dei documenti, l’Operatore deve cliccare su «Imposta Passphrase».
L’Utente, a questo punto, deve scegliere ed inserire nel riquadro una stringa di almeno 8 e massimo 16 caratteri (tra quelli
consentiti dalla piattaforma: a-z; A-Z; 0-9; \ /@#§), che utilizzerà come password per accedere ai segreti contenuti nella
scratchcard virtuale.
Una volta inserita la password e
confermata, cliccare su «Imposta Password
Sblocco PDF».
108
Pagamento con InfoCamere
Dopo l’APPROVAZIONE della richiesta da parte dell’addetto RAO, ci sarà l’assegnazione della
scratch card virtuale e il
RAO procederà con la
PRODUZIONE del
dispositivo.
110
Ricevuta
Tornato in ufficio con i dispositivi prodotti presso la CCIAA di
competenza, l’IR dovrà
necessariamente tornare al riepilogo della richiesta per ogni dispositivo prodotto e cliccare su Stampa Ricevuta in presenza del titolare.
Quest’ultimo dovrà necessariamente
eseguire una firma one shot su tale
ricevuta, pena la revoca, da parte della
CCIAA, dei certificati all’interno del
dispositivo.
Rinnovo e Ciclo di Vita dei Certificati
112
Rinnovo dei certificati
id.infocamere.it
113
![Colorimetric response to anions by a "robust" copper(II) complex of a [9]aneN3 pendant arm derivative: CN- and I- selective sensing](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==)