Il Signor Firmatario Bonaventura, ahimè, casca sull’obiettivo dell’interoperabilità della firma digitale in Europa.

    Trusthworthy – Convenient – Cross-Border – Seamless

    Così nel 2016 recitava l’infografica della Commissione Europea

    La frase SIGNING CONTRACT ONLINE, presente nella infografica, era ed è figlia del 3° capoverso dell’art. 25 del Regolamento eIDAS (Effetti giuridici delle firme elettroniche)

    3.   Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri.

    A.D. 2020, AgID, Agenzia per l’Italia Digitale, ribadisce il principio di interoperabilità di particolari tipologie di firme elettroniche e dei sistemi di validazione temporale note in Italia rispettivamente come firma digitale e marca temporale.

    In particolare, nell’ultimo pargrafo in fondo alla pagina “Obblighi derivanti”, sottolinea come l’obbligo di riconoscere le firme elettroniche qualificate introdotto nel Regolamento eIDAS (art. 25, comma 3) deve essere onorato, altrimenti, oltre a non consentire l’esercizio di un diritto dei cittadini dell’unione, si incorre in una procedura di infrazione. AgID esorta enti pubblici e privati a verificare che i propri sistemi di verifica delle firme elettroniche qualificate siano conformi alla normativa europea, rendendo disponibile un documento di prova sottoscritto con una firma elettronica qualificata basata su un certificato qualificato rilasciato in Irlanda.

    La chiusura non sembra lasciare spazio a dubbi sul concetto di interoperabilità:

    Tale verifica deve andare a buon fine.

    Sorge allora spontanea una domanda: ma perchè nel 2020, a quasi quattro anni dalla entrata in vigore del Regolamento eIDAS (luglio 2016), AgID sente il bisogno di ribadire il concetto della interoperabilità?

     

    Abbiamo provato a richiedere l’identità SPID attraverso una firma digitale rilasciata dal QTSP citato da AgID, TrustPro QTSP, ad alcuni degli Identity Provider presenti nell’elenco curato da AgID https://www.spid.gov.it/richiedi-spid , e questo è il risultato.

    Solo DUE SU CINQUE hanno accettato la nostra firma digitale TrustPro! Ed il bello è che gli strumenti di verifica della firma forniti dagli stessi provider non hanno dato problemi a verificare la firma come valida. Ecco il dettaglio delle nostre prove.

    Avendo già un account Aruba di tipo aziendale, in cui ho dovuto indicare il Codice Fiscale, vengo bloccato con il messaggio “Il codice fiscale inserito risulta già presente nei nostri sistemi” ed anche se voglio una identità SPID come privato/cittadino e non come Azienda/Persona Giuridica rien a faire (francesismo per indicare niente da fare)

    Richiesta la gentile collaborazione di un terzo il risultato è stato: “Impossibile procedere con il riconoscimento: la firma digitale (CAdES) non risulta valida”.

     

    Firma Valida – 0

    Firma Non Valida – 1

    Peraltro effettuando una verifica di validità con il client ArubaSign del documento pubblicato sul sito diAgID la firma digitale TrustPro risulta firma valida.

    Con Infocert ID, al momento della firma del contratto risulta impossibile continuare.
    Errore: i file caricati non appaiono essere stati firmati digitalmente con un certificato di firma digitale valido

    Anche con Infocert effettuando una verifica di validità con il client Dike del documento presentato la firma digitale TrustPro risulta firma valida.

     

    Firma Valida – 0

    Firma Non Valida – 2

    Con Intesa ID la firma del modulo di richiesta di identità SPID avviene tramite email.

    E sempre tramite email, una volta effettuate le opportune verifiche di validità da parte dello staff di Intesa, viene comunicato il buon esito della verifica e contestulamente la creazione della identità SPID.

     

    Firma Valida – 1

    Firma Non Valida – 2

    Anche con Namirial ID la firma del modulo di richiesta di identità SPID avviene tramite email così come la comunicazione di avvenuta registrazione.

    Le comunichiamo la registrazione del Servizio Namirial ID abilitato a SPID, fornito da Namirial S.p.A., a cui ha aderito attraverso l’accettazione delle relative Condizioni Contrattuali, tramite firma elettronica qualificata.

     

    Firma Valida – 2

    Firma Non Valida – 2

    TIM ID consente di effettuare il test di validità della firma prima di iniziare la procedura di identificazione.

    Il risultato è: La procedura di test per la richiesta della tua Identità Digitale non è andata a buon fine.

    Come prova del 9 effettuiamo un test di verifica con una firma digitale di un QTSP/CA italiana e il risultato è positivo: Hai terminato con successo la procedura di test per la richiesta della tua Identità Digitale.

    Firma Valida – 2

    Firma Non Valida – 3

    Rinnovando l’invito fatto ai Responsabili della Transizione al Digitale e strutture ICT da parte di Giovanni Manca nel dare seguito alla esortazione fatta da AgID di aggiornare i sistemi di verifica includendo anche i Prestatori di Servizi Fiduciari della Unione Europea, paragonando la verifica che fallisce allo sbagliare un’addizione in uno studio di meccanica quantistica (la Trasformazione Digitale), ahimé, ad oggi, non ci resta che constatare

    come è dura l’avventura del Signor Firmatario