• User

    Limitazioni firma elettronica non qualificata

    Vi espongo il mio problema. Lavorando come consulente su un Ente pubblico, succede che il presidente di questo Ente richiede la firma digitale. Il motivo è impreciso, ne ha solo bisogno per una questione legislativa. Propongo così di acquistare un kit per la firma digitale con smart card e lettore dal sito di una famosa Certification Authority Italiana.
    All'improvviso, spunta un concorrente che propone all'Ente una "Firma Elettronica" senza smart card, che viene utilizzata tramite browser attraverso un file di certificato scaricato sul computer.

    Ho spiegato il tutto all'Ente, ma il mio concorrente ha detto che la sua firma è valida a tutti gli effetti di legge, per cui non ha senso prendere quella con la smart card.

    Leggendo su wikipedia un pò di cose a riguardo, non sono comunque riuscito a capire se ci sono limitazioni nell'utilizzo della firma elettronica "non qualificata" rispetto a quella digitale (qualificata con smart card + chiave asimmetrica)

    La differenza sarebbe solo nella non ripudiabilità sancita dall'articolo 21 del D.Lgs. 82/2005 ?

    Il destinatario della firma si può accorgere che la firma apposta non è qualificata?

    Come posso quindi convincere una persona/ente/società/organizzazione che conviene di più prendere la smart card pagando, anzichè una firma elettronica gratis? C'è qualcosa che (per la legge italiana) non si può fare con la firma elettronica senza smart card?

    Grazie


  • User Attivo

    La firma digitale, per esser valida, deve esser rilasciata da un ente certificatore riconosciuto dal CNIPA. Se poi utilizza una card, una chiavetta USB, un foglietto di carta con delle chiavi a perdere, cambia poco: sono solo dettagli tecnici.
    La "firma" proposta dal tuo concorrente è fornita da un certificatore riconosciuto dal CNIPA? E' questo l'unico distinguo che conta...


  • User

    Si, la firma fornita dal mio concorrente è fornita da una C.A. riconosciuta attualmente nell'elenco dei certificatori autorizzati dal CNIPA.

    Il mio dubbio sorge solo dal fatto che sul regolamento del CNIPA (non posso incollare il link, ma potete cercarlo), si legge nel punto:

    ***12.1 Il kit di firma digitale ed i costi ***
    

    *Per poter generare firme digitali è necessario essere dotati di un dispositivo sicuro per la generazione delle firme (costituito da una smartcard o da un token USB), un lettore di smartcard (nel caso in cui non si utilizzi il token USB), un software in grado di interagire con il dispositivo per la generazione di firme digitali e per la gestione del dispositivo stesso (es. per il cambio del PIN che ne consente l?uso). *
    I costi del kit completo è variabile da certificatore a certificatore; a titolo orientativo è comunque possibile ottenere il kit completo ad un prezzo di circa 80?.