ALLEGATO C - INFORMATIVA SUL SERVIZIO DI FIRMA ELETTRONICA AVANZATA

Caratteristiche tecniche e conformità

Il presente documento, (il “Documento”) è redatto da Archivist Srl (in seguito “Archivist”) al fine di adempiere alle prescrizioni imposte dal Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013, denominato “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2 e 71” (in seguito “DPCM”). In particolare, il Documento ha l’obiettivo di descrivere le caratteristiche del sistema di Firma Elettronica Avanzata (in seguito “FEA” o “Soluzione di FEA”) realizzato in conformità agli artt. 55 e successivi del DPCM e le soluzioni tecnologiche adottate, adempiendo dunque inter alia agli obblighi imposti dall’articolo 57 comma 1 lett. e) ed f) del DPCM. In conformità a quanto disposto dall’articolo 57 comma 1 lett. g) questo documento è pubblicato sul sito internet di Archivist.

1. Firma Elettronica Avanzata FEA

La firma elettronica avanzata è stata introdotta nel nostro ordinamento dal decreto legislativo 30 dicembre 2010, n. 235 di modifica del D. Lgs n. 82/2005, c.d. “Codice dell’Amministrazione Digitale” (in seguito “CAD”), che ha inserito una nuova definizione alla lettera q-bis) dell’articolo 1 del CAD: “insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”. L’articolo 21 comma 2 del CAD stabilisce che “il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile.” In base all’articolo 21 comma 2-bis del CAD, “le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12 del Codice Civile, se fatte con documento informatico sono sottoscritte a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13, del Codice Civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale”.

2. Soggetti della soluzione di Firma Elettronica Avanzata

Archivist, per il tramite dei propri servizi ArchiBOX e ArchiSMALL, è il soggetto che eroga la Soluzione di FEA per i propri clienti ai sensi dell’art. 55 comma 2 lettera a) ed art. 56 comma 1 lettera f), mentre itAgile Srl è il soggetto che ha realizzato la soluzione di FEA erogata da Archivist ai sensi dell’art. 55 comma 2 lettera b). Ai sensi dell’art. 60 del DPCM, i documenti firmati con la Soluzione di FEA possono essere utilizzati limitatamente ai rapporti giuridici intercorrenti tra il soggetto sottoscrittore e Archivist.

Archivist è dotata di adeguata copertura assicurativa per la responsabilità civile secondo quanto previsto dall’art. 57 comma 2 del DPCM.

.

3. Infrastruttura tecnologica di FEA

Al fine di adempiere ai requisiti imposti dal CAD e dal DPCM con riferimento alla firma elettronica avanzata, e in particolare ai requisiti imposti dall’articolo 56 del DPCM la Soluzione di FEA adottata da Archivist si avvale dell’infrastruttura tecnologica del servizio cloud di firma elettronica Qualified CoSign Cloud realizzato e gestito da ItAgile Srl. Il servizio Qualified CoSign Cloud viene usato sia per la firma elettronica qualificata (remota o automatica) come definita dall’articolo 1 comma 1 lett. r) del CAD (la “Firma Elettronica Qualificata”) sia per la soluzione di firma elettronica avanzata come definita dall’articolo 1 comma 1 lett. q-bis) del CAD ed è costituito da una infrastruttura PKI ad alta sicurezza basata sugli HSM CoSign ed ospitata nella Server Farm di Aruba. Gli HSM CoSign sono dotati di certificazione di sicurezza Common Criteria EAL4+, la Server Farm di Aruba dotata di una certificazione di sicurezza 27001 (in allegato le certificazioni). I requisiti di sicurezza soddisfatti dal servizio Qualified CoSign Cloud sono quelli richiesti dalla Firma Elettronica Qualificata. Per questo gli apparati HSM CoSign - opportunamente ridondati per assicurare la necessaria continuità di servizio - hanno la certificazione di sicurezza Common Criteria EAL4+ (il “Certificato”) e l’attestato di conformità ai requisiti di sicurezza per la firma elettronica richiesti dalla normativa europea (“Attestato”) e integrano ampiamente i requisiti di sicurezza richiesti dal DPCM per la firma elettronica avanzata. La Certificazione e l’Attestato sono stati ottenuti in Italia presso OCSI (Organismo per la Certificazione della Sicurezza Informatica presso il Ministero dello Sviluppo Economico). Al fine di garantire per la Firma Elettronica Avanzata il pieno rispetto dei requisiti di sicurezza dettati dall’art. 56 comma 1 del DPCM, sono state replicate le medesime caratteristiche tecnologiche e di sicurezza già adottate per la Firma Elettronica Qualificata.

4. Caratteristiche del sistema di FEA

Ai sensi dell’articolo 56 comma 1 del DPCM, le soluzioni di firma elettronica avanzata garantiscono:

(a) l’identificazione del firmatario del documento;

(b) la connessione univoca della firma al firmatario;

(c) il controllo esclusivo del firmatario del sistema di generazione della firma;

(d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche

dopo l’apposizione della firma;

(e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;

(f) l’individuazione del soggetto di cui all’articolo 55 comma 2 lett. a) del DCM;

(g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;

(h) la connessione univoca della firma al documento sottoscritto.

La Soluzione di FEA adottata da Archivist risponde ai requisiti imposti dall’articolo 56 del DPCM e sopra elencati, in quanto:

(i) colui che intende avvalersi della Soluzione di FEA al fine di sottoscrivere un documento con Archivist (il “Firmatario”) viene previamente identificato dal rivenditore/partner autorizzato (il “Partner Archivist”) tramite un valido documento di riconoscimento e informato dei termini e delle condizioni e limitazioni relative all’uso del servizio;

(ii) il Firmatario al fine di poter utilizzare la Soluzione di FEA è tenuto a sottoscrivere un’apposita dichiarazione di accettazione delle condizioni di utilizzo del servizio di firma elettronica avanzata;

(iii) il Firmatario può prendere visione completa dei documenti da sottoscrivere prima di procedere e durante la il processo di sottoscrizione;

(iv) al momento della sottoscrizione il sistema Qualified CoSign Cloud genera, per l’utente di firma un certificato di firma X509 valido per un tempo limitato ed invia al cellulare del firmatario un SMS contenente un codice One Time Password che il Firmatario deve riportare sull’applicazione per completare il processo di firma. Le firme generate sono di tipo PAdES;

(v) al termine delle operazioni di firma il certificato e le relative chiavi vengono cancellate dal sistema (certificato ONE SHOT). L’utilizzo del OTP tramite SMS consente di garantire il controllo esclusivo dello strumento di firma;

(vi) il servizio Qualified CoSign Cloud registra in modo formale tutte le operazioni di generazione e relativa distruzione dei certificati. Ogni giorno al file di log di queste operazioni viene apporta una marca temporale. Viene quindi garantita l’integrità e la data certa di queste registrazioni;

(vii) in conformità a quanto previsto dall’articolo 56 comma 1 lettera d) del DPCM e al fine di garantire l’integrità dei documenti informatici, in termini di non modificabilità ed inalterabilità del loro contenuto i documenti vengono sottoscritti in formato PDF. Nel caso un documento venga modificato, anche solo minimamente, all’apertura dello stesso verrà visualizzato un messaggio che indica che il documento è stato modificato in data posteriore all’apposizione della firma stessa.

Tale processo garantisce, sotto il profilo tecnico, l’integrità del documento e dunque, sotto il profilo giuridico, soddisfa il requisito dell’integrità richiesto dalle norme vigenti.

Al termine della sottoscrizione tramite FEA da parte del Cliente, i documenti sono inoltre soggetti alla sottoscrizione da parte di incaricati della Archivist tramite l'apposizione di una firma digitale.

(viii) al termine delle operazioni di firma il Firmatario potrà avere evidenza del documento sottoscritto che gli verrà inviato in formato PDF via mail all’indirizzo indicato dal Firmatario stesso.

Il Firmatario, inoltre potrà richiedere di ottenere copia cartacea del documento sottoscritto.

5. Conservazione e accesso ai documenti

Secondo quanto disposto dall’art. 57 comma 1 lettere b) e c), Archivist conserva tutta la documentazione relativa alla Soluzione di FEA per il tempo previsto dalla legge e comunque per almeno 20 anni, garantendone la disponibilità, integrità, leggibilità e autenticità. Su richiesta scritta del Firmatario, da inviare all’indirizzo email Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. oppure all’indirizzo di posta elettronica certificata (“PEC”): Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., Archivist fornisce al Firmatario: (i) la copia della dichiarazione di accettazione delle condizioni generali di utilizzo della Soluzione di FEA sottoscritta da quest’ultimo, (ii) ulteriori informazioni in merito alla polizza assicurativa sottoscritta da Archivist, e (iii) ogni altra informazione in possesso di Archivist atta a dimostrare l’ottemperanza a quanto previsto dall’articolo 56 comma 1 del DPCM.