SCHEDA ILLUSTRATIVA DELLE CARATTERISTICHE TECNICHE DEL SISTEMA DI FIRMA ELETTRONICA AVANZATA (“FEA”) E DELLE TECNOLOGIE UTILIZZATE

ai sensi degli artt. 56 e 57, lett. e) del Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013 (“Regole Tecniche”)

Il servizio FEA è attuato da ICAR nel rispetto delle vigenti disposizioni in materia. SI riportano di seguito le caratteristiche tecniche del servizio.

1. La descrizione delle caratteristiche del sistema che garantiscono l’identificazione del firmatario.
   ICAR, per mezzo di un ente di vendita autorizzato, identifica in modo certo il firmatario richiedendo il relativo documento d’identità (in corso di validità), di cui acquisisce copia in fase di adesione al Servizio FEA. La copia del documento d’identità ed il modulo di adesione al Servizio FEA sottoscritto dal firmatario sono conservati per 20 anni, in conformità alla vigente normativa.
2. La descrizione delle caratteristiche del sistema che garantiscono la connessione univoca della firma al firmatario.
   L’univocità della connessione della firma al firmatario, viene garantita dalla sottoscrizione effettuata previo riconoscimento del firmatario mediante documento d’identità in corso di validità, nonché dall’utilizzo da parte di quest’ultimo di un numero di cellulare riferito ad una SIM card di cui dichiara di avere, in quel momento e per tutto l’arco temporale del processo di sottoscrizione, piena ed esclusiva disponibilità. Sul numero di cellulare riferito il firmatario riceve la OTP (One Time Password) che poi manualmente digita all’interno dello specifico spazio dedicato per la sottoscrizione del documento. Le informazioni raccolte dal sistema durante la transazione sono inserite all’interno di ogni firma e collegano in maniera univoca quella firma al firmatario. Il sistema certifica che il numero dichiarato come proprio dall’utente è stato destinatario del SMS contenente la OTP relativa a quella transazione e a quel specifico documento.
3. La descrizione delle caratteristiche del sistema che garantiscono il controllo esclusivo del firmatario sul sistema di generazione della firma.
   Durante la fase di firma, il sistema è nella piena ed esclusiva disponibilità nonché sotto il controllo esclusivo del firmatario, il quale, prima di apporre la propria firma, può consultare sul dispositivo dell’ente di vendita il “documento informatico” per controllarne direttamente i contenuti: tale documento ripropone integralmente le caratteristiche delle corrispondenti versioni documentali cartacee. Il firmatario ha la possibilità di verificare personalmente i propri dati ed ogni dettaglio contrattuale, procede quindi in autonomia alla lettura delle clausole ed alla selezione dei relativi campi di firma sui quali è chiamato ad esprimere manualmente (processo di “point and click”) la propria volontà di sottoscrizione. Conclusa tale fase visualizza una schermata recante il nome del firmatario, il suo numero di cellulare, il riepilogo di tutti i campi per la sottoscrizione da lui selezionati, nonché la richiesta di confermare quanto indicato. Dopo la conferma, al numero di cellulare indicato nella sua piena ed esclusiva disponibilità, riceverà dalla Certification Authority un SMS contenente una password avente durata temporale limitata (OTP, “one time password”), sotto forma di codice numerico che il firmatario dovrà inserire nella piattaforma per procedere alla apposizione della firma elettronica. La Certification Authority, riconosciute e validate le informazioni (numero di cellulare e OTP), provvede ad informare il sistema dell’avvenuta manifestazione di volontà di sottoscrizione da parte del firmatario (processo di “strong authentication” e sottoscrizione). Le operazioni sopra descritte e l’esito della transazione con la Certification Authority sono quindi inserite all’interno del documento stesso e automaticamente criptate.
4. La descrizione delle caratteristiche del sistema che garantiscono di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma.
   Al termine della sottoscrizione, il documento informatico viene marcato temporale (“time stamping”), processo consistente nella generazione da parte della Certification Authority di una firma digitale del documento (aggiuntiva rispetto a quella del sottoscrittore) cui è associata l’informazione relativa ad una data e ad un’ora certa. La coppia di chiavi utilizzata per la validazione temporale è di lunghezza pari a 2048 bit e viene associata in maniera univoca al sistema di validazione temporale al momento della generazione.
   La tecnologia di firma digitale applicata include l’impronta informatica (“hash”) del contenuto soggetto a sottoscrizione. Il controllo della corrispondenza tra un’impronta ricalcolata e quella “sigillata” all’interno delle firme permette di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma. Questo consente di rilevare ogni possibile alterazione o modifica effettuata al predetto documento informatico sottoscritto dal firmatario. Il Cliente ha sempre la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma; presso AgID all’ URL http://www.agid.gov.it/identita-digitali/firme-elettroniche/software-verifica sono disponibili software gratuiti per effettuare tale verifica.
   I documenti così generati vengono infine archiviati da ICAR secondo le norme di conservazione dei documenti (conservazione sostitutiva) previsti all’interno del Codice dell’Amministrazione Digitale(“CAD”).
5. La descrizione delle caratteristiche del sistema che garantiscono la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto.
   All’atto della presentazione del documento per la sottoscrizione, il firmatario può visualizzare il contenuto in tutte le sue parti, con apposite funzioni di posizionamento. Successivamente, all’esito del processo di firma sopra descritto, il firmatario può visualizzare e conservare il documento elettronico da lui sottoscritto, che è inviato alla casella di posta elettronica comunicata dal medesimo firmatario. Il documento informatico sottoscritto sarà inoltre, se richiesto dal Cliente, reso disponibile contestualmente su supporto cartaceo.
6. La descrizione delle caratteristiche del sistema che garantiscono l’individuazione del soggetto erogatore della soluzione FEA.
   Nelle Condizioni Generali di Servizio viene espressamente indicato che è ICAR il soggetto che eroga la soluzione di FEA ai sensi dell’art 55, comma 2, lett. a), delle “Regole Tecniche” (DPCM del 22 febbraio 2013).
7. La descrizione delle caratteristiche del sistema che garantiscono l’assenza nell’oggetto della sottoscrizione di qualunque elemento idoneo a modificarne gli atti, i fatti e i dati in esso rappresentati.
   I documenti prodotti dal sistema utilizzano esclusivamente formati atti a garantire l’assenza, nell’oggetto della sottoscrizione, di qualunque elemento idoneo a modificare gli atti, i fatti e i dati in essi rappresentati. I documenti sono esclusivamente in formato standard ISO PDF/A (non contenente script, macro, campi da riempire od altri elementi che, dopo la generazione, potrebbero alterarne il contenuto).
8. La descrizione delle caratteristiche del sistema che garantiscono la connessione univoca della firma al documento sottoscritto.
   I dati della firma, integrati con informazioni aggiuntive, vengono inseriti nel documento in una struttura dati che li unisce indissolubilmente all’impronta informatica del documento sottoscritto generata con la funzione di hash SHA-256. Questa struttura è poi protetta con opportuna tecnica crittografica, al fine di preservare la firma da ogni possibilità di estrazione o duplicazione.
9. Descrizione delle caratteristiche delle tecnologie utilizzate nel Servizio di firma elettronica avanzata.
   Il trasferimento dei dati e la loro memorizzazione è protetto con le seguenti tecnologie crittografiche:
   • nelle operazioni di firma è usato l’algoritmo RSA (Rivest-Shamir-Adleman);
   • le chiavi usate dal Certificatore per firmare i certificati hanno lunghezza almeno pari a 2048 bit;
   • la lunghezza della chiave di sottoscrizione dei titolari è pari almeno a 1024 bit.