1. Introduzione al documento

1.1 Scopo e campo di applicazione
Il presente documento contiene tutte le informazioni obbligatorie, di tipo tecnico e organizzativo, per consentire la piena aderenza alle regole tecniche di firma elettronica avanzata.

Il documento è rivolto ad un utilizzo combinato con il documento “Modulo di adesione al servizio di FEA OTP” (di seguito anche Modulo di Adesione FEA) e rappresenta il documento riassuntivo delle caratteristiche tecniche del servizio di firma elettronica.

1.2 Riferimenti normativi e tecnici

Riferimenti normativi
[1] Regolamento Europeo n.910/2014 (eIDAS) in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE;
[2] Decreto Legislativo 7 marzo 2005, n. 82 (GU n. 112 del 16 maggio 2005) – Codice dell’Amministrazione Digitale e successive modifiche e integrazioni, di seguito referenziato come CAD;
[3] Decreto del Presidente del Consiglio dei Ministri 22 febbraio 2013 (GU n.117 del 21 maggio 2013) – Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71;
[4] Decreto del Presidente del Consiglio dei Ministri 13 novembre 2014 (GU n.8 del 12 gennaio 2015) – Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23 -bis, 23 -ter, 40, comma 1, 41, e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005;
[5] Decreto del Presidente del Consiglio dei Ministri 3 dicembre 2013 (GU n.59 del 12 marzo 2014) – Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44 , 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005.
[6] Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (GU n. 42 del 20 febbraio 2001) – Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa.

1.3 Definizioni
Vengono di seguito elencate le definizioni utilizzate nella stesura del presente documento. Per i termini definiti dal CAD e dal DPCM si rimanda alle definizioni in essi stabilite.

 

TermineDefinizione
Certificato di firma elettronicaUn attestato elettronico che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona.
Certificato qualificato di firma elettronicaUn certificato di firma elettronica che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I del Regolamento eIDAS.
Chiave privataL’elemento della coppia di chiavi asimmetriche, utilizzato dal Firmatario, mediante la quale si appone la firma elettronica sul documento informatico.
Chiave pubblicaL’elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma elettronica apposta sul documento informatico dal Firmatario.
ConvalidaIl processo di verifica e conferma della validità di una firma.
ConservazioneProcesso di archiviazione sicura a lungo termine di documenti informatici o copie per immagine di documenti analogici, che ne assicura l’integrità, la sicurezza, l’immodificabilità, la disponibilità e il mantenimento del valore legale.
Dati di convalidaDati utilizzati per convalidare una firma elettronica.
Dati di identificazione personaleUn insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica.
Dati per la creazione di una firma elettronicaI dati unici utilizzati dal Firmatario per creare una firma elettronica.
Dispositivo per la creazione di una firma elettronicaUn software o hardware configurato utilizzato per creare una firma elettronica.
Documento elettronicoQualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva.
ErogatoreSoggetto che eroga un servizio di Firma Elettronica Avanzata a norma dell’art. 55 del DPCM 22 febbraio 2013.
Firma automaticaParticolare procedura informatica di firma elettronica eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo.
Firma digitaleUn particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al Firmatario tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Firma elettronicaDati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal Firmatario per firmare.
Firma elettronica avanzataUna firma elettronica che soddisfi i requisiti di cui all’articolo 26 del Regolamento eIDAS.
Firma elettronica qualificataUna firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche.
FirmatarioUna persona fisica che crea una firma elettronica.
Hash/ImprontaLa sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l’applicazione a una evidenza informatica di una opportuna funzione di hash.
Funzione di hashUna funzione matematica che genera, a partire da una evidenza informatica, una impronta in modo tale che risulti di fatto impossibile, a partire da questa, ricostruire l’evidenza informatica originaria e generare impronte uguali a partire da evidenze informatiche differenti.
Identificazione elettronicaIl processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica.
Mezzi di identificazione elettronicaUn’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online.
Modulo di adesioneDocumento contrattuale elaborato dal soggetto Erogatore che raccoglie i consensi del cliente in merito all’utilizzo del sistema di firma elettronica, stipulato dal cliente una tantum all’inizio del rapporto o in un momento successivo.
OTPUna One-Time Password (password usata una sola volta) è una password che è valida solo per una singola transazione. L’OTP viene generata e resa disponibile al Firmatario in un momento immediatamente antecedente all’apposizione della firma elettronica. Può essere basato su dispositivi hardware o su procedure software.
Prestatore di servizi fiduciariUna persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore di servizi fiduciari qualificato o come prestatore di servizi fiduciari non qualificato.
Prestatore di servizi fiduciari qualificatoUn prestatore di servizi fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore di servizi fiduciari qualificato.
Servizio fiduciarioUn servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi: creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure creazione, verifica e con
convalida di certificati per l’autenticazione di siti web; oppure conservazione elettronica di firme, sigilli o certificati relativi a tali servizi.

Servizio fiduciario
qualificato
Un servizio fiduciario che soddisfa i requisiti pertinenti
stabiliti nel Regolamento.

Strumento di firma
Processo per la creazione di una firma elettronica avanzata che garantisce identificazione del Firmatario, univocità tra firma e documento, nonché paternità e integrità del documento stesso.
Validazione temporale elettronica
Dati in forma elettronica che collegano altri dati in
forma elettronica a una particolare ora e data, così da
provare che questi ultimi esistevano in quel momento.
Validazione temporale
elettronica qualificata
Una validazione temporale elettronica che soddisfa i
requisiti di cui all’articolo 42 del Regolamento eIDAS.
 

2. Attori Soggetto Erogatore

È il soggetto che eroga soluzioni di Firma Elettronica Avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti che, quale oggetto dell’attività di impresa, realizzano soluzioni di firma elettronica avanzata a favore dei soggetti Erogatori.

I dati completi del soggetto Erogatore sono i seguenti:

Denominazione sociale KTS srl

Sede legale  Via Marconi, 47, 25011 Calcinato (BS)

N. di telefono +39 03 013 877 410

N. Iscrizione Registro Imprese BS 578946

N. partita IVA 03981500980

Sito web www.ktsfinance.com

2.2 Soggetto Realizzatore  

È il soggetto che, quale oggetto dell’attività d’impresa, realizza soluzioni di firma elettronica avanzata a favore dei soggetti Erogatori.

I dati completi del soggetto Realizzatore sono i seguenti:

Denominazione sociale Ikonika SRL

Sede legale Via Armando Diaz 59, 81031 Aversa (CE)

N. di telefono +39 081 01 06 156

N. partita IVA 04354060610

Sito web www.firmaotp.it

FirmaOTP è il Trust Service Provider, il soggetto terzo e fidato che emette i certificati di firma e gli altri strumenti di firma operando in conformità alle regole tecniche emanate dall’Autorità di Vigilanza e secondo quanto prescritto dal Regolamento UE N. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (referenziato anche come Regolamento eIDAS) e dal Decreto Legislativo 7 marzo 2005, n.82 (G.U. n.112 del 16 maggio 2005) – Codice dell’amministrazione digitale (referenziato anche come CAD) e ss.mm.ii.

2.3 Utente / Firmatario 

È la persona fisica che utilizza lo strumento di Firma Elettronica Avanzata al fine di perfezionare, modificare, estinguere i rapporti contrattuali con il soggetto Erogatore, e/o dar corso alle relative operazioni e/o comunicazioni.

3 Regole Generali

3.1  Obblighi del Soggetto Erogatore 

Il Soggetto Erogatore in relazione al processo di Firma Elettronica Avanzata deve garantire che:

  • Siano rispettate le regole tecniche di cui al DPCM [3];
  • Il Firmatario sia preventivamente identificato tramite un valido documento di riconoscimento;
  • Il Firmatario sia preventivamente informato in merito agli esatti termini e condizioni relative all’uso del servizio di FEA, compresa la limitazione dell’uso;
  • L’attivazione del servizio di FEA sia subordinata alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte del Firmatario;
  • Copia del documento di riconoscimento e la dichiarazione di cui alla lettera precedente siano conservate per almeno 20 anni, garantendone la disponibilità, integrità, leggibilità e autenticità;
  • Il Firmatario possa ottenere su richiesta e gratuitamente copia della dichiarazione e tutte le informazioni sulla soluzione al Firmatario;
  • Siano presenti tutte le informazioni definite dal DPCM [3] sul proprio sito internet, compreso il presente documento;
  • Sia reso disponibile al Firmatario, ove possibile, un servizio di revoca del consenso all’utilizzo della soluzione di Firma Elettronica Avanzata;
  • Sia fornito al Firmatario un servizio di assistenza;
  • La Firma Elettronica Avanzata sia apponibile solamente da parte del Firmatario;
  • Il Firmatario abbia la piena coscienza del documento che sta sottoscrivendo, e non sia possibile che la propria sottoscrizione possa essere apposta su un documento differente da quello visualizzato;
  • Non sia possibile riutilizzare la sottoscrizione apposta dal Firmatario su un differente documento informatico. 3.2 Obblighi del Soggetto Realizzatore Il Soggetto Realizzatore è tenuto a garantire che:
  • La soluzione tecnologica sviluppata consenta la connessione univoca della firma al Firmatario;
  • Il documento informatico non possa subire modifiche dopo l’apposizione della firma.

 

3.3 Obblighi del Firmatario

Il Firmatario è tenuto a garantire:

  • La veridicità, correttezza e la completezza dei dati personali forniti al soggetto Erogatore;
  • La consegna al soggetto Erogatore di un documento di identità in corso di validità al momento della sottoscrizione del Modulo di Adesione;
  • Di aver preso visione della documentazione descrittiva del servizio FEA prima dell’adesione al servizio.
 
3.4 Assicurazione 
Ai sensi dell’articolo 57 comma 2 il Soggetto Erogatore ha stipulato una idonea copertura assicurativa per la responsabilità civile, al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche. I massimali sono quelli previsti dal DPCM [3], ovvero un ammontare non inferiore a euro 500.000.

4 Processo di identificazione e sottoscrizione 

4.1 Identificazione del Firmatario 

Ai sensi dell’articolo 57 comma 1 lettera a) del DPCM [3], i soggetti Erogatori della soluzione di FEA devono identificare in modo certo il Firmatario tramite un valido documento di riconoscimento. L’identificazione certa del Firmatario del documento è eseguita, in presenza o da remoto, dal soggetto Erogatore che, a tal fine, può avvalersi della propria rete di agenti/collaboratori o altro personale incaricato.
L’identità del Firmatario è verificata tramite il riscontro con un documento di riconoscimento valido e non scaduto, secondo quanto previsto dall’art. 35, Decreto del Presidente della Repubblica 28 Dicembre 2000, n. 445, di cui viene acquisita copia.

 4.2 Limiti d’uso e perimetro della soluzione

Ai sensi dell’articolo 60 del DPCM [3] e come dettagliato dal Modulo di Adesione, la Firma Elettronica Avanzata è utilizzabile esclusivamente nei rapporti intercorrenti tra il Firmatario e il soggetto Erogatore.

4.3 Firma modulo di adesione 

Il Modulo di Adesione, comprendente sia la dichiarazione di adesione ai servizi di Firma Elettronica Avanzata, sia il consenso al trattamento dei dati personali, è sottoscritto dal Firmatario con firma elettronica c.d. “semplice”.

4.4 Firma della documentazione

Una volta raccolta l’adesione, l’utente potrà firmare in modalità FEA con OTP tutti i documenti proposti dal soggetto Erogatore.
La procedura di firma può essere attivata solamente dal Firmatario attraverso l’autenticazione con One Time Password.
L’OTP viene generata e resa disponibile al Firmatario in un momento immediatamente antecedente all’apposizione della firma elettronica.
I documenti firmati vengono messi a disposizione del Firmatario da parte del soggetto Erogatore.

 5 Soluzione tecnologica utilizzata FEA con OTP

5.1.1 Processo

La soluzione di Firma Elettronica Avanzata con OTP prevede i seguenti step operativi:
1. il soggetto Erogatore riconosce il Firmatario;
2. il Firmatario accetta le condizioni del servizio di Firma Elettronica Avanzata;
3. il Firmatario visualizza i contratti da sottoscrivere e ne accetta le reasons di firma;
4. il Firmatario si autentica alla procedura di Firma Elettronica Avanzata;
5. nei campi firma dei contratti viene inserita la firma con la chiave privata del certificato non qualificato di tipo OneShot rilasciato al Firmatario;
6. il documento risultante viene validato temporalmente a completamento del processo di sottoscrizione;
7. il documento risultante viene inviato in un servizio di conservazione a norma dal soggetto Erogatore, congiuntamente alle evidenze raccolte durante il processo di adesione.

 5.1.2 Caratteristiche della soluzione 

L’articolo 56 del DPCM 22.2.2013, rubricato “Caratteristiche delle soluzioni di firma elettronica avanzata”, scomponendo ed esplicitando i requisiti già contenuti nella definizione di cui all’art.26 del Regolamento Europeo n910/2014 (eIDAS) detta le caratteristiche delle soluzioni di FEA.

Di seguito si specificano le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto dai suddetti riferimenti normativi:

Requisiti (ex Art. 56 del DPCM 22/02/2013)

RequisitoDescrizione
È connessa unicamente al FirmatarioLa procedura di firma può essere attivata solamente dal Firmatario attraverso l’inserimento del valore della One Time Password ricevuta sul numero di cellulare. Il numero di cellulare è certificato dal soggetto Erogatore e legato unicamente al Firmatario durante la fase di identificazione.
È idonea a identificare il FirmatarioIl certificato di firma non qualificato contiene i dati di identificazione personale del Firmatario, raccolti dall’Erogatore in occasione della verifica dell’identità del Firmatario.
È creata mediante dati per la creazione di una firma elettronica sotto il controllo esclusivo del FirmatarioNella soluzione proposta si identificano i seguenti dati per la creazione della firma: 1) OTP inviata a mezzo SMS per l’autenticazione del Firmatario e 2) chiave privata del certificato elettronico non qualificato che può essere invocato solamente a fronte del buon esito dell’autenticazione del Firmatario.
È collegata ai dati sottoscritti per identificare ogni modificaIl ricorso a meccanismi crittografici di firma assicura l’integrità dei dati sottoscritti.
Possibilità per il Firmatario di ottenere evidenza di quanto sottoscrittoI contratti sottoscritti vengono messi a disposizione del Firmatario da parte del soggetto Erogatore.
Individuazione del soggetto ErogatoreI riferimenti al soggetto Erogatore sono indicati nel presente Manuale Operativo e nel Modulo di Adesione messi a disposizione del Firmatario.
Assenza di elementi nell’oggetto della sottoscrizione atti a modificarloI documenti oggetto della sottoscrizione sono prodotti in modo da assicurare la conformità a quanto prescritto dal Codice dell’amministrazione digitale e dal DPCM 13 novembre 2014 in materia di “formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici” (no macro e funzioni).
È connessa univocamente al documento sottoscrittoLa transazione di autenticazione del cliente con OTP e l’inserimento nel campo firma delle firme elettroniche del Firmatario rappresentano momenti unici.

6 Contatti
6.1 Informazioni sul servizio di FEA
Ogni comunicazione, richiesta di assistenza e reclamo, ivi comprese le richieste ai sensi dell’art. 57 del DPCM [3] possono essere inviate al soggetto Erogatore ai contatti indicati all’interno del Modulo di Adesione al servizio.
Il presente documento è pubblicato sul sito internet del soggetto Erogatore all’indirizzo indicato all’interno del Modulo di Adesione al servizio.

6.2 Procedura di richiesta dei documenti
Il Firmatario può ottenere in qualunque momento copia di tutta la documentazione relativa al servizio di Firma Elettronica Avanzata o con questa sottoscritta. 

In particolare, è possibile ottenere copia o duplicato:

  • del Modello di Adesione sottoscritto all’adesione al servizio;
  • del Modello di consenso al trattamento dei dati personali sottoscritto all’adesione al servizio;
  • del documento di identità allegato al modello di adesione;
  • dei documenti sottoscritti con la FEA.

I documenti vanno richiesti direttamente al soggetto Erogatore ai contatti indicati all’interno del Modulo di Adesione al servizio.