Quali sono le regole operative per firmare documenti con l’Ediw – European digital identity wallet? Il regolamento eIDAS 2.0 ha stabilito che il Portafoglio Europeo di Identità Digitale deve consentire all’utente di “firmare mediante firme elettroniche qualificate e apporre sigilli mediante sigilli elettronici qualificati”. Inoltre viene stabilito che i Portafogli Europei “offrono a tutte le persone fisiche la possibilità di firmare mediante firme elettroniche qualificate per impostazione predefinita e gratuitamente”. Tematiche descritte in modo approfondito in questo precedente articolo.
In questa sede vengono descritte appunto le regole operative per la realizzazione di quanto stabilito nel regolamento sulla base delle specifiche tecniche indicate nel documento di riferimento Architecture Reference Framework (ARF). Questo documento stabilisce tutte le regole operative per il Portafoglio Europeo e quindi anche quelle per la firma di documenti tramite il Portafoglio. La versione pubblicata al momento della scrittura di questo articolo è la 1.4 .
Cosa dice il documento ARF 1.4
Le regole sul tema, stabilite tramite requisiti puntuali sono stabilite nel paragrafo A.2.3.16 Argomento 16. Il testo integrale di queste regole è tradotto in italiano dall’autore dell’articolo. Nella traduzione è stata utilizzata la terminologia utilizzata per il testo ufficiale del regolamento, ad esempio “remote” è stato tradotto “a distanza”.
Questo il testo tratto e tradotto dal documento ARF 1.4.
Breve descrizione
Un’istanza di portafoglio DEVE consentire al suo utente di creare firme o sigilli elettronici qualificati. Questo obiettivo può essere raggiunto utilizzando le capacità di creazione di firme o sigilli dell’istanza di portafoglio come parte di un Dispositivo per la Creazione di una Firma Qualificata (QSCD) locale o utilizzando un QSCD remoto gestito da un Prestatore di Servizi Fiduciari Qualificato (QTSP).
Questo argomento contiene requisiti di alto livello relativi alla creazione di firme elettroniche qualificate utilizzando un’istanza di Portafoglio Europeo di Identità Digitale.
Requisiti di alto livello
A. Requisiti per i fornitori di portafogli
| Indice | Specifiche dei requisiti |
| QES_01 | I fornitori di Portafogli Devono garantire che ogni Utente abbia la possibilità di ricevere un Certificato Qualificato per la Firma Elettronica Qualificata legato a un Prestatore di Servizi Fiduciari Qualificato. I Fornitori di Portafoglio DEVONO garantire che ogni Utente abbia accesso gratuito a un’Applicazione di Creazione di Firme che consenta la creazione gratuita di Firme Elettroniche Qualificate su qualsiasi dato. I Fornitori di Portafoglio DEVONO garantire che: |
| QES_02 | L’applicazione per la creazione di firme DEVE essere in grado almeno di firmare i dati forniti dall’utente.L’applicazione di creazione della firma DEVE essere realizzata come parte di una soluzione di Portafoglio Europeo di Identità Digitale o esterna ad essa.L’applicazione di creazione delle firme DEVE essere in grado di generare firme in formati conformi a QES_08 e QES_12. |
| Note: | |
| Signature Creation Application: (SCA): vedi definizione nella specifica ETSI TS 119 432.Se la SCA è esterna alla Soluzione di Portafoglio, può essere ad esempio un’applicazione mobile separata, essere ospitata in remoto, ad esempio dal Prestatore di Servizi Fiduciari Qualificato o da una Parte Facente Affidamento sulla certificazione. | |
| QES_03 | Per l’utilizzo del certificato qualificato di cui a QES_01, i fornitori di portafoglio DEVONO realizzare nella soluzione di portafoglio funzionalità di autenticazione sicura e di invocazione di firma/sigillo, sia come parte di un QSCD locale esterno alla soluzione di portafoglio, sia come parte di un QSCD remoto gestito da un QTSP. |
| QES_04 | I fornitori di portafogli DEVONO consentire alle loro istanze di portafogli di interfacciarsi con i QSCD utilizzando i protocolli e le interfacce necessarie per l’implementazione dell’autenticazione sicura e della funzionalità di firma o sigillo. QSCD |
| QES_05 | I fornitori di portafogli DEVONO consentire alle loro istanze di portafogli di essere utilizzate per l’iscrizione degli utenti a un fornitore di QES remoto (ossia un QTSP che offre QES remoto). I fornitori di portafoglio DEVONO garantire che la loro soluzione di portafoglio supporti almeno una delle seguenti opzioni per la creazione di firme QES remote: |
| QES_06 | creazione di firme elettroniche qualificate (QES) a distanza attraverso l’autenticazione sicura a un portale web di firma di un QTSP. creazione di QES a distanza incanalate dall’istanza Portafoglio. creazione di QES a distanza incanalate da una Parte Facente Affidamento sulla certificazione. |
| QES_07 | I fornitori di portafogli DEVONO garantire che un’applicazione di creazione di firme integrata nella loro soluzione di portafogli supporti la specifica del Cloud Signature Consortium, [CSC]. I fornitori di portafogli DEVONO garantire che le loro istanze di portafogli siano in grado di firmare documenti basati sui seguenti formati di firma, utilizzando un componente interno o esterno della Signature Creation Application (SCA). |
| QES_08 | PAdES (PDF Advanced Electronic Signature) come specificato in ETSI EN 319 142-1, XAdES (XML Advanced Electronic Signature) come specificato in ETSI EN 319 132-1, JAdES (JSON Advanced Electronic Signature) come specificato in ETSI TS 119 182-1, CAdES (CMS Advanced Electronic Signature) come specificato in ETSI EN 319 122-1, ASiC (Associated Signature Container) come specificato in ETSI EN 319 162-1. |
| QES_09 | I fornitori di portafogli DEVONO garantire che se un’istanza di portafogli agisce come applicazione di creazione della firma, supporta almeno uno dei formati di firma menzionati in QES_08. |
| QES_10 | I fornitori di portafoglio DOVREBBERO garantire che un’istanza di portafoglio presenti all’utente il documento o i dati da firmare. |
| QES_11 | I fornitori di portafoglio DEVONO garantire che un’istanza di portafoglio sia in grado di calcolare l’hash o il digest del documento o dei dati da firmare attraverso un componente applicativo di creazione della firma interno o esterno all’istanza di portafoglio, utilizzando gli standard pertinenti. |
| QES_12 | I fornitori di portafoglio DEVONO garantire che un’istanza di portafoglio sia in grado di creare il valore di firma del documento o dei dati da firmare utilizzando un’applicazione di firma locale o remota. |
| Nota: un’applicazione di firma locale è on-device. Può essere incorporata nell’istanza di portafoglio o essere un’applicazione esterna. | |
| QES_13 | I Fornitori del Portafoglio DEVONO garantire che un’istanza di portafoglio fornisca un registro delle transazioni delle firme elettroniche qualificate generate dall’istanza di portafoglio, consentendo all’utente di visualizzare la cronologia dei dati o dei documenti precedentemente firmati. |
| QES_14 | I Fornitori di Portafoglio DEVONO garantire che gli Utenti siano in grado di dare o rifiutare il consenso alla creazione di una firma elettronica qualificata attraverso la loro Istanza di Portafoglio. |
| QES_15 | I Fornitori di Portafoglio DEVONO garantire che un’istanza di Portafoglio possa verificare la registrazione dei fornitori di servizi fiduciari qualificati che forniscono servizi di firma (in scenari di creazione di firme remote). |
| QES_16 | I Fornitori di Portafoglio DOVREBBERO garantire che un’istanza di Portafoglio supporti scenari di firma multipla in cui più firmatari sono tenuti a firmare lo stesso documento o gli stessi dati. |
| QES_17 | I Fornitori di Portafoglio DEVONO garantire che i Portafogli forniscano una conferma della creazione della firma al momento della creazione di una firma elettronica qualificata, informando l’utente del Portafoglio Europeo sull’esito del processo di creazione della firma. |
| QES_18 | I Fornitori di Portafoglio DEVONO fornire agli utenti almeno un servizio di firma qualificata predefinito, supportato da un fornitore di servizi fiduciari qualificato (QTSP) che offra un servizio di firma qualificata. |
| B. Requisiti per i QTSP | |
| Indice | Specifiche dei requisiti |
| QES_23 | I fornitori di portafogli DEVONO assicurarsi che il QTSP che fornisce la parte QES remota della soluzione di portafoglio EUDI supporti: ETSI TS 119 431-1 – Firme elettroniche e infrastrutture (ESI); Requisiti di politica e sicurezza per i fornitori di servizi fiduciari; Parte 1: Componenti del servizio TSP che operano un QSCD / SCDev remoto. ETSI TS 119 431-2 – Firme elettroniche e infrastrutture (ESI); Requisiti di politica e sicurezza per i prestatori di servizi fiduciari; Parte 2: Componenti di servizio TSP che supportano la creazione di firme digitali AdES. ETSI TS 119 432 – Firme elettroniche e infrastrutture (ESI); Protocolli per la creazione di firme digitali remote e conforme ai servizi di firma remota con livello di garanzia di controllo unico (SCAL) 2 . |
| QES_24 | I Fornitori di Portafoglio DEVONO garantire che una Soluzione di Portafoglio che supporta la firma remota supporti la norma CEN EN 419 241-1 — Sistemi affidabili che supportano la firma del server – Parte 1: Requisiti generali di sicurezza del sistema |
| C. Requisiti per la Commissione | |
| Indice | Specifiche dei requisiti |
| QES_23 | I Fornitori di Portafogli DEVONO assicurarsi che il QTSP che fornisce la parte QES remota della soluzione di portafoglio EUDI supporti: ETSI TS 119 431-1 – Firme elettroniche e infrastrutture (ESI); Requisiti di politica e sicurezza per i fornitori di servizi fiduciari; Parte 1: Componenti del servizio TSP che operano un QSCD / SCDev remoto. ETSI TS 119 431-2 – Firme elettroniche e infrastrutture (ESI); Requisiti di politica e sicurezza per i prestatori di servizi fiduciari; Parte 2: Componenti di servizio TSP che supportano la creazione di firme digitali AdES. ETSI TS 119 432 – Firme elettroniche e infrastrutture (ESI); Protocolli per la creazione di firme digitali a distanza, e conforme ai servizi di firma remota con livello di garanzia di controllo unico (Sole Control Assurance Level) 2. |
| QES_24 | I Fornitori di Portafogli DEVONO garantire che una soluzione di portafogli che supporta la firma remota supporti la norma CEN EN 419 241-1 — Sistemi affidabili che supportano la firma del server – Parte 1: Requisiti Generali di Sicurezza del Sistema |
| QES_25 | La Commissione DEVE garantire che la specifica del Cloud Signature Consortium [CSC] sia formalmente approvata come standard europeo. |
| QES_26 | La Commissione DEVE garantire che ETSI TS 119 432 – Electronic Signatures and Infrastructures (ESI); Protocolli per la creazione di firme digitali a distanza (e altre specifiche correlate), sia aggiornato e completato in base ai requisiti tecnici del Portafoglio EUDI.” |
I punti critici
Come evidente in quanto sin qui illustrato, la parte della specifica tecnica ARF relativa alla firma di documenti con il Portafoglio Europeo di Identità Digitale presenta ancora refusi nel testo (evidentissima la numerazione ripetuta per i requisiti dal QES_23 al QES_26 e il salto dal QES_18 al QES_23).
Alcuni concetti sono poco chiari come, ad esempio nel QES_11 la citazione di hash o digest che dovrebbero essere la stessa cosa, almeno in base alla diffusa letteratura scientifica (funzione di hash mediante la quale si calcola il digest ovvero l’impronta del documento).
La regola che sembra imporre da parte della Commissione l’approvazione di alcune specifiche tecniche agli Enti di standardizzazione non è conforme alle regole di redazione e approvazione degli standard. Faranno chiarezza le risposte ai commenti presentati in inchiesta pubblica.
Conclusione
Trattandosi di una versione non definitiva si ha ragionevole certezza che queste imperfezioni siano risolte nella versione finale che poi sarà la base per gli standard di riferimento relativi al Portafoglio Europeo.
L’entrata in vigore degli Atti di Esecuzione della Commissione sarà il passaggio conclusivo sul tema della procedura stabilita nel regolamento 2024/1183.
