PkBox: il Dispositivo di Firma Remota Sicuro conforme alla Direttiva Europea 1993/93/EC

PkBox ha ottenuto la certificazione come Dispositivo Sicuro di Firma (SSCD – Secure Signature Creation Device) e che può quindi essere utilizzata per la realizzazione di soluzioni di Firma Digitale Remota Qualificata con piena validità legale, ai sensi della legislazione italiana ed europea.
Ai fini della valenza legale delle operazioni di firma remota, il possesso esclusivo della credenziale e la volontà esplicita della firma devono essere garantite tramite strumenti di Strong Authentication che permettano di verificare in modo certo l'identità della persona e lo sblocco controllato dell’operazione.

La conformità di PkBox coi requisiti di un Dispositivo Sicuro di Firma in riferimento all’Allegato III della Direttiva Europea 1993/93/EC è stata rilasciata da parte dell’autorità preposta austriaca A-SIT (Austria - Secure Information Technology Center) e il certificato conferito, disponibile qui, è valido in ogni Stato membro dell’Unione Europea e dunque conforme con la normativa italiana.

La Direttiva Europea 1993/93/EC è recepita dal Codice dell'Amministrazione Digitale all’articolo 35 (Dispositivi sicuri e procedure per la generazione della firma) commi 5 e 6:

  • Comma 5: La conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall'allegato III della direttiva 1999/93/CE è accertata, in Italia, dall'Organismo di certificazione della sicurezza informatica [...]
  • Comma 6: La conformità di cui al comma 5 è inoltre riconosciuta se accertata da un organismo all'uopo designato da un altro Stato membro e notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE. 

In base al comma 6 articolo 35 del CAD la conformità di un Dispositivo Sicuro è riconosciuta se accertata da uno qualsiasi degli organi notificati. 

Il Certificato emesso da A-SIT garantisce che PkBox è conforme ai requisiti di cui all'allegato III della direttiva 1999/93/CE, come richiesto dal Comma 6 articolo 35 del Codice dell’Amministrazione Digitale.

La validità della Certificazione di A-SIT deriva dalla Direttiva Europea 99/93/CE all'articolo 3 (Accesso al Mercato) comma 4: “La conformità dei dispositivi per la creazione di una firma sicura ai requisiti di cui all'allegato III è determinata dai pertinenti organismi pubblici o privati designati dagli Stati membri. Secondo la procedura di cui all'articolo 9 la Commissione fissa i criteri in base ai quali gli Stati membri stabiliscono se un organismo può essere designato”.

Sia la Direttiva Europea che la legge che la traspone nell’ordinamento nazionale, stabiliscono che A-SIT, ente notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE è pienamente titolato a certificare la conformità di un dispositivo sicuro di firma. L’elenco degli organi notificati è disponibile qui.

Anche il Regolamento europeo n.910/2014, che dal 1 luglio 2016 abrogherà la Direttiva 99/93/CE e sostituirà le leggi nazionali in materia, prevede esplicitamente all'articolo 51 la continuità della validità delle certificazioni emesse ai sensi della Direttiva anche dopo il 1 luglio 2016.

Infine, in data 09/02/2015, AGID - ente di vigilanza sul rispetto dell'applicazione della normativa in materia - ha ritenuto autonomamente di procedere ad informare i principali attori di mercato (Autorità di Certificazione in primis) della disponibilità della soluzione PkBox 3.0 come sistema di firma certificato e pienamente utilizzabile in Italia.

Si segnala infine che la soluzione di Firma Remota di Intesi Group è la prima al mondo ad avere ottenuto la certificazione IdenTrust.

Strong Authentication

La normativa Italiana non indica con precisione le tecnologie di autenticazione per la realizzazione di soluzioni di firma remota. Va adottata una soluzione sicura e affidabile, eventualmente considerando il parere autorevole degli enti qualificati a validare e "autocertificare" l'aderenza delle infrastrutture di firma ai requisiti normativi, le Certification Authority.
Leggi tutto

Configurazioni

PkBox è un prodotto altamente flessibile e può essere configurato in modo da soddisfare pienamente i requisiti del cliente, sia in termini di capacita di carico e di credenziali, sia per quanto riguarda l'architettura complessiva del sistema.
Leggi tutto

Registration Authority ed Enrollment dei certificati

Indipendentemente dal dispositivo crittografico adottato, nel caso in cui si desideri che le firme apposte abbiano valenza legale, occorre che il processo di emissione dei certificati rispetti la normativa e segua le regole stabilite dalla Certification Authority qualificata a cui si richiedono i certificati stessi.
Leggi tutto

Configurazione In House

Combinando le opzioni indicate, la configurazione standard di riferimento per la gestione di firme remote è la seguente.
Leggi tutto

Configurazione In Service

L'architettura a tre livelli può essere proficuamente sfruttata per realizzare soluzioni di firma remota in cui si offre un servizio di custodia delle credenziali e di firma remota ad aziende che desiderano utilizzare applicazioni con funzionalità di firma senza però avere l'onere di acquisire e gestire sistemi HSM complessi.
Leggi tutto

Configurazione in locale

Per il completamento di una configurazione di firma remota in service, in casa del cliente, è necessario semplicemente installare uno o più PkBox Remote che hanno il compito di ricevere le richieste dalle applicazioni, di trattare il dati da firmare e di inviare ai PkBox HSM le impronte e i dati di autenticazione per l'esecuzione delle operazioni di firma.
Leggi tutto


Copyright © 2013 INTESI GROUP S.p.A
|
|
|
Via Torino, 48 - 20123 Milano - Italia
P.IVA 02780480964
|
Capitale soc.: Euro 300.000,00 i.v. - REA: Milano - 1562415
|