Con la firma digitale non si scherza!


Quest’oggi ho partecipato ad un convengo in SMAU (lo so che quello vero è in Ottobre, io sono andato alla versione business di Bologna) riguardante la conservazione sostitutiva e la fatturazione elettronica.

Ho apprezzato molto gli interventi dei relatori, e, per fortuna, non sono state dette cose che hanno sconvolto la mia interpretazione della normativa; ovvero: la strada intrapresa da sinekarta è buona, andiamo avanti così!

Due argomenti hanno però attirato la mia attenzione in modo particolare.

Il primo argomento (da qui il titolo dell’articolo) riguarda la firma digitale. L’ipotesi che avevo percorso nell’analisi dei requisiti di sinekarta prevedeva che il lettore di smartcard fosse attaccato al server (quello sul quale è installato alfresco) e la smartcard dell’RCS fosse sempre inserita nel lettore. Mi spiace dirlo ma questa ipotesi non stà in piedi!

In realtà il concetto (quello che vi stò per esporre) lo avevo già chiaro, non mi erano chiare le possibili implicazioni. La firma digitale (quella presente nella CNS) ha la stessa valenza della vostra firma autografa. Lasciarla abbandonata ed incustodita è MOLTO rischioso. Se un malintenzionato scrivesse un documento in cui si dichiara la vostra intenzione di regalargli 100.000 euro, e lo firmasse con la vostra firma digitale (trovata incustodita in sala server), sarebbe come se voi l’aveste firmato di vostro pugno.

Insomma, sarebbero GRANE

E’ importante capire che la firma digitale va trattata come la carta di credito, anzi con maggiore attenzione! Chiunque ne abbia una deve usarla con cura e conservarla in modo adeguato.

Detto questo modificherò quanto prima l’analisi dei requisiti funzionali di sinekarta, correggendo quello che si può definire tranquillamente un “buco di analisi”.

Il secondo argomento non è prioritario ma ci riguarderà quando implementeremo la fatturazione elettronica.

Devo premettere che non ho approfondito la normativa riguardante la fatturazione elettronica, quindi non mi stupisce questa mia lacuna, ma avere delle risposte non sarebbe male. Il mio dubbio riguarda le fatture attive.

Se un’azienda produce le fatture attive sotto forma di documenti analogici (non fatture elettroniche ma semplici PDF NON firmati) può mandarle in conservazione sostitutiva? Se si, quando? Da subuito o deve aspettare la chiusura dell’anno fiscale? L’azienda può evitare di stampare queste fatture?

Quindi, generalizzando, il mio quesito è: se voglio applicare il processo di conservazione sostitutiva alle fatture attive, senza realizzare la fatturazione elettronica, quali sono le regole da applicare?

Attendo fiducioso le vostre indicazioni!

Annunci

3 Responses to Con la firma digitale non si scherza!

  1. Direi che se stai seguendo la conservazione sostitutiva non hai bisogno di stamparle, devi solo mandarle in conservazione entro il 15 del mese successivo. Se invece sei in tradizionale le devi stampare. Entrambe le cose senza avere la fatturazione elettronica (che comunque non è compatibile con la conservazione cartacea).
    Ciao.

  2. Io non concordo con il “buco di analisi”. Non riesco a trovare normative che vietino l’installazione del dispositivo di firma digitale in sala server. (Se sono in errore vi prego di contestarmi riportandomi qualche norma al riguardo). Anzi, in rete si trovano veri e propri server di firma digitale che usano certificati in parallelo per velocizzare le operazioni di firma massiva. Credo che sia “sufficiente” assicurarsi di accessi controllati in sala server e che questi siano riportati nel “Manuale della Conservazione” che il Responsabile dovrebbe tenere.

  3. Gli HSM (Hardware Security Module) sono degli apparati che permettono la cifratura/decifratura utilizzando algoritmi basati su chiavi asimmetriche.
    Le prestazioni di questi apparati sono MOLTO superiori rispetto al lettore di smartcard.
    Per contro, anche i prezzi sono molto diversi, un lettore di smartcard si può trovare a 15 euro, un piccolo HSM costa intorno ai 10.000 euro.
    sinekarta prevede, ad oggi, la sola firma digitale basata su smartcard, NON supporta gli HSM.
    Il “buco di analisi” al quale mi riferisco nell’articolo riguarda esclusivamente il software sinekarta.
    sinekarta è basato su Alfresco, l’interfaccia è totalmente web.
    Basta essere connessi ad internet per accedere ad Alfresco ed utilizzare i servizi di sinekarta.
    La prima versione dell’analisi di sinekarta (ormai è storia vecchia) prevedeva che il lettore di smartcard dovesse essere connesso al server di Alfresco, non al browser dell’utente.
    Questo vincolo implicava che l’RCS dovesse accedere alla sala macchine per apporre la firma digitale; questo (e solo questo) è stato considerato un buco di analisi.
    sinekarta è stato implementato per poter effettuare la firma digitale tramite browser, con il lettore di smartcard connesso al pc dell’utente, non al server di alfresco.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: