FEA Policy SIRIO SRL


SCHEDA TECNICA ILLUSTRATIVA RELATIVA CARATTERISTICHE TECNICHE DEL SISTEMA PER L'USO DELLA FIRMA ELETTRONICA AVANZATA

Il servizio di firma elettronica avanzata viene utilizzato dalla SIRIO SRL nel rispetto delle vigenti normative e secondo le caratteristiche tecniche qui di seguito specificate ai sensi dell'art. 57, comma 1 lett. e) e f) delle Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, pubblicate in Gazzetta Ufficiale n. 117 del 21.05.2013 (Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013, il "DPCM"), attuative del Codice dell'Amministrazione Digitale (decreto legislativo 07.03.2005, n. 82, e successive modificazioni). Si riportano qui di seguito le caratteristiche dello stesso.

1. Descrizione delle caratteristiche del sistema che garantiscono l'identificazione del firmatario.

SIRIO SRL identifica in modo certo il firmatario richiedendo il relativo documento di riconoscimento di cui acquisisce copia in fase di adesione al servizio FEA. Copia del documento d'identità ed il modulo di adesione al servizio, anch'esso sottoscritto dal firmatario, sono conservati per 20 anni.

2. Descrizione delle caratteristiche del sistema che garantiscono la connessione univoca della firma al firmatario.

2.1.FEA Grafometrica

Il sistema registra, oltre ai dati relativi all'immagine grafica, anche le caratteristiche dinamiche della firma autografa che il firmatario appone di suo pugno con penna elettronica su un apposito dispositivo: il Signature PAD e/o altro strumento informatico equivalente. Le caratteristiche registrate corrispondono alla scansione temporale di posizione, ovvero il ritmo, la velocità e la pressione della penna, acquisite durante la firma sul Signature PAD e/o altro strumento informatico equivalente. I dati grafometrici sono tipici e specifici di ogni persona. L'univocità della connessione viene quindi garantita dalla sottoscrizione effettuata previo riconoscimento del firmatario e dalla acquisizione attraverso il Signature PAD, in sede di apposizione della firma, di dati comportamentali (c.d. biometrici) univocamente riconducibili al firmatario medesimo ed associati indissolubilmente al documento informatico da lui sottoscritto.

2.2.FEA non Grafometrica (FEA in Mobilità)

L'univocità della connessione della firma al firmatario nel caso di FEA non Grafometrica viene garantita dalla sottoscrizione effettuata previo riconoscimento del firmatario nonché dall'utilizzo da parte di quest'ultimo di un numero di cellulare riferito ad una SIM card di cui dichiara di avere, in quel momento e per tutto l'arco temporale del processo di sottoscrizione, piena ed esclusiva disponibilità. Il firmatario effettua una chiamata ad un numero verde ed inserisce una One Time Password ('OTP') di firma sulla tastiera del proprio telefono. Le informazioni raccolte dal sistema durante la transazione telefonica sono inserite all'interno di ogni firma e collegano in maniera univoca quella firma al firmatario. Il sistema certifica che il numero dichiarato come proprio dall'utente abbia effettuato una chiamata al numero verde indicato e abbia inserito l'OTP relativo a quella transazione e relativo a quel documento.

3. Descrizione delle caratteristiche del sistema che garantiscono il controllo esclusivo del firmatario sul sistema di generazione della firma.

3.1.FEA Grafometrica

Durante la fase di firma, il sistema è nella piena ed esclusiva disponibilità, nonché sotto il controllo esclusivo, del firmatario e sottoposto ai rigidi controlli di sicurezza elencati. Lo schermo del dispositivo di firma (Signature PAD e/o altro strumento informatico equivalente) mostra il dettaglio della clausola oggetto della firma consentendo al firmatario di verificare personalmente i propri dati ed ogni dettaglio contrattuale. Durante l'apposizione della firma, il sistema guida il cliente nel processo di firma. Mentre egli appone la firma con l'apposita penna elettronica l'immagine della firma appare in tempo reale sul Signature PAD e/o altro strumento informatico equivalente. Apposite funzioni consentono al firmatario di confermare o cancellare la firma in caso di errori. Ogni comunicazione tra il Signature PAD (e/o altro strumento informatico equivalente) e il sistema di generazione della firma è criptata ed anche i dati grafometrici relativi alla firma apposta sul Signature PAD (e/o altro strumento informatico equivalente) dal firmatario sono automaticamente cifrati e inviati su canale criptato al server (per la gestione delle ulteriori fasi del processo).

3.2.FEA non Grafometrica (FEA in Mobilità)

Durante la fase di firma, il sistema è nella piena ed esclusiva disponibilità nonché sotto il controllo esclusivo del firmatario e sottoposto ai rigidi controlli di sicurezza elencati. Lo schermo del dispositivo di firma (pc e/o tablet o strumento equivalente) mostra il dettaglio del documento da sottoscrivere elettronicamente e il firmatario ha la possibilità di verificare personalmente su tale schermo i propri dati, ogni dettaglio contrattuale e procedere quindi in autonomia alla lettura delle clausole ed alla selezione dei relativi campi di firma sui quali il firmatario è chiamato ad esprimere manualmente (processo di "point and click") la propria volontà di sottoscrizione. Conclusa tale fase, il dispositivo visualizza una schermata recante il riepilogo di tutti i campi per la sottoscrizione selezionati dal firmatario, nonché la richiesta di confermare quanto indicato. Dopo la conferma, il dispositivo visualizza un numero telefonico (numero verde con chiamata gratuita) ed una password avente durata temporale limitata (OTP, "one time password"), sotto forma sia di codice numerico sia di quick response code (QR code), che il firmatario dovrà comporre utilizzando il numero di cellulare che, sulla base di quanto dichiarato dallo stesso firmatario, si trova nella sua piena ed esclusiva disponibilità. Il sistema IDSign, riconosciute e validate le informazioni (numero di cellulare e OTP), provvede ad informare il sistema dell'avvenuta manifestazione di volontà di sottoscrizione da parte del firmatario (processo di "strong authentication" esottoscrizione).

4. Descrizione delle caratteristiche del sistema che garantiscono di verificare che il documentoinformatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma.

Al termine della sottoscrizione, una volta esaurito il processo di cifratura precedentemente descritto, il documento informatico è firmato digitalmente con certificato qualificato emesso da una Certification Authority riconosciuta. La tecnologia di firma digitale include l'impronta informatica ("hash") del contenuto soggetto a sottoscrizione. Il controllo della corrispondenza tra un'impronta ricalcolata e quella "sigillata" all'interno delle firme permette di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma. Questo consente di rilevare ogni possibile alterazione o modifica effettuata al predetto documento informatico sottoscritto dal firmatario.

5. Descrizione delle caratteristiche del sistema che garantiscono la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto.

All'atto della presentazione del documento per la sottoscrizione, il firmatario può visualizzare il contenuto in tutte le sue parti con apposite funzioni di posizionamento. Successivamente, all'esito del processo di firma sopra descritto, il firmatario può visualizzare e conservare il documento elettronico da lui sottoscritto (per motivi di sicurezza senza il vettore grafometrico) nella casella di posta elettronica comunicata dal medesimo firmatario. Se espressamente richiesto dal Cliente, il documento informatico sottoscritto sarà reso contestualmente disponibile su supporto cartaceo.

6. Descrizione delle caratteristiche del sistema che garantiscono l'individuazione del soggetto erogatore della soluzione FEA.

Nelle condizioni generali del servizio viene espressamente indicato che Sirio Srl è il soggetto che eroga la soluzione di FEA ai sensi dell'art 55, comma 2, lett. a), del DPCM. Il certificato di firma digitale, utilizzato a chiusura del processo FEA, individua il soggetto erogatore del servizio ed è emesso da un'autorità di certificazione tecnica (Certification Authority). In questo caso ogni documento, dopo la raccolta delle firme grafometriche del Cliente, viene sigillato tramite apposizione della firma digitale di SIRIO SRL rilasciata dalla Certification Authority.

7. Descrizione delle caratteristiche del sistema che garantiscono l'assenza nell'oggetto della sottoscrizione di qualunque elemento idoneo a modificarne gli atti, i fatti e i dati in esso rappresentati.

I documenti prodotti dal sistema utilizzano esclusivamente formati atti a garantire l'assenza, nell'oggetto della sottoscrizione, di qualunque elemento idoneo a modificare gli atti, i fatti e i dati in essi rappresentati. Ad esempio, i documenti sono esclusivamente in formato standard ISO PDF/A (non contenente script, macro, campi da riempire od altri elementi che, dopo la generazione, potrebbero alterarne il contenuto).

8. Descrizione delle caratteristiche del sistema che garantiscono la connessione univoca della firma al documento sottoscritto.

I dati della firma vengono inseriti nel documento in una struttura, detta 'blob di firma', che li unisce indissolubilmente all'impronta informatica del documento sottoscritto. Questa struttura è protetta con opportuna tecnica crittografica, al fine di preservare la firma da ogni possibilità di estrazione o duplicazione. L'unica chiave crittografica in grado di estrarre le informazioni è in esclusivo possesso di un terzo fiduciario appositamente designato SIRIO SRL, dotato di idonee garanzie di indipendenza e sicurezza nella conservazione della chiave medesima e potrà essere usata in sede di perizia, espressamente nei soli casi in cui si renda indispensabile per l'insorgenza di un contenzioso sull'autenticità della firma e a seguito di richiesta dell'autorità giudiziaria, per attestare l'autenticità del documento e della sottoscrizione. Inoltre il sistema appone a sigillatura dell'intero contratto e/o altro documento oggetto di sottoscrizione una "firma digitale" in formato standard PADES. A differenza del “blob di firma”, queste firme tecniche sono visibili e verificabili con gli strumenti informatici standard per la presentazione e lettura dei documenti (es. PDF Reader).

9. Descrizione delle caratteristiche delle tecnologie utilizzate nel servizio di firma elettronica avanzata.

Il trasferimento dei dati e la loro memorizzazione nel 'blob di firma' è protetto con le seguenti tecnologie crittografiche:

  1. - Crittografia simmetrica standard AES con chiave a 256 bit segreta per la protezione dei dati
  2. - RSA 2048 bit con chiave privata detenuta da una terza parte per la cifratura della chiave AES.
  3. - Firma tecnica del documento PDF con firma PADES.

10. Descrizione delle modalità attraverso cui i clienti possono richiedere copia del modulo di adesione, da questi sottoscritto, al servizio di firma elettronica avanzata.

I Clienti, salva loro diversa indicazione, riceveranno attraverso posta elettronica, all'indirizzo dagli stessi fornito, copia della documentazione sottoscritta: modulo di adesione e documenti sottoscritti con la FEA. Se richiesto, il Cliente potrà ricevere copia stampata del contratto e/o altro documento sottoscritto e del modulo di adesione al Servizio FEA.

11. La sicurezza della FEA realizzata da AliasLab S.p.A

11.1. FEA Grafometrica

Ogni firma del firmatario prima di essere accettata deve superare una serie di rigidi controlli di sicurezza che hanno l'obbiettivo di impedire l'uso o riuso fraudolento delle firme stesse. Inoltre:

  1. - Ogni firma è sempre cifrata e può essere decifrata solo ricorrendo all'intervento di un notaio designato secondo apposita procedura
  2. - La decifratura della firma può avvenire solo su richiesta del firmatario e delle autorità competenti.
  3. - L'hash (trasformazione del blob in una sequenza numerica tramite un algoritmo matematico) di ogni sottoscrizione raccolta viene confrontato con l'archivio di tutti gli hash delle sottoscrizioni già registrate; in caso di due hash identici la procedura viene sospesa
  4. - Ogni sottoscrizione raccolta vale solo per la specifica clausola mostrata sul Signature PAD e per quello specifico documento: ciò significa che è impossibile riutilizzare quella sottoscrizione per una diversa clausola o per la stessa clausola ma di un altro documento
  5. - Solo dai Signature PAD abilitati da AliasLab S.p.A., con apposita procedura informatica di inizializzazione, è possibile per il firmatario apporre una firma su un contratto e/o altro documento; ciò significa che non è possibile utilizzare Signature PAD diversi da quelli certificati da AliasLab S.p.A
  6. - I Signature PAD AliasLab S.p.A. sono riconoscibili a vista dal firmatario in quanto marcati col logo ALIASLAB S.P.A.

11.2. FEA non Grafometrica

Ogni sottoscrizione del firmatario prima di essere accettata deve superare una serie di rigidi controlli di sicurezza che hanno l'obiettivo di impedire un eventuale loro utilizzo fraudolento. Inoltre:

  1. - Ogni sottoscrizione è sempre cifrata e può essere decifrata solo ricorrendo all'intervento del notaio designato, secondo apposita procedura
  2. - La decifratura della sottoscrizione può avvenire solo su richiesta del firmatario e delle autorità competenti
  3. - L'hash (trasformazione del blob in una sequenza numerica tramite un algoritmo matematico) di ogni sottoscrizione raccolta viene confrontato con l'archivio di tutti gli hash delle sottoscrizioni già registrate; in caso di due hash identici la procedura viene sospesa
  4. - Ogni sottoscrizione contiene un identificativo della transazione rilasciato dalla Certification Authority che ne attesta la autenticità

12. Certificazione e copertura assicurativa.

AliasLab S.p.A. è certificata ISO 27.001 dall'ente Bureau Veritas Italia. Lo scopo della certificazione è "design, development, installation, support and trade of IT products, IT systems and IT cloud services". Conformemente alla normativa vigente, AliasLab S.p.A. ha stipulato polizza assicurativa di responsabilità civile, avente massimale di euro 500.000,00, al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche.