Re: [ml] Certificati gratis

Mi permetto di obiettare da tecnico ad un avvocato, mal me ne incolga ;)

> Tutti i dettagli legali relativi al certificato qualificato di firma da noi rilasciato

Quindi non parliamo di un certificato qualunque, ma di un certificato
_qualificato_

> a)  la  normativa  permette il rilascio di certificati aventi il valore indicato
> nelle normative citate

Non sono un avvocato ;) ma c'e' una questione TECNICA che mi spinge a
non concordare con lei:

Allegato II della direttiva europea:
"d. verificare con mezzi appropriati, secondo la legislazione nazionale
l'identità e, eventualmente, le specifiche caratteristiche della persona
cui è rilasciato un certificato qualificato;"

Si dice di VERIFICARE l'identita', e questo non puo' essere fatto con
un'autocertificazione.

Io posso dichiarare le mie generalita', ma a Globaltrust e' richiesto di
verificarle. Cosa che (in Italia) si puo' fare utilizzando determinati
documenti, non in un modo qualsiasi.

Ma sopratutto:
"l. utilizzare sistemi affidabili per memorizzare i certificati in modo
verificabile e far sì che:
- soltanto le persone autorizzate possano effettuare inserimenti e
modifiche;
- l'autenticità delle informazioni sia verificabile,
- l'operatore possa rendersi conto di qualsiasi modifica tecnica che
comprometta i requisiti di sicurezza."

Ora, un file salvato su un PC e trasmesso via rete (orrore) non risponde
a nessuno di questi requisiti. Pertanto, secondo il mio parere _tecnico_
non puo' definirsi un certificato qualificato.

Dal momento che Global Trust opera in una catena di certificazione
soggetta a vigilanza, sono certo che prima o poi un'autorita' di
vigilanza si fara' sentire sul tema direttamente con loro...

> b)  è la legge medesima che consente il rilascio del certificato sul presupposto
> che il soggetto richiedente NON MENTA sulle proprie generalità.

Se la legge consente il rilascio di un certificato QUALIFICATO su queste
basi, allora la disciplina relativa alle "firme qualificate" ha un
tremendo buco esattamente in mezzo.

> Nella pratica, trovo comodo questo certificato perché, in sostanza, è una via di
> mezzo  che  certifica il soggetto

Si', ma le vie di mezzo si chiamano "certificati elettronici" e "firme
elettroniche", o sbaglio ? Proprio perche' mancano i requisiti di
identificazione certa, di inalterabilita' del dispositivo di firma, etc...

> quanto  una  volta  installato  si  "attiva" on line al momento della spedizione
> della email.

Pardon ? Un certificato non si "attiva" e non si "disattiva", perche' e'
validato da una firma digitale, eterna ed immutabile ;) che viene
applicata in un certo momento del tempo. Al massimo ci possono essere
delle date (di rilascio e di scadenza) inserite nel certificato, ma
sicuramente non puo' esistere una procedura di attivazione online, se
non realizzata in modo barbino...

> Probabilmente  è  uno dei casi di "firma elettronica avanzata" con time stamping
> incorporato...   (marca   temporale)...

Spero che stia scherzando, avvocato. La firma elettronica avanzata e'
scomparsa dal nostro ordinamento (dal Codice dell'Amministrazione Digitale).

Inoltre, il processo di marcatura temporale di un _documento_ non
c'entra nulla con "l'attivazione" del certificato... anche perche'
l'emissione del certificato in una data X al massimo puo' dimostrare che
la firma del documento e' avvenuta DOPO la data X, non che il documento
esisteva PRIMA della data X.

> Spero di aver chiarito alcuni aspetti della questione.

No, francamente devo dirle di no, e spero in un suo intervento
chiarificatore.

-- 
Cordiali saluti,

Ing. Stefano Zanero, PhD
CTO & Co-Founder

Secure Network S.r.l.
Via Matteotti 9 - 24047 Treviglio (BG) - Italia
Phone: +39 0363.560404
email: s.zanero@xxxxxxxxxxxxxxxx
web: www.securenetwork.it