Re: [ml] Re: Certificat gratis

Luca de Grazia wrote:

> mrso> Quindi non parliamo di un certificato qualunque, ma di un certificato
> mrso> _qualificato_
> 
> Che strutturalmente per quanto mi consta è tale.

Come come ?

Quindi lei sta sostenendo che qualsiasi certificato, anche quello che io
mi genero con un qualsiasi tool in casa, e' un certificato di firma
qualificato ? Capisco bene ?

> mrso> Allegato II della direttiva europea:
> mrso> "d. verificare con mezzi appropriati, secondo la legislazione nazionale
> mrso> l'identità e, eventualmente, le specifiche caratteristiche della persona
> mrso> cui è rilasciato un certificato qualificato;"
> 
> La direttiva è stata recepita per cui si applica la norma italiana.

E la norma italiana recita:
"e) "certificati qualificati" i certificati elettronici conformi ai
requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati
da certificatori che rispondono ai requisiti fissati dall'allegato II
della medesima direttiva;"

Quindi mi sta dicendo che questo rimando non vuol dire niente, o c'e'
qualcosa che mi sfugge ?

> Non  è  così.  Si  tratta  di  responsabilità del certificatore, non di validità
> dell'oggetto.

Infatti, ma se il certificatore non rispetta le responsabilita' che la
norma gli attribuisce, non puo' rilasciare certificati qualificati.

Non credo che io e lei risolveremo il problema dell'uovo e della
gallina, ma francamente mi pare che stiamo cavillando.

> mrso> Ora, un file salvato su un PC e trasmesso via rete (orrore) non risponde
> mrso> a nessuno di questi requisiti. Pertanto, secondo il mio parere _tecnico_
> mrso> non puo' definirsi un certificato qualificato.
> 
> Peccato che la legislazione dica il contrario.

A me (ma sempre parlando da non avvocato) pare che la legislazione dica
proprio cosi', ma attendo ansiosamente la sua correzione per capire dove
sbaglio.

> mrso>  Si',  ma  le  vie di mezzo si chiamano "certificati elettronici" e "firme
> mrso>  elettroniche",  o  sbaglio ? Proprio perche' mancano i requisiti di mrso>
> identificazione  certa, di inalterabilita' del dispositivo di firma, etc...

> come posso alterare la firma?

Avvocato, se il certificato viene emesso in modo cosi' barbino, di
"alterare la firma" non importa a nessuno visto che se ne possono
forgiare cinquanta tutte uguali. Peraltro, la direttiva UE e la
normativa italiana impongono requisiti anche sui CERTIFICATI, oltre che
sulle firme.

> mrso> Pardon ? Un certificato non si "attiva" e non si "disattiva", 

> Evidentemente  speravo  che  comprendeste...provate  e  vedrete  che è come dico
> io..qui    dovrei    perdere    troppo    tempo    per    spiegare    tutti    i
> passaggi..sinceramente... :-)

Sinceramente, quei passaggi non possono esistere tecnicamente. Qualunque
cosa diversa da cosi' le abbiano raccontato e' una baggianata. Oppure,
non ci siamo intesi per niente. Per cui, sia didascalico :)

> mrso> Spero che stia scherzando, avvocato. La firma elettronica avanzata e'
> mrso> scomparsa dal nostro ordinamento (dal Codice dell'Amministrazione Digitale).
> 
> Caro Ingegnere, ma dove lo ha letto? :-)

Proprio nel pezzo che cita lei, legga bene:

> Art.1, comma 1, lettere q,r,s del Codice vigente:

E notera' che non si parla piu' della firma avanzata, ma solo di quella
qualificata...

Come sempre, attendo che mi faccia capire meglio dove sbaglio ;)

> Lo  so  bene,  anche  qui  si  è  trattato  di  fretta...

Temo piuttosto che si sia trattato di informazioni tecniche incomplete...

> "giuridicamente",  anche se "tecnicamente" non è una marcatura temporale, sta di
> fatto  che  l'apposizione  della  firma sul documento o, meglio, sulla email che
> viene inviata, viene apposta esattamente quando viene spedita,

E fino a qui potrebbe anche essere vero, ma:

>  e pertanto presso
> il  certificatore  (e  dovrebbe essere possibile controllarlo anche dalla firma)
> esiste una traccia del momento esatto di apposizione della medesima.

Assolutamente no ! Lei crede che il certificatore venga contattato ad
ogni apposizione della firma ?! Assolutamente non e' cosi', avvocato, mi
spiace contraddirla.

La firma puo' anche essere generata su un dispositivo che sta off-line,
e che restera' off-line in eterno.

> Il che vuol dire..."data certa opponibile a terzi".

No, assolutamente no. Una data certa puo' essere attribuita solo ad una
marca temporale, perche' in tal caso l'hash del documento viene
contrassegnato temporalmente e firmato dal certificatore.

In un normale processo di firma non c'e' nessun elemento di data
opponibile a terzi.

E su questo, non aspetto la sua correzione, perche' mi pregio di
correggerla io per una volta ;)

> Una  sola  cosa,  molto sintetica: come ogni cosa nel diritto si può decidere di
> utilizzare  procedure  "blindate"  e procedure "all'acqua di rose";

Non e' di questo che stiamo parlando, avvocato, ma del fatto che se io
le vendo una macchina blindata, e poi si scopre che l'ho soltanto
sciacquata con l'acqua di rose, forse legittimamente la faccio inalberare.

Traducendo: se come io penso quella roba li' non si puo' chiamare
certificato qualificato, magari chi me l'ha fornito si e' riparato con
tutte le clausole che lei citava nella sua prima risposta, ma
sicuramente io come utente mi sentiro' truffato. La mia opinione e' che
l'immagine di Global Trust, da questa bella trovata, non ne esca poi
tanto bene in nessun caso.

-- 
Cordiali saluti,

Ing. Stefano Zanero, PhD
CTO & Co-Founder

Secure Network S.r.l.
Via Matteotti 9 - 24047 Treviglio (BG) - Italia
Phone: +39 0363.560404
email: s.zanero@xxxxxxxxxxxxxxxx
web: www.securenetwork.it