Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...

Pagina creata da Alessandra Mazzola
 
CONTINUA A LEGGERE
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Webinar per i RAO
 Registration Authority Officer (RAO) per il rilascio della CNS e Firma
 Digitale per conto della CCIAA di Parma

                                                                          V 1,0
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Requisiti per il rilascio/gestione dei certificati digitali
          Quali requisiti deve avere un operatore RAO?

Il rilascio della CNS e Firma Digitale - da parte di un operatore qualificato RAO - prevede il rispetto di tali requisiti:

 • Mandato e Incarico attivo (inizio e termine funzione)
 • Profilo censito nel CMS abilitato al rilascio dei certificati
 • Qualifica ottenuta a seguito del corso di formazione e del relativo test di verifica finale

Un operatore RAO dovrà soddisfare tutti e 3 i requisiti per poter rilasciare le CNS e Firme Digitali per conto della
Camera di Commercio.

                                                                                                                             2
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Le fasi del processo di formazione

     Formazione
      Asincrona:        FASE DI START UP     Formazione
                                              Sincrona:
   Corso e-learning
   per ottenimento
                                            webinar di oggi
   dell’abilitazione      Aggiornamento
                             annuale
                             (rinnovo
                           abilitazione)

                           Formazione
                            asincrona

                       Indicativamente da
                         febbraio 2023
                                                              3
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Formazione in modalità asincrona – corso e-learning

La formazione asincrona, erogata in modalità e-learning, è necessaria per abilitare gli operatori alle
attività di registrazione, attivazione e gestione dei certificati.

Ha una durata complessiva di circa 2 ore al termine del quale è previsto uno specifico test vincolante per
l’abilitazione all’esercizio dell’attività.

La piattaforma e-learning di riferimento contiene il seguente corso:

•   Corso di qualifica operatore RAO

Tutte le unità didattiche (2 unità) devono essere fruite interamente come condizione per poter accedere
al test di valutazione finale.
                                                                                       2 UNITÀ
          https://cciaa-elearning.infocamere.it                                      DIDATTICHE
                                                                                        da fruire
                                                                                     interamente
                                                                                                             4
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Formazione in modalità asincrona
Il corso e-learning – Modalità di accesso

                                                Inserire
                                            username (il CF)
                                             e password di
                                            PRIMO ACCESSO

   https://cciaa-elearning.infocamere.it

                                                               5
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Formazione in modalità asincrona: test di valutazione

                                  25 domande                  4 opzioni di
                                    estratte                     scelta:
                              randomicamente da
                                 un paniere (60               solo una è la
                                    quesiti)               risposta corretta

                                                   Superato se si                 3 tentativi:
     TEST DI VALUTAZIONE                              risponde                  ad ogni nuovo
                                                                                tentativo, test
                                                   correttamente
                                                                                riproposto con
          (su contenuti e-learning)                a 23 domande                   estrazione
                                                        su 25                     randomica

                                Superato il test              Dopo il terzo
                                 possibilità di            tentativo: seguire
                                  scaricare il               nuovamente e
                                  certificato                interamente il
                                   abilitante                     corso

                                                                                                  6
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Aggiornamento annuale obbligatorio del personale incaricato

Ogni operatore sarà sottoposto annualmente ad un corso di aggiornamento, in modalità e-learning,
avente lo scopo di allineare l’operatore in caso di eventuali aggiornamenti di tipo normativo e/o
operativo o di verificare nuovamente il mantenimento delle competenze necessarie all’esercizio del
ruolo attraverso la somministrazione di un test di verifica contenente anche quesiti sull’esperienza
svolta ed il cui superamento è vincolante per la prosecuzione dell’incarico.

Le regole e le modalità di questo corso e quelle di gestione del test di valutazione finale riprendono
quelle delineate per la formazione obbligatoria iniziale.

  Il mancato rinnovo periodico di tale conseguimento determina l’impossibilità, da parte dell’operatore
            stesso, di accedere alle funzioni relative al suo ruolo nell’ufficio di appartenenza.

                                                                                                Aggiornamento
                                                                                                   annuale
                                                                                             (rinnovo abilitazione)

                                                                                                 Formazione
                                                                                                  asincrona

                                                                                                                      7
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Il corso e-learning: struttura

                                 8
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
Un po’ di normativa…
Webinar per i RAO Registration Authority Officer (RAO) per il rilascio della CNS e Firma Digitale per conto della CCIAA di Parma - Camera di ...
La normativa di riferimento dei certificati digitali
     Attenzione…
                                                                Normativa europea
                                                                a) Regolamento europeo per identificazione,
Normativa nazionale                                                autenticazione e firme elettroniche (eIDAS,
                                                  EUROPA
a) D.lgs. n. 82/2005 (Codice                                       n. 910/2014)
   dell’Amministrazione Digitale - CAD)                         b) Regolamento di esecuzione eIDAS
b) Normativa di secondo livello: Regole                            2015/1502
   tecniche, Linee guida e circolari              ITALIA
c) Normativa collegata
                                                                                 Autorità Europea
                                          AUTORITÀ TRANSANZIONALE
                                                                                 a) Commissione europea
                                                                                 b) Corte di Giustizia europea
Agenzia per l’Italia Digitale
(AgID)                                     AUTORITÀ NAZIONALE
                                                                                ETSI EN 319 421 V1.1.1 Checklist
a) Provvedimenti
                                                                                ETSI EN 319 411-1 v121-Checklist
b) Linee guida                                  STANDARD                        ETSI EN 319 411-2 v221-Checklist
c) Autorizzazioni generali                                                      ETSI EN 319 401 V2.2.1 Checklist
d) Circolari
e) Determina                              LEGAL FRAMEWORK                            Manuale operativo del QTSP
f) Interventi sanzionatori

                                                                                                                   10
Normativa Italiana ed Europea di riferimento

             eIDAS                                      CAD                             D.P.C.M. 22 FEBBRAIO 2013
                                      (Codice dell’Amministrazione Digitale)
   Rappresenta la disposizione         Testo unico che riunisce e organizza le           Decreto del Presidente del
  comunitaria di riferimento in        norme riguardanti l'informatizzazione              Consiglio dei Ministri che
     materia di identificazione           della Pubblica Amministrazione nei          stabilisce le regole tecniche per
elettronica e servizi fiduciari per       rapporti con i cittadini e le imprese.       la generazione, apposizione e
    le transazioni elettroniche.      Istituito con il decreto legislativo 7 marzo    verifica della firma elettronica
                                         2005 n. 82, è stato successivamente           avanzata, qualificata e digitale
                                      modificato e integrato per promuovere e           per la validazione temporale,
                                        rendere effettivi i diritti di cittadinanza   nonché per lo svolgimento delle
                                                         digitale.                         attività dei certificatori
                                                                                                   qualificati.

                                                                                                                      11
Il “Qualified Trust Service Provider” InfoCamere

      • Essere affidabile come prescritto dal Regolamento
      • Adottare soluzioni di sicurezza adeguate
      • Avere natura giuridica di società di capitale e requisiti di onorabilità
      • Reagire agli incidenti con efficacia e gestire la comunicazione, notifiche ENISA e AgID
      • Essere in grado di verificare le identità con certezza
      • Mantenere evidenze dei riconoscimenti e di tutte le operazioni
      • Avvalersi di personale altamente specializzato e formato
      • Avere risorse finanziarie adeguate per far fronte a danni causati
      • Essere assicurato
      • Adottare misure adeguate per la privacy
      • Fornire la possibilità di revocare gratuitamente
      • Disporre di un piano di cessazione

      Caratteristiche stabilite da Determinazione AgID n. 185/2017
                                                                                                  12
Questi sono i soggetti
                                                                                coinvolti nel rilascio e nella
                 Chi sono i soggetti coinvolti nella catena della fiducia ?     gestione dei dispositivi
                                                                                CNS/Firma Digitale

                                 Certification
                             Authority - QTSP
                                                                      Registration
La Certification Authority è il soggetto che                          Authority
emette i certificati qualificati di firma elettronica
qualificata, firmandoli con la propria chiave                         Le Registration Authorities o Uffici di
privata, detta chiave di CA o chiave di root.                         Registrazione sono soggetti cui la CA ha
InfoCamere è la Certification Authority (CA) che                      conferito specifico mandato con rappresentanza
emette, pubblica nel registro e revoca i Certificati                  con il quale affida lo svolgimento di una o più
Qualificati, operando in conformità alle regole                       attività proprie del processo di registrazione.
tecniche emanate dall’Autorità di Vigilanza e
secondo quanto prescritto dal Regolamento
eIDAS e dal Codice dell’Amministrazione Digitale.
                                                                            RICONOSCIMENTO affidato ad
                                                                            operatori esterni alla RA
                                                                            In più, sono presenti Incaricati alla
                                                                            Registrazione (IR) e Operatori della
                                                                            Registrazione (OdR), che ricevono un
                         RAO interni alla RA                                mandato per riconoscere i Richiedenti. Gli IR si
                          La RA individua operatori camerali che            recheranno poi in CCIAA per la produzione del
                          riconoscono, registrano gli utenti e              dispositivo, gli OdR possono produrre in loco.
                          producono i dispositivi (RAO).

                                                                                                                               13
Chi vigila sulla catena di fiducia?

  L’Agenzia per l'Italia Digitale (AgID) è l’agenzia tecnica della
  Presidenza del Consiglio che ha il compito di garantire la
  realizzazione degli obiettivi dell’Agenda digitale italiana.

  Spetta ad AgID verificare ciclicamente che le Autorità di
  Certificazione (CA) soddisfino i requisiti necessari per lo
  svolgimento dell’attività (art. 20 del Regolamento eIDAS).

  Ove ciò non avvenga, AgID imporrà di rimediare ai mancati
  adempimenti e può decidere il ritiro della qualifica.

                                                                     14
La responsabilità penale

     A tutela del processo di identificazione, interviene il Codice Penale, con
                                     interventi:

     sia verso il Soggetto che fornisce false informazioni al momento della
     richiesta della firma elettronica (art. 495 bis c.p.), sia verso il
     Certificatore che “viola gli obblighi previsti dalla legge per il rilascio di
     un certificato qualificato” (art. 640 quinquies c.p.)

                                                                                     15
Quali documenti di
riconoscimento possiamo
accettare?
Documenti di riconoscimento

    I documenti di riconoscimento utilizzabili ai fini dell’identificazione certa del Soggetto Richiedente sono:

                                                 CARTA D’IDENTITÀ
                                                 PATENTE DI GUIDA
                                                                                                         Attenzione: il
                                                   PASSAPORTO                                              documento
                              Il documento di riconoscimento presentato deve essere:                    andrà acquisito
                                                                                                         nel CMS dopo
                                                    NON SCADUTO                                           la scansione
                                                      ORIGINALE
                             EMESSO DA AUTORITÀ ITALIANA (eccezione passaporto)

  Il sito «PRADO» del Consiglio Europeo contiene un database con le versioni dei documenti d’identità emessi in
Italia e riporta alcune delle caratteristiche principali (feature di sicurezza, periodo di validità, periodo di emissione
                                                            ecc.)
              https://www.crimnet.dcpc.interno.gov.it/crimnet/ricerca-documenti-rubati-smarriti
                                                                                                                            17
Controlli generici

❑ Tipologia di documenti accettati per l’identificazione
❑ Firma dei documenti
❑ Scadenza dei documenti
❑ Volto dell’utente
❑ No fotocopie documento
❑ Elementi identificativi da verificare
❑ Verifica coerenza nome, cognome e codice fiscale.

                                                           18
Ma cosa sono i certificati
digitali CNS e Firma Digitale?
Carta Nazionale dei Servizi (CNS) e Firma Digitale

Tutti i dispositivi rilasciati dalle Camere di Commercio (ID Smart Card e ID Token DigitalDNA)
contengono 2 tipi di certificati:

           Certificato di Autenticazione - Carta Nazionale dei Servizi - CNS (accesso a servizi online;
           equivalente informatico di un documento di identità)
             ACCEDO

           Certificato di Sottoscrizione - Firma digitale (firma di documenti)
             FIRMO

                                                                                                          20
I dispositivi rilasciati dalla CCIAA

                                       21
I dispositivi rilasciati dalla CCIAA
ID token DigitalDNA e ID Smart Card

                                       22
Carta Nazionale dei Servizi (CNS) – come si accede
                              1
                                            Per accedere utilizzando la CNS, collegare il dispositivo al
                                            computer: se è un Token utilizzare la porta USB, se è una
                                            Smart Card collegare il lettore di Smart Card al computer
                                            ed inserire la tessera.

                                            1. Collegarsi al servizio al quale si intente accedere e
                                            selezionare CNS

                                            2. Individuare il proprio certificato (codice fiscale) e
                                            cliccare su OK
                                   2
                                            3. Digitare il PIN di 8 cifre

                                                 Se il PIN è corretto, si verrà dirottati sulla pagina
                                                          autenticata del servizio richiesto
Codice fiscale
                                                        3

                                                                                                           23
Concentriamoci sul certificato di sottoscrizione con le tipologie di firme
elettroniche:

               Firma Elettronica o Firma Elettronica Semplice (FE)

               Electronic Signature (ES)

               Firma Elettronica Avanzata (FEA)

               Advanced Electronic Signature (AES)

               Firma Elettronica Qualificata (FEQ)

               Qualified Electronic Signature (QES)

                                                                             24
Tipologie di firme elettroniche

                                  25
Quale certificato di sottoscrizione nei dispositivi rilasciati dalle CCIAA?

Il certificato di sottoscrizione presente all’interno dei dispositivi rilasciati dalle Camere di
Commercio permette di effettuare una firma elettronica qualificata, con lo stesso valore di una
firma autografa.

La firma digitale è un particolare tipo di firma elettronica qualificata che trova la propria
disciplina solo e soltanto nell’ordinamento italiano (definita dal CAD - art.1, lettera S).

La firma elettronica qualificata (regolamenta da EIDAS, art.3, n. 12) si basa su “un sistema di
chiavi crittografate che consente [...] di rendere manifesta, di verificare la provenienza e l’integrità
di un documento informatico o di un insieme di essi”.

                                                                           LA FIRMA ELETTRONICA
                                                                                QUALIFICATA

                                                                                                           26
                                                                                                           26
Firma Digitale: cos’è?

È un particolare tipo di firma elettronica qualificata basato su un sistema di chiavi crittografiche
asimmetriche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma
elettronica tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la
provenienza e l’integrità di un documento informatico.

La firma digitale è basata sulla crittografia a chiave pubblica asimmetrica e si è ormai affermata come
principale strumento in grado, allo stato attuale della tecnologia, di assicurare l'integrità e la
provenienza dei documenti informatici, e quindi di svolgere per questi la funzione che nei documenti
tradizionali è assolta dalla firma autografa.

                                                                                                          27
Firma Digitale

Ogni soggetto possiede 2 chiavi personali:

✔   la pubblica KPub (nota a tutti)
✔   la segreta KPriv (nota solo al soggetto)

La chiave pubblica serve per cifrare (integrità e riservatezza),
La chiave privata per firmare (autenticità e non ripudio)

La firma digitale utilizza l’algoritmo RSA (da Ronald Rivest, Adi Shamir e Leonard
Adleman) che è il primo sistema di crittografia a chiavi pubbliche ed è anche quello
attualmente più diffuso ed utilizzato.

                                                                                       28
Il Token DigitalDNA

Può essere utilizzato con 2 modalità:

•   sia da desktop per MAC OS X, Windows 10
    e 11, LINUX, in modalità usb o bluetooth,
    tramite il software firma4ng;

•   sia da dispositivi mobili (smartphone e
    tablet), Android 5.x e successivi, iOS 10.x e
    successivi, Huawei in modalità bluetooth
    tramite l’apposita app DigitalDNA IC.

                   Contiene due certificati: autenticazione (CNS) e sottoscrizione (firma digitale)

                                                                                                      29
L’utilizzo del Token da mobile: l’applicazione

                                L’applicazione DigitalDNA IC
                                scaricabile gratuitamente da:

                                                                30
Associazione del Token allo smartphone o tablet

    Accendere la DigitalDNA con il pulsante laterale (posizionare su ON)
    Attivare il Bluetooth del dispositivo mobile (smartphone o tablet)
    Aprire l’app DigitalDNA IC e assicurarsi che il simbolo del Bluetooth sia di colore
     blu (acceso)
    Individuare il token con il codice di 6 cifre posto sul retro
    Tenere premuto il pulsante multifunzione del token fino a quando non chiederà di
     inserire il PIN (presente nella scratch card virtuale)
    Dopo questi passaggi, la DigitalDNA emetterà un suono e l’abbinamento sarà stato
     eseguito

                                                                                           31
Associazione del Token allo smartphone o tablet

                                                  32
Dove si trova il PIN di 8 cifre per firmare?

                                               Il PIN sarà presente nel
                                                  PDF cifrato ricevuto
                                                    tramite e-mail a
                                                   conclusione della
                                               richiesta del dispositivo

                                                                           33
Le funzioni dell’applicazione DigitalDNA IC

 Dalla schermata Home è possibile accedere a tutte le funzioni dell’app DigitalDNA,
 selezionandole attraverso i seguenti widget:

 • Firma • Storico • Verifica • Cassetto Digitale dell’Imprenditore • Configura DigitalDNA Key
 • FindME • Ultima posizione rilevata • Servizi web • Impostazioni • Supporto • Marca
 Temporale • Telemaco • Fattura Elettronica • Impresainungiorno • Diritto annuale • Atti
 depositati • Scuola lavoro • INPS • Agenzia delle Entrate • Agenzia delle Entrate
 Riscossione • Gestione OTP (firma remota) • Privacy Policy

Per approfondimenti consulta la guida utente:
https://id.infocamere.it/documentazione/it/guide_utente.html

                                                                                                 34
Dove trovare il manuale di utilizzo del Token DigitalDNA

                                                           Recarsi sul sito
                                                           id.infocamere.it

                                                       Selezionare la voce di
                                                      menu Documentazione

                                                      Selezionare la voce di
                                                      menu laterale Guide e
                                                       Risorse e poi Guide
                                                             Utente
Validità e Rinnovo
 Certificato di autenticazione e sottoscrizione

I certificati digitali contenuti nei dispositivi hanno 3 + 3 anni di validità. Nei 90 giorni prima
della scadenza è necessario procedere al loro rinnovo per ulteriori 3 anni.

Il rinnovo può essere effettuato una sola volta.

Una volta che i certificati sono scaduti, non è più possibile rinnovarli e si deve richiedere un
nuovo dispositivo.

Il rinnovo viene eseguito online sul sito id.infocamere.it

                                                                                                     36
Il rinnovo dei certificati
      Procedura online                            Il sito di riferimento del QTSP InfoCamere è
                                                  id.infocamere.it

LINK DIRETTO ALLA PROCEDURA DI RINNOVO:
https://id.infocamere.it/infocamere/firma_digitale/rinnovo

                                                                                                 37
Il ciclo di vita dei certificati
       Sospensione, riattivazione e revoca: procedura online

I certificati possono essere sospesi, riattivati oppure revocati definitivamente.

                                                                                    38
Come si rilasciano i dispositivi?
CMS requisiti e accesso: https://cms.infocamere.it

                                                             Collegarsi alla homepage del sistema, dopo
                                                             aver inserito il proprio dispositivo (token o
                                                             smart card) e il relativo PIN.
                                                             Il sistema verifica:

                                                             • validità del certificato di autenticazione CNS
                                                             • corretto inserimento PIN
                                                             • codice fiscale censito nel CMS
                                                             • validità corso di abilitazione per l'accesso al
                                                               sistema
                                                             • mandato in corso di validità

Attenzione: al primo utilizzo del CMS occorre scaricare il
componente aggiuntivo Chemistry                                                     Google Chrome
                                                                                    Mozilla Firefox
                                                                                    Microsoft Edge
                                                                                                                 40
Quali sono i vantaggi dell’acquisizione dei dati sul CMS tramite CIE?
            CIE 3.0

                                                      Riduzione tempi di compilazione anagrafica

                                                             Riduzione errori nella digitazione dei dati

                                                              Eliminazione step scansione del documento

                                                    Garanzia autenticità del documento

Attenzione: resta nella responsabilità dell’operatore l’identificazione del titolare (foto, elementi identificativi del documento, Crimnet).

                                                                                                                                           41
Lettori CIE compatibili con il CMS
          Per utilizzare la CIE sul CMS è necessario che la postazione sia fornita di un apposito
          lettore.

          Lettori compatibili (presenti su MePA):

                             MiniLector CIE plus
                             Caratteristiche tecniche
                             Lettore che combina tecnologia contact e contactless per utilizzare un unico lettore con
                             tutte le smartcard, siano esse carte tradizionali a contatto come la CNS oppure
                             contactless come la CIE

                            MiniLector CIE
                            Caratteristiche tecniche
                            Lettore che presenta solo l’interfaccia NFC per le carte contactless (CIE), senza
                            tecnologia contact per la lettura delle smartcard.
Grazie per l’attenzione.
Sara Pirro, Formazione e Knowledge InfoCamere
Puoi anche leggere