DBA GROUP | Manuale operativo FEA
MANUALE OPERATIVO DELLA SOLUZIONE FEA - Firma Elettronica Avanzata
1. DEFINIZIONE E VALORE DELLA FIRMA ELETTRONICA AVANZATA
La firma o sottoscrizione elettronica di un documento informatico, assolve alla funzione di permettere l’individuazione certa della provenienza, ovvero della paternità del documento, oltre a quella di garantire l’immodificabilità e l’integrità.
Nel caso della firma elettronica avanzata, comunemente indicata in forma abbreviata come “FEA”, la sottoscrizione avviene mediante una rigida procedura informatica atta a garantire al documento informatico a cui è associata il requisito della forma scritta e la piena efficacia prevista dall’art. 2702 del Codice civile, ai sensi dell’art. 20 comma 1-bis del CAD.
La soluzione FEA deve rispettare le disposizioni del Decreto Legislativo 82/2005 e s.m.i (Codice dell’Amministrazione Digitale, di seguito “CAD”), delle regole tecniche in materia di FEA di cui al Decreto del Presidente del Consiglio dei Ministri del 22.02.2013 e s.m.i (di seguito “DPCM”) e le Linee Guida AgID in materia di formazione gestione e conservazione dei documenti informatici.
2. SCOPO DEL MANUALE OPERATIVO
Il manuale operativo FEA intende illustrare in modo descrittivo agli utilizzatori firmatari le caratteristiche peculiari della soluzione di firma elettronica avanzata adottata dal soggetto Erogatore DBA GROUP S.p.A. con sede legale in Viale G.G. Felissent, 20/D – 31020 Villorba (TV), in persona del suo Amministratore Delegato Ing. Raffaele De Bettin, con codice fiscale 04489820268.
3. CARATTERISTICHE DELLA SOLUZIONE FEA
La soluzione di FEA REMOTA adottata dal soggetto Erogatore, in ottemperanza all’art. 56 comma 1 del DPCM garantisce:
-
l’identificazione del Firmatario del documento (adempimento in carico al soggetto Erogatore);
-
la connessione univoca della firma al Firmatario;
-
il controllo esclusivo del firmatario del sistema di generazione della firma;
-
la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma;
-
la possibilità per il Firmatario di ottenere evidenza di quanto sottoscritto;
-
l'individuazione del soggetto Erogatore della soluzione di FEA REMOTA;
-
l'assenza di qualunque elemento nell'oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
-
la connessione univoca della firma al documento sottoscritto.
La soluzione FEA REMOTA, altresì, utilizza esclusivamente canali trasmissivi crittografati e misure di sicurezza conformi al Regolamento (UE) 679/2016 e s.m.i ("GDPR").
3.1 Adesione e revoca all’utilizzo della soluzione FEA
Il Firmatario per utilizzare la soluzione FEA deve obbligatoriamente essere identificato e preventivamente prestare la propria adesione firmando l’apposito modulo di adesione del soggetto Erogatore (dichiarazione di accettazione) ai sensi dell’art. 57 comma 1 lett. a) del DPCM, sottoscrivendo dal portale mediante la soluzione di firma elettronica basata su OTP, con la quale manifesta la volontà di aderire alla soluzione FEA e di accettare la modalità di trattamento dei dati personali.
L’adesione alla soluzione FEA è facoltativa e può essere revocata in qualsiasi momento dal Firmatario. Laddove il firmatario non accetti di aderire alla soluzione FEA o la revochi successivamente, il processo di sottoscrizione dei documenti viene comunque realizzato in modalità tradizionale cartacea o mediante altra modalità concordata.
Il firmatario può effettuare senza alcun vincolo una revoca al servizio FEA selezionando il pulsante di revoca sul portale di firma e sottoscrivendo la revoca mediante una soluzione di firma elettronica basata su OTP.
3.2 Identificazione del Firmatario del documento
Il soggetto Erogatore ha l’onere operativo di identificare in modo certo il Firmatario richiedendo il relativo documento di riconoscimento (in corso di validità), di cui ne acquisisce copia in fase di adesione al servizio FEA. La copia del documento di riconoscimento ed il modulo di adesione al servizio sottoscritto dal Firmatario sono conservati digitalmente per almeno 20 anni.
3.3 Connessione univoca della firma al Firmatario
L’univocità della connessione della firma al firmatario, presupposto obbligatorio per la sottoscrizione del documento informatico, viene garantita dalla correlazione univoca via software del Firmatario al processo di sottoscrizione, nonché dall’utilizzo da parte del firmatario di un codice “One Time Password” OTP ricevuto dalla soluzione e imputato dal Firmatario proprio per creare un collegamento univoco e indissolubile tra la transazione di firma, il documento e il Firmatario.
Al termine del processo di firma FEA, al fine di rafforzare ulteriormente l’efficacia probatoria, la soluzione FEA genera automaticamente un documento Dossier di firma, firmato digitalmente dall’Erogatore che ha la finalità di registrare tutti i passaggi effettuati e gli eventi e dati della transazione di firma (i dati anagrafici del Firmatario, etc..) associando la firma in maniera univoca al Firmatario ed al documento.
3.4 Controllo esclusivo del firmatario del sistema di generazione della FEA
Il Firmatario, dopo essere stato identificato e aver aderito alla soluzione FEA REMOTA, può sottoscrivere documenti informatici mantenendo un controllo esclusivo sulla soluzione FEA da lui utilizzata, attraverso la seguente procedura:
-
il Firmatario può ricevere un avviso di documenti da firmare tramite diversi canali: mobile app, e-mail, sms o pec. Accedendo alla piattaforma web il firmatario trova il documento da sottoscrivere, potendo verificare personalmente e in autonomia il contenuto del documento, i propri dati ed ogni dettaglio sulle condizioni e/o clausole da sottoscrivere, prima di attivare il processo di FEA REMOTA;
-
l’attivazione della FEA REMOTA sul documento avviene attraverso la seguente procedura:
-
-
il Firmatario conferma il contenuto del documento cliccando sul tasto di “presa visione”;
-
il Firmatario decide di firmare manifestando la scelta di “firma” in relazione al documento, il sistema genera un codice OTP (One Time Password) con validità temporale limitata e univocamente associato alla transazione di firma;
-
il Firmatario riceve il codice OTP mediante diversi possibili metodi (ad esempio sms, mobile app, e-mail, etc.) e deve imputare l’OTP ricevuto alla transazione di firma inserendolo sulla piattaforma on line;
-
con l’associazione del codice OTP alla transazione di firma il Firmatario manifesta la volontà di firmare il documento e mantiene il controllo esclusivo sul documento e la firma;
-
-
il documento viene poi firmato digitalmente con certificato qualificato di firma digitale intestato all’Erogatore.
-
il Dossier di firma, generato alla fine della transazione di firma e firmato digitalmente con firma elettronica qualificata dall’Erogatore, ha la finalità di registrare tutti i passaggi effettuati e gli eventi e dati della transazione di firma (i dati anagrafici del Firmatario, etc..) associando la firma in maniera univoca al Firmatario ed al documento;
-
il documento così firmato e il dossier di firma sono inviati al servizio di conservazione digitale a norma.
3.5 Possibilità di verifica che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma
Al termine della sottoscrizione con FEA il documento informatico è firmato digitalmente con il certificato qualificato del Soggetto Erogatore emesso da un Prestatore di Servizi Fiduciari Qualificato o Certificatore Accreditato presso l’Agenzia per l’Italia Digitale.
Il Dossier di firma, generato alla fine della transazione di firma e firmato digitalmente con firma elettronica qualificata dall’Erogatore, ha altresì la finalità di registrare tutti i passaggi effettuati e gli eventi e dati della transazione di firma, tra cui l’impronta (hash) del documento sottoscritto.
Quanto predetto consente di garantire l’integrità e l’immodificabilità nel tempo del documento informatico sottoscritto dal Firmatario.
3.6 Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
Il documento sottoscritto con la soluzione FEA REMOTA e il Dossier di firma vengono messi a disposizione del Firmatario, che quindi può avere a disposizione l’evidenza di quanto sottoscritto.
3.7 Individuazione del soggetto Erogatore della soluzione FEA
Nel modulo di adesione FEA viene espressamente indicato, con i suoi dati identificativi, chi è il soggetto che eroga la soluzione di FEA ai sensi dell’art 55, comma 2, lett. a), del DPCM.
3.8 Assenza nell’oggetto della sottoscrizione di qualunque elemento idoneo a modificarne gli atti, i fatti e i dati in esso rappresentati
I documenti prodotti nell’ambito della soluzione FEA utilizzano esclusivamente formati atti a garantire l’assenza di qualunque elemento idoneo a modificare gli atti, i fatti e i dati in essi rappresentati, in conformità all’Allegato 2 delle Linee Guida AgID in materia di formazione gestione e conservazione dei documenti informatici.
I documenti prodotti sono esclusivamente in formato standard ISO PDF/A (non contenente script, macro, campi da riempire od altri elementi che, dopo la generazione, potrebbero alterarne il contenuto).
3.9 Connessione univoca della firma al documento sottoscritto
I dati della transazione di firma FEA, integrati con informazioni aggiuntive, vengono inseriti nel documento Dossier di firma che li unisce indissolubilmente all’impronta informatica (hash) del documento sottoscritto.
4. COPERTURA ASSICURATIVA
L'Erogatore al fine di proteggere i Firmatari e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche della soluzione FEA è dotato di una copertura assicurativa per la responsabilità civile rilasciata da una società assicurativa abilitata ad esercitare nel campo dei rischi industriali per un ammontare non inferiore ad euro cinquecentomila, in conformità a quanto previsto dall’art. 57, comma 2 del DPCM.