VERSIONI

In.Te.S.A. S.p.A.

Qualified Trust Service Provider

Manuale Operativo per le procedure di firma elettronica qualificata remota in ambito dei servizi bancari e finanziari di Fca Bank

Codice documento: MO_FCABANK

OID: 1.3.76.21.1.50.10

Redazione: Xxxxxxx Xxxx Approvazione: Xxxxxx Xxxxxx Data emissione: 26/11/2019

Versione: 01

VERSIONI

Versione n°: 01		Data Revisione:	26/11/2019
Descrizione modifiche:	nessuna
Motivazioni:	primo rilascio

Sommario

Sommario 2

Riferimenti di legge 3

Definizioni e acronimi 4

A. Introduzione Errore. Il segnalibro non è definito.

A.1. Dati identificativi della versione del Manuale Operativo 6

A.2. Dati identificativi del QTSP – Qualified Trust Service Provider 6

A.2.1. Certification Authority (CA) 7

A.2.2. Local Registration Authority (LRA) 7

B. Obblighi 7

B.1. Obblighi del Prestatore di Servizi Fiduciari Qualificato (QTSP) 7

B.2. Obblighi del Titolare 7

B.3. Obblighi delle Registration Authority esterne (LRA) 9

C. Responsabilità e limitazioni agli indennizzi 10

C.1. Responsabilità del QTSP – Limitazione agli indennizzi 10

C.2. Assicurazione 10

C.3. Identificazione degli utenti 11

C.3.1. Limiti d’uso 11

C.3.2. Codice di Emergenza 12

D. Modalità di revoca e sospensione dei certificati 12

D.1. Revoca dei certificati 12

D.1.1. Revoca su richiesta del Titolare Errore. Il segnalibro non è definito.

D.2. Sospensione dei certificati 14

D.2.1. Sospensione su richiesta del Titolare Errore. Il segnalibro non è definito.

Riferimenti di legge

Testo Unico - DPR 445/00

e successive modificazioni e integrazioni

Decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445.

”Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”.

Nel seguito indicato anche solo come TU.

CAD - DLGS 82/05

e successive modificazioni e integrazioni

Decreto Legislativo 7 Marzo 2005, n. 82. “Codice dell’amministrazione Digitale”. Nel seguito indicato anche solo come CAD.

DPCM 22/02/2013

Nuove Regole Tecniche

e successive modificazioni e integrazioni

Decreto Del Presidente Del Consiglio Dei Ministri 22 febbraio 2013

“Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20 comma 3, 24 comma 4, 28 comma 3,

32 comma 3 lettera b), 35 comma 2, 36 comma 0, x 00” (xxx XXX, xxx).

Nel seguito indicato anche solo come DPCM.

Regolamento (UE) N. 910/2014 (eIDAS)

e successive modificazioni e

integrazioni

Regolamento (UE) n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2104, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.

Nel seguito indicato anche solo come Reg. eIDAS.

GDPR

General Data Protection Regulation

e successive modificazioni e

integrazioni

REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e Del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Nel seguito indicato anche solo come GDPR.

DETERMINAZIONE N. 147/2019

e successive modificazioni e

integrazioni

Linee guida contenenti le “Xxxxxx Xxxxxxxx e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate.

Nel seguito indicato anche solo come DETERMINAZIONE.

Definizioni e acronimi

AgID	Agenzia per l’Italia Digitale (già CNIPA e DigitPA) - xxx.xxxx.xxx.xx. Organismo di Sorveglianza ai sensi del Reg. UE 910/2014 (eIDAS). Nel seguito anche solo Agenzia.
QTSP Qualified Trust Service Provider. Certificatore Accreditato	Prestatore di Servizi Fiduciari Qualificati. Persona fisica o giuridica che presta uno o più servizi fiduciari qualificati. Già Certificatore Accreditato, ai sensi del CAD. Nel presente documento è il QTSP In.Te.S.A. S.p.A.
Servizio Fiduciario Qualificato	Servizio elettronico fornito da un QTSP e consistente negli elementi di cui all’Art.3, punto 16) e 17) del Reg. UE 910/2014 (eIDAS). Nel Presente documento è il QTSP In.Te.S.A. S.p.A. che presta i servizi qualificati di firma elettronica e di validazione temporale elettronica e altri servizi connessi con queste ultime.
Certificato Qualificato di firma elettronica	Attestato elettronico che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona. È rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I del Reg. UE 910/2014 (eIDAS)
CRL	Lista dei Certificati Revocati, Certificate Revocation List, un elenco che riporta i certificati revocati o sospesi, non più considerati validi dal Certificatore che li ha emessi.
OCSP	Online Certificate Status Protocol: servizio di verifica dello stato di validità del Certificato, secondo il protocollo OCSP.
Documento informatico	Il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti
FEQ - Firma Elettronica Qualificata FD - Firma Digitale	Firma elettronica creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche. Coincide, in Italia, con la Firma Digitale definita nel CAD, Art.1, comma1, punto s): Firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al Titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità' di un documento informatico o di un insieme di documenti informatici.
Firma Remota	Particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM custodito e gestito, sotto la responsabilità, dal certificatore accreditato, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse.
HSM - Hardware Security Module	Dispositivi per la creazione della firma elettronica qualificata, se conformi ai requisiti di cui all’Allegato II del Reg. (UE) 910/2014. Anche detti Dispositivi di Firma.
Qualified Electronic Time Stamp (Marca Temporale)	Validazione Temporale Elettronica Qualificata Dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi dati esistevano in quel momento. Risponde ai requisiti dell’Art.42 del Reg. eIDAS
CA - Certification Authority	Autorità che emette i certificati per la firma elettronica.
RA - Registration Authority	Autorità di Registrazione: entità che, su incarico del QTSP, ha la responsabilità di registrare e verificare le informazioni (in particolare modo l’identità del Titolare) necessarie al QTSP per emettere il Certificato Qualificato.
Registro dei Certificati	La combinazione di uno o più archivi informatici, tenuto dal Certificatore, contenente tutti i Certificati emessi.
Richiedente	La Persona Fisica che richiede il Certificato.
Titolare	La Persona Fisica cui il certificato qualificato è rilasciato e che è autorizzato ad usarlo al fine di apporre la propria firma digitale.
Cliente Cliente Prospect	E’ il Cliente (o potenziale cliente, detto Prospect) della Banca / Istituto finanziario.
Riferimento Temporale	Informazione contenente la data e l’ora, che viene associata ad uno o più documenti informatici.
TSA - Time Stamping Authority	Autorità che rilascia le validazioni temporali elettroniche.
Legal Entity	Consociata di Fca Bank

A. Introduzione

Il presente documento costituisce il Manuale Operativo per le procedure di firma elettronica qualificata remota nell’ambito dei servizi bancari e finanziari di FCA Bank (nel seguito, Manuale Operativo o anche solo MO) del QTSP In.Te.S.A. S.p.A.

Il contenuto di questo Manuale Operativo è conforme a quanto stabilito dalle regole tecniche contenute nel Decreto del Presidente del Consiglio dei Ministri del 22 Febbraio 2013 (di seguito DPCM) e dal D. lgs. 7 marzo 2005, n. 82, recante il “Codice dell'Amministrazione Digitale” come successivamente modificato e integrato (di seguito “CAD”) ed è conforme al Regolamento UE 910/2014 (nel seguito, Reg. eIDAS).

Per quanto non espressamente previsto nel presente Manuale Operativo si fa riferimento alle norme vigenti e future che regolano la fattispecie concreta.

Questo documento descrive le regole e le procedure operative del QTSP In.Te.S.A. S.p.A. (nel seguito, QTSP INTESA, Certificatore ovvero anche solo INTESA) per l’emissione dei certificati qualificati, la generazione e la verifica della firma elettronica qualificata e le procedure del servizio di validazione temporale in conformità con la vigente normativa quando questa è gestita all’interno di progetti bancari o finanziari di FCA Bank.

In questa tipologia di progetti, FCA Bank e le sue consociate, fungeranno anche, da Local Registration Authority (nel seguito, LRA) per conto del QTSP INTESA.

In questo contesto, i Titolari di un Certificato Qualificato sono solo i soggetti identificati dalla stessa FCA Bank e dalle LRA che, in virtù di specifico accordo con il QTSP INTESA, sono autorizzate a svolgere la funzione di Registration Authority.

Si sottolinea pertanto che tutti i processi di sottoscrizione di documenti oggetto del presente Manuale Operativo saranno implementati esclusivamente all’interno di applicazioni bancarie o finanziarie di FCA Bank. Le attività descritte nel presente Manuale Operativo sono svolte in conformità con il Reg. UE 910/2014 (eIDAS).

B. Validità

Quanto descritto in questo documento si applica al QTSP INTESA (cioè alle sue infrastrutture logistiche e tecniche, nonché al suo personale), ai Titolari dei certificati da esso emessi e a quanti utilizzino tali certificati per verificare l'autenticità e l'integrità dei documenti cui sia apposta una firma elettronica qualificata, anche avvalendosi delle marche temporali qualificate emesse dal QTSP INTESA, e da FCA Bank e dalle LRA.

L'uso delle chiavi e dei relativi certificati emessi è regolato da quanto disposto dall'Art.5, comma 4 del DPCM, in cui si dispone che le chiavi di creazione e verifica della firma e i correlati servizi si distinguono secondo le seguenti tipologie:

a) chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti;

b) chiavi di certificazione, destinate alla generazione e verifica delle firme apposte ai certificati qualificati, alle informazioni sullo stato di validità del certificato ovvero alla sottoscrizione dei certificati relativi a chiavi di validazione temporale elettronica;

chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali

C. Dati identificativi della versione del Manuale Operativo

Il presente documento costituisce la versione n. 04 del Manuale Operativo per le procedure di firma elettronica qualificata remota in ambito bancario e finanziario, rilasciato in conformità con l'Art.40 del DPCM. L’object identifier di questo documento è 1.3.76.21.1.50.110.

Il presente Manuale Operativo è pubblicato e consultabile per via telematica:

• all’indirizzo Internet del QTSP, xxxxx://xxx.xxxxxx.xx/x-xxxxxxxx/

• all’indirizzo Internet dell’Agenzia per l’Italia Digitale, xxx.xxxx.xxx.xx

• nell’ambito del sito istituzionale della Banca / Istituto.

Nota: la pubblicazione di versioni aggiornate del presente Manuale Operativo potrà avvenire solo previa autorizzazione dell’Agenzia per l’Italia Digitale.

D. Dati identificativi del QTSP – Qualified Trust Service Provider

Il QTSP (Prestatore di Servizi Fiduciari Qualificati) è la società In.Te.S.A. S.p.A., di cui di seguito sono riportati i dati identificativi.

Denominazione sociale In.Te.S.A. S.p.A.

Indirizzo della sede legale Xxxxxx Xxxxxxxx, 000 00000 Xxxxxx

Legale Rappresentante Amministratore Delegato Registro delle Imprese di Torino N. Iscrizione 1692/87

N. di Partita I.V.A. 00000000000

N. di telefono (centralino) x00.000.00000.000

Sito Internet xxx.xxxxxx.xx

Indirizzo di posta elettronica xxxxxxxxx@xxxxxx.xx

Indirizzo (URL) registro dei certificati ldap://x000.x-xxxxxxxx.xxxxxx.xx ISO Object Identifier (OID) 1.3.76.21.1

Il personale responsabile delle attività di certificazione, in conformità con l'Art.38 del DPCM, è articolato nelle figure seguenti:

a) Responsabile della sicurezza.

b) Responsabile del servizio di certificazione e validazione temporale.

c) Responsabile della conduzione tecnica dei sistemi.

d) Responsabile dei servizi tecnici e logistici.

e) Responsabile delle verifiche e delle ispezioni (auditing).

Le figure sopra elencate sono tutte appartenenti all’organizzazione del QTSP INTESA.

E. Responsabilità del Manuale Operativo

La responsabilità del presente Manuale Operativo, ai sensi dell’Art.40 comma 3 lett. c) del DPCM, è della Certification Authority INTESA, che ne cura la stesura e la pubblicazione.

Allo scopo di raccogliere eventuali osservazioni e richieste di chiarimenti, INTESA ha predisposto i seguenti strumenti:

un recapito di posta elettronica:xxxxxxxxx@xxxxxx.xx un recapito telefonico: +39 011.192.16.111

un servizio di HelpDesk per le chiamate dall’Italia 000.00.00.00

per le chiamate dall’estero x00 00.000.000.000

F. Certification Authority (CA)

INTESA, operando in ottemperanza a quanto previsto dal DPCM, CAD e dal Reg. eIDAS, espleta le attività di Qualified Trust Service Provider. Tali attività includono i servizi fiduciari qualificati di creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche (marche temporali).

G. Local Registration Authority (LRA)

Per la particolare tipologia di servizio offerto (firma elettronica qualificata remota nell’ambito delle applicazioni bancarie e finanziarie) descritta nel presente Manuale Operativo, il QTSP INTESA demanda lo svolgimento delle funzioni di Registration Authority a FCA Bank e alle LRA che si impegnano a svolgere le seguenti attività:

• Identificazione del Titolare;

• Registrazione del Titolare;

FCA Bank e le LRA, nell’esercizio della funzione di Registration Authority, dovranno vigilare affinché l’attività di riconoscimento si svolga nel rispetto della normativa vigente e di quanto previsto nel presente Manuale Operativo.

H. Obblighi

G.1. Obblighi del Prestatore di Servizi Fiduciari Qualificato (QTSP)

Nello svolgimento della sua attività, il Prestatore di Servizi Fiduciari Qualificato (indicato anche come

Certificatore Accreditato) opera in conformità con quanto disposto dal:

• Decreto Legislativo del 7 marzo 2005, n.82 e successive modifiche.

• Decreto Presidente del Consiglio dei Ministri 22 Febbraio 2013.

• Regolamento (UE) 2016/679 (GDPR)

• Regolamento (UE) 910/2014 (eIDAS) In particolare, il QTSP:

• adotta tutte le misure organizzative e tecniche idonee ad evitare danno ad altri;

• si attiene alle regole tecniche specificate nel DPCM e ss.mm.ii.;

• garantisce che il proprio Sistema qualità sia conforme alle norme ISO 9001;

• assicura che il dispositivo per la generazione delle firme (HSM) abbia i requisiti di sicurezza previsti dall’Art.29 del Reg. eIDAS;

• rilascia e rende pubblico il certificato qualificato, se non diversamente specificato dal Titolare, secondo quanto stabilito all’Art.32 del CAD;

• informa i richiedenti, in modo esplicito e chiaro, sulla procedura di certificazione, sui necessari requisiti tecnici per accedervi, sulle caratteristiche e sulle limitazioni d’uso delle firme emesse sulla base del servizio di certificazione;

• si attiene alle misure di sicurezza per il trattamento dei dati personali (GDPR);

• non si rende depositario di dati per la creazione della firma del Titolare;

• procede alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del Titolare o del terzo interessato;

• assicura la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;

• tiene registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato per 20 (venti) anni in particolare al fine di fornire prova della certificazione in eventuali procedimenti giudiziari;

• assicura che il codice identificativo (di esclusiva pertinenza del QTSP) assegnato a ciascun Titolare sia univoco nell’ambito dei propri utenti;

• predispone su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione. Tra questi citiamo: gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie. Dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio e il QTSP;

• utilizza sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal Titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza;

registra l'emissione dei certificati qualificati nel giornale di controllo con la specificazione della data e dell'ora della generazione.

Secondo quanto stabilito dall’Art.14 del DPCM, il Certificatore fornisce ovvero indica almeno un sistema che consenta di effettuare la verifica delle firme digitali.

Inoltre, il QTSP:

• genera un certificato qualificato, per ciascuna delle chiavi di firma elettronica avanzata utilizzate dall’Agenzia per l’Italia Digitale per la sottoscrizione dell'elenco pubblico dei certificatori, e lo pubblica nel proprio registro dei certificati ai sensi dell’Art.42 del DPCM;

• indica un sistema di verifica della firma elettronica, di cui all’Art.10 del DPCM;

• mantiene copia della lista, sottoscritta dall’Agenzia per l’Italia Digitale, dei certificati relativi alle chiavi di certificazione di cui all’Art.43 del DPCM, e la rende accessibile per via telematica come stabilito dall’Art.42, comma 3 del DPCM.

I. Obblighi del Titolare

Il Titolare richiedente un certificato qualificato per i servizi descritti nel presente Manuale Operativo è un cliente di FCA Bank.

Il Titolare riceverà un certificato qualificato per la Firma Elettronica Qualificata Remota, con cui poter sottoscrivere contratti e documenti relativi a prodotti e/o servizi offerti da FCA Bank.

Il Titolare è tenuto a conservare le informazioni necessarie all’utilizzo della propria chiave privata di firma in modo adeguato e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri (CAD, Art.32, comma 1).

Il Titolare della chiave deve inoltre:

• fornire tutte le informazioni richieste dal QTSP, garantendone l’attendibilità sotto la propria responsabilità;

• inoltrare la richiesta di certificazione secondo le modalità indicate in questo Manuale Operativo;

• comunicare al QTSP, anche per tramite della LRA, eventuali variazioni alle informazioni fornite all'atto della registrazione: dati anagrafici, residenza, recapiti telefonici, indirizzo di posta elettronica, ecc.;

• conservare con la massima cura e diligenza le informazioni di abilitazione all'uso della chiave privata;

• fare immediata denuncia alle Autorità competenti, FCA Bank e LRA, in caso di perdita o furto dei codici e/o dei dispositivi indicati per accedere alle proprie chiavi di firma; IL QTSP provvederà all’immediata revoca del certificato;

• inoltrare eventuali richieste di revoca e di sospensione del certificato qualificato secondo quanto indicato nel presente Manuale Operativo.

J. Obblighi delle Registration Authority esterne (LRA)

Il QTSP INTESA, per esigenze connesse alla fornitura del servizio, si avvale per i seguenti paesi:

• Italia

• Spagna

• Portogallo

• Francia

• Polonia

• Austria

• Germania

• Paesi Bassi

• Grecia

di ulteriori soggetti (nel seguito denominati RA esterne o LRA – Local Registration Authority) per svolgere una parte delle attività proprie dell’Ufficio di registrazione.

Il QTSP In.Te.S.A. S.p.A. demanda lo svolgimento della funzione di Registration Authority a LRA definite con FCA Bank mediante specifico Contratto di Mandato, sottoscritto da entrambe le parti.

In particolare, le RA esterne espletano le seguenti attività:

• identificazione con certezza del richiedente la certificazione (in seguito Titolare del certificato);

• registrazione del richiedente / Titolare;

• consegna al Titolare di codici che gli permetteranno di accedere alla propria chiave di firma nel rispetto degli Art.8 e 10 comma 2 del DPCM;

• invio della documentazione sottoscritta all’Ufficio RA del QTSP INTESA, salvo differenti accordi riportati sul contratto di mandato.

Nel Contratto di Mandato sono esplicitati gli obblighi cui si devono attenere le LRA sui quali il QTSP ha l’obbligo di vigilare.

In particolare, si richiede alla LRA di:

• vigilare affinché l’attività di identificazione posta in essere si svolga nel rispetto della normativa vigente (CAD e ss.mm.ii., DPCM, Reg. eIDAS e normativa in materia di Antiriciclaggio);

• utilizzare e trattare i dati personali acquisiti in fase di riconoscimento in accordo con il GDPR;

• rendere disponibile al QTSP INTESA il materiale raccolto nella fase di identificazione e registrazione.

Il servizio di identificazione (adeguata verifica) potrà essere gestito in tre modalità differenti, di seguito descritte:

• Canonica: il Richiedente viene identificato presso una LRA;

• On demand: all’apertura di un nuovo conto corrente, il Richiedente potrà chiedere di essere contattato da un Personal Financial Adviser che, fissatogli un appuntamento, supporterà il Cliente in tutte le procedure inerenti all’apertura di un Conto Corrente. In questa fase il Cliente verrà guidato (dopo essere stato identificato e registrato) anche nella richiesta di un certificato di firma elettronica qualificata;

• On line: se invece il Richiedente dovesse scegliere la modalità di adesione diretta ed è già titolare di un conto corrente presso una Banca sul territorio nazionale, per essere riconosciuto ai fini di legge potrà:

- utilizzare una procedura SEPA (o SDD - SEPA Direct Debit);

- disporre un bonifico dal conto corrente già aperto presso la Banca di cui prima.

Attraverso le procedure di cui sopra, la LRA entrerà in possesso di tutte le informazioni previste dalla legge, in totale sicurezza e nel pieno rispetto della privacy.

K. Responsabilità e limitazioni agli indennizzi

L. Responsabilità del QTSP – Limitazione agli indennizzi

Il QTSP INTESA è responsabile verso i Titolari per l'adempimento di tutti gli obblighi discendenti dall'espletamento delle attività previste dal DPCM, dal GDPR, dal CAD e dal Reg. eIDAS (e ogni loro ss.mm.ii.), come descritto al par. 0.Obblighi del Prestatore di Servizi Fiduciari Qualificato (QTSP).

INTESA, fatti salvi i casi di dolo o colpa (Reg. eIDAS, Art.13), non assume alcuna responsabilità per le conseguenze derivanti da un uso dei certificati diverso da quanto disposto dall'Art.5 del DPCM, e in particolare dal mancato rispetto da parte del Titolare e dal Terzo Interessato di quanto indicato nel presente Manuale Operativo e/o dalla mancata osservanza da parte degli stessi della normativa vigente.

Parimenti, INTESA non potrà essere ritenuta responsabile delle conseguenze dovute a cause ad essa non imputabili, quali, a solo titolo esemplificativo: calamità naturali, disservizi e/o disfunzioni tecniche e logistiche al di fuori del proprio controllo, interventi dell'Autorità, rivolte o atti di guerra che colpiscano anche o solo i soggetti delle cui attività INTESA si avvale per la prestazione dei propri servizi di certificazione.

Il QTSP INTESA non sarà responsabile per i danni derivanti da un utilizzo non conforme del Certificato Qualificato per la Firma digitale Remota in relazione alla limitazione d’uso come specificata al par. 0.

Il Titolare, a seguito della presa visione del presente Manuale Operativo, deve porre in opera tutte quelle misure di speciale diligenza atte ad evitare danni a terzi legati all’uso improprio di quanto fornito dal certificatore accreditato. Si ricorda, in particolare, di conservare con la dovuta diligenza i dispositivi OTP e i codici segreti indispensabili per accedere alle chiavi di firma.

Il QTSP INTESA ai sensi dell’ art 32 comma 4 CAD è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi.

M. Assicurazione

Il QTSP INTESA è beneficiario di contratti assicurativi per la copertura dei rischi dell'attività e dei danni causati a terzi, il cui contenuto è in linea con quanto necessario per svolgere l'attività professionale di cui trattasi.

Di tale contratto è inviata ad AgID apposita dichiarazione di stipula.

N. Identificazione degli utenti

Il QTSP deve verificare con certezza l’identità del richiedente alla prima richiesta di emissione di certificato qualificato.

La suddetta operazione viene demandata alla LRA e in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio, identificherà e registrerà il Titolare.

Per i successivi rinnovi, se effettuati quando il certificato qualificato è ancora in corso di validità, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al QTSP attraverso la LRA gli eventuali cambiamenti relativi ai propri dati di registrazione.

Fra i dati di registrazione necessari per l’esecuzione del servizio oggetto del presente documento ricordiamo:

• Nome e Cognome;

• Data di nascita;

• Comune o stato estero di nascita;

• Codice fiscale (nel caso in cui al titolare non sia stato assegnato un codice fiscale dall’autorità italiana è possibile indicare analogo numero di identificazione fiscale rilasciato da altra autorità dell’Unione)

• Indirizzo di residenza;

• Numero di telefono cellulare;

• Indirizzo di posta elettronica;

• Tipo e numero del documento d’identità esibito;

• Autorità che ha rilasciato il documento e data e luogo del rilascio e di scadenza.

Al termine di questa fase di registrazione, al Titolare potrà essere

indicato come attivare un sistema di autenticazione software che permetterà la generazione di una One Time Password sul dispositivo mobile del Titolare e potrà essere pertanto utilizzato come strumento di autenticazione ai sistemi di firma remota.

Oltre all’OTP, saranno forniti al Titolare tutte le informazioni necessarie e un Personal Identification Number (PIN) che possano garantirgli un accesso sicuro al servizio di firma remota resogli disponibile da FCA Bank.

Lo stesso PIN potrà essere utilizzato come codice di emergenza per sospendere con urgenza il certificato qualificato a lui intestato (par. N.1.2).

Il PIN potrà essere successivamente modificato o aggiornato dal Titolare usufruendo dei servizi che FCA Bank gli metterà a disposizione.

L’inserimento del PIN non è richiesto qualora dovessero essere utilizzati certificati “one shot” utilizzabili solo una volta sola in operazioni di firma immediatamente successive alla loro emissione (aventi durata limitata nel tempo).

In questa fase vengono anche fornite al Titolare le necessarie informazioni per permettergli di cambiare in qualsiasi momento il numero di cellulare precedentemente fornito.

Inoltre, preventivamente alla richiesta di rilascio di un certificato qualificato, il Titolare dovrà:

• prendere visione del Manuale Operativo del QTSP INTESA;

• autorizzare FCA Bank e le LRA al trattamento dei propri dati personali per le finalità legate all’emissione di un certificato qualificato per la firma elettronica.

La documentazione precedente, relativa alla registrazione dei Titolari, è conservata per 20 (venti) anni dalla scadenza del certificato.

N.1.1. Limiti d’uso

Nel Certificato Qualificato per la firma elettronica, emesso nell’ambito dei servizi descritti nel presente Manuale e offerti da FCA Bank, è inserito sempre un limite d’uso.

La formula standard è la seguente:

“Il presente certificato e' valido solo per firme apposte con procedura automatica per la sottoscrizione di documenti e/o contratti relativi a prodotti e/o servizi offerti o distribuiti da Legal entity"

"This certificate may only be used for unattended/automatic digital signature for the signature of documents concerning products and/or services offered or distributed by Legal entity".

Specifici limiti d’uso potranno essere concordati con FCA Bank.

INTESA non è responsabile dei danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti allo stesso o derivanti dal superamento di tale limite.

N.1.2. Codice di Emergenza

Il Certificatore garantisce, in conformità con quanto previsto dall’Art.21 del DPCM, un codice di emergenza da utilizzarsi per richiedere la sospensione urgente del Certificato.

Nelle applicazioni descritte dal presente Manuale Operativo, sarà considerato come codice di emergenza il PIN consegnato al Titolare all’atto della sua registrazione.

O. Modalità di revoca e sospensione dei certificati

Un certificato può essere revocato su richiesta del Titolare, del Terzo Interessato o della Certification Authority (cioè il QTSP).

Il certificato revocato non può essere in alcun modo riattivato.

P. Revoca dei certificati

Un certificato può essere revocato su richiesta del Titolare, del Terzo Interessato o della Certification Authority (cioè il QTSP).

Il certificato revocato non può essere in alcun modo riattivato.

P.1.1. Revoca su richiesta del Titolare

Il Titolare può richiedere la revoca mettendosi in contatto diretto con il Servizio Clienti di FCA Bank o di una LRA.

Il QTSP, avvertito da FCA Bank, provvederà alla immediata revoca del certificato.

P.1.2. Revoca su richiesta del Terzo Interessato

FCA Bank, in qualità di Terzo Interessato, può richiedere la revoca del certificato.

Il QTSP, accertata la correttezza della richiesta, darà notizia della revoca ai Titolari interessati utilizzando i canali di comunicazione definiti con il Titolare all’atto della registrazione o successivamente aggiornati e comunicati dal Titolare al QTSP, anche per mezzo delle LRA (par . 0. Nello svolgimento della sua attività, il Prestatore di Servizi Fiduciari Qualificato (indicato anche come Certificatore Accreditato) opera in conformità con quanto disposto dal:

• Decreto Legislativo del 7 marzo 2005, n.82 e successive modifiche.

• Decreto Presidente del Consiglio dei Ministri 22 Febbraio 2013.

• Regolamento (UE) 2016/679 (GDPR)

• Regolamento (UE) 910/2014 (eIDAS) In particolare, il QTSP:

• adotta tutte le misure organizzative e tecniche idonee ad evitare danno ad altri;

• si attiene alle regole tecniche specificate nel DPCM e ss.mm.ii.;

• garantisce che il proprio Sistema qualità sia conforme alle norme ISO 9001;

• assicura che il dispositivo per la generazione delle firme (HSM) abbia i requisiti di sicurezza previsti dall’Art.29 del Reg. eIDAS;

• rilascia e rende pubblico il certificato qualificato, se non diversamente specificato dal Titolare, secondo quanto stabilito all’Art.32 del CAD;

• si attiene alle misure di sicurezza per il trattamento dei dati personali (GDPR);

• non si rende depositario di dati per la creazione della firma del Titolare;

• procede alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del Titolare o del terzo interessato;

• assicura la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;

• assicura che il codice identificativo (di esclusiva pertinenza del QTSP) assegnato a ciascun Titolare sia univoco nell’ambito dei propri utenti;

registra l'emissione dei certificati qualificati nel giornale di controllo con la specificazione della data e dell'ora della generazione.

Secondo quanto stabilito dall’Art.14 del DPCM, il Certificatore fornisce ovvero indica almeno un sistema che consenta di effettuare la verifica delle firme digitali.

Inoltre, il QTSP:

• indica un sistema di verifica della firma elettronica, di cui all’Art.10 del DPCM;

Obblighi del Titolare).

P.1.3. Revoca su iniziativa del Certificatore

Il Certificatore che intende revocare il Certificato Qualificato, salvo casi di motivata urgenza, ne dà preventiva comunicazione via e-mail a FCA Bank (Terzo interessato) e contemporaneamente invia comunicazione al Titolare utilizzando l’indirizzo e-mail fornito in fase di richiesta del certificato.

P.1.4. Revoca dei certificati relativi a chiavi di certificazione

Nei casi di:

• compromissione della chiave di certificazione,

• cessazione dell'attività,

il Certificatore procede con la revoca dei certificati di certificazione corrispondenti e dei certificati di sottoscrizione firmati con la stessa chiave di certificazione.

Entro 24 ore, il Certificatore notificherà la revoca all’Agenzia per l’Italia digitale e ai Titolari.

Q. Sospensione dei certificati.

Sulle modalità di sospensione e di notifica della medesima vale quanto detto per le modalità di revoca al par.

La sospensione di un certificato è prevista nel caso in cui si debba fare un supplemento di indagine per verificare se debba effettivamente essere revocato (ad esempio nei casi in cui si tema lo smarrimento / furto delle credenziali per accedere al certificato, o si debbano fare riscontri per avere certezza dell'effettiva cessazione del Titolare dalla mansione per la quale gli era stato emesso il certificato, ecc.).

La richiesta di sospensione può essere avanzata da tutte le entità previste dal DPCM agli Artt. 27, 28 e 29 (Certificatore, Titolare, Terzo Interessato).

In assenza di comunicazioni da parte del Titolare, il certificato verrà automaticamente revocato dopo un periodo di sospensione di 90 (novanta) giorni o comunque entro la data di scadenza del certificato stesso. La data di decorrenza della revoca coinciderà, in ogni caso, con la data di decorrenza della sospensione.

Q.1.1. Sospensione su richiesta del Titolare

Il Titolare può richiedere la sospensione del certificato mettendosi in contatto diretto con il Servizio Clienti di FCA Bank o della LRA.

Il Certificatore procede alla sospensione che verrà comunicata al Titolare utilizzando specifiche funzioni rese disponibili all’interno dei servizi di FCA Bank.

Il Titolare successivamente potrà richiedere il ripristino del certificato secondo le modalità rese disponibili sempre da FCA Bank.

In assenza di comunicazioni ulteriori, il certificato sospeso sarà automaticamente revocato al termine del periodo di sospensione e la data di revoca coinciderà con la data di decorrenza della sospensione.

Q.1.2. Sospensione su richiesta del Terzo Interessato

FCA Bank, in qualità di Terzo Interessato, potrà richiedere la sospensione del certificato.

Il Certificatore, accertata la correttezza della richiesta, sospenderà tempestivamente il certificato e ne darà notizia della sospensione ai Xxxxxxxx interessati tramite posta elettronica.

Q.1.3. Sospensione su iniziativa del Certificatore

Il Certificatore, salvo i casi di motivata urgenza, potrà sospendere il certificato dandone preventiva comunicazione al Titolare all’indirizzo e-mail fornito in fase di richiesta del certificato comunicato in fase di registrazione, specificando i motivi della sospensione e data e ora a partire dalle quali tale sospensione sarà efficace.

Una comunicazione analoga verrà inviata dal Certificatore anche al Terzo Interessato.

R. Modalità di gestione del Registro dei certificati

Nel registro dei certificati, INTESA pubblica:

1. I certificati delle chiavi di sottoscrizione e del sistema di validazione temporale.

2. I certificati delle chiavi di certificazione (CA e TSCA).

3. I certificati emessi a seguito della sostituzione delle chiavi di certificazione.

4. Certificati per le chiavi di firma dell’Agenzia per l’Italia Digitale (DPCM Art.42, comma 1).

5. Le liste di revoca e sospensione (CRL).

Le operazioni che coinvolgono il registro dei certificati vengono svolte soltanto dalle persone a ciò autorizzate, presenti in quantità adeguata a impedire azioni illecite da parte di un limitato numero di addetti.

Il Certificatore mantiene una copia di riferimento del registro dei certificati inaccessibile dall’esterno; questa aggiorna in tempo reale la copia operativa, accessibile da parte degli utenti con protocollo LDAP.

La verifica di rispondenza tra copia di riferimento e copia operativa è fatta sistematicamente.

Document Metadata

Table of Contents

VERSIONI

Document Metadata