ai sensi del Regolamento (UE) N. 910/2014 (eIDAS)
In.Te.S.A. S.p.A.
Qualified Trust Service Provider
ai sensi del Regolamento (UE) N. 910/2014 (eIDAS)
Manuale Operativo
per le procedure di firma digitale remota nell’ambito dei servizi
di Banco BPM S.p.A.
Codice documento: MO_BP OID: 1.3.76.21.1.3.1.180
Redazione: Xxxxxxx Xxxx
Approvazione: Xxxxxx Xxxxxxx
(Resp. servizio di certificazione e validazione temporale)
Data emissione: 10/01/2023
Versione: 10
Firmato da:
Xxxxxxx Xxxx
Organizzazione: IN.TE.S.A. - INIZIATIVE TELEMATICHE PER I SERVIZI APPLICATIVI S.P.A./05262890014
Revisioni
Versione n°: 10 | Data Revisione: | 10/01/2023 |
Descrizione modifiche: | Aggiornamento par.F.1.1 - Limiti d’uso Correzione lievi refusi | |
Motivazioni: | Aggiornamento Limite d’uso dei certificati qualificati. | |
Versione n°: 09 | Data Revisione: | 14/06/2022 |
Descrizione modifiche: | Aggiornamento par. G: aggiunta sezione SPID Aggiornamento par H.1: aggiunta sezione autenticazione biometrica Aggiornamento descrittivo par. Q- Modalità per l’apposizione e la definizione del riferimento temporale Correzione lievi refusi | |
Motivazioni: | Nuove modalità di emissione e di utilizzo dei certificati. | |
Versione n°: 08 | Data Revisione: | 30/03/2022 |
Descrizione modifiche: | Aggiornamento descrittivo par. G.3.1 - Rilascio tramite firma in ambiti chiusi di utenti Aggiornamento descrittivo par. Q - Modalità per l’apposizione e la definizione del riferimento temporale | |
Motivazioni: | Aggiornamenti e correzione refusi | |
Versione n°: 07 | Data Revisione: | 31/12/2021 |
Descrizione modifiche: | ||
Motivazioni: | Variazione proprietà, direzione e coordinamento Aggiornamenti normativi | |
Versione n°: 06 | Data Revisione: | 09/07/2021 |
Descrizione modifiche: | ||
Motivazioni: | Inserimento dettagli su processo firma in ambiti chiusi di utenti | |
Versione n°: 05 | Data Revisione: | 17/07/2019 |
Descrizione modifiche: | Aggiornamento definizioni e riferimenti normativi Inserimento processi par. G e par. H | |
Motivazioni: | Aggiornamenti normativi e descrittivi Nuove modalità di emissione certificati | |
Versione n°: 04 | Data Revisione: | 01/06/2017 |
Descrizione modifiche: | Variazione dati societari e logo Aggiornamento definizioni e riferimenti normativi Inserimento processo par.G.2. | |
Motivazioni: | Aggiornamenti normativi: Regolamento (UE) 910/2014 (eIDAS), D.Lgs.179/2016 Variazioni organizzative Certificatore Variazioni operative | |
Versione n°: 03 | Data Revisione: | 03/04/2015 |
Descrizione modifiche: | Estensione della firma digitale remota ai prodotti telematici per le aziende | |
Motivazioni: | Aggiornamento | |
Versione n°: 02 | Data Revisione: | 13/01/2015 |
Descrizione modifiche: | Aggiornamento riferimenti al DPCM 22 febbraio 2013 Aggiornamento Limitazione d’uso | |
Motivazioni: | Aggiornamento | |
Versione n°: 01 | Data Revisione: | 20/09/2013 |
Descrizione modifiche: | nessuna | |
Motivazioni: | primo rilascio | |
Sommario
A.1. Proprietà intellettuale 5
B.1. Dati identificativi della versione del Manuale Operativo 7
B.2. Dati identificativi del QTSP – Qualified Trust Service Provider 8
B.3. Responsabilità del Manuale Operativo 8
B.4. Entità coinvolte nei processi 8
B.4.1. Certification Authority (CA) 9
B.4.2. Local Registration Authority (LRA) 9
C.1. Obblighi del Prestatore di Servizi Fiduciari Qualificato (QTSP) 9
C.3. Obblighi degli utilizzatori dei certificati 11
C.4. Obblighi del Terzo Interessato 11
C.5. Obblighi delle Registration Authority esterne 11
D. Responsabilità e limitazioni agli indennizzi 12
D.1. Responsabilità del QTSP – Limitazione agli indennizzi 12
F. Modalità di identificazione e registrazione degli utenti 13
F.1. Identificazione degli utenti 13
G. Procedure di rilascio del Certificato Qualificato per la Firma Digitale Remota 15
G.2. Rilascio tramite Internet/Mobile Banking (per i clienti) 15
G.3. Rilascio nell’ambiente di Onboarding per i clienti prospect 16
G.3.1. Rilascio tramite firma in ambiti chiusi di utenti 16
G.3.2. Rilascio tramite riconoscimento con identità elettronica 18
H. Modalità operative per la sottoscrizione di documenti 18
H.1.2. Internet/Mobile Banking 19
H.2. Modalità operative per la verifica della firma 20
I. Generazione delle chiavi di Certificazione, di Validazione Temporale e di sottoscrizione 20
I.1. Generazione delle chiavi di certificazione 20
I.2. Generazione delle chiavi del sistema di validazione temporale 20
I.3. Generazione delle chiavi di sottoscrizione 20
J. Modalità di emissione dei certificati 21
J.1. Procedura di emissione dei Certificati di certificazione 21
J.2. Procedura di emissione dei Certificati di sottoscrizione 21
J.2.1. Informazioni contenute nei certificati di sottoscrizione 21
K. Modalità di revoca e sospensione dei certificati 21
K.1. Revoca dei certificati 22
K.1.1. Revoca su richiesta del Titolare 22
K.1.2. Revoca su richiesta del Terzo Interessato 22
K.1.3. Revoca su iniziativa del Certificatore 22
K.1.4. Revoca dei certificati relativi a chiavi di certificazione 22
K.2. Sospensione dei certificati 23
K.2.1. Sospensione su richiesta del Titolare 23
K.2.2. Sospensione su richiesta del Terzo Interessato 23
K.2.3. Sospensione su iniziativa del Certificatore 23
L. Modalità di sostituzione delle chiavi 23
L.1. Sostituzione dei certificati qualificati e delle chiavi del Titolare 23
L.2. Sostituzione delle chiavi del Certificatore 23
L.2.1. Sostituzione in emergenza delle chiavi di certificazione 23
L.2.2. Sostituzione pianificata delle chiavi di certificazione 24
L.3. Chiavi del sistema di validazione temporale (TSA) 24
M. Registro dei certificati 24
M.1. Modalità di gestione del Registro dei certificati 24
M.2. Accesso logico al Registro dei certificati 24
M.3. Accesso fisico ai locali dei sistemi preposti al registro dei certificati 24
N. Modalità di protezione dei dati personali 24
O. Procedura di gestione delle copie di sicurezza 24
P. Procedura di gestione degli eventi catastrofici 25
Q. Modalità per l’apposizione e la definizione del riferimento temporale 25
Q.1. Modalità di richiesta e verifica marche temporali 25
R. Lead Time e Tabella Raci per il rilascio dei certificati 26
A. Introduzione
A.1. Proprietà intellettuale
Il presente documento è il Manuale Operativo per la procedura di firma digitale remota del Prestatore di Servizi Fiduciari Qualificati In.Te.S.A. S.p.A. nell’ambito dei servizi forniti da Banco BPM S.p.A. Capogruppo del Gruppo Bancario BANCO BPM - Sede Legale: Xxxxxx X. Xxxx, 0 - 00000 Xxxxxx Tel. 02/77001 Sede Amministrativa: Xxxxxx Xxxxxx, 0 - 00000 Xxxxxx - Tel. 045/0000000 xxx.xxxxxxxx.xx Capitale Sociale al 7.4.2022: euro 7.100.000.000 int. vers. - ABI 05034 - Codice Fiscale e Iscrizione al Registro delle Imprese di Milano n. 09722490969 - Rappresentante del Gruppo IVA Banco BPM Partita IVA 10537050964 - Aderente al Fondo Interbancario di Tutela dei Depositi e al Fondo Nazionale di Garanzia - Iscritto all'Albo delle Banche della Banca d'Italia e all'Albo dei Gruppi Bancari - Imposta di bollo assolta in modo virtuale, ove dovuta, Aut. Ag. delle Entrate Ufficio di Milano 5
- n. 3358 del 10/01/2017.
Il Manuale Operativo descrive le procedure e le relative regole attuate dal Prestatore di Servizi Fiduciari Qualificati In.Te.S.A. S.p.A. (di seguito anche solo QTSP INTESA o QTSP o Certificatore) per l’emissione dei Certificati Qualificati, ai sensi del Reg. UE 910/2014, nella generazione e verifica della firma elettronica qualificata del Cliente del Banco BPM S.p.A. (di seguito anche solo Banco BPM o Banca) nell’ambito dei servizi dallo stesso offerti.
Il contenuto di questo Manuale Operativo è conforme a quanto stabilito dalle regole tecniche contenute nel Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013 (di seguito DPCM) e dal D. lgs 7 marzo 2005, n. 82, recante il “Codice dell'Amministrazione Digitale” come successivamente modificato e integrato (di seguito “CAD”) e conforme al Reg. UE 910/2014 (nel seguito, Reg. eIDAS); in particolare:
• CAD - capo II, Sez. II, che disciplina le firme elettroniche e i certificatori,
• CAD - capo VII, che prevede le modalità con le quali vengono dettate le regole tecniche previste dal Codice.
Per quanto non espressamente previsto nel presente Manuale Operativo si fa riferimento alle norme vigenti e future che regolano la fattispecie concreta.
In questo contesto, i Titolari di un Certificato Qualificato sono solo i soggetti identificati dallo stesso Banco BPM che, in virtù di specifico accordo con il QTSP INTESA, è autorizzato a svolgere la funzione di Registration Authority.
Alla tipologia di soggetti indicati al precedente capoverso, si aggiungono anche coloro che, avendo la disponibilità di identità digitale SPID, in corso di validità, sono identificati e registrati direttamente dal QTSP, in virtù del suo ruolo di Service Provider Privato SPID ai sensi del DPCM 22 ottobre 2014 e s.m.i., secondo quando previsto dal Par G.3.2.1. Il processo prevede che il Titolare possa avviare la procedura di Firma Digitale Remota di documenti, atti, contratti, ordini, relativi a prodotti e servizi prestati o distribuiti da Banco BPM.
Le attività descritte nel presente Manuale Operativo sono svolte in conformità con il Reg. UE 910/2014 (eIDAS).
A.2. Validità
Quanto descritto in questo documento si applica al QTSP INTESA (alle sue infrastrutture logistiche e tecniche nonché al suo personale), ai Titolari dei certificati da esso emessi e a quanti utilizzino tali certificati per verificare l'autenticità e l'integrità dei documenti cui sia apposta una firma elettronica qualificata relativa ad essi, anche avvalendosi delle marche temporali qualificate emesse da INTESA, a Banco BPM in qualità di Registration Authority.
L'uso delle chiavi e dei relativi certificati emessi è regolato da quanto disposto dall'Art.5, c.4 del DPCM 22/02/2013, in cui si dispone che le chiavi di creazione e verifica della firma e i correlati servizi, si distinguono secondo le seguenti tipologie:
a) chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti;
b) chiavi di certificazione, destinate alla generazione e verifica delle firme apposte ai certificati qualificati, alle informazioni sullo stato di validità del certificato ovvero alla sottoscrizione dei certificati relativi a chiavi di marcatura temporale;
c) chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali.
A.3. Riferimenti di legge
Testo Unico DPR 445/00 e ss.mm.ii. | Decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445. ”Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”. Nel seguito indicato anche solo come TU. |
CAD - DLGS 82/05 e ss.mm.ii. | Decreto Legislativo 7 marzo 2005, n. 82. “Codice dell’amministrazione Digitale”. Nel seguito indicato anche solo come CAD. |
DETERMINAZIONE AgID 121/2019 | Determina 121/2019 e s.m.i. “Regole Tecniche e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate"”. Nel seguito indicato anche solo come DETERMINAZIONE. |
DPCM 22/02/2013 Nuove Regole Tecniche e ss.mm.ii. | Xxxxxxx Xxx Xxxxxxxxxx Xxx Xxxxxxxxx Xxx Xxxxxxxx 00 febbraio 2013 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20 comma 3, 24 comma 4, 28 comma 3, 32 comma 3 lettera b), 35 comma 2, 36 comma 2, e 71” (del CAD, n.d.r.). Nel seguito indicato anche solo come DPCM |
Regolamento (UE) N. 910/2014 (eIDAS) | Regolamento (UE) n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2104, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. Nel seguito indicato anche solo come Reg. eIDAS |
GDPR General Data Protection Regulation | REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e Del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) |
PSD2 | Direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE |
RD SCA RTS | Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri. |
LLGG AgID 2021 | Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici, maggio 2021. |
A.4. Definizioni e acronimi
AgID | Agenzia per l’Italia Digitale (già CNIPA e DigitPA) - xxx.xxxx.xxx.xx. Organismo di Sorveglianza ai sensi del Reg. UE 910/2014 (eIDAS). Nel seguito anche solo Agenzia. |
Certificato Qualificato di firma elettronica | Attestato elettronico che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona. È rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I del Reg. UE 910/2014 (eIDAS) |
QTSP | Qualified Trust Service Provider – Prestatore di Servizi Fiduciari Qualificati. Persona fisica o giuridica che presta uno o più servizi fiduciari qualificati. Già Certificatore Accreditato. Nel presente documento è il QTSP In.Te.S.A. S.p.A. che presta servizi fiduciari qualificati di firma elettronica e di validazione temporale elettronica e altri servizi connessi con queste ultime. |
Servizio Fiduciario Qualificato | Servizio elettronico fornito da un QTSP e consistente negli elementi di cui all’Art. 3, punto 16) e 17) del Reg. UE 910/2014 (eIDAS). |
Chiave Privata | L’elemento della coppia di chiavi asimmetriche, utilizzato dal Titolare, mediante il quale si appone la firma digitale sul documento informatico. |
Chiave Pubblica | L’elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale sul documento informatico. |
CRL | Lista dei Certificati Revocati, Certificate Revocation List, un elenco che riporta i certificati revocati o sospesi, non più considerati validi dal Certificatore che li ha emessi. |
OCSP | Online Certificate Status Protocol: servizio di verifica dello stato di validità del Certificato, secondo il protocollo OCSP. |
Documento informatico | Il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti |
FEQ - Firma Elettronica Qualificata FD - Firma Digitale | Firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità' di un documento informatico o di un insieme di documenti informatici. Coincide, in Italia, con la Firma Digitale definita nel CAD, Art.1, comma1, punto s). |
Firma Remota | Particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM custodito e gestito, sotto la responsabilità, dal QTSP (certificatore accreditato), che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse. |
HSM | Hardware Security Module, dispositivi per la creazione della firma digitale dedicati alla sicurezza crittografica e alla gestione delle chiavi, in grado di garantire un elevato livello di protezione. |
Marca Temporale | Validazione Temporale Elettronica Qualificata: il Riferimento Temporale che consente la validazione temporale. |
Registration Authority | Autorità di Registrazione: lo stesso Banco BPM che, su incarico del Certificatore, ha la responsabilità di registrare o verificare le informazioni (in particolare modo l’identità del Titolare) necessarie al QTSP per emettere il Certificato Qualificato. |
Registro dei Certificati | La combinazione di uno o più archivi informatici, tenuto dal Certificatore, contenente tutti i Certificati emessi. |
Richiedente | Il Cliente del Banco BPM o altro soggetto che può non essere cliente della Banca, ma comunque riconosciuto con i medesimi criteri., che richiede il Certificato. |
Riferimento Temporale | Informazione contenente la data e l’ora, che viene associata ad uno o più documenti informatici. |
SCA | Strong Customer Authentication ai sensi del RD SCA RTS |
Titolare | Il Cliente del Banco BPM, o soggetto autorizzato, cui il certificato digitale è rilasciato e che è autorizzato ad usarlo al fine di apporre la firma digitale. |
TSA | Time Stamping Authority, autorità che rilascia le marche temporali. |
B. Generalità
Il presente documento ha come obiettivo la descrizione, in termini generali, delle procedure e delle relative regole che disciplinano l’emissione di certificati qualificati da parte del QTSP INTESA.
Tale impianto di regole e procedure scaturisce dall’ottemperanza alle attuali normative in merito, la cui osservanza permette al QTSP INTESA di essere inserita nell’elenco dei Prestatori di Servizi Fiduciari Qualificati (QTSP).
Pertanto, al fine di adempiere alle normative menzionate, risulterà necessario il coinvolgimento di più entità che saranno meglio identificate nel proseguo del documento.
B.1. Dati identificativi della versione del Manuale Operativo
Il presente documento costituisce la versione n. 10 del Manuale Operativo del QTSP In.Te.S.A. S.p.A. per le procedure di firma digitale remota nell’ambito dei servizi di Banco BPM, rilasciato in conformità con l'Art.40 del DPCM.
L’object identifier di questo documento è 1.3.76.21.1.3.1.180.
Il presente Manuale Operativo è pubblicato e consultabile per via telematica:
• all’indirizzo Internet del QTSP, xxxxx://xxx.xxxxxx.xx/x-xxxxxxxx/
• all’indirizzo Internet dell’Agenzia per l’Italia Digitale, xxx.xxxx.xxx.xx
• nell’ambito del sito commerciale della Banca, xxx.xxxxxxxx.xx e xxx.xxxxxx.xx (all’interno dell’area
riservata di ciascun cliente).
La pubblicazione di versioni aggiornate del presente Manuale Operativo potrà avvenire solo previa
autorizzazione dell’Agenzia per l’Italia Digitale.
B.2. Dati identificativi del QTSP – Qualified Trust Service Provider
Il QTSP (Prestatore di Servizi Fiduciari Qualificato), ai sensi del Reg. eIDAS, è la società In.Te.S.A. S.p.A., di cui di seguito sono riportati i dati identificativi.
Denominazione sociale | In.Te.S.A. S.p.A. |
Indirizzo della sede legale | Xxxxxx Xxxxxxxx, 000 - 00000 Xxxxxx |
Legale Rappresentante | Amministratore Delegato |
Registro delle Imprese di Torino | N. Iscrizione 1692/87 |
N. di Partita I.V.A. | 00000000000 |
N. di telefono (centralino) | x00.000.00000.000 |
Sito Internet | |
Indirizzo di posta elettronica certificata (PEC) | |
ISO Object Identifier (OID) | 1.3.76.21 |
Il personale responsabile delle attività di certificazione, in conformità con l'Art.38 del DPCM, è articolato nelle figure seguenti:
a) Responsabile della sicurezza.
b) Responsabile del servizio di certificazione e validazione temporale.
c) Responsabile della conduzione tecnica dei sistemi.
d) Responsabile dei servizi tecnici e logistici.
e) Responsabile delle verifiche e delle ispezioni (auditing).
Le figure sopra elencate sono tutte appartenenti all’organizzazione del QTSP INTESA.
B.3. Responsabilità del Manuale Operativo
La responsabilità del presente Manuale Operativo, ai sensi dell’Art.40 comma 3 lett. c) del DPCM, è del QTSP INTESA, che ne cura la stesura e la pubblicazione.
Nel caso fosse necessario procedere con l’aggiornamento e ogni eventuale revisione del presente documento Intesa lo comunicherà senza ritardo al Banco BPM e in accordo con essa procederà alle modifiche.
Allo scopo di raccogliere eventuali osservazioni e richieste di chiarimenti, il QTSP ha predisposto i seguenti strumenti:
• un recapito di posta elettronica: | |
• un recapito telefonico: | x00.000.00000.000 |
• un servizio di Help Desk: | |
per le chiamate dall’Italia | 000.00.00.00 |
per le chiamate dall’estero | x00 00.00.00.00.00 |
B.4. Entità coinvolte nei processi
All’interno della struttura del QTSP vengono identificate delle entità che prendono parte ai processi relativi
all’emissione dei certificati.
Tali attori operano in ottemperanza alle regole e ai processi posti in opera dal QTSP espletando, per la parte di loro competenza, le attività a loro attribuite.
B.4.1. Certification Authority (CA)
Il QTSP INTESA, operando in ottemperanza a quanto previsto dal DPCM, dal CAD e dal Reg. eIDAS, espleta le attività di Prestatore di Servizi Fiduciari Qualificato (Qualified Trust Service Provider). Tali attività prevedono l’emissione, la pubblicazione, la revoca e la sospensione di Certificati Qualificati per la firma digitale remota.
I dati identificativi del QTSP INTESA sono riportati al precedente par. B.2.
B.4.2. Local Registration Authority (LRA)
Per la particolare tipologia di servizio offerto (Firma Digitale Remota nell’ambito delle applicazioni del Banco BPM descritte nel presente Manuale Operativo), INTESA, in qualità di Certificatore, ha demandato lo svolgimento delle funzioni di Registration Authority al Banco BPM tramite apposito atto di mandato.
Banco BPM si impegna a svolgere le seguenti attività:
• Identificazione del Titolare.
• Registrazione del Titolare.
Banco BPM nell’esercizio della funzione di Registration Authority, dovrà vigilare affinché l’attività di riconoscimento si svolga nel rispetto della normativa vigente e di quanto previsto nel presente Manuale Operativo.
B.4.3. Terzo Interessato
Nell’ambito del presente manuale, la Banca riveste il ruolo di Terzo interessato, in qualità di committente del servizio del QTSP INTESA per i propri clienti.
In quest’ottica, la Banca definisce l’opportuna limitazione di utilizzo per i certificati emessi e utilizzati nell’ambito dei servizi di firma elettronica qualificata e richiede la revoca dei medesimi quando non ne sussistono più le condizioni che ne hanno determinato l’emissione (ad es. la chiusura del rapporto bancario).
Gli obblighi del Terzo Interessato sono riportati al par. C.4.
C. Obblighi
C.1. Obblighi del Prestatore di Servizi Fiduciari Qualificato (QTSP)
Nello svolgimento della sua attività il Prestatore di Servizi Fiduciari Qualificato (QTSP) opera in conformità con quanto disposto dal:
• Decreto Legislativo del 7 marzo 2005, n.82 e successive modifiche.
• Xxxxxxx Xxxxxxxxxx xxx Xxxxxxxxx xxx Xxxxxxxx 00 febbraio 2013.
• Regolamento (UE) 2016/679 (GDPR)
• Regolamento (UE) 910/2014 (eIDAS)
In particolare, il Prestatore di Servizi Fiduciari Qualificato (QTSP):
• adotta tutte le misure organizzative e tecniche idonee ad evitare danno ad altri;
• si attiene alle regole tecniche specificate nel DPCM;
• garantisce che il proprio Sistema qualità sia conforme alle norme ISO 9001;
• assicura che il dispositivo sicuro per la generazione delle firme (HSM) abbia le caratteristiche e i requisiti
di sicurezza previsti dall’Art.35 del CAD e all’Art.11 del DPCM;
• rilascia e rende pubblico il certificato qualificato, se non diversamente specificato dal Titolare, secondo
quanto stabilito all’Art.32 del CAD;
• informa i richiedenti, in modo esplicito e chiaro, sulla procedura di certificazione, sui necessari requisiti tecnici per accedervi, sulle caratteristiche e sulle limitazioni d’uso delle firme emesse sulla base del servizio di certificazione;
• si attiene alle misure di sicurezza per il trattamento dei dati personali (GDPR);
• non si rende depositario di dati per la creazione della firma del Titolare;
• procede alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del Titolare o del terzo interessato;
• assicura la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;
• tiene registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato per 20 (venti) anni in particolare al fine di fornire prova della certificazione in eventuali procedimenti giudiziari;
• assicura che il codice identificativo (di esclusiva pertinenza del QTSP) assegnato a ciascun Titolare sia
univoco nell’ambito dei propri utenti;
• predispone su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione. Tra questi citiamo: gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie. Dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio e il QTSP;
• utilizza sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal Titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza;
• registra l'emissione dei certificati qualificati nel giornale di controllo con la specificazione della data e dell'ora della generazione.
• Secondo quanto stabilito dall’Art.14 del DPCM, il QTSP fornisce ovvero indica almeno un sistema che consenta di effettuare la verifica delle firme digitali.
Inoltre, il QTSP:
• genera un certificato qualificato, per ciascuna delle chiavi di firma elettronica avanzata utilizzate
dall’Agenzia per l’Italia Digitale per la sottoscrizione dell'elenco pubblico dei certificatori, e lo pubblica nel proprio registro dei certificati ai sensi dell’Art.42 del DPCM;
• garantisce l'interoperabilità del prodotto di verifica, di cui all’art.14 del DPCM, ai documenti informatici sottoscritti con firma digitale emessa dalla struttura di certificazione della Rete unitaria della pubblica amministrazione e successive modifiche tecniche e organizzative;
• mantiene copia della lista, sottoscritta dall’Agenzia per l’Italia Digitale, dei certificati relativi alle chiavi di certificazione di cui all’Art.43 del DPCM, e la rende accessibile per via telematica come stabilito dall’Art.42, comma 3 del DPCM;
• conduce periodicamente attività di ispezione (audit) presso i siti della LRA per verificare che sia rispettato quanto previsto dalla normativa e dal presente Manuale Operativo, nonché di quanto riportato nel contratto di mandato, secondo un piano di campionamento condiviso con la LRA.
C.2. Obblighi del Titolare
Il Titolare richiedente un certificato digitale per i servizi descritti nel presente Manuale Operativo può essere un cliente (con rapporto bancario già aperto) o un cliente prospect di Banco BPM.
In entrambi i casi la Banca opera da Registration Authority.
Il Titolare potrà ricevere uno o più certificati qualificati per la Firma Digitale Remota al fine di sottoscrivere contratti, documenti e ordini relativi a prodotti e/o servizi prestati o distribuiti da Banco BPM.
Il Titolare è tenuto a conservare le informazioni necessarie all’utilizzo della chiave privata di firma in modo adeguato e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri (CAD, art.32, comma 1).
Il Titolare della chiave deve inoltre:
• fornire tutte le informazioni richieste dal QTSP, garantendone l’attendibilità sotto la propria
responsabilità;
• inoltrare la richiesta di certificazione secondo le modalità indicate in questo Manuale Operativo;
• comunicare al QTSP, tramite Banco BPM, eventuali variazioni alle informazioni fornite all'atto della registrazione: recapiti telefonici e indirizzo di posta elettronica;
• conservare con la massima cura e diligenza le informazioni di abilitazione all'uso della chiave privata;
• dare immediata comunicazione al Banco BPM, in caso di perdita o furto dei codici utilizzati per accedere alle proprie chiavi di firma, Banco BPM provvederà all'immediato blocco degli stessi e dei canali di accesso ai servizi di firma digitale;
• inoltrare eventuali richieste di revoca e di sospensione del certificato digitale secondo quanto indicato nel presente Manuale Operativo.
C.3. Obblighi degli utilizzatori dei certificati
Utilizzatore (Relying Party) è chiunque riceva un documento firmato digitalmente e, al fine di verificarne la validità, si avvalga del Certificato Qualificato utilizzato dal Titolare per firmare il documento stesso.
La verifica della firma digitale e la successiva estrazione degli oggetti firmati può essere effettuata con qualsiasi software in grado di elaborare file firmati in conformità al regolamento EIDAS.
Coloro che si avvalgono di un Certificato Qualificato per verificare la validità di un documento firmato digitalmente, sono tenuti a:
• verificare la validità del certificato contenente la chiave pubblica del Titolare firmatario del messaggio, secondo quanto indicato allo standard ISO 9594-8, e il momento della sua emissione;
• verificare l'assenza del certificato dalle Liste di Revoca (CRL) e Sospensione (CSL) dei certificati e il momento della sua emissione;
• verificare la validità del percorso di certificazione, basato sull'elenco pubblico dei certificatori e su eventuali certificati derivanti da accordi di mutua certificazione tra il proprio Certificatore e quelli altrui;
• verificare l'esistenza di eventuali limitazioni all'uso del certificato utilizzato dal Titolare, in base a quanto indicato nel Manuale Operativo del QTSP che ha emesso il certificato di colui che ha sottoscritto il documento informatico.
C.4. Obblighi del Terzo Interessato
Il Terzo Interessato, nei servizi descritti dal presente Manuale Operativo, è Banco BPM. Pertanto, Banco BPM, nella sua veste di Terzo Interessato:
• verifica che il Cliente sia in possesso di tutti i requisiti necessari e autorizza il Cliente stesso a richiedere il rilascio del Certificato Qualificato per la Firma Digitale Remota;
• svolge eventuale attività di supporto al Titolare durante le operazioni di firma;
• indica al QTSP eventuali ulteriori limitazioni d’utilizzo del Certificato Qualificato per la Firma Digitale oltre a quelle previste al par.F.1.1.
C.5. Obblighi delle Registration Authority esterne
Il QTSP, per esigenze connesse alla fornitura del servizio, si avvale su tutto il territorio nazionale di ulteriori soggetti (nel seguito denominati RA esterne o LRA – Local Registration Authority) per svolgere una parte delle attività proprie dell’Ufficio di registrazione.
Il QTSP In.Te.S.A. S.p.A. ha demandato lo svolgimento della funzione di Registration Authority a Banco BPM mediante la sottoscrizione, da entrambe le parti, di un Contratto di Mandato.
In particolare, le RA esterne espletano le seguenti attività:
• identificazione certa del richiedente la certificazione (in seguito Titolare del certificato);
• registrazione del richiedente / Titolare;
• presentazione della modulistica contrattuale in formato elettronico che il richiedente / Titolare deve sottoscrivere ai fini della formalizzazione della richiesta di certificazione verso il QTSP INTESA (contratto, modulo di richiesta e informativa ai sensi del GDPR);
• richiesta al Titolare di fornire codici che gli permetteranno di accedere alla propria chiave di firma nel rispetto degli Art.8 e 10 comma 2 del DPCM;
• invio della documentazione sottoscritta al QTSP INTESA;
• attenersi scrupolosamente alle regole previste dalla norma locale di recepimento dell’Antiriciclaggio;
• consentire l’accesso presso i propri locali di personale del QTSP, ovvero di terzi dallo stesso incaricati, per
adempiere agli obblighi di ispezione (audit); tale accesso deve essere consentito anche agli auditor
incaricati dall’Organismo di Xxxxxxxxx (AgID);
• segnalare senza indugio al QTSP INTESA, per tramite dell'Ufficio RA (xxx_xx@xxxxxx.xx) ovvero dei propri riferimenti INTESA, ogni evento o incidente inerente i punti indicati precedentemente, nonché tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi oggetto del presente Manuale Operativo o sui dati personali dei titolari.
Nel Contratto di Mandato sono esplicitati gli obblighi cui si deve attenere Banco BPM al quale INTESA conferisce
l’incarico di RA e sui quali il QTSP ha l’obbligo di vigilare.
In particolare, si richiede a Banco BPM di:
• vigilare affinché l’attività di identificazione posta in essere si svolga nel rispetto della normativa vigente (CAD e successive modificazioni, DPCM, Reg. eIDAS e qualora si tratti di Cliente di Banco BPM anche della normativa in materia di Antiriciclaggio);
• assicurare, nel caso di Prospect di cui al caso d’uso di cui al par. G.3.1, di aver adottato tutte le misure di mitigazione del rischio al fine di consentire al Prospect, solo ed esclusivamente la sottoscrizione della richiesta di apertura dei rapporti, segnalando alla CA i casi in cui i processi di identificazione e adeguata verifica non si concludano correttamente nei tempi previsti, in modo da consentire la revoca del certificato;
• utilizzare e trattare i dati personali acquisiti in fase di riconoscimento in accordo con il GDPR;
• rendere disponibile per il QTSP il materiale raccolto nella fase di identificazione e registrazione.
Il personale di Banco BPM, in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio e dalle normative interne al Banco BPM stesso, svolge tutte le operazioni necessarie volte all’identificazione e registrazione del Richiedente.
Il servizio di identificazione potrà essere gestito come segue:
• tramite il personale di filiale di Banco BPM, il Titolare al momento dell’apertura di un rapporto verrà identificato e registrato per mezzo i documenti d’identità forniti, in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio e dalle normative interne al Banco BPM stesso. Eseguite queste operazioni il Cliente potrà richiedere l’emissione di un certificato di firma qualificata;
• attraverso procedura di riconoscimento a distanza tramite altro intermediario, qualora il Titolare fosse diventato cliente di Banco BPM mediante tecniche di comunicazione a distanza.
La documentazione relativa alle attività di cui sopra, necessaria all’emissione del Certificato Qualificato per firma digitale, è conservata dal QTSP INTESA, secondo gli obblighi di legge, per 20 (venti) anni.
D. Responsabilità e limitazioni agli indennizzi
D.1. Responsabilità del QTSP – Limitazione agli indennizzi
Il QTSP INTESA è responsabile, verso i Titolari per l'adempimento di tutti gli obblighi discendenti dall'espletamento delle attività previste dal DPCM, dal GDPR, dal CAD e dal Reg. eIDAS . Cfr. par. C.1 Obblighi del Prestatore di Servizi Fiduciari Qualificato (QTSP).
INTESA, fatti salvi i casi di dolo o colpa (eIDAS, Art. 13), non assume alcuna responsabilità per le conseguenze derivanti da un uso dei certificati diverso da quanto disposto dall'Art.5 del DPCM, e in particolare dal mancato rispetto da parte del Titolare e dal Terzo Interessato di quanto indicato nel presente Manuale Operativo e/o dalla mancata osservanza da parte degli stessi della normativa vigente.
Parimenti, INTESA non potrà essere ritenuta responsabile delle conseguenze dovute a cause ad essa non imputabili, quali, a solo titolo esemplificativo: calamità naturali, disservizi e/o disfunzioni tecniche e logistiche al di fuori del proprio controllo, interventi dell'Autorità, rivolte o atti di guerra che colpiscano anche o solo i soggetti delle cui attività INTESA si avvale per la prestazione dei propri servizi di certificazione.
Il QTSP non sarà responsabile per i danni derivanti da un utilizzo non conforme del Certificato Qualificato per la
Firma digitale Remota in relazione alla limitazione d’uso come specificata al par. F.1.1.
D.2. Assicurazione
Il QTSP INTESA è beneficiario di contratti assicurativi per la copertura dei rischi dell'attività e dei danni causati a terzi, il cui contenuto è in linea con quanto necessario per svolgere l'attività professionale di cui trattasi.
Di tale contratto è resa disponibile ad AgID apposita dichiarazione di stipula.
E. Tariffe
Il Servizio viene fornito da Banco BPM ai propri Clienti senza oneri e non è pertanto soggetto a tariffazione.
F. Modalità di identificazione e registrazione degli utenti
F.1. Identificazione degli utenti
Il QTSP deve verificare con certezza l’identità del richiedente alla prima richiesta di emissione di certificato
qualificato.
La suddetta operazione viene demandata a Banco BPM che, in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio, identificherà e registrerà il Titolare.
Per i successivi rinnovi, se effettuati quando il certificato qualificato è ancora in corso di validità, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al QTSP attraverso Banco BPM solo gli eventuali cambiamenti relativi ai propri dati di registrazione.
Fra i dati di registrazione necessari per l’esecuzione del servizio oggetto del presente documento ricordiamo:
• Nome e Cognome;
• Data di nascita;
• Comune o stato estero di nascita;
• Codice fiscale;
• Indirizzo di residenza
• Numero di telefono cellulare;
• Indirizzo di posta elettronica;
• Tipo e numero del documento d’identità esibito;
• Autorità che ha rilasciato il documento e data e luogo del rilascio e di scadenza.
Il Prospect o il già Cliente, identificati da Banco BPM in ottemperanza con quanto previsto dalla vigente normativa che disciplina l’identificazione della clientela e la verifica dell’identità ai sensi dell’antiriciclaggio e dalle normative interne al Banco BPM stesso, potrà attivare la procedura di generazione del Certificato Qualificato per la Firma Digitale Remota presso la Filiale ovvero all’interno dell’Internet Banking ( per i già Clienti), ovvero nell’ambiente di onboarding per i prospect.
F.1.1. Limiti d’uso
Nel Certificato Qualificato per la Firma Digitale, emesso nell’ambito dei servizi descritti nel presente Manuale e offerti da Banco BPM , è inserito uno dei limiti d’uso di seguito riportati.
Ulteriori specifici limiti d’uso potranno essere concordati con la Banca.
• Per Banco BPM
“Questo certificato e’ utilizzabile solo per la sottoscrizione di documenti, atti, contratti, ordini, relativi
a prodotti e servizi prestati o distribuiti da BANCO BPM nell’ambito:
(i) del dominio informatico BANCO BPM, identificabile con le pagine web del sito della Banca raggiungibile all’url xxx.xxxxxxxx.xx;
(ii) delle Agenzie/Filiali di BANCO BPM dislocate sul territorio nazionale. Il presente certificato e’ valido tre anni dall’emissione”.
"This certificate can be used only for the signing of documents, deeds, contracts, orders, relating to products and services provided or distributed by BANCO BPM in the context:
(i) of the BANCO BPM IT domain, identifiable with the web pages of the Bank's website accessible to the URL xxx.xxxxxxxx.xx;
(ii) BANCO BPM Agencies / Branches located throughout the country. This certificate is valid for three years from issue.”
• Per Banco BPM – Identificazione tramite SPID:
“Questo certificato e’ utilizzabile solo per la sottoscrizione di documenti, atti, contratti, ordini, relativi
a prodotti e servizi prestati o distribuiti da BANCO BPM nell’ambito:
(i) del dominio informatico BANCO BPM, identificabile con le pagine web del sito della Banca raggiungibile all’url xxx.xxxxxxxx.xx;
(ii) delle Agenzie/Filiali di BANCO BPM dislocate sul territorio nazionale. Il presente certificato e’ valido tre anni dall’emissione.”
"This certificate can be used only for the signing of documents, deeds, contracts, orders, relating to products and services provided or distributed by BANCO BPM in the context:
(i) of the BANCO BPM IT domain, identifiable with the web pages of the Bank's website accessible to the URL xxx.xxxxxxxx.xx;
(ii) BANCO BPM Agencies / Branches located throughout the country. This certificate is valid for three years from issue.”
“Certificate issued through Sistema Pubblico di Identita’ Digitale (SPID) digital identity, not usable to require other SPID digital identity.”
• Per Webank:
“Questo certificato e’ utilizzabile solo per la sottoscrizione di documenti, atti, contratti, ordini, relativi
a prodotti e servizi prestati o distribuiti da BANCO BPM nell’ambito:
(i) del dominio informatico BANCO BPM, identificabile con le pagine web del sito della Banca raggiungibile all’url xxx.xxxxxx.xx.
Il presente certificato e’ valido tre anni dall’emissione.”
"This certificate can be used only for the signing of documents, deeds, contracts, orders, relating to products and services provided or distributed by BANCO BPM in the context:
(i) of the BANCO BPM IT domain, identifiable with the web pages of the Bank's website accessible to the URL xxx.xxxxxx.xx.
This certificate is valid for three years from issue.”
• Per Webank – Identificazione tramite SPID:
“Questo certificato e’ utilizzabile solo per la sottoscrizione di documenti, atti, contratti, ordini, relativi
a prodotti e servizi prestati o distribuiti da BANCO BPM nell’ambito:
(i) del dominio informatico BANCO BPM, identificabile con le pagine web del sito della Banca raggiungibile all’url xxx.xxxxxx.xx.
Il presente certificato e’ valido tre anni dall’emissione.”
"This certificate can be used only for the signing of documents, deeds, contracts, orders, relating to products and services provided or distributed by BANCO BPM in the context:
(i) of the BANCO BPM IT domain, identifiable with the web pages of the Bank's website accessible to the URL xxx.xxxxxx.xx.
This certificate is valid for three years from issue.”
“Certificate issued through Sistema Pubblico di Identita’ Digitale (SPID) digital identity, not usable to require other SPID digital identity.”
G. Procedure di rilascio del Certificato Qualificato per la Firma Digitale Remota
G.1. Rilascio in Filiale
Il processo per il rilascio del certificato qualificato per la firma digitale remota (FDR) presso la filiale è sintetizzato nei punti seguenti:
1. Il Cliente, già identificato da un operatore di Banco BPM nelle modalità prescritte dalla vigente normativa, richiede il rilascio di un certificato qualificato per la firma digitale remota (FDR).
2. Prima di procedere, l’operatore di filiale verifica con certezza la piena disponibilità di un dispositivo mobile da parte del Cliente. Questa verifica viene effettuata da Banco BPM richiedendo al Cliente di dare evidenza di un codice OTP che nel frattempo gli sarà stato inviato (da Banco BPM) sul numero del dispositivo mobile indicato in filiale all’operatore.
3. Viene quindi presentata al Cliente, su un tablet, la documentazione di richiesta del certificato obbligatoria del QTSP INTESA, di cui il Cliente sarà tenuto a sottoscrivere la presa visione.
4. Il Cliente che intende procedere potrà, a questo punto, firmare elettronicamente la richiesta del certificato, spuntando i check box del documento contrattuale della QTSP INTESA.
5. Dopo che il Cliente ha completato il check di approvazione per tutti i punti presentati a video, si può procedere all'emissione del certificato qualificato. Al momento della generazione del certificato è indispensabile che venga inserito un PIN/Password, il quale sarà poi richiesto ad ogni utilizzo del certificato di firma.
6. Dopo che il certificato qualificato è stato generato, a conclusione della procedura il QTSP INTESA invia al Cliente un sms di notifica dell’avvenuta generazione del certificato di FDR.
Al termine della procedura verrà messa a disposizione dell’utente copia della documentazione firmata.
G.2. Rilascio tramite Internet/Mobile Banking (per i clienti)
Il processo per il rilascio della firma digitale remota (FDR) può essere gestito dal Cliente anche all’interno dell’applicazione di Internet Banking.
Il processo è compatibile con i principali browser (Chrome, Firefox, Edge, Safari) e con i dispositivi mobile più recenti della famiglia Android e Apple, e segue la seguente procedura:
1. Il Cliente, una volta acceduto all’internet Banking di Banco BPM, richiede il rilascio di un certificato qualificato per la firma digitale remota (FDR).
2. Al Cliente è presentato il riepilogo dei dati personali utili ai fini del rilascio del certificato (par. F.1)
3. Viene presentata al Cliente la documentazione di richiesta del certificato del QTSP INTESA, di cui il Cliente sarà tenuto a sottoscrivere la presa visione spuntando i check box del documento e apponendo una firma elettronica mediante l’inserimento di un OTP ricevuto via sms dal QTSP INTESA.
4. Se l’OTP fornito dal QTSP INTESA è riscontrato positivamente, il processo di firma viene concluso e Banco BPM riceve un responso sull’esito del processo (in caso contrario dovrà essere richiesto un nuovo OTP).
5. Se l’OTP non pervenisse al Cliente via SMS, il Cliente può richiedere che l’operazione venga reiterata fino ad un massimo di tre tentativi. Falliti tali tentativi, l’OTP potrà essere inviato all’ e-mail fornita in precedenza durante la fase di registrazione, a condizione che l’e-mail risulti essere stata precedentemente certificata (a condizione, cioè, che sia stata già verificata la piena disponibilità dell’e- mail da parte del Cliente).
6. Completato positivamente il check di approvazione per tutti i punti presentati a video, si può procedere all’emissione del certificato qualificato. Al momento della generazione del certificato è indispensabile che venga inserito un PIN/Password, il quale sarà poi richiesto ad ogni utilizzo del certificato di firma.
In alternativa all’utilizzo del PIN/Password, nel caso di clienti Banca già identificati e già dotati di credenziali PSD2 SCA compliant, la generazione del certificato potrà essere effettuata previa autenticazione a doppio fattore basata sulle credenziali SCA fornite dalla Banca e regolarmente utilizzate dall’utente per la normale attività di Home/Mobile Banking, ivi compreso l’utilizzo di modalità biometriche per la gestione di tali credenziali. In questo caso l’accesso tramite doppio fattore SCA compliant, sarà richiesto ad ogni utilizzo del certificato di firma.
Al termine della procedura verrà messa a disposizione dell’utente copia della documentazione firmata.
G.3. Rilascio nell’ambiente di Onboarding per i clienti prospect
G.3.1. Rilascio tramite firma in ambiti chiusi di utenti
Il processo per il rilascio della firma digitale remota (FDR) può essere gestito anche da un Cliente Prospect durante le attività di Onboarding bancario.
Il processo è compatibile con i principali browser (Chrome, Firefox, Edge, Safari) e sui dispositivi mobile più recenti della famiglia Android e Apple e si articola come segue:
1. Il Cliente Prospect inserisce i propri dati personali e prende visione e accetta l’informativa privacy Banca
relativa al trattamento dei dati.
2. Certifica il proprio numero di cellulare al fine di permettere una successiva identificazione certa e fornisce il proprio indirizzo mail. La certificazione del cellulare avviene tramite invio, da parte di Banco BPM, di un SMS contenente un OTP (One Time Password, con validità temporanea) al fine di verificare la reale disponibilità del dispositivo mobile indicato.
3. Il Cliente Prospect effettua l’upload del documento di identità sul portale Banca e, nel caso lo specifico
processo lo preveda, viene applicato un processo di acquisizione tramite tecnologica OCR.
4. Il Cliente Prospect segue il processo di richiesta del certificato, con presa visione e accettazione della modulistica della CA, con relativa scelta del PIN/Password (il quale sarà poi richiesto ad ogni utilizzo del certificato di firma) ai fini del completamento dell’emissione del certificato per firma digitale remota. La presa visione della modulistica CA viene obbligatoriamente sottoscritta spuntando i check box del documento e apponendo una firma elettronica mediante l’inserimento di un OTP ricevuto via SMS dal QTSP INTESA.
5. Completata la fase di registrazione, Banco BPM metterà a disposizione del Cliente Prospect la documentazione contrattuale bancaria che il Cliente Prospect stesso potrà firmare con il certificato qualificato di firma digitale remota (FDR) emesso dal QTSP INTESA.
Il certificato appena emesso potrà essere utilizzato solo per sottoscrivere la proposta contrattuale di cui alla fase precedente e nessun altro documento finché la Banca non abbia completato le necessarie verifiche propedeutiche all’identificazione certa del titolare ai fini dell’AML.
Se le verifiche di Banco BPM saranno completate con successo, il Cliente potrà successivamente utilizzare il
certificato emesso, nel rispetto delle sue limitazioni d’uso, nei rapporti con la Banca.
Se, invece, la Banca dovesse decidere di non accettare la proposta contrattuale del Prospect, lo stesso certificato sarà revocato, inibendone ogni ulteriore utilizzo, e i documenti firmati, di cui sopra, saranno distrutti, conservando traccia degli eventi in appositi log. Il Cliente viene informato della mancata accettazione della proposta e della relativa revoca del certificato.
Nello specifico, questo tipo di casi d’uso indirizza il rilascio del Certificato Qualificato in quelle circostanze riconducibili a limitati utilizzi della firma elettronica qualificata in contesti chiusi di utenti. Tipico è il caso in cui l’oggetto della sottoscrizione è un contratto, anche composto da più documenti informatici.
Questo tipo di certificati, in piena aderenza alle previsioni contenute nella comunicazione AgID 0016101.07-06- 2016, in presenza di determinati vincoli di dominio e di ambiti di utilizzo, consente l’uso della firma digitale prima di aver ultimato il dovuto processo di verifica dell’identità del titolare, alle seguenti condizioni:
Restrizione | Responsabilità |
1. Il processo è riconducibile esclusivamente a sistemi di firma remota. | Certificatore |
2. L’uso della firma digitale deve avvenire in ambiti chiusi di utenti. | Certificatore |
Certificatore | |
4. Il certificato deve essere chiaramente distinguibile da quelli emessi con procedure più tradizionali. Il certificato qualificato del titolare deve contenere uno specifico OID, riscontrabile nel manuale operativo, in cui è descritto questo particolare processo e il suo ristretto ambito (par. G.3.1.1). | Certificatore |
5. Devono sussistere stringenti limiti applicativi. L’applicazione che richiede la firma remota deve limitare i possibili oggetti di sottoscrizione ai soli documenti proposti dal cointeressato e cofirmatario. | Cointeressato e Cofirmatario |
6. Nel caso in cui la verifica dell’identità del titolare avvenga per mezzo di un incontro fisico fra titolare e addetto alla verifica dell’identità, quest’ultimo deve essere personale del certificatore o soggetto da esso delegato, ma non del cointeressato e cofirmatario, se diverso dal certificatore. | Certificatore |
7. Il cointeressato e cofirmatario può espletare la verifica dell’identità in vece del certificatore, attraverso sessioni audio-video, attraverso le procedure indicate dal certificatore e approvate dall’AgID, ovvero in applicazione della normativa afferente la verifica dell’identità di cui al D.lgs. 231/2007 e s.m.i., ove applicabile. Qualora, nell’ambito della verifica ai sensi di tale D.lgs., sia utilizzato il bonifico bancario, deve essere verificato che tale bonifico provenga da un conto bancario intestato esclusivamente al titolare del certificato. | Cointeressato e Cofirmatario |
8. All’apposizione della firma del titolare, il Certificatore si impegna a non apporre la marca temporale. | Certificatore |
9. All’apposizione della firma del titolare, il Cointeressato e Cofirmatario si impegna a non apporre la marca temporale. | Cointeressato e Cofirmatario |
10. Nel caso in cui il contratto sia costituito da più documenti informatici, che non vengono firmati in modo congiunto dal titolare del certificato e dal Cointeressato e Cofirmatario, la marca temporale, apposta obbligatoriamente solo dopo la firma del Cointeressato e Cofirmatario, deve essere applicata a ciascuno dei documenti firmati che costituiscono, nel loro complesso, il fascicolo contrattuale oggetto di sottoscrizione. | Cointeressato e Cofirmatario |
11. Fino all’apposizione delle firme del Cointeressato e Cofirmatario e delle marche di cui al precedente punto 10, l’oggetto sottoscritto dal solo titolare non deve essere fornito ad alcuno e, qualora la verifica dell’identità del titolare non avesse buon fine, deve essere distrutto conservando traccia degli eventi in appositi log. In quest’ultimo caso, quale misura a maggior tutela del Cliente Prospect, il certificato viene revocato. | Cointeressato e Cofirmatario |
Come ulteriore accorgimento di sicurezza finalizzato a diminuire l’esposizione dell’utente finale al rischio dell’utilizzo della propria firma digitale, il certificato per firma in ambiti chiusi di utenti prevede un intervallo di tempo massimo per l’espletamento del riconoscimento di 30 giorni.
Si precisa che i certificati triennali così emessi, una volta espletata positivamente la fase di identificazione di cui allo step 8) del processo descritto nel par. G.3.1, saranno utilizzati come certificati triennali di firma remota analogamente alla tipologia descritta al par. G.2.
I certificati emessi secondo le regole del par. G.3.1 sono identificati con i seguenti Object Identifier, (OID):
OID | Descrizione |
1.3.76.21.1.5.1.1.1 | Policy per certificati qualificati associati ad apparato sicuro per la creazione della firma mediante procedura remota di tipo firma in ambiti chiusi di utenti |
G.3.2. Rilascio tramite riconoscimento con identità elettronica
Ai sensi dell’art. 24, comma 1, lett. B) del Reg. eIDAS, Il QTSP INTESA può ottemperare alla verifica dell’identità del richiedente un certificato qualificato attraverso un processo di autenticazione SPID con credenziali di livello 2 o 3.
In tale processo di autenticazione, sono richiesti i seguenti dati minimi:
• Nome
• Cognome
• Sesso
• Luogo di nascita
• Data di nascita
• Codice fiscale.
Il certificato qualificato rilasciato tramite identità digitale SPID conterrà, in aggiunta agli altri OID previsti dal presente MO, l’OID 1.3.76.16.5, registrato a cura dell’Agenzia con la seguente descrizione: “Certificate issued through Sistema Pubblico di Identità Digitale (SPID) digital identity, not usable to require other SPID digital identity”;
Eventuali certificati qualificati emessi a seguito di una richiesta sottoscritta con firma elettronica qualificata basata su tali certificati qualificati devono, a loro volta, contenere il suddetto OID.
In questa casistica il Cliente Prospect viene identificato all’interno di un processo gestito direttamente dal QTSP INTESA che, in qualità di SP Privato SPID, procederà alla verifica dell’identità tramite la raccolta delle asserzioni di avvenuta autenticazione con livello almeno pari a 2.
H. Modalità operative per la sottoscrizione di documenti
Il QTSP, attraverso i servizi di Banco BPM, rende disponibile ai Titolari un’applicazione di firma conformemente a quanto previsto dalla normativa vigente.
La particolare tipologia del servizio non richiede che tale applicazione di firma sia installata sul proprio personal computer: la funzionalità di firma sarà resa disponibile accedendo ai servizi offerti da Banco BPM attraverso l’area web riservata o mediante le opportune applicazioni di filiale. Le firme elettroniche qualificate ottenibili attraverso queste procedure saranno conformi a quanto previsto dal DPCM, all’Art.4 comma 2, relativamente agli algoritmi utilizzati.
I documenti sottoscritti con tale applicazione di firma, come richiesto dall’Art.4 comma 3 dello stesso DPCM, non conterranno macroistruzioni o codici eseguibili tali ad attivare funzionalità che possano, all’insaputa del sottoscrittore, modificare atti, fatti e dati nei documenti stessi rappresentati.
Inoltre, tali documenti saranno sempre disponibili, per il sottoscrittore, all’interno di specifica sezione dell’area
Riservata del sito internet di Banco BPM.
H.1. Processo di Firma
Dopo aver richiesto il proprio Certificato digitale, il Titolare potrà poi procedere alla firma di un documento sia
in filiale che nell’Internet banking secondo le modalità di seguito descritte.
H.1.1. Filiale
Le modalità di firma presso la Filiale saranno le seguenti:
1. Il Titolare del Certificato Qualificato per la Firma Digitale potrà richiedere la sottoscrizione di documenti, atti, contratti, ordini, relativi a prodotti e servizi prestati o distribuiti da BANCO BPM.
2. Il Titolare prende visione del documento da firmare digitalmente e di eventuale ulteriore documentazione informativa utilizzando il display della tavoletta installata presso la postazione dell’operatore di Banco BPM.
3. Il Titolare avvia il processo di firma accettando la sottoscrizione del documento mediante l’inserimento
del PIN/Password e dell’OTP.
4. La ricezione, su un cellulare precedentemente registrato per ricevere le comunicazioni di Banco BPM, di
un opportuno SMS confermerà l’avvenuta sottoscrizione.
Qualora i documenti da firmare fossero più di uno, con PDF separati, il Titolare, per ogni documento, può reiterare i passi dal 2 al 4.
H.1.2. Internet/Mobile Banking
Modalità quasi del tutto analoghe andranno seguite per la firma sull’Internet Banking; in questo caso:
1. Il Titolare del Certificato Qualificato per la Firma Digitale, accedendo all’area Riservata del sito di Internet Banking di Banco BPM, ovvero accedendo all’area Riservata tramite la propria App per il Mobile Banking, richiede la sottoscrizione digitale di documenti e contratti relativi a prodotti o servizi offerti o distribuiti da Banco BPM stesso.
2. Il Titolare prende visione del documento da firmare digitalmente e di eventuale ulteriore documentazione informativa.
3. Il Titolare avvia il processo di firma accettando la sottoscrizione del contratto mediante l’inserimento del
PIN/Password e dell’OTP generato dai dispositivi di sicurezza in uso.
4. La ricezione, su di un cellulare precedentemente registrato per ricevere le comunicazioni di Banco BPM,
di un opportuno SMS confermerà l’avvenuta sottoscrizione.
Tenuto presente che la Banca si è dotata anche di ulteriori e innovativi strumenti tecnologici per permettere l’operatività bancaria in perfetta aderenza alla normativa PSD2 e, che tali strumenti soddisfano gli elevati standard di sicurezza dettati dalle relative normative in ambito di standard tecnologici adottati tramite Regolamenti Delegati della Commissione Europea (RD SCA RTS), in alternativa all’utilizzo di meccanismi tradizionali, come PIN/Password e OTP, la firma di documenti può avvenire anche tramite l’uso dell’App per il Mobile Banking Banco BPM, sfruttando i meccanismi di strong authentication che la stessa mette a disposizione per autenticare l’utente nell’ambito delle operazioni bancarie.
In tal senso, l’utente che intende firmare all’interno dell’App di Mobile Banking di Banco BPM, in alternativa
all’uso di PIN e OTP, potrà utilizzare il sistema di autenticazione biometrico messo a disposizione dall’App stessa.
Qualora i documenti da firmare fossero più di uno, con PDF separati, il Titolare, per ogni documento, può reiterare i passi dal 2 al 3.
In alternativa alla reiterazione degli step di visualizzazione e sblocco della firma, laddove i documenti da sottoscrivere siano più di uno o ci siano diversi punti firma sul medesimo documento, e siano gestibili nell’ambito di una singola sessione di firma, l’utente potrà prendere visione di tutti i documenti da firmare nell’ambito dello step 2 e, all’interno della sessione sopracitata, che non ha interruzioni, e tramite un singolo inserimento delle credenziali di sblocco del certificato di firma (siano queste PIN/Password e OTP oppure autenticazione biometrica PSD2 SCA compliant) potrà apporre la firma su tutti i punti firma di tutti i documenti visionati allo step 2.
H.2. Modalità operative per la verifica della firma
I. Generazione delle chiavi di Certificazione, di Validazione Temporale e di sottoscrizione
I.1. Generazione delle chiavi di certificazione
La generazione delle chiavi di certificazione (CA e TSCA) all'interno dei dispositivi di firma avviene in presenza del Responsabile di Certificazione, come previsto dal DPCM all'Art.7.
La suddetta operazione è preceduta dall'inizializzazione dei dispositivi di firma per il sistema di generazione dei certificati con i quali si firmano i certificati dei Titolari e quelli del sistema di validazione temporale.
Il tutto avviene in modalità dual control ad evitare operazioni illecite.
Le operazioni successive alla generazione delle coppie di chiavi del QTSP sono possibili solamente attraverso particolari dispositivi di autorizzazione (token usb): l’accesso privilegiato agli HSM è eseguibile soltanto attraverso la chiave contenuta in tali dispositivi di autorizzazione di cui sopra.
Per maggior sicurezza, tali chiavi sono divise su più dispositivi, secondo una logica del tipo “n di m”, in modo che solo la concomitante presenza di almeno n di m parti della chiave permettano di operare con gli opportuni privilegi. Pertanto, esse vengono custodite in apposite casseforti distinte.
La lunghezza delle chiavi di certificazione è conforme alla normativa tempo per tempo vigente.
I.2. Generazione delle chiavi del sistema di validazione temporale
La generazione delle chiavi di validazione temporale avviene in conformità a quanto stabilito dall’Art.49 del DPCM.
La lunghezza delle chiavi del sistema di validazione temporale è conforme alla normativa tempo per tempo vigente.
I.3. Generazione delle chiavi di sottoscrizione
Completata la fase di registrazione, durante la quale i dati dei Titolari vengono memorizzati negli archivi del QTSP, è possibile procedere alla generazione delle chiavi di sottoscrizione.
Il Titolare potrà avviare la procedura di generazione delle chiavi e richiesta del Certificato di firma ad esse associato in una delle modalità precedentemente descritte al par. G - Procedure di rilascio del Certificato Qualificato per la Firma Digitale Remota.
Le coppie di chiavi di sottoscrizione sono create su dispositivi di firma sicuri (HSM – Hardware Security Module),
conformi alle specifiche di cui all’Allegato II del Reg. eIDAS.
La lunghezza delle chiavi di sottoscrizione è conforme alla normativa tempo per tempo vigente.
J. Modalità di emissione dei certificati
J.1. Procedura di emissione dei Certificati di certificazione
In seguito alla generazione delle chiavi di certificazione, descritta nel par. I.1 vengono generati i certificati delle chiavi pubbliche, conformemente con quanto disposto dal DPCM, firmati con le rispettive chiavi private e registrati nel registro dei certificati secondo le modalità previste.
I certificati delle chiavi di certificazione sono inviati all’Agenzia per l’Italia Digitale attraverso il sistema di comunicazione di cui all’Art.12, comma 1, del DPCM.
Il QTSP genera un certificato qualificato per ciascuna delle chiavi di firma elettronica qualificata utilizzate dall’Agenzia per la sottoscrizione dell’elenco pubblico dei certificatori e lo pubblica nel proprio registro dei certificati. Il QTSP deve poi mantenere copia della lista, sottoscritta da Agenzia per l’Italia Digitale, dei certificati relativi alle chiave di certificazione e lo rende disponibile per via telematica (DPCM, Art.42, commi 1 e 3).
J.2. Procedura di emissione dei Certificati di sottoscrizione
INTESA emette certificati con un sistema conforme con l'Art.33 del DPCM.
Dopo la generazione della coppia di chiavi di sottoscrizione, descritta nel par. H.3, è generata una richiesta di nuovo certificato nel formato PKCS#10, che fornisce automaticamente la prova di possesso della chiave privata e la verifica del corretto funzionamento della coppia di chiavi.
Generate le chiavi la richiesta di certificato sarà immediatamente inviata dall’applicazione di Banco BPM al QTSP. La generazione dei certificati è registrata nel giornale di controllo (DPCM, Art.18, comma 4).
J.2.1. Informazioni contenute nei certificati di sottoscrizione
I certificati INTESA, emessi nell’ambito del presente manuale, sono certificati qualificati ai sensi del Regolamento
(UE) 910/2014 (eIDAS) e, pertanto, ne è garantita la loro interoperabilità e riconoscimento a livello comunitario.
Il Certificato Qualificato definisce con certezza il QTSP che lo ha emesso e contiene i dati necessari per la verifica della Firma Digitale.
Ogni Certificato Qualificato per la Firma Digitale contiene, a titolo esemplificativo ma non esaustivo, le seguenti informazioni:
• numero di serie;
• ragione o denominazione sociale del QTSP;
• codice identificativo unico del Titolare presso il QTSP;
• nome, cognome, codice fiscale del Titolare;
• valore della chiave pubblica;
• algoritmi di generazione e verifica utilizzabili;
• inizio e fine del periodo di validità del certificato;
• algoritmo di sottoscrizione del certificato;
• tipologia delle chiavi;
• limitazioni nell'uso della coppia di chiavi.
Tutti i Certificati Qualificati emessi nell’ambito dei servizi descritti nel presente Manuale, contengono almeno
uno dei limiti d’uso riportati al par. F.1.1.
J.2.2. Codice di Emergenza
Il QTSP garantisce in conformità con quanto previsto dall’Art.21 del DPCM un codice di emergenza da utilizzarsi per richiedere la sospensione urgente del Certificato ancora in corso di validità (non scaduto e non revocato).
Nelle applicazioni descritte dal presente Manuale Operativo, il codice di emergenza sarà comunicato al Titolare in fase di richiesta di certificazione.
K. Modalità di revoca e sospensione dei certificati
In conformità al Reg. eIDAS, le informazioni sullo stato del certificato sono disponibili via protocollo OCSP, all’URL
indicato sul certificato stesso.
La revoca e la sospensione dei certificati possono essere asseverate anche dal loro inserimento nella lista CRL (Art.22 del DPCM). Il profilo delle CRL è conforme con lo standard RFC 3280. Tale lista, firmata dalla Certification Authority emittente il certificato, viene aggiornata con periodicità prestabilita e conforme alla normativa vigente. Il QTSP INTESA consente anche l’accesso alle CRL attraverso il protocollo http, all’URL indicato nel campo CDP (CRL Distribution Point) del certificato.
La lista CRL è disponibile anche sul registro dei certificati.
Nei casi in cui la revoca ovvero la sospensione avvengano su iniziativa del Certificatore o del Terzo Interessato (artt. 23, 25, 27 e 29 del DPCM), il Certificatore notifica al Titolare la richiesta e il momento in cui entrerà in vigore l'evento richiesto.
In fase di richiesta, saranno specificate la data e l’ora a partire dalla quale il certificato risulterà revocato (Art.24,
comma 1, DPCM).
K.1. Revoca dei certificati
Un certificato può essere revocato su richiesta del Titolare, del Terzo Interessato o della Certification Authority (cioè il QTSP).
Il certificato revocato non può essere in alcun modo riattivato.
K.1.1. Revoca su richiesta del Titolare
Il Titolare può richiedere la revoca del certificato in corso di validità (non scaduto e non revocato), che potrà essere inoltrata utilizzando i canali di comunicazione definiti con Banco BPM.
Il Certificatore, avvertito da Banco BPM, provvederà alla immediata revoca del certificato.
K.1.2. Revoca su richiesta del Terzo Interessato
Banco BPM, in qualità di Terzo Interessato, può richiedere la revoca del certificato in corso di validità (non scaduto e non revocato).
In caso di estinzione del contratto (di conto corrente) che lega il Titolare al Terzo Interessato, quest’ultimo potrà esercitare la richiesta di revoca con le modalità stabilite con il Certificatore. In questo caso il Certificatore non deve provvedere ad inviare alcuna comunicazione al Titolare.
Nel caso in cui Banco BPM richiedesse la revoca del certificato senza la simultanea interruzione del contratto in essere il Certificatore, accertata la correttezza della richiesta, darà notizia della revoca ai Titolari interessati utilizzando i canali di comunicazione definiti con il Titolare all’atto della registrazione o successivamente aggiornati e comunicati dal Titolare alla CA (par. C.2 - Obblighi del Titolare).
K.1.3. Revoca su iniziativa del Certificatore
Il Certificatore che intende revocare il Certificato Qualificato in corso di validità (non scaduto e non revocato), ne dà preventiva comunicazione via PEC con Banco BPM; Contemporaneamente sarà data comunicazione al Titolare utilizzando l’indirizzo e-mail fornito in fase di richiesta del certificato ovvero all’indirizzo di residenza, specificando i motivi della revoca nonché la data e l’ora a partire dalla quale la revoca è efficace.
Effettuata la revoca, il Certificatore avviserà Banco BPM, inviando una comunicazione all’indirizzo di Posta
Elettronica Certificata.
K.1.4. Revoca dei certificati relativi a chiavi di certificazione
Nei casi di:
• compromissione della chiave di certificazione,
• cessazione dell'attività,
il Certificatore procede con la revoca dei certificati di certificazione corrispondenti e dei certificati di sottoscrizione firmati con la stessa chiave di certificazione.
Entro 24 ore, il Certificatore notificherà la revoca all’Agenzia per l’Italia Digitale, ai Titolari e a Banco BPM
K.2. Sospensione dei certificati
Sulle modalità di sospensione e di notifica della medesima vale quanto detto per le modalità di revoca al par.
La sospensione di un certificato in corso di validità (non scaduto e non revocato) è prevista nel caso in cui si debba fare un supplemento di indagine per verificare se debba effettivamente essere revocato.
La richiesta di sospensione può essere avanzata da tutte le entità previste dal DPCM agli Artt. 27, 28 e 29 (Certificatore, Titolare, Terzo Interessato).
In assenza di comunicazioni da parte del Titolare, il certificato verrà automaticamente revocato dopo un periodo di sospensione di 90 (novanta) giorni o comunque entro la data di scadenza del certificato stesso.
La data di decorrenza della revoca coinciderà, in ogni caso, con la data di decorrenza della sospensione.
K.2.1. Sospensione su richiesta del Titolare
Il Titolare può richiedere la sospensione del certificato in corso di validità (non scaduto e non revocato), che potrà essere inoltrata utilizzando i canali di comunicazione definiti con Banco BPM
Il Certificatore, avvertito da Banco BPM, provvederà alla immediata sospensione del certificato.
Successivamente il Titolare potrà richiedere il ripristino del certificato secondo le modalità rese disponibili sempre da Banco BPM.
In assenza di comunicazioni ulteriori, il certificato sospeso sarà automaticamente revocato al termine del periodo di sospensione.
K.2.2. Sospensione su richiesta del Terzo Interessato
Banco BPM, in qualità di Terzo Interessato, potrà richiedere la sospensione del certificato in corso di validità (non scaduto e non revocato).
Il Certificatore, accertata la correttezza della richiesta, sospenderà immediatamente il certificato e darà notizia della sospensione ai Titolari interessati utilizzando i canali di comunicazione definiti con il Titolare all’atto della registrazione o successivamente aggiornati e comunicati dal Titolare alla CA (par. C.2 - Obblighi del Titolare).
K.2.3. Sospensione su iniziativa del Certificatore
Il Certificatore, salvo i casi di motivata urgenza potrà sospendere il certificato in corso di validità (non scaduto e non revocato), dandone preventiva comunicazione al Titolare all’indirizzo e-mail fornito in fase di richiesta del certificato comunicato in fase di registrazione ovvero all’indirizzo di residenza, specificando i motivi della sospensione e data e ora a partire dalle quali tale sospensione sarà efficace.
Una comunicazione analoga verrà inviata dal Certificatore anche al Terzo Interessato.
L. Modalità di sostituzione delle chiavi
L.1. Sostituzione dei certificati qualificati e delle chiavi del Titolare
I certificati qualificati di firma elettronica emessi dal QTSP INTESA nell’ambito del contesto descritto nel presente
Manuale Operativo hanno validità di 36 (trentasei) mesi dalla data di emissione.
Al termine sopracitato, si renderà necessaria la generazione di una nuova coppia di chiavi di sottoscrizione e, contestualmente, l’emissione di un nuovo certificato.
In questo caso la procedura seguita per l’emissione del nuovo certificato sarà simile a quella indicata in fase di primo rilascio, al netto della fase di identificazione del Titolare che non dovrà essere ripetuta.
L.2. Sostituzione delle chiavi del Certificatore
L.2.1. Sostituzione in emergenza delle chiavi di certificazione
Il procedimento utilizzato in caso di guasto del dispositivo di firma (HSM) contenente le chiavi di certificazione (CA e TSCA) o di disastro presso la sede centrale è trattato al par. P. Procedura di gestione degli eventi catastrofici.
L.2.2. Sostituzione pianificata delle chiavi di certificazione
Con un periodo di tempo congruo alla normativa vigente, prima della scadenza del certificato relativo alle coppie di Chiavi di certificazione (CA / TSCA), utilizzate dai sistemi di emissione dei certificati di sottoscrizione e dei certificati di TSA, il QTSP procederà in base a quanto stabilito dall’art. 30 del DPCM.
L.3. Chiavi del sistema di validazione temporale (TSA)
M. Registro dei certificati
M.1. Modalità di gestione del Registro dei certificati
Nel registro dei certificati, il QTSP INTESA pubblica:
• I certificati delle chiavi di certificazione e del sistema di validazione temporale.
• I certificati emessi a seguito della sostituzione delle chiavi di certificazione.
• Certificati per le chiavi di firma dell’Agenzia per l’Italia Digitale (DPCM Art.42, comma 1).
• Le liste di revoca e sospensione (CRL).
Le operazioni che coinvolgono il registro dei certificati vengono svolte soltanto dalle persone a ciò autorizzate, presenti in quantità adeguata a impedire azioni illecite da parte di un limitato numero di addetti.
Il QTSP mantiene una copia di riferimento del registro dei certificati inaccessibile dall’esterno; questa aggiorna in tempo reale la copia operativa, accessibile da parte degli utenti con protocollo LDAP.
La verifica di rispondenza tra copia di riferimento e copia operativa è fatta sistematicamente.
M.2. Accesso logico al Registro dei certificati
La copia di riferimento è collocata all'interno di una rete dedicata protetta da adeguati dispositivi, per cui non è accessibile ad altri che dal server di emissione dei certificati, che vi registra i certificati emessi e le CRL.
L'accesso è possibile all'indirizzo ldap://x000.x-xxxxxxxx.xxxxxx.xx.
M.3. Accesso fisico ai locali dei sistemi preposti al registro dei certificati
Gli addetti abilitati alla gestione diretta del registro dei certificati possono accedere al locale ove il sistema è installato e operarvi solo se in modalità dual control ad evitare azioni illecite.
Gli addetti alla gestione dei sistemi, alla gestione della rete, alla manutenzione, ecc., possono accedere al locale ove il sistema è installato e, per gli addetti specifici, operarvi solo in presenza di addetti abilitati alla gestione del registro dei certificati secondo le modalità precedentemente esplicitate per gli operatori abilitati.
N. Modalità di protezione dei dati personali
Le misure di sicurezza per la protezione dei dati personali sono conformi alle misure previste dal Regolamento Europeo 679/2016 e successive modificazioni e integrazioni.
O. Procedura di gestione delle copie di sicurezza
Gli archivi informatici che sono oggetto di copie di sicurezza sono i seguenti:
• REGISTRO DEI CERTIFICATI, archivio digitale contenente quanto specificato alla sezione 0.
• INFORMAZIONI OPERATIVE, archivio digitale in cui sono memorizzate tutte le informazioni ricevute dal Titolare al momento della registrazione e della richiesta di un certificato nonché le richieste di revoca e sospensione, corredate delle relative documentazioni.
• GIORNALE DI CONTROLLO, archivio costituito dall'insieme delle registrazioni effettuate automaticamente dai sistemi installati presso il servizio di certificazione del QTSP (Art.36 del DPCM).
• ARCHIVIO DIGITALE DELLE MARCHE TEMPORALI, contiene le marche temporali generate dal sistema di validazione temporale (Art.53, comma 1, del DPCM).
• REGISTRO OPERATIVO DEGLI EVENTI DI VALIDAZIONE TEMPORALE, registro sul quale sono automaticamente memorizzati gli eventi attinenti le attività di validazione temporale per i quali è prevista la registrazione di qualunque anomalia o tentativo di manomissione che possa pregiudicare il funzionamento del sistema di validazione temporale (Art.52 del DPCM).
La conservazione, per tutte le copie di sicurezza descritte, è conforme a quanto previsto dalle normative vigenti in materia.
P. Procedura di gestione degli eventi catastrofici
Il Responsabile della sicurezza gestisce un piano di gestione degli eventi catastrofici che prevede le seguenti fasi:
• gestione dell'emergenza: in questa fase è garantita la continuità di accesso alle CRL; la loro emissione può subire ritardi derivanti dalla necessità di attivare il server di back up della CA, situato nel sito di back up;
• gestione del transitorio: in questo periodo è assicurata l'emissione dei certificati e il ripristino di ulteriori soluzioni di disaster recovery;
• ritorno dell'esercizio a regime: nel medesimo sito originale o in un altro alternativo, ma definitivo.
Per poter fare fronte alla gestione dell'emergenza è prevista la replica off-site dei dati e l'intervento entro 24 ore del personale addetto.
Q. Modalità per l’apposizione e la definizione del riferimento temporale
Il QTSP INTESA offre un servizio qualificato di validazione temporale di documenti elettronici conforme alla normativa vigente.
Tutte le macchine del QTSP INTESA sono sincronizzate al riferimento temporale fornito dall’I.N.RI.M. - Istituto Nazionale di Ricerca Metrologica di Torino (già Istituto Elettrotecnico Nazionale Xxxxxxx Xxxxxxxx). Questa funzionalità è realizzata mediante il protocollo NTP (Network Time Protocol). L’I.N.RI.M fornisce un servizio di sincronizzazione per sistemi informatici collegati alla rete Internet, basato su due server NTP primari installati nel Laboratorio di Tempo e Frequenza Campione. Essi, a loro volta, sono sincronizzati alla scala di tempo nazionale italiana UTC(IT). Lo scarto di tempo tra i server NTP dell'I.N.RI.M e la scala di tempo nazionale italiana viene tenuto sotto controllo ed è normalmente inferiore ad alcuni millisecondi. La precisione di sincronizzazione ottenibile dipende dalla tipologia della rete e dalla distanza interposta tra il server NTP e il calcolatore che si vuole sincronizzare; i valori di scarto tipici sono inferiori al millisecondo per sistemi appartenenti alla stessa rete e possono arrivare a qualche centinaio di millisecondi per reti remote.
I riferimenti temporali apposti dalle applicazioni sono stringhe in formato data (DD/MM/YYYY hh:mm:ss), con la precisione del secondo, che rappresentano l’ora locale, in base alla configurazione della macchina. Tali riferimenti sono conformi al DPCM Art.51.
Ogni registrazione effettuata sul giornale di controllo contiene un riferimento temporale che, essendo generato con la modalità qui descritta, è opponibile a terzi (Art.41 del DPCM). I server dedicati ai servizi di marcatura temporale hanno, inoltre, un controllo software tra l’orario della macchina e un cospicuo numero di server NTP distribuiti a livello planetario: l’utilità di controllo, installata su ognuno dei server utilizzati dal QTSP INTESA nell’ambito della validazione temporale, periodicamente verifica l’allineamento del clock di sistema con questi NTP Server di riferimento. Se l’allineamento temporale non risulta conforme alle specifiche tecniche di riferimento tempo per tempo vigenti, il servizio di marcatura temporale erogato dallo specifico server che risultasse disallineato viene arrestato. Alla data, è previsto il blocco del sistema di validazione temporale in caso di superamento di una soglia di tolleranza fissata a 1 (un) minuto secondo (in valore assoluto).
Q.1. Modalità di richiesta e verifica marche temporali
Il QTSP appone una marca temporale (validazione temporale elettronica qualificata, ai sensi del Reg. eIDAS) su
tutti i documenti sottoscritti dal Titolare nell’ambito dei servizi descritti da questo Manuale Operativo.
L’apposizione di detta marca è un processo integrato con l’operazione di firma e non richiede nessuna attività
specifica da parte del Titolare.
La verifica della marca temporale apposta è contestuale alla verifica della firma.
R. Lead Time e Tabella Raci per il rilascio dei certificati
Di seguito si riporta la Tabella relativa al “Lead Time di Processo” per la gestione delle richieste di Emissione,
Revoca, Sospensione e Riattivazione dei Certificati.
Soggetto | Richiesta | Ente Coinvolto | Azione Ente Coinvolto | Ente Coinvolto | Azione Ente Coinvolto |
Utente, Richiedente, Titolare Certificato | Richiesta di Emissione del Certificato vs. LRA | Banca (acting as) Local RA | Emette ordine di pubblicazione del Certificato vs CA previa verifica identità | Certification Authority | Evasione Richiesta di Certificazione |
Utente, Richiedente, Titolare Certificato | Richiesta di Revoca del Certificato vs. RA o LRA | Intesa (acting as) Registration Authority (RA) o Banca (acting as LRA) | Emette ordine di revoca del Certificato vs CA previa verifica identità | Certification Authority | Evasione Richiesta di Revoca |
Utente, Richiedente, Titolare Certificato | Richiesta di Sospensione del Certificato vs. RA o LRA | Intesa (acting as) Registration Authority (RA) o Banca (acting as LRA) | Emette ordine di sospensione del Certificato vs CA previa verifica identità | Certification Authority | Evasione Richiesta di Sospensione |
Utente, Richiedente, Titolare Certificato | Richiesta di Riattivazione del Certificato vs. RA o LRA | Intesa (acting as) Registration Authority (RA) o Banca (acting as LRA) | Emette ordine di riattivazione del Certificato vs CA previa verifica identità | Certification Authority | Evasione Richiesta di Riattivazione |
Di seguito si riporta la Tabella RACI relativa alla individuazione delle responsabilità degli enti coinvolti nelle richieste di Emissione, Revoca, Sospensione e Riattivazione dei Certificati.
Soggetto Coinvolto | Responsible | Accountable | Consulted | Informed |
Registration Authority | X | |||
Local Registration Authority | X | |||
Certification Authority | X | |||
Utente, Richiedente, Titolare del Certificato | X | X |
S. Riferimenti Tecnici
ETSI-319.401 | ETSI EN 319 401 v2.3.1 - Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers |
ETSI-319.411-1 | ETSI EN 319 411-1 V1.3.1 - Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements |
ETSI-319.411-2 | ETSI EN 319 411-2 V2.3.1 - Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates |
ETSI-319.412-1 | ETSI EN 319 412-1 V1.4.4 - Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures |
ETSI-319.412-2 | ETSI EN 319 412-2 V2.2.1 - Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons |
ETSI-319.412-5 | ETSI EN 319 412-5 V2.3.1 - Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements |
Rec ITU-R | Recommendation ITU-R TF.460-6, Annex 1 – Time Scales. |
RFC5905 | Network Time Protocol (Protocollo NTP) |
ETSI-319.421 | ETSI EN 319 421 v1.1.1 - Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps |
ETSI-319.422 | ETSI EN 319 422 v1.1.1 - Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and time-stamp token profiles |
-- FINE DEL DOCUMENTO –