In Zambia i telemedici italiani

il solito pasticcio all'italiana
a casa questi politici incapaci

Re: il solito pasticcio all'italiana
> a casa questi politici incapaciDiciamo che vado OT..Io faccio fatture "digitali" per modo di dire, nel senso che le invio come PDF. Il costo è pressocché nullo, visto e considerato che mi sono fatto la mia bella applicazione (web-based) che con un wizard banalissimo in un baleno compila ed invia il documento al destinatario.Non ho proprio idea di quanto mi costerebbe lavorare con firme digitali o analoghi, unici o "massivi". Tuttavia, visto che siamo alla sagra del luogo comune - quando sappiamo tutti che le eventuali grane su questi frangenti sono tutto fuorché frutto di "involontaria" incapacità -, pensavo soltanto ad una cosa..Magari è una boiata, ed io sono il più ingenuo ignorante sulla terra, ma al posto di un sistema periferico di certificazione della veridicità delle fatture emesse non sarebbe meno costoso - anche come servizio statale erogato a pagamento (tipo ticket) - avere semplicemente un mega registro delle fatture on-line che dica che l'utente A ha inviato una fattura (una notula, una nota d'accredito, etc..) all'utente B..?Più ci penso e più mi accorgo che, aldilà delle mia ingenuità, un sistema del genere, anche se fosse a carico dello Stato, oltre a garantire maggior celerità, offrirebbe ovvii vantaggi sia sul fronte della trasparenza che della lotta all'evasione, e quindi sarebbe un risparmio rispetto alla situazione attuale..-----------------------------------------------------------Modificato dall' autore il 03 ottobre 2007 05.38-----------------------------------------------------------

Re: il solito pasticcio all'italiana
nella semplicità dell'idea vedo una buona intuizione. ma sono quelle cose troppo semplici che in italia non funzionano mai... forse perché non creano "milioni di posti di lavoro"?!?un pò come rendere detraibili le fatture per i privati, per far emergere il nero... troppo semplice!però poi chi mi proteggerebbe la riservatezza dei documenti on line? potrebbero contenere informazioni riservate, anzi, di solito le contengono...

Re: il solito pasticcio all'italiana
- Scritto da: andrea> nella semplicità dell'idea vedo una buona> intuizione. ma sono quelle cose troppo semplici> che in italia non funzionano mai... forse perché> non creano "milioni di posti di> lavoro"?!?Lo so.. Una cosa del genere sarebbe una sorta di bomba H sul flusso di lavoro di amministrativi, liberi professionisti e pure degli impiegati delle Entrate (che tra l'altro sembrano essere le uniche ipologie di lavoro per cui il cd Stato attua da sempre politiche di sostegno commerciale, per così dire..).> un pò come rendere detraibili le fatture per i> privati, per far emergere il nero... troppo> semplice!Io credo che, per ingenue che possano essere, le proposte semplici siano spesso anche quelle più potenti (e meno costose). Che poi possano essere invise a qualcuno è un altro discorso.. > però poi chi mi proteggerebbe la riservatezza dei> documenti on line? potrebbero contenere> informazioni riservate, anzi, di solito le> contengono...Ma no..! Io dico un sistema che semplicemente registri che A ha emesso una "ricevuta" a B di un tot importo per un tal prodotto/servizio. Hai presente i registri cartacei..? Solo con un campo più spazioso per la descrizione del venduto.

Re: il solito pasticcio all'italiana
Assai più semplice che firmi le tue fatture con un chiavino certificato infocamere, usando magari il loro dike o altro software a norme CNIPA

Re: il solito pasticcio all'italiana
"incapaci" o c'è anche dell'interesse?

Re: il solito pasticcio all'italiana
- Scritto da: Samuele_C> "incapaci" o c'è anche dell'interesse?Ma certo è così.Nella classe politica stessa e tutto il contorno di gente che ci "magna" c'è interesse a mantenere meccanismi poco trasparenti.

Re: il solito pasticcio all'italiana
Certo, pensate per esempio al portale sul turismo....

Re: il solito pasticcio all'italiana
Usciamo un attimo dai luoghi comuni, anche perchè sparare sui politici è come sparare sulla croce rossa. Qui stiamo parlando di un apparecchietto che serve a grosse aziende (prevalentemente Banche e assicurazioni) per controfirmare centinaia di documenti senza la presenza di un operatore. Per gli usi più comuni i chiavini USB vanno più che bene e sono già regolamentati, come regolamentati sono i certificatori e i software che si possono usare per avere validità legale (basta sfogliare il sito del CNIPA). Pensare che le grandi banche e le assicurazioni non abbiano santi in paradiso mi pare un po' ingenuo, suppongo che come sempre si stia facendo all'italiana, visto che pochi conoscono l'argomento e l'importanza che può rivestire, nella paura di dar noia a qualcuno preferiscono non occuparsi di cose che non conoscono ...finchè qualche amico dell'amico non farà la telefonatina giusta. Questa non è la politica italiana, è l'Italia.

Re: il solito pasticcio all'italiana
Va anche detto che il CNIPA è in vera fase decadente: i dipendenti stanno compilando curricula prestamapti che investigano sugli skill personali, e probabilmente serviranno a ricollocarli da qualche parte....Indi, nonostante le persone responsabili di Firma Dig. e Certificazioni siano molto competenti (caso praticamente unico in tutto l'Istituto, infatti verranno sostituite a breve....e lì si che saranno dolori!!) è tutto fermo sia sul piano propositivo che normativo. Parte delle colpe va anche alle farragginosi e lentissimi incontri dei gruppi tecnici di dematerializzazione, che avrebbero dovuto contribuire a norme più chiare e ad uno snellimento generale delle procedure...

eh???
ma si bucano? gli hsm sono attualmente utilizzati e certificati (cnipa) per l'uso con la posta certificata; vanno bene per quello e per questo no?

Re: eh???
- Scritto da: fdgdfghf> ma si bucano? gli hsm sono attualmente utilizzati> e certificati (cnipa) per l'uso con la posta> certificata; vanno bene per quello e per questo> no?beh gli hsm accrditati dal CNIPA li usa il CNIPA tramite il suo comitato. Mentre certificare questi apparati equvale a creare un'altro certificatore privato massivo che potrebbe fare concorrenza al cnipa e di cui il cnipa non ha previsto nel suo programma imponente di rete unica.....cio non possiede più il controllo........semplice no!!!Alla faccia del cnipa che criticave le Pubbliche amministrazioni centraliste.

finalmente!
E' la prima volta che leggo un commento su questa assurdità tutta italiana! Queste cose vanno denunciate con coraggio e sono contento che Punto Informatico lo faccia grazie all'avv. Lisi! Spero che aiuti a sbloccare questa situazione paradossale.

Re: finalmente!
Contaci....

precisazione normativa
Per essere precisi, i certificatori non possono autocertificare perchè non esiste una norma che lo consenta (l'atteso decreto serve proprio a questo). Se autocertificassimo un dispositivo sarebbe un atto illegale e sanzionabile dal CNIPA che vigila sui certificatori. Non si tratta quindi di mancanza di volontà.

Re: precisazione normativa
e chi l'ha mai detto che per autocertificare serva una norma???mi sa che nel CNIPA ci sono troppi ingegneri e pochi giuristi!basta leggere il DPCM 13 gennaio 2004 (art. 52) per verificare e certificare un dispositivo di firma....ma a qualcuno non conviene "autocertificare"!

Ma diamo proprio i numeri?
Ma chi li fa i decreti qui da noi??? Il legislatore, solitamente nella figura del/i deputato/i di turno, non ha una sfilza di "consulenti" che li aiutano nella redazione di documenti inerenti argomentazioni loro "sconosciute"??? Chiunque conosce il funzionamento dei certificati digitali sa che presentano una struttura gerarchica, e che quindi, avviare il processo di "firma digitale di massa", vuol anche dire definire i livelli di certificazione, e prevedere che TUTTI i passaggi siano certificati. L'uso degli HSM è la soluzione ideale (ovviamente), ma non si sono posti la domanda... chi li certifica???? Senza che vengano certificati, altro non sono che belle scatolette, molto sicure, che servono solo a conservarci dentro pochi KB di informazioni. Sono mancanze assurde, che bloccano un mercato che potrebbe avviarsi. Capisco bene che gli operatori, a loro volta, non vogliano rivolgersi a certificatori europei... ma lo Stato che fa??? Quelo che finora è stato fatto sembra abbia avuto come conseguenza diretta la vendita nel mercato italiano di qualche device in più.-----------------------------------------------------------Modificato dall' autore il 03 ottobre 2007 11.09-----------------------------------------------------------

Re: Ma diamo proprio i numeri?
Un ente certificatore supert partes non potrebbe essere trovato all' interno del CNR (per esempio)? Li ci sono fior di tecnici specializzati in materie scientifiche tra le quali che si occupano anche di informatica (se non erro), possibile che all' interno di tali strutture non si possa individuare del personale idoneo? Non ci credo, credo piuttosto che ci sia negligenza del legistaltre mista a una notevole ignoranza.- Scritto da: Giuffrolo> Ma chi li fa i decreti qui da noi??? Il> legislatore, solitamente nella figura del/i> deputato/i di turno, non ha una sfilza di> "consulenti" che li aiutano nella redazione di> documenti inerenti argomentazioni loro> "sconosciute"??? Chiunque conosce il> funzionamento dei certificati digitali sa che> presentano una struttura gerarchica, e che> quindi, avviare il processo di "firma digitale di> massa", vuol anche dire definire i livelli di> certificazione, e prevedere che TUTTI i passaggi> siano certificati. L'uso degli HSM è la soluzione> ideale (ovviamente), ma non si sono posti la> domanda... chi li certifica???? Senza che vengano> certificati, altro non sono che belle scatolette,> molto sicure, che servono solo a conservarci> dentro pochi KB di informazioni. Sono mancanze> assurde, che bloccano un mercato che potrebbe> avviarsi. Capisco bene che gli operatori, a loro> volta, non vogliano rivolgersi a certificatori> europei... ma lo Stato che fa??? Quelo che finora> è stato fatto sembra abbia avuto come conseguenza> diretta la vendita nel mercato italiano di> qualche device in> più.> --------------------------------------------------> Modificato dall' autore il 03 ottobre 2007 11.09> --------------------------------------------------

puntualizzazione
Non è compito dei certificatori certificare gli HSM, anche perchè in italia non esiste alcun organo in grado di rilasciare certificazioni ITSEC E3 o EAL 4 (i livelli di sicurezza riconosciuti dalla nostra legislazione).Quando viene richiesto un certificato da installare su un HSM si generano le chiavi e si manda la richiesta alla certification authority che con l'emissione del relativo ceritificato, "autorizza" le chiavi e gli dà una serie di dati di riconoscimento contenuti nel certificato stesso.Il problema è proprio questo, se vado da un certificatore con una smart-card o un token USB è praticamente immediata la verifica della device che deve appunto rispondere agli standard citati, certo è più complesso dimostrare che il certificato richiesto è per una HSM certificato (difficile portargli un server!)Ma la normativa, giustamente, impone che i certificati emessi per sistemi di firma massiva siano definiti come tali nel certificato, che non è più intestato a "Paolo Rossi" con relativo codice fiscale ma alla società "Acme SPA" come certificato per firma massiva fatture etc etc ... e può essere utilizzato limitatamente a quella funzione.Quindi non è sicuramente compito dei certificatori "certificare" il processo di sicurezza dei dispositivi HSM, e basterebbe una dichiarazione della società richiedente il certificato (nei confronti del certificatore) con i dettagli tecnici del dispositivo HSM sul quale viene installato il certificato.Il problema è che questi dispositivi che hanno costi a partire da 6000 euro, e sono a tutti gli effetti delle schede PCI da inserire in un server, ma solo il costo dell'hardware incide fortemente in un progetto di dematerializazione, fermo restando che pochi sono quelli che hanno bisogno di questi sistemi dato che la normativa ci permette di conservare in modalità sostitutiva lotti di documenti quindi una firma ed una marca temporale per migliaia di file.La maggior parte dei progetti di conservazione sostitutiva rimane paralizzato per "panico normativo" e mancanza di corretta informazione dato che oggi abbiamo la normativa che lo permette e soprattuto è necessario in termini di risparmio per le aziende e, permettetemi, per evitare sprecare milioni di metri cubi di carta (alberi!) per stampare stupidi documenti fiscali che devono essere tenuti in un magazzino per 10 anni, quando possono stare tranquillamente in un disco.

Re: puntualizzazione
>> e sono a tutti gli effetti delle schede PCI da inserire in un serverQuelli sono gli HSM dei poveri.... esistono anche gli appliance :) (Tipo Keyper Enterprise)Il punto e':Non essendo hardware opensource..... CHI GARANTISCE IL PRODUTTORE?ITSEC E3 o EAL 4 ? FIPS? POVERA LA NOSTRA PRIVACY!!!!!

Re: puntualizzazione
Guarda, capisco che la dematerializzazione potrebbe in teoria portare a dei benefici.Ma per l'esperienza fatta per studi professionali vedo che la carta, da quando è iniziato l'obbligo della predisposizione informatica e dell'invio telematico dei modelli fiscali, non solo non è diminuita, ma è almeno triplicata.Questo perché i professionisti e gli imprenditori non si fidano dello "stoccaggio" informatizzato di modelli e ricevute, e vogliono, non a torto, avere in mano qualcosa di concreto da esibire a omini verdi e affini quando vengono a fare ispezioni e controlli.La carta funziona sempre, il pc non è detto ...Quando si varano norme del genere, bisogna anche pensare che il contesto sociale è questo, e senza uno snellimento burocratico, l'assoluto divieto di esibizione di documenti già spediti (con onere della prova a carico dell'amministrazione), un contenimento degli adempimenti e un consistente riduzione dei termini temporali di conservazione (dieci anni sono un'eternità), non si va da nessuna parte.

Re: puntualizzazione
- Scritto da: Caleb> Guarda, capisco che la dematerializzazione> potrebbe in teoria portare a dei> benefici.> > Ma per l'esperienza fatta per studi professionali> vedo che la carta, da quando è iniziato l'obbligo> della predisposizione informatica e dell'invio> telematico dei modelli fiscali, non solo non è> diminuita, ma è almeno> triplicata.> > Questo perché i professionisti e gli imprenditori> non si fidano dello "stoccaggio" informatizzato> di modelli e ricevute, e vogliono, non a torto,> avere in mano qualcosa di concreto da esibire a> omini verdi e affini quando vengono a fare> ispezioni e> controlli.> La carta funziona sempre, il pc non è detto ...> > Quando si varano norme del genere, bisogna anche> pensare che il contesto sociale è questo, e senza> uno snellimento burocratico, l'assoluto divieto> di esibizione di documenti già spediti (con onere> della prova a carico dell'amministrazione), un> contenimento degli adempimenti e un consistente> riduzione dei termini temporali di conservazione> (dieci anni sono un'eternità), non si va da> nessuna> parte.Appunto: non e' che la carta funzioni sempre mentre il PC no, e' che mancano delle normative adeguate e chiare e delle PRASSI consolidate

Sapete quanti credono che un pdf sia...
Sapete quanti credono che l'invio di un PDF sia una vera fattura?Io mi sono sbattuto per dirlo mille volte, ma in amministrazione/contabilità hanno insistito che l'avvocato diceva che era tutto valido.anche senza firma digitale.senza nessuna firma.boh.se son contenti loro, per me possono mandare tutti i PDF (tra l'altro non protetti) che vogliono

Re: Sapete quanti credono che un pdf sia...
infatti è una fattura vera se le parti sono concordi sulla modalità di invio, resta l'obbligo per il ricevente di stamparla, l'invio via email o comunque via web è considerato una trasmissione del documento.resta il fatto che il pdf ricevuto non può essere direttamente conservato in modalità sostitutiva

Mancanza di mercato
Se vai da un certificatore con una smart card "certificata" lui difficilmente ti mette un suo certificato a validità legale sopra, semplicemente perché non si fida: chi gli dice che non ti sei presentato con una oggetto modificato o falso?Lo stesso vale per un HSM.Il certificatore vende non solo i certificati ma anche le smart card o i token USB, non usa quelli portati dal cliente (almeno i certificatori che conosco io, ma dubito che ce ne sia qualcuno cosi' ingenuo... se qualcuno vuole smentirmi però facesse i nomi dei certificatori!), anche se questi magari sono accreditati presso un altro certificatore. Quindi il certificatore dovrebbe direttamente vendere gli HSM, e se ci fosse già questo grosso mercato di cui si parla lo avrebbero già fatto.

R-precisazione normativa
La certificazione del dispositivo di firma è obbligatoria (art. 53 comma 3 DPCM 13/01/2004).

Re: R-precisazione normativa
ecco appunto...citi l'articolo giusto del DPCM che evidenzia anche i parametri per la certificazione! quindi che scusa hanno i certificatori per non certificare? NESSUNA!

Re: R-precisazione normativa
giusto per precisare ulteriormente, era il precedente DPCM che parlava di autocertificazione in assenza di precisi parametri che adesso ci sono.... non ci sono scuse oggi per paralizzare il mercato...ci sono invece tanti interessi! :-)

R-precisazione normativa
La certificazione dei dispositivi secondo l'art. 53 (ITSEC e/o CommonCriteria) dipende da standard internazionali e non può essere fatta da chiunque. Ci deve essere un organo nazionale di certificazione (in Italia c'è da poco l'OCSI, ma non è chiara la sua operatività) che viene verificato e validato da organismi sovranazionali poichè le certificazioni citate hanno poi valore internazionale.

Un HSM è un HSM
Scusate se mi intrometto, ma ho trovato l´articolo dell´Avvocato Lisi molto interessante. Ha perfettamente ragione a dire che un hsm è la soluzione ideale per firmare grandi quantità di fatture, e che sarebbe una buonissima idea se le Certification Authority (visto che sono fidate) avessero anche la facoltà di certificare questi apparati. Il fatto è che la legge prevede che "vadano bene" gli HSM common criteria EAL 4 (non chiedetemi la norma). Ora se andate sul sito dei common criteria http://www.commoncriteriaportal.org/public/consumer/index.php di "key management systems" (che secondo me è come loro chiamano gli hsm) EAL 4 ce n´è solo uno, è il Luna di Safenet, una macchina splendida che (vado a memoria) costa oltre 20.000 Euro e fa 200 milioni di firme all´anno e quindi in Italia serve forse a 10 aziende. Tenete presente che la certificazione common criteria certifica "un processo" (non un prodotto) e costa una sacco di soldi ottenerla. Quindi un prodotto che non è certificato non vuol dire che non è buono, vuol dire che non hanno voglia di spendere i soldi per certificarlo....Insomma una legge che per firmare fatture chiede a tutti di avere sistema tipo Nasa è una legge non applicabile. In Germania che fanno? Si prendono una bella smartcard EAL 4 (tanto la legge parla di "secure signing device" e non fa differenze) che costa 20 dollari, è certificata EAL 4 e fa una firma al secondo (all´anno credo corrisponda a 1 milione di firme, anche se la fai lavorare solo un giorno al mese...).C´è una azienda USA, la Spyrus, che fabbrica HSM utilizzati dal governo USA per criptare le comunicazioni segrete. Ne ha venduti 500.000 fino ad oggi. Costano poche centinaia di dollari. Sono - a occhio - più sicuri di una smartcard. Ovviamente non si possono usare perchè sono solo FIPS 2/3. Con la legge invocata dall´avvocato Lisi una CA intelligente potrebbe provarli e introdurli in Italia. Con 300 dollari, credo, tutti avrebbero il loro bravo HSM...