Modifica
Ho aggiunto le risposte complete che ho ricevuto da HelloSign. Questi possono forse aiutare qualcuno più esperto di me per determinare se effettivamente forniscono una firma AdES. Tieni presente che ho anche posto domande relative ai certificati privati che, per quanto comprendo ora, non sono richiesti da una firma AdES.
D: Come posso identificare il firmatario dal documento che ha firmato?
A: Questo è indicato nella parte dei nostri Termini di servizio > Audit Trail. In breve, HelloSign crea un log delle transazioni tra le parti firmatarie che aiutano a identificare i firmatari.
D: Come viene garantito il controllo esclusivo della chiave privata da parte del firmatario?
A: HelloSign offre una firma elettronica avanzata (AES) Per essere considerato un AES devono essere soddisfatti i seguenti requisiti: - Univocamente collegato al firmatario - capace di identificare il firmatario - creato utilizzando dati di creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il suo unico controllo
HelloSign soddisfa tutti i requisiti per essere considerato una firma elettronica avanzata.
D: In che modo i dati di accompagnamento possono essere verificati rispetto alle modifiche dopo la firma del documento?
A: Un documento firmato non può essere riaperto e modificato. Oltre a garantire rilevazioni di manomissione del log delle transazioni, elaboriamo il log delle transazioni con la tecnologia di hashing.
D: In che modo la firma è invalida nel caso in cui il documento venga modificato dopo la firma?
A: Nel caso in cui un documento sia contestato, HelloSign fornirà il registro delle transazioni che mostrerà se sono state apportate modifiche al documento dopo la firma.
Nota: questa domanda riguarda una questione specifica relativa alla conformità dei servizi HelloSign con il regolamento eIDAS. Non ha nulla a che fare con altre domande su DocuSign o HelloSign che ho letto su questo forum.
Di tanto in tanto uso le firme elettroniche. Nel mio paese, in Italia, così come nella maggior parte dei paesi europei, le firme elettroniche sono in uso piuttosto largamente e con successo. Il più recente quadro legislativo che rende possibile questo è il regolamento eIDAS, una legge europea sull'identificazione elettronica, la firma e altri servizi fiduciari.
Numerosi tipi di firma sono consentiti da eIDAS, dal meno sicuro ("firma elettronica") al più sicuro ("firma elettronica avanzata" e "firma elettronica qualificata").
Quando ho scoperto che HelloSign offriva un servizio di firma avanzata "compatibile con eIDAS" mi sono affrettato a registrarmi. Dopo una semplice verifica tramite e-mail, durante la quale la mia identità non è stata convalidata, ho creato un file PDF e l'ho firmato. Apparentemente, nessun certificato digitale è stato generato. Infatti, quando ho controllato il documento firmato con uno strumento di verifica comune compatibile con eIDAS fornito dall'Unione Europea e ospitato da un'agenzia governativa italiana ( link ) il documento sembrava essere privo di qualsiasi certificato.
Questo è abbastanza strano, dato che HelloSign afferma nella sua scarsa documentazione legale che forniscono una firma avanzata compatibile con eIDAS, che contraddice il fatto che la mia identità non è stata verificata e che non sono stati utilizzati certificati digitali.
Ho provato ad avere più informazioni sulla conformità di HelloSign dal loro servizio clienti, ma dopo un lungo e inconcludente scambio di posta ho ricevuto diverse versioni di "la nostra firma è conforme a eIDAS perché è conforme a eIDAS". La risposta finale era qualcosa del tipo: "se hai ulteriori dubbi sul nostro prodotto ti suggeriamo di consultare un avvocato locale". Ho ripetutamente chiesto un riferimento tecnico ma non ne ho ricevuto nessuno.
Qualcuno ha familiarità con eIDAS più di me (ripeto, questo è un problema molto specifico di conformità a tale regolamento) condividi il mio punto di vista?