Vai al contenuto principale
Certyneo
Infografica architettura

I 7 strati di sicurezza di una firma elettronica conforme eIDAS

Capire cosa accade sotto il cofano quando firmi un documento: 7 strati crittografici sovrapposti, ognuno con il suo standard di riferimento (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Criteri Comuni EAL4+). Senza uno solo di essi, la firma non è opponibile.

I 7 livelli dello stack di sicurezza

Ogni livello fornisce una garanzia specifica. Affinché una firma sia conforme eIDAS e opponibile, tutti i 7 devono essere presenti e correttamente implementati. Certyneo è certificato su ognuno.

Livello 1

Identificazione del firmatario

Certyneo certificato

Prima di qualsiasi firma, il firmatario è identificato tramite codice SMS, scansione ID o certificato qualificato (QES). Questo è il livello che risponde a "chi ha firmato?".

📜 eIDAS Annexe II §1.b

Senza identificazione affidabile, la firma non ha valore probatorio (Codice civile 1367).

Livello 2

Sicurezza del trasporto

Certyneo certificato

TLS 1.3 su tutte le comunicazioni client ↔ server. Nessun downgrade verso TLS 1.0/1.1 consentito. Certificati EV con rotazione trimestrale.

📜 TLS 1.3 (RFC 8446)

Previene l'intercettazione del documento tra l'emittente e il firmatario (attacco MITM).

Livello 3

Firma crittografica (PAdES)

Certyneo certificato

Apposizione della firma in formato PAdES (PDF Advanced Electronic Signature) secondo ETSI EN 319 142. Firma legata al documento, non a un wrapper esterno.

📜 ETSI EN 319 142 (PAdES)

Garantisce che la firma non possa essere staccata e incollata su un altro documento.

Livello 4

Marcatura temporale qualificata

Certyneo certificato

Integrazione di una marcatura temporale RFC 3161 emessa da un'autorità qualificata (TSA) registrata sulla EU LOTL. Precisione al millisecondo.

📜 RFC 3161 + ETSI EN 319 421

Prova che la firma esiste in un istante T preciso, non ricostruita a posteriori.

Livello 5

Modulo HSM (Hardware Security Module)

Certyneo certificato

Le chiavi private di firma sono archiviate in un HSM certificato Common Criteria EAL4+ e FIPS 140-2 livello 3. Le chiavi non lasciano mai l'HSM in chiaro.

📜 Critères Communs EAL4+ / FIPS 140-2

Previene il furto di chiave anche in caso di compromissione del server applicativo.

Livello 6

Audit trail eIDAS

Certyneo certificato

Log immutabile di ogni evento del ciclo di firma (creazione, invio, firma, sigillatura) con IP, timestamp, identità. Formato conforme ETSI EN 319 102-1.

📜 ETSI EN 319 102-1

Fornisce la prova probatoria completa richiesta da un tribunale in caso di controversia.

Livello 7

Archiviazione probatoria

Certyneo certificato

Archiviazione del documento firmato + audit trail + certificato per almeno 10 anni in un sistema conforme AFNOR NF Z42-013. Re-timestamping periodico per contrastare l'obsolescenza crittografica.

📜 AFNOR NF Z42-013

Preserva il valore probatorio del documento per tutta la durata della prescrizione civile.

Le 4 minacce principali e la loro mitigazione

Un'architettura di firma solida è progettata per resistere a 4 attacchi classici. Ecco quali sono e quale livello li neutralizza.

  • Usurpazione d'identità — "un altro ha firmato al mio posto"

    Autenticazione SMS / scansione ID + log di IP e geolocalizzazione. Per gli atti ad alto valore, certificato QES emesso da un PSCo qualificato.

    Livello 1 (Identificazione)

  • Alterazione del documento — "il contenuto firmato è stato modificato"

    Hash SHA-256 del documento firmato con la chiave HSM. Qualsiasi modifica successiva invalida l'hash e la firma.

    Livelli 3 & 5 (Firma + HSM)

  • Man-in-the-middle — "una terza parte ha intercettato"

    TLS 1.3 obbligatorio con certificati EV + HSTS preload su tutti i domini.

    Livello 2 (Trasporto)

  • Ripudio — "non ho mai firmato / non a quella data"

    Audit trail immutabile + timestamp qualificato RFC 3161 + archiviazione probatoria AFNOR. L'onere della prova passa al firmatario.

    Livelli 4, 6 & 7 (Timestamp + Audit + Archiviazione)

Metodologia

I 7 livelli descritti corrispondono all'architettura di sicurezza Certyneo, conforme al regolamento eIDAS del 2014 (UE 910/2014), alle norme ETSI EN 319 (serie Firma e Sigilli), al Referenziale Generale di Sicurezza (RGS**) dell'ANSSI, e alla norma AFNOR NF Z42-013 per l'archiviazione probatoria. Ogni livello è sottoposto a audit annuale da parte di una terza parte indipendente.

Per approfondire

Una firma elettronica crittograficamente sigillata

I 7 livelli di cui sopra sono implementati per impostazione predefinita su tutti i piani Certyneo, incluso il piano gratuito.