Marca temporale: una pratica guida alla configurazione

Marca temporale: una pratica guida alla configurazione

Che cos’è una marca temporale?

La marca temporale, detta anche validazione temporale elettronica, è una procedura informatica con cui si attribuisce ad un documento digitale una data ed un orario verificabile.

In altre parole, la sua apposizione permette di stabilire l’esistenza di un documento informatico a partire da un certo istante, ne garantisce la sua validità nel tempo e certifica che l’ID del firmatario è valido al momento della firma.

La validazione temporale elettronica è opponibile a terzi, ovvero l’atto è valido anche nei confronti di terzi e non solo delle parti. Inoltre, la marcatura temporale può essere apposta sia su file che non hanno alcuna firma digitale, conferendo così validità legale ed una collocazione temporale certa, sia su quelli con firma digitale per attestare che il documento aveva una specifica forma in quel preciso momento.

Quali dati deve contenere la marca temporale?

Ecco di seguito le informazioni che deve contenere:

  • Identificativo dell’emittente;
  • Numero di serie;
  • Algoritmo di sottoscrizione;
  • Identificativo del certificato relativo alla chiave di verifica;
  • Riferimento temporale di generazione;
  • Identificativo della funzione di hash utilizzata per generare l’impronta dell’evidenza informatica sottoposta a validazione temporale;
  • Valore dell’impronta dell’evidenza informatica.

Quali sono i formati della marca temporale e dove si acquista?

La marca temporale, o timestamp, è un servizio offerto da un Certificatore accreditato, chiamato Time Stamp Authority (TSA), che consente di associare data e ora certe e legalmente valide a un documento digitale.

La validazione temporale elettronica può avere diversi formati:

  • Formato TSR (Time Stamp Response): marca temporale inserita in un file separato;
  • Formato M7M: contiene sia l’evidenza della marca temporale (il file con formato TSR) che il file stesso sottoposto a marcatura
  • Formato TSD (Time Stamped Data): marca temporale associata al documento;
  • Formato PDF: è il formato più noto e generalmente utilizzato per la possibilità di incorporare sia la firma digitale che la marca temporale.

Validazione temporale elettronica: le soluzioni Namirial

Le marche temporali non possono essere acquistate singolarmente ma in gruppi di quantità variabile.

Ecco quali sono le soluzioni offerte da Namirial:

  • Lotto 100 marche temporali: 23,00 € + IVA
  • Lotto 500 marche temporali: 90,00 € + IVA
  • Lotto 1000 marche temporali: 160,00 € + IVA
  • Lotto 5000 marche temporali: 750,00 € + IVA

Come configurare le marche temporali Namirial e marcare un file

Per il corretto utilizzo delle marche temporali è necessario effettuare la configurazione all’interno del software FirmaCerta.

Da FirmaCerta > Utilità > Opzioni Marca Temporale

Firma Certa Namirial

  • Verificare che l’URL sia http://timestamp.namirialtsp.com o https://timestamp.namirialtsp.com
  • Inserire i dati Utente e Password e infine cliccare su OK.

Controllo delle marche temporali

Cliccando sull’icona a fianco del campo Password è possibile visualizzare in chiaro la password che si sta inserendo.

Inoltre, la funzione “Controlla marche temporali residue” permette di verificare l’acquisto, l’uso e il residuo di marche temporali (nel caso in cui l’interrogazione fallisse è necessario controllare il corretto inserimento delle credenziali).

Informazioni sulle marche temporali

In caso di smarrimento delle credenziali per l’utilizzo delle marche, il cliente può richiederle inviando una PEC all’indirizzo firmacerta@sicurezzapostale.it o una email a helpdesk@firmacerta.it, indicando username e/o Codice Fiscale.

Utilizzare le marche temporali: come marcare un file

Ecco quali sono i passaggi per marcare un file con FirmaCerta:

Caricare il file da marcare all’interno del programma e cliccare su Marca.

Firma certa

Selezionare il formato .TSD per la Marca Temporale.

Marcatura temporale

Selezionare la Cartella di destinazione del File Firmato, infine cliccare OK.

File firmato

Confermare l’apposizione della marca cliccando sul pulsante OK.

File di test per le marche temporali

Attendere il tempo di elaborazione e premere OK per concludere la procedura.

Informazioni su Firma Certa

Al termine della procedura il software FirmaCerta avrà creato un nuovo file.

Creazione file Firma Certa

 

GDPR: come adeguarsi al nuovo regolamento europeo della privacy

GDPR: come adeguarsi al nuovo regolamento europeo della privacy

GDPR privacy: che cos’è il Regolamento Generale sulla Protezione dei Dati

Il GDPR, acronimo di General Data Protection Regulation, è il Regolamento UE 2016/679 che mira a rafforzare la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, e a semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti dentro l’UE.

Entrato in vigore il 24 maggio 2016 e operativo dal 25 maggio 2018, il GDPR cambia le regole sulla raccolta, l’utilizzo e la conservazione dei dati personali al fine di creare un insieme unico di regole comuni a tutti Paesi membri dell’UE e assicurare una maggiore tutela dei cittadini europei.

Tra le principali novità introdotte dal Regolamento Generale sulla Protezione dei Dati ci sono il diritto alla portabilità dei dati e il diritto all’oblio, il principio di Accountability e la nuova figura del Data protection officer (DPO).

GDPR privacy by design e privacy by default

Il testo del Regolamento Generale sulla Protezione dei Dati obbliga enti pubblici e privati, imprese, associazioni e professionisti ad adottare una serie di misure tecniche e organizzative necessarie a proteggere i dati personali delle persone fisiche con riferimento anche ai dati personali particolari o sensibili e ai dati personali relativi a condanne penali o reati.

Con l’entrata in vigore del Regolamento UE 2016/679 all’utente viene assicurato il diritto a ricevere un’informazione corretta e trasparente sull’utilizzo dei suoi dei dati personali che devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.

Tale diritto è garantito dall’informativa sulla privacy, il documento che il titolare del trattamento deve fornire all’utente prima del trattamento dei dati personali per permettere all’interessato di rendere valido il consenso.

Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto. Inoltre, può essere revocato in qualsiasi momento senza che l’azione pregiudichi la liceità del trattamento basata sul consenso prima della revoca.

È importante ricordare che la richiesta del consenso al trattamento dei dati personali e la richiesta di invio di materiale pubblicitario devono essere separate e non possono essere presentate precompilate.

Il GDPR contiene inoltre due nuovi principi sanciti dall’articolo 25 del regolamento europeo:

  • Privacy by design: significa che le aziende devono tenere conto della protezione dei dati sin dalla progettazione di un servizio o di un prodotto che implichi la raccolta di dati personali;
  • Privacy by default: le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.

Come adeguarsi al GPDR: 10 consigli per rispettare la normativa

Vediamo insieme quali sono le dieci tappe del percorso di adeguamento al GPRD:

  1. Effettuare un audit interno per fotografare lo stato del proprio sistema di privacy e definire un piano di conformità alle disposizioni (compliance) che comprenda la cosiddetta valutazione di impatto privacy (DPIA);
  2. Documentare tutti i tipi di trattamenti svolti, analizzando le categorie di dati trattati e i soggetti interessati, le finalità per cui i dati vengono acquisiti e trattati, i tempi di conservazione e le misure tecniche e organizzative adottate, al fine di predisporre un piano di intervento per l’adeguamento al regolamento europeo;
  3. Revisionare le informative sulla privacy, i moduli di consenso e le clausole per il “trattamento dei dati personali” presenti nei contratti sia dei dipendenti che dei fornitori;
  4. Predisporre e mantenere aggiornato il Registro delle attività del trattamento dei dati personali, contenente tutti gli elementi indicati nell’art. 30 del GDPR;
  5. Nominare un Data protection officer (DPO), ovvero un Responsabile per la protezione dei dati. Il DPO è un consulente tecnico e legale con potere esecutivo che deve possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse e operare alle dipendenze del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizio. Compiti e responsabilità del DPO sono descritti nell’art. 39 del regolamento europeo;
  6. Adottare le misure tecniche ed organizzative necessarie per garantire e dimostrare che le operazioni di trattamento dati vengono effettuate in conformità al principio di Accountability;
  7. Valutare i possibili rischi legati alle attività di trattamento dati e mettere in atto misure tecniche e organizzative (Privacy by design e Privacy by default) allo scopo di evitare possibili sanzioni e richieste di risarcimento danni nel caso in cui si verifichi una violazione dei dati personali (Data Breach);
  8. Revisionare i presupposti normativi sui quali si fondano i trattamenti dei dati personali e registrarli;
  9. Valutare l’adozione di procedure di pseudonimizzazione dei dati e l’uso della crittografia;
  10. Definire le procedure per la rilevazione, segnalazione e l’indagine di Data Breach entro 72 ore dalla conoscenza dell’evento.

Digital transformation e digitalizzazione delle imprese: oneri e punti di forza

Tutti i vantaggi della digital transformation per le imprese

Che cos’è la digital transformation?

Lo sviluppo delle nuove tecnologie ha imposto una trasformazione dei modelli di business e oggi la digital transformation non rappresenta solo un’opportunità ma è un passaggio obbligato per tutte quelle aziende che vogliono migliorare il proprio business e restare competitive sul mercato.
Tuttavia, è importante ricordare che il concetto di digitalizzazione delle imprese non si limita solo all’impiego delle nuove tecnologie e alla dematerializzazione documentale ma implica un cambiamento di visione che mette in discussione i vecchi modelli operativi.

Infatti, per ottimizzare il business non basta digitalizzare i processi aziendali ma è necessario creare una vera e propria cultura digitale attraverso un insieme di cambiamenti tecnologici, organizzativi, sociali, culturali, creativi e manageriali. La digital transformation va quindi oltre la semplice adozione di nuove tecnologie e crea connessioni tra persone, luoghi e cose, incentivando la trasparenza, la condivisione e l’inclusione di tutto l’ecosistema aziendale.

Secondo il manifesto di The Agile Elephant, la digital transformation “comporta un cambiamento di leadership, un modo di pensare diverso, nuovi modelli di business ed un maggiore utilizzo della tecnologia per migliorare l’esperienza dei dipendenti, dei clienti, dei fornitori, dei partner e di tutte le parti interessate dell’organizzazione”.

Una definizione che accende i riflettori sull’importanza del capitale umano nell’evoluzione digitale delle imprese e sottolinea la necessità di operare un vero e proprio cambiamento culturale al fine di ridisegnare e migliorare i processi che governano il business.

Quali sono i 6 pilastri della digital transformation?

Qual è il punto di partenza del processo di digitalizzazione delle imprese? Il primo step è operare un cambiamento della visione strategica all’interno dell’azienda e sviluppare la Digital Mindset, ovvero la predisposizione mentale ad accogliere le opportunità offerte dall’innovazione tecnologia allo scopo di migliorare i risultati aziendali.

Il secondo passo è definire una strategia basata sui sei pilastri che sorreggono la digital transformation:

  1. Le persone: per affrontare il cambiamento sono fondamentali soft skills, competenze trasversali, agilità mentale e problem solving. Le imprese che vogliono raccogliere la sfida della digital innovation e restare competitive sul mercato devono investire sui propri dipendenti e selezionare i profili capaci di affrontare il cambiamento;
  2. L’innovazione: trasformazione e innovazione sono due termini spesso usati in modo interscambiabile ma non sono sinonimi. Infatti, per trasformare deve esserci innovazione e per creare qualcosa di nuovo e cambiare il volto del proprio business è necessario comunicare e collaborare;
  3. Il cambiamento: i manager devono essere in grado di fornire ai dipendenti gli strumenti necessari a gestire la trasformazione digitale dell’impresa. Inoltre, non va dimenticato che il concetto di cambiamento nella digital transformation non ha una durata o un termine precisi poiché si tratta di un processo in continua evoluzione;
  4. La leadership: la digitalizzazione dell’impresa deve essere promossa e guidata dal CEO, una guida capace di comunicare sia con le persone all’interno dell’azienda (i dipendenti) che con quelle all’esterno (stakeholder e clienti);
  5. Customer Experience: la digital transformation consente alle imprese di controllare meglio i touchpoint lungo tutto il Customer Journey allo scopo di offrire ai propri clienti un’esperienza di acquisto multicanale e personalizzata;
  6. Cultura: la digital transformation può realizzarsi solo se supportata da una cultura digitale che a sua volta si basa sulle esperienze delle persone e sull’innovazione.

Digital transformation: gli attori del processo di digitalizzazione dell’impresa

Sono tre le figure all’interno dell’azienda a cui è affidato il compito di supervisionare e guidare il processo di digitalizzazione dell’impresa:

  1. CIO (Chief Information Officer): è il dirigente d’azienda responsabile della funzione aziendale information & communication technology. Risponde direttamente al CEO e il suo compito principale è la direzione strategica dei sistemi informativi che devono adattarsi al meglio ai processi aziendali e costituire un elemento di vantaggio competitivo a supporto delle attività di produzione;
  2. CDO (Chief Digital Officer): è il professionista che aiuta le imprese a convertire le attività analogiche in digitali, utilizzando le nuove tecnologie e i big data per raggiungere più rapidamente obiettivi di miglioramento e crescita aziendale. Il CDO ha competenze che spaziano tra vari ambiti, come management dell’impresa sociale, project management e ICT, e deve: analizzare e sviluppare le capacità digitali dell’azienda, gestire i processi tecnologici e digitali, stabilire delle metriche da seguire per prendere decisioni sempre comprovate dai dati, coinvolgere i membri del consiglio di amministrazione nei processi digitali e creare la cultura aziendale digitale interna che favorisca il cambiamento;
  3. CEO (Chief Executive Officer): l’amministratore delegato ricopre un ruolo chiave nel processo di digital transformation poiché consente l’avvio del processo di digitalizzazione dell’impresa e definisce la strategia da adottare nel medio-lungo periodo.

Le competenze ICT (Information and Communications Technology) sono fondamentali nell’ambito della digital transformation e tra le figure più richieste dalle aziende ci sono:

  • Digital marketing specialist;
  • Data Analyst;
  • Digital/Technology officer;
  • UI/UX Designer;
  • Content manager/Editor;
  • Ecommerce specialist;
  • Mobile developer;
  • Cloud Service Specialist.

I 10 vantaggi della digitalizzazione dell’impresa

Ecco quali sono i dieci vantaggi della digital transformation:

  1. Aggiornamento delle competenze e delle conoscenze;
  2. Velocità di gestione del business, ottimizzazione dell’organizzazione produttiva e possibilità di entrare in nuovi mercati;
  3. Dematerializzazione, informatizzazione e Cloud Computing
  4. Risparmio di tempo, risorse e spazio;
  5. Automazione, virtualizzazione, flessibilità e velocità del lavoro grazie all’impiego dei nuovi strumenti tecnologici;
  6. Possibilità di vendere i propri prodotti tramite un e-commerce;
  7. Comunicare i valori aziendali attraverso diversi mezzi e linguaggi e aumentare la visibilità dei prodotti e servizi offerti attraverso l’uso dei Social Network e del blog aziendale
  8. Acquisire autorevolezza nel proprio settore e differenziarsi dai competitors;
  9. Interagire direttamente con il proprio pubblico, fidelizzare i clienti e cercarne di nuovi;
  10. Maggiore soddisfazione del cliente grazie a una Customer Experience sempre più personalizzata

Le 10 cose che devi sapere sul GDPR

Le 10 cose che devi sapere sul GDPR

Che cos’è il Regolamento Generale sulla Protezione dei Dati?

Il testo del Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR (General Data Protection Regulation) è stato approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio il 27 aprile 2016. Pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016, ed entrato in vigore il 24 maggio dello stesso anno, è operativo dal 25 maggio 2018.

L’applicazione del nuovo regolamento europeo mira a rafforzare la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, e a semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti dentro l’UE.

Il GDPR ha quindi l’obiettivo di armonizzare ed uniformare la normativa a livello europeo al fine di creare un insieme unico di regole comuni a tutti Paesi membri dell’UE per favorire, in maniera sicura, la circolazione dei dati dei cittadini europei.

Inoltre, il regolamento affronta il tema dell’esportazione di dati personali al di fuori dell’Unione europea e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’UE), che trattano dati di residenti nell’UE ad osservare e adempiere agli obblighi previsti.

Il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili.

Trattamento dei dati personali: cosa significa?

Il GDPR specifica che con l’espressione “trattamento” si fa riferimento a qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:

  • la raccolta
  • la registrazione
  • l’organizzazione
  • la strutturazione
  • la conservazione
  • l’adattamento o la modifica
  • l’estrazione
  • la consultazione
  • l’uso
  • la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione
  • il raffronto o l’interconnessione
  • la limitazione
  • la cancellazione o la distruzione.

10 cose che bisogna sapere sul GDPR

Vediamo insieme quali sono le dieci cose che bisogna assolutamente sapere sul nuovo Regolamento Generale sulla Protezione dei Dati:

1) Quali dati protegge?

Il regolamento disciplina il trattamento dei dati personali delle persone fisiche compresi quelli di persone fisiche trattati in ambito professionale o associativo o situazioni similari ovvero nei rapporti tra imprese, enti e associazioni. Sono quindi esclusi dall’applicazione del GDPR i dati relativi a soggetti aventi personalità giuridica.

L’art. 4 paragrafo 1 specifica che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Oltre ai dati personali, il GDPR si applica anche ai:

  • Dati personali particolari o sensibili, disciplinati dall’art. 9 paragrafo 1, in cui rientrano informazioni sull’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale della persona, nonché:
    • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione;
    • Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica;
    • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
  • Dati personali relativi a condanne penali o reati (art.10): l trattamento dei dati personali relativi a reati o condanne deve avvenire sotto il controllo dell’autorità pubblica o se è autorizzato dal diritto dell’Unione.

2) Come devono essere trattati i dati raccolti?

L’articolo 5 del GDPR stabilisce che i dati personali devono essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • esatti e, se necessario, aggiornati; devono quindi essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

3) Che cos’è l’informativa sulla privacy?

L’informativa è il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo. Il documento, che deve essere fornito all’utente prima del trattamento dei dati personali, ha un duplice obiettivo: assicurare la trasparenza e la correttezza del trattamento e permettere all’interessato di rendere valido il consenso. I contenuti dell’informativa sono elencati negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento UE 2016/679.

4) Quando è lecito il trattamento dei dati?

I fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono con quelli previsti attualmente dal Codice della Privacy (D.Lgs. 196/2003) in particolare per quel che riguarda:

  • il consenso;
  • l’adempimento agli obblighi contrattuali;
  • gli interessi vitali della persona interessata o di terzi;
  • gli obblighi di legge a cui è soggetto il titolare;
  • l’interesse pubblico o l’esercizio di pubblici poteri;
  • l’interesse legittimo prevalente del titolare o dei terzi cui i dati vengono comunicati.

Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto. Il GDPR specifica che con il termine consenso si fa riferimento alla libera manifestazione dell’interessato ad acconsentire al trattamento dei suoi dati personali dopo essere stato informato sulle finalità e modalità dello stesso mediante l’informativa.

In caso di minori, il consenso è valido a partire dai 16 anni e prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento senza che l’azione pregiudichi la liceità del trattamento basata sul consenso prima della revoca.

5) Quali sono i casi in cui non si applica il regolamento?

Il GDPR non si applica ai trattamenti di dati personali:

  • effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
  • effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattamento dell’Unione europea (TUE);
  • effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
  • effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

6) Che cos’è lo sportello unico?

Il Regolamento Generale sulla Protezione dei Dati introduce il principio dello sportello unico (One Stop Shop) che garantisce la cooperazione tra le autorità per la protezione dei dati in caso di trattamento transfrontaliero. Le imprese che operano in più Stati UE possono rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.

7) Che cos’è il principio di “responsabilizzazione”?

La nuova normativa pone l’accento sulla cosiddetta “responsabilizzazione” (Accountability nell’accezione inglese) di titolari e responsabili, ovvero sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. L’Accountability rappresenta una grande novità per la protezione dei dati poiché viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

8) Che cos’è il Data protection officer (DPO)?

Il Responsabile per la protezione dei dati è una nuova figura prevista dal GDPR le cui responsabilità di informare, controllare e cooperare sono descritte nell’art.39 del regolamento. Il DPO è un consulente tecnico e legale con potere esecutivo che deve possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse e operare alle dipendenze del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizio. La designazione del Data Protection Officer è obbligatoria nei seguenti casi:

  • amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;
  • tutti i soggetti la cui attività principale consiste
    in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

9) Che cosa si intende con portabilità dei dati?

La portabilità dei dati è un nuovo e importante diritto disciplinato dall’art. 20 del GDPR che consente all’interessato di ricevere, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento al fine di trasmetterli, senza impedimento, a un diverso titolare. In altre parole, la portabilità dei dati semplifica il passaggio da un fornitore di servizi all’altro e facilita la creazione di nuovi servizi in linea con la strategia dell’Ue per il mercato unico digitale. Altri diritti contenuti nel GDPR sono: il diritto alla cancellazione (art.17), il diritto alla limitazione del trattamento (art.18) e il diritto dell’interessato di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano (art.21).

10) Cosa prevede il sistema sanzionatorio?

L’art.83 del GDPR disciplina due diversi gruppi di sanzioni amministrative:

  • violazioni che prevedono un’ammenda fino a 10 milioni di euro o fino al 2% del fatturato dell’anno precedente per le imprese (da intendersi come gruppo) che, ad esempio, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
  • violazioni che prevedono un’ammenda fino a 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

Ogni sanzione è commisurata alla gravità, alla natura o alla durata della violazione al GDPR, al numero di soggetti coinvolti e alla sostanza dolosa o colposa.

In merito alle sanzioni penali, l’art.84 specifica che è compito degli Stati membri stabilire “altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive”.

In Italia, le sanzioni penali sono disciplinate da Codice della Privacy 2003.

Namirial GDPR, la nuova frontiera della Privacy.
Scopri la soluzione dinamica per gestire la privacy di professionisti e aziende.

Come funziona e che cos’è la marca temporale

Come funziona e che cos'è la marca temporale

Che cos’è la marca temporale?

La marca temporale, o timestamp, è un servizio offerto da un Certificatore accreditato, chiamato Time Stamp Authority (TSA), che consente di associare data e ora certe e legalmente valide a un documento digitale.

Il codice dell’amministrazione digitale (CAD) definisce la validazione temporale come il «risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi».

L’apposizione della marca temporale consente quindi di stabilire l’esistenza di un documento informatico a partire da un certo istante e ne garantisce la sua validità nel tempo. Inoltre, certifica che l’ID del firmatario è valido al momento della firma. Il suo utilizzo non tocca il contenuto del documento e non ne modifica la sua firma.

Come si crea una marca temporale?

Le marche temporali sono il risultato di una specifica procedura informatica che si traduce nella creazione di una sequenza di caratteri e genera la cosiddetta impronta digitale hash.

L’impronta hash viene ricavata da un algoritmo che produce come output una successione di lettere e numeri le cui dimensioni variano. Questa particolare stringa alfanumerica, unica per qualsiasi documento, prende il nome di digest.

L’impronta di hash può essere paragonata ad una impronta digitale e quindi ad una caratteristica che identifica il documento informatico in maniera univoca. Se il contenuto del documento viene alterato, anche in piccola parte, muta anche il valore dell’hash.

Quali informazioni deve contenere la marca temporale?

Deve contenere le seguenti informazioni:

  • Identificativo dell’emittente;
  • Numero di serie della marca temporale;
  • Algoritmo di sottoscrizione della marca temporale;
  • Identificativo del certificato relativo alla chiave di verifica della marca temporale;
  • Riferimento temporale della generazione della marca temporale;
  • Identificativo della funzione di hash utilizzata per generare l’impronta dell’evidenza informatica sottoposta a validazione temporale;
  • Valore dell’impronta dell’evidenza informatica.

Inoltre, la marcatura temporale può avere diversi formati:

  • Formato TSR (Time Stamp Response): marca temporale inserita in un file separato;
  • Formato M7M: contiene sia l’evidenza della marca temporale (il file con formato TSR) che il file stesso sottoposto a marcatura
  • Formato TSD (Time Stamped Data): marca temporale associata al documento;
  • Formato PDF: è il formato più noto e generalmente utilizzato per la possibilità di incorporare sia la firma digitale che la marca temporale.

La marcatura temporale può essere apposta sia su file che non hanno alcuna firma digitale, conferendo così validità legale ed una collocazione temporale certa, che su quelli con firma digitale per attestare che il documento aveva una specifica forma in quel preciso momento. Ciò significa che se il certificato di una firma digitale dovesse scadere o fosse revocato dal titolare, la marca temporale permetterebbe di attestare che il momento di apposizione della firma digitale è antecedente alla scadenza o alla revoca del certificato stesso.

L’apposizione della marca temporale estende la validità temporale del documento oltre la durata della firma digitale (20 anni).

I casi in cui è necessario utilizzare la marcatura temporale

L’apposizione di una marca temporale su un documento elettronico consente di dare “data certa” al documento con valore probatorio. In altre parole, consente di associare ad un documento informatico una data e un orario giuridicamente certi e opponibili ai terzi.

Per questo i casi in cui è indicato l’utilizzo delle marche temporali sono quelli in cui è necessario avere una data giuridicamente valida, ad esempio:

  • Richieste di emissione di credito
  • Finanziamenti a medio lungo termine destinati alle imprese
  • Richieste di anticipo su forniture/esportazioni
  • Documento di valutazione rischi
  • Contratti, ordini e fatture
  • Documenti bancari e atti pubblici

I dieci vantaggi della validazione temporale dei documenti

Il procedimento di validazione digitale è semplice, sicuro, efficace ed efficiente. Ecco quali sono i dieci vantaggi legati all’utilizzo della marca temporale:

  1. Riduzione dei costi e tempi di trattamento del cartaceo;
  2. Annullamento costi di francobolli e timbro;
  3. Ottimizzazione dei processi;
  4. Riduzione degli errori;
  5. Contributo rilevante alla Green Economy;
  6. Maggiore sicurezza, trasparenza e valore legale rispetto all’ambito cartaceo;
  7. Provare l’esistenza di un documento ad un determinato istante;
  8. La data e l’ora contenuti nella marca temporale sono legalmente opponibili a terzi;
  9. Possibilità di estendere nel tempo la validità di un documento informatico, al di là della data di scadenza del certificato di firma digitale;
  10. Certificare temporalmente un documento è semplice poiché basta utilizzare il proprio computer.

Come funziona la marcatura temporale Namirial?

La marcatura temporale di un documento informatico prevede che il richiedente invii l’impronta del documento (o il documento cui quest’ultima si riferisce) all’Ente Certificatore. Il sistema di marcatura riceve l’impronta (o il documento) e vi aggiunge data e ora ottenendo un’impronta datata.

Il tempo, a cui fanno riferimento le marche temporali di Namirial FirmaCerta è riferito al Tempo Universale Coordinato ed è costantemente aggiornato con IRMIN (Istituto Nazionale di Ricerche Metereologiche) e del sistema GPS.

Un documento firmato digitalmente e marcato temporalmente ha valenza legale superiore al corrispondente cartaceo con firma autografa.

Le soluzioni Namirial per la marcatura temporale

Per poter apporre la marcatura temporale è necessario aver acquistato un lotto di marche temporali.

Ecco quali sono le soluzioni offerte da Namirial:

  • Lotto 100 marche temporali: 23,00 € + IVA
  • Lotto 500 marche temporali: 90,00 € + IVA
  • Lotto 1000 marche temporali: 160,00 € + IVA
  • Lotto 5000 marche temporali: 750,00 € + IVA

Personal, il servizio di fatturazione elettronica di Namirial per professionisti e piccole imprese

Personal, il servizio di fatturazione elettronica per imprese e professionisti

Fatturazione elettronica: cosa prevede la normativa?

La Legge di Bilancio 2018 ha modificato il D.lgs. 127/2015 introducendo l’obbligo di emissione e ricezione delle fatture elettroniche anche per impresecommercianti e professionisti, con le seguenti scadenze:

Dal 1º luglio 2018

  • Per le prestazioni rese da soggetti subappaltatori e subcontraenti nei confronti dell’appaltatore principale nel quadro di un contratto di appalto di lavori, servizi o forniture stipulato con una Pubblica Amministrazione

Dal 1° Gennaio 2019

  • Per la totalità delle cessioni di beni e delle prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato, e per le relative note di variazioni;
  • Per le cessioni di benzina o di gasolio destinati ad essere utilizzati come carburanti per motori ad uso autotrazione, nel solo ambito dei rapporti tra soggetti passivi d’imposta che agiscono nell’esercizio di impresa, arte o professione, abolendo così la cosiddetta scheda carburante.

Quindi, a partire dal 1° gennaio 2019, la fattura elettronica è obbligatoria sia in ambito B2C (verso un consumatore finale), sia in ambito B2B (verso un altro soggetto IVA). Gli unici professionisti esclusi dal provvedimento sono quelli che rientrano nel regime forfettario e nel regime dei minimi, insieme alla categoria dei “Piccoli produttori agricoli”.
Inoltre, non va dimenticato che, dal 31 marzo 2015, l’emissione di e-fatture è obbligatoria anche per la Pubblica Amministrazione.

Che cos’è la fattura elettronica?

La fattura elettronica è un documento informatico, emesso in formato strutturato (XML, eXstensible Markup Language), trasmesso in modalità telematica al Sistema di Interscambio (SdI) dell’Agenzia delle Entrate e recapitato tramite lo stesso mezzo al soggetto ricevente.

Il Sistema di Interscambio è un sistema informatico che consente di:

  • Ricevere le fatture sotto forma di file con le caratteristiche della Fattura PA;
  • Effettuare controlli sui file ricevuti;
  • Inoltrare le fatture verso le amministrazioni pubbliche destinatarie, o verso cessionari/committenti privati (B2B e B2C).

Per permettere al Sistema di Interscambio di smistare il documento verso il soggetto ricevente, la e-fattura deve presentare sia i contenuti tipici delle fatture tradizionali, sia i seguenti dati relativi al destinatario:

  • Per gli uffici della Pubblica Amministrazione si utilizza il Codice Univoco Ufficio composto da 6 caratteri;
  • Per identificare i consumatori privati si utilizza il Codice Fiscale;
  • Per imprese, professionisti e altri destinatari B2B i metodi sono due: 1) Codice destinatario: se il soggetto ricevente è accreditato presso il Sistema di Interscambio; 2) Indirizzo PEC

La normativa, al fine di garantire l’autenticità del mittente e l’integrità e leggibilità del contenuto, prevede su ciascuna e-fattura l’apposizione della firma digitale.

Come si predispone una fattura elettronica?

Per compilare una fattura elettronica è necessario disporre di:

  • un computer, un tablet o uno smartphone
  • un software che consenta la compilazione del file della fattura nel formato XML previsto dal provvedimento dell’Agenzia delle Entrate del 30 aprile 2018.

Una volta compilata, la e-fattura deve essere firmata digitalmente tramite firma elettronica qualificata e inviata al destinatario mediante il Sistema di Interscambio che, dopo i controlli automatici, provvede a recapitare il documento alla Pubblica Amministrazione o al soggetto privato a cui è indirizzato.

In base a quanto previsto dall’art.39 del Dpr n.633/1972 sia chi emette, sia chi riceve una fattura elettronica è obbligato a conservarla elettronicamente per 10 anni. La conservazione elettronica è un processo regolamentato dal Codice dell’Amministrazione Digitale (CAD) e permette all’utente di:

  • Non perdere mai le fatture;
  • Riuscire sempre a leggerle;
  • Poter recuperare in qualsiasi momento l’originale del documento.

Il programma di fatturazione elettronica Personal di Namirial

Il servizio di fatturazione elettronica Personal di Namirial permette all’utente di gestire interamente in digitale l’emissione, la trasmissione, la ricezione e la conservazione di tutti i documenti informatici emessi dal nostro applicativo o da altre soluzioni informatiche concorrenti.

Personal è il servizio dedicato ad una sola Partita iva (Cedente/Prestatore) che permette all’utente d’inserire in autonomia nel sistema web i dati delle fatture da inviare o caricare (upload) e il file fatture XML se prodotto dal proprio gestionale o ricevuto da altro gestore.

La soluzione offerta da Namirial è perfetta per i singoli professionisti e le piccole aziende che devono inviare e ricevere modeste quantità di fatture elettroniche.

Il servizio, che prevede la trasmissione, la ricezione e conservazione per 10 anni della pratica prodotta, ha un costo di 49,00 euro + iva per 200 fatture.

La Fatturazione Elettronica verso la pubblica amministrazione

Fatturazione elettronica e Pubblica Amministrazione

Fatturazione Elettronica PA: cosa prevede la normativa

La legge Finanziaria 2008 ha stabilito che la fatturazione nei confronti della Pubblica Amministrazione debba avvenire esclusivamente in forma elettronica attraverso il cosiddetto Sistema di Interscambio (SdI) che, in base a quanto previsto dal Decreto Ministeriale del 7 marzo 2008, è amministrato dall’Agenzia delle Entrate.

Il Sistema di Interscambio è un sistema informatico che consente di:

  • Ricevere le fatture sotto forma di file con le caratteristiche della Fattura PA;
  • Effettuare controlli sui file ricevuti;
  • Inoltrare le fatture verso le amministrazioni pubbliche destinatarie, o verso cessionari/committenti privati (B2B e B2C).

Il sito dell’Agenzia delle Entrate, ovvero l’autorità competente responsabile della procedura di fatturazione elettronica, specifica che tutte le fatture elettroniche devono essere inviate al SdI che provvede al recapito alla pubblica amministrazione destinataria.

Che cos’è la fattura elettronica? Si tratta di un documento informatico, in formato strutturato (XML- eXtensible Markup Language), trasmesso in modalità telematica al Sistema di Interscambio e recapitato tramite lo stesso mezzo al soggetto ricevente. La normativa, al fine di garantire l’autenticità del mittente e l’integrità e leggibilità del contenuto, prevede su ciascuna e-fattura l’apposizione della firma digitale.

Il documento digitale è obbligatorio per la Pubblica Amministrazione dal 31 Marzo 2015 ma con la Legge di Bilancio 2018 l’obbligo di fatturazione elettronica è stato esteso, a partire dal 1° gennaio 2019, a tutti i titolari di P.IVA.

La fattura elettronica è quindi d’obbligo sia in ambito B2C (verso un consumatore finale), sia in ambito B2B (verso un altro soggetto IVA). Gli unici professionisti esclusi sono quelli che rientrano nel regime forfettario e nel regime dei minimi, insieme alla categoria dei “Piccoli produttori agricoli”.

Come creare una fattura elettronica?

Per creare una fattura elettronica è necessario un pc, un tablet o uno smartphone e un software di fatturazione elettronica. Una volta compilata, la e-fattura deve essere firmata digitalmente tramite firma elettronica qualificata e inviata al destinatario mediante il Sistema di Interscambio che, dopo i controlli automatici, provvede a recapitare il documento alla Pubblica Amministrazione o al soggetto privato a cui è indirizzato.

E-fattura: differenze tra fattura PA, B2B e B2C

Affinché il Sistema di Interscambio recapiti correttamente la e-fattura al destinatario, il documento deve contenere i seguenti dati:

  • Gli uffici della Pubblica Amministrazione sono identificati da un Codice Univoco Ufficio composto da 6 caratteri che va obbligatoriamente inserito nella e-fattura;
  • Per identificare i consumatori privati si utilizza il Codice Fiscale;
  • Per la fatturazione elettronica B2B sono invece previste due diverse soluzioni:
    • Codice destinatario: se il soggetto ricevente è accreditato presso il Sistema di Interscambio;
    • Indirizzo PEC

    La normativa prevede che le fatture elettroniche vengano conservate per 10 anni sia da chi emette la fattura, sia da chi la riceve.

    Fatturazione Elettronica PA e B2B-B2C: le soluzioni Namirial

    Il servizio fatturazione elettronica Namirial consente di gestire interamente in digitale l’emissione, la trasmissione, la ricezione e la conservazione di tutti i documenti informatici emessi dal nostro applicativo o da altre soluzioni informatiche concorrenti.

    Ecco quali sono le caratteristiche delle soluzioni offerte da Namirial:

    • Full Outsourcing Pay-Per-Use: inserimento dati da fattura fornita, preparazione file XML, firma digitale, invio al SdI, raccolta notifiche e ricevute, conservazione a norma 10 anni inclusa. Il costo è di € 20.00 +iva;
    • Personal (1 Partita Iva): è il servizio dedicato ai singoli professionisti e alle piccole aziende che devono inviare e ricevere modeste quantità di fatture elettroniche. Il servizio è dedicato ad una sola Partita iva (Cedente/Prestatore) ed è possibile inserire in autonomia nel sistema web i dati delle fatture da inviare o caricare (upload) il file fatture XML se prodotto dal proprio gestionale o ricevuto da altro gestore. Personal prevede la trasmissione, la ricezione e la conservazione per 10 anni della pratica prodotta. Il costo è di € 49.00 + iva per 200 fatture;
    • Multiuser (più Partite Iva): è la soluzione pensata per gli studi commerciali e per le aziende che vogliono fornire alla propria clientela servizi di fatturazione elettronica. Con Multiuser è possibile gestire il proprio portafoglio clienti utilizzando un pannello unico per l’elaborazione della fattura elettronica tramite sistema web o caricamento del file XML, trasmissione/ricezione e conservazione a norma per 10 anni della documentazione generata. Il costo del servizio varia in base al numero delle fatture:
      • € 99.00 + iva per 400 fatture
      • € 199.00 + iva per 1000 fatture
      • € 299,00 + iva per 2000 fatture.

      Come funziona la Fatturazione Elettronica Namirial e quali sono i vantaggi?

      Con Namirial è possibile gestire in modo semplice e veloce l’intero processo di fatturazione elettronica che comprende:

      • Ciclo Attivo: la fattura elettronica viene trasmessa al cessionario/committente attraverso il Sistema di Interscambio (SdI). Un sistema di notifiche aggiorna l’utente sull’esito dell’operazione;
      • Ciclo passivo: ottimizzi il processo di ricezione delle fatture e gestisci completamente l’intero ciclo passivo in maniera semplice, rapida ed efficiente;
      • Firma digitale: per garantire autenticità, integrità e non ripudiabilità delle fatture emesse;
      • Conservazione a norma: le fatture attive e passive vengono conservate a norma di legge per 10 anni.

      Ecco quali sono i vantaggi della fatturazione elettronica Namirial:

      • Certificazione della data di messa a disposizione della data di ricevimento della fattura;
      • Riduzione di costi operativi e tempi per il trattamento della carta;
      • Migliore controllo di gestione;
      • Contributo rilevante allo sviluppo di una economia ecosostenibile mediante un business più rispettoso dell’ambiente;
      • Conservazione a norma.

Le linee guida per il rilascio dello SPID professionale

Le linee guide per l'attivazione dello spid professionale

Che cos’è lo SPID professionale?

Lo SPID Professionale è una particolare tipologia di Sistema Pubblico di Identità Digitale pensato per permettere ai professionisti di accedere ai servizi della Pubblica Amministrazione e degli Enti privati aderenti.

Il 6 novembre 2019 l’Agenzia per l’Italia Digitale (AgID) ha pubblicato le Linee guida per il rilascio delle identità digitali per uso professionale con determina n.318/2019.
Entrate in vigore il 1° dicembre 2019, le linee guida normano le modalità di rilascio delle identità digitali per uso professionale che hanno l’obiettivo di semplificare sia il rapporto tra Pubblica Amministrazione e imprese, sia la relazione tra PA e liberi professionisti.

Lo SPID per uso professionale prende il nome di elDup e si divide in elDup ad uso professionale per persona fisica (elDup PF) ed elDup ad uso professionale per persona giuridica (elDup PG).

Vediamo quali sono le caratteristiche dei due diversi tipi di SPID:

  • elDup ad uso professionale per persona fisica (elDup PF): è lo SPID riservato ai liberi professionisti. L’elDup PF è l’identità̀ digitale che contiene gli attributi della persona fisica a cui sono state rilasciate le credenziali di autenticazione (nome, cognome, codice fiscale, etc);
  • elDup ad uso professionale per persona giuridica (elDup PG): è lo SPID rilasciato alla persona fisica che opera per conto di una persona giuridica. L’elDup PG è l’identità̀ digitale che contiene gli attributi della persona giuridica e della persona fisica cui sono state rilasciate le credenziali di autenticazione.

È importante specificare che le credenziali dell’identità digitale per persona giuridica non costituiscono una prova della professione svolta dal soggetto a cui vengono rilasciate e devono essere sempre revocate al termine del rapporto di collaborazione lavorativa.

Inoltre, la gestione delle credenziali elDup PG e la responsabilità per eventuali azioni scorrette sono sempre di chi detiene l’identità edDup. Ciò significa che è vietato condividere le proprie credenziali con altri dipendenti o collaboratori dell’azienda.

Il regime di doppio controllo per l’elDup PG: cosa prevede la normativa?

In base a quanto stabilito dalle linee guida dell’AgID, le credenziali dell’identità digitale per persona giuridica possono essere richieste solo dal responsabile legale di un’organizzazione (società, ente, impresa, etc) o da chi ha poteri per agire per conto della persona giuridica.

All’interno dell’azienda, per evitare che qualcuno possa richiedere impropriamente le credenziali dell’elDup PG, la gestione dello SPID è affidata a due diverse figure:

  • Utente di governo: è la persona che ha il compito di indicare i nominativi dei soggetti candidati ad ottenere l’identità digitale, ma non ne può autorizzare il rilascio. L’utente di governo è anche l’unica persona che può richiedere la revoca dello SPID professionale di un dipendente;
  • Utente di gestione: è la persona autorizzata a chiedere il rilascio dell’identità digitale esclusivamente per i soggetti indicati dall’utente di governo.

Oltre al regime di doppio controllo, la normativa obbliga l’Identity Provider ad inviare periodicamente all’azienda una comunicazione contenente l’elenco dei soggetti a cui è stata rilasciata l’elDup PG.

elDup PG: gli obblighi per i liberi professionisti

Le misure introdotte dalle Linee guida per il rilascio delle identità digitali per uso professionale specificano che un libero professionista con diversi datori di lavoro deve avere un elDup PG per ogni azienda con cui collabora.

Tuttavia, essendo un libero professionista, deve avere anche le credenziali elDup per persona fisica che userà come propria identità digitale per effettuare operazioni legate alla sua professione o per l’accesso ai servizi della Pubblica Amministrazione in qualità di cittadino.

Come richiedere lo SPID per uso professionale

Le modalità di rilascio delle credenziali per elDup PF ed elDup PG sono contenute nell’Articolo 3 delle Linee guida per il rilascio delle identità digitali per uso professionale e stabiliscono che:

  • elDup PF: “Al fine di rilasciare l’identità̀ digitale uso professionale della persona fisica, il gestore dell’identità̀ deve verificare l’identità̀ personale della persona fisica richiedente. La verifica dell’identità̀ è assolvibile anche attraverso un servizio in rete accessibile con l’uso di identità̀ digitale SPID della medesima persona fisica, a condizione che le credenziali utilizzate per l’autenticazione siano state rilasciate dallo stesso IdP al quale vengono richieste le credenziali per uso professionale e siano di livello pari o superiore a quelle richieste. Tale limitazione non si applica nel caso in cui siano intervenuti specifici accordi di natura privata fra gli IdP”;

  • elDup PG: “Al fine di rilasciare l’identità̀ digitale uso professionale per la persona giuridica il gestore dell’identità̀ deve: 1) verificare l’identità̀ personale della persona fisica richiedente; 2) verificare che il richiedente abbia titolo per richiedere l’identità̀ digitale per la persona giuridica”.

SPID professionale Namirial: le caratteristiche del servizio

Namirial, identity provider accreditato per il rilascio dell’identità digitale SPID, a partire da aprile 2021 rende disponibile sul proprio shop il servizio di SPID a uso professionale.

In particolare Namirial offre due tipologie di SPID Professionale:

  • Lo SPID per i Professionisti, anche detto Professionale di Tipo 3, perfetto per i professionisti e le partite IVA. Questa tipologia di SPID trasmette le informazioni relative alla Persona Fisica, ma non contiene informazioni riguardo una eventuale Persona Giuridica;
  • Lo SPID per le Aziende, anche detto SPID Professionale di Tipo 4, per accedere a servizi, prestazioni e documenti online che richiedano una qualificazione contenente sia le informazioni sul richiedente (Persona Fisica), sia sull’Azienda (Persona Giuridica).

Tutti coloro che sono già in possesso dello SPID di Tipo 1 con Namirial potranno in pochi minuti fare l’upgrade allo SPID di Tipo 3 o Tipo 4. Chi invece non lo avesse può richiederlo con poche semplici mosse attraverso una web call, la propria Carta d’Identità Elettronica e uno smartphone abilitato, una Carta Nazionale dei Servizi o Tessera Sanitaria con il relativo PIN, oppure tramite una Firma Digitale di qualsiasi provider certificato.

Il prezzo annuale per lo SPID Professionale è di 35,00 euro ma in occasione del lancio ufficiale, Namirial ha deciso di offrire 6 mesi aggiuntivi di servizio a tutti coloro che attiveranno il proprio SPID Professionale entro il 31/7/2021.

SPID personale e Video Identificazione per le persone che necessitano di assistenza

Lo SPID personale e la Video Identificazione per le persone che necessitano di assistenza

SPID personale con assistenza Namirial: il servizio di video riconoscimento per le persone in difficoltà

Lo SPID personale, acronimo di Sistema Pubblico d’Identità Digitale, è la chiave di accesso unica ai servizi della Pubblica Amministrazione che semplifica e rende più efficienti i rapporti tra cittadini e PA.

La procedura per richiedere lo SPID è facile e veloce, tuttavia l’uso degli strumenti digitali non è semplice e immediato per tutti e in alcuni casi potrebbe essere necessario un supporto.

In un mondo tecnologico in continua evoluzione stare al passo con i tempi può rivelarsi un’impresa difficile e se per i nativi digitali comprendere il significato di alcuni termini è un gioco da ragazzi, per altre persone VideoCall, OTP, SPID, App, Smartphone e Identity provider sono combinazioni di parole che sembrano non avere senso.

Namirial ID è la soluzione perfetta per chi vuole attivare lo SPID per sé o desidera aiutare una persona anziana, disabile o con oggettive difficoltà nell’utilizzo dei sistemi di videoconferenza. Infatti, grazie al servizio servizio SPID personale con assistenza offerto da Namirial, è possibile avere accanto una persona di fiducia durante l’iter per ottenere la propria utenza SPID.

Come funziona la video identificazione per le persone in difficoltà che necessitano di assistenza? Nel caso in cui il richiedente SPID sia una persona anziana con oggettive difficoltà nell’utilizzo dei sistemi di videoconferenza, è possibile far intervenire un parente fino al secondo grado.

Durante la sessione video, l’operatore chiederà al richiedente (soggetto anziano) di presentare il familiare che gli fornirà supporto e di dichiararne le generalità, ovvero nome, cognome e grado di parentela. Il familiare, a sua volta, dovrà mostrare un documento di riconoscimento per attestare la propria identità.

Come funziona il servizio di video riconoscimento Namirial?

Il servizio di Video Riconoscimento offerto da Namirial consente all’utente di effettuare la video identificazione e ottenere la propria utenza SPID.

Ecco come funziona il servizio:

  1. Acquisto: l’utente riceve un voucher all’indirizzo specificato in fase di acquisto. Il voucher, utilizzabile entro 90 giorni dall’acquisto, è un URL (link) che consente l’accesso alla procedura di registrazione e successiva video identificazione;
  2. Registrazione: l’utente utilizza il voucher per accedere alla procedura di registrazione online, dove inserisce i propri dati personali. Al termine della registrazione, l’utente accede automaticamente al test di compatibilità;
  3. Test di compatibilità: viene verificato che la postazione utente sia in grado di sostenere una sessione audio video funzionale al video riconoscimento da remoto e che sussistano tutti i requisiti tecnici richiesti per il corretto avvio del processo;
  4. Video riconoscimento: superato il test di compatibilità l’utente accede automaticamente alla sessione di video riconoscimento, condotta da operatore qualificato;
  5. Verifica richiesta: al termine del video riconoscimento avvenuto con successo, la richiesta di ottenimento dell’identità SPID giunge in verifica all’Identity Provider Namirial, che in caso di esito positivo attive ed invia le credenziali all’utente in 48 ore;
  6. Invio credenziali: approvata la richiesta, l’utente riceve all’indirizzo email verificato in fase di video riconoscimento le proprie credenziali SPID (user e password temporanea);
  7. Attivazione: l’utente effettua il cambio della password temporanea ricevuta via email e attiva sul proprio smartphone l’App per la generazione degli OTP (Namirial OTP).

È possibile svolgere la procedura di registrazione e video riconoscimento da computer portatile o desktop e da smartphone o tablet a condizione che i device rispettino specifici requisiti tecnici.

SPID Namirial con Video Riconoscimento: i documenti necessari e i costi del servizio

Durante la sessione di Video Riconoscimento l’utente dovrà disporre di:

  • Documento di identità emesso da autorità italiana (Carta Identità / Patente / Passaporto) in originale ed in corso di validità, privo di protezioni plastiche, integro, leggibile e completo di fotografia. Il documento esibito dovrà essere il medesimo inserito in fase di registrazione online;
  • Tessera sanitaria in originale e in corso di validità (o documento sostitutivo)
  • Cellulare (lo stesso inserito in fase di registrazione)
  • E-mail (la stessa inserita in fase di registrazione)

Il servizio è attivo 24 ore su 24, tutti i giorni (inclusi festivi) e ha un costo di 19,90 € + IVA.

Le soluzioni di Strong Authentication per l’e-commerce

Soluzioni SCA Strong Authentication per il settore e-commerce

Che cos’è la Strong Authentication

La Strong Authentication, nota come autenticazione forte, autenticazione a due o più fattori o Two Factor Authentication (2FA), è una modalità di autenticazione che si basa sulla verifica di almeno due elementi di diversa natura per accertare l’identità̀ di un utente al momento dell’accesso a un sistema (ad esempio: computer o bancomat).

L’autenticazione forte viene utilizzata in diversi contesti, dall’home banking ai servizi di posta elettronica, e garantisce un livello di sicurezza più alto rispetto alla tradizionale combinazione “nome utente più password”. Infatti, la sola password, anche se forte e univoca, può essere facilmente rubata e compromessa.

La Strong Authentication è quindi la soluzione più efficace contro il furto d’identità e consente all’utente di proteggere le chiavi di accesso alla propria vita digitale senza essere obbligato a ricordare un numero infinito di codici o password.

Come funziona l’autenticazione a due o più fattori? L’utente che vuole accedere a un sistema o effettuare un pagamento online deve utilizzare due o più fattori per autenticarsi. Tali elementi devono essere reciprocamente indipendenti (per evitare che la violazione di uno comprometta l’affidabilità dell’altro) e appartenere a categorie diverse (ciò significa che non è possibile utilizzare due elementi della stessa categoria).

Le tre categorie sono:

  • Conoscenza: una cosa che l’utente conosce (ad esempio: una password o il PIN);
  • Possesso: una cosa che l’utente ha (ad esempio: uno smartphone o un token di sicurezza per l’home banking);
  • Inerenza: una cosa che l’utente è (ad esempio: l’impronta digitale, il timbro vocale, la retina o l’iride, o altri dati biometrici).

Utilizzare la Strong Authentication è molto semplice: dopo aver inserito la password (primo fattore), il sistema chiede all’utente di utilizzare un ulteriore fattore per avere accesso al proprio account. In genere, il secondo fattore appartiene alla categoria del possesso e corrisponde a un codice numerico che l’utente riceve tramite un sms o un token di sicurezza.

Il secondo fattore è un dato inattaccabile poiché si tratta di una One-time password (OTP), vale a dire una password usa e getta, valida per una singola sessione di accesso o una transazione.

La direttiva europea PSD2: cosa cambia per gli e-commerce?

Dall’1 gennaio 2021 sono entrate in vigore le nuove misure contenute nella direttiva europea Payment Service Directive (PSD2) che prevedono l’adeguamento da parte di tutti gli e-Commerce europei al nuovo sistema di sicurezza per i pagamenti: la Strong Customer Authentication (SCA).

Il sistema di autenticazione forte è pensato per rendere più sicura l’esperienza di acquisto, contrastare le frodi, aumentare la fiducia dei titolari di carte di credito nell’utilizzo dei servizi online e tutelare acquirenti ed esercenti durante gli acquisti in rete.

La Strong Customer Authentication si applica nei casi di Cardholder Initiated Transactions (CIT), ovvero pagamenti online iniziati dal cliente (ad esempio: acquisti effettuati su un sito e-Commerce), mentre non è prevista per le seguenti transazioni:

  • Merchant Initiated Transactions (MIT): transazioni elaborate dall’esercente senza la partecipazione attiva del titolare della carta, in virtù di un accordo/contratto tra le parti che definisce i termini di addebito. (ad esempio: servizi in abbonamento, dopo una prima approvazione da parte del cliente);
  • MO.TO.: transazioni effettuate in remoto dall’esercente (o da sistemi automatici) mediante inserimento manuale dei dati della carta su terminale virtuale;
  • Transazioni di importo inferiore a 30 euro fino ad un importo cumulativo di 100 € o fino a 5 transazioni cumulate dalla stessa carta nelle 24 ore;
  • Transazioni a basso rischio: il fornitore di servizi di pagamento può eseguire un’analisi dei rischi in tempo reale per decidere se applicare la SCA a una transazione. Le transazioni su cui si può richiedere questo tipo di esenzione sono soggette ad un limite di importo che varia a seconda del livello di frodi complessivo dell’Acquirer e può arrivare fino ad un massimo di 500 euro;
  • Transazioni a beneficiari affidabili: il titolare della carta può chiedere alla propria banca di inserire uno specifico esercente nella lista dei beneficiari attendibili. In questo caso viene richiesta la SCA solo per la prima transazione, mentre per gli acquisti successivi non sarà necessaria.

Strong Authentication: il servizio Namirial ID

Namirial ID consente l’autenticazione di livello 1 (user e password) e di livello 2 (OTP via App o SMS).

Per utilizzare l’autenticazione di secondo livello è sufficiente scaricare gratuitamente l’App OTP per Android o iOS, disponibile sia su Google Play che su App Store.

L’applicazione permette all’utente di usare lo smartphone o il tablet per generare un codice one-time password (OTP) di sei cifre che gli consente di accedere in maniera sicura ai propri account e gestire, ad esempio, le transazioni digitali, lo SPID e la firma elettronica.

In alternativa all’uso dell’App, Namirial prevede l’adozione di codici OTP con SMS inviati al numero di telefono precedentemente registrato e verificato. Con il codice ricevuto è possibile confermare la credenziale inserendo il valore nel campo richiesto e confermare premendo il tasto Conferma OTP.

1...373839Pagina 38 di 39

Scelti dalla Redazione

Segui Namirial sui social

Trustpilot

Policy e Condizioni

© Namirial S.p.A. - C.F. e iscriz. al Reg. Impr. Ancona N. 02046570426 - REA N. AN157295 - Codice destinatario T04ZHR3 - Capitale sociale Euro 8.251.298,70 i.v.