Furto di firma digitale, una frode in forte aumento
Una notizia diffusa recentemente dall’Agi, relativa a una frode telematica tramite falsificazione della firma digitale perpetrata ai danni di un’azienda ha portato all’attenzione il tema della sicurezza e della fiducia nelle tecnologie di autenticazione.
Secondo quanto riportato, un commercialista, un consulente per la sicurezza sul lavoro, e una fantomatica societร intestata a una persona defunta da circa un anno e invece facente capo a un soggetto sconosciuto al fisco, si sono procurati una copia indebita della firma digitale di un piccolo imprenditore attingendo al sistema informatico delle Camere di Commercio. La truffa รจ stata scoperta dal Nucleo speciale frodi telematiche della Guardia di finanza.
Dopo perquisizioni e sequestri effettuati a Roma e provincia, i tre indagati devono ora rispondere dei reati di sostituzione di persona, false dichiarazioni o attestazioni al certificatore di firma elettronica sull’identitร o qualitร personali proprie o di altri, falsitร in atti pubblici, in scritture private e in documenti informatici.
Come tutelarsi
CompEd sottolinea come la firma digitale sia sicura ed invulnerabile, purchรฉ venga rispettato un corretto comportamento nel suo utilizzo.
La societร ligure pone l’accento sulla sicurezza e sull’inviolabilitร della tecnologia, approfondendo le precauzioni da adottare per evitare potenziali rischi.
Tra le piรน importanti: l’osservazione una meticolosa procedura di rilascio, la conservazione accurata della smartcard e del Pin, una corretta scelta dei software di firma e verifica, una particolare attenzione sui sistemi di firma remota.
Il punto piรน critico del sistema รจ il rilascio iniziale della smartcard: dopo l’identificazione personale, si ha la consegna materiale di smartcard e Pin e la firma di un contratto di servizio che descrive in dettaglio la procedura, da seguire scrupolosamente evitando approssimazioni e semplificazioni.
La smartcard รจ un oggetto sicuro, che si attiva digitando un Pin segreto. Occorre evitare di tenere copia del Pin con la carta e, in caso di smarrimento, richiedere immediatamente la revoca.
Sta crescendo l’offerta commerciale di sistemi di firma remota, ossia di server che centralizzano chiavi private e certificati abolendo il rilascio della smartcard, per alcuni aspetti piรน flessibili del sistema con smartcard, ma oggettivamente meno sicuri: il titolare affida la propria chiave al gestore.
Occorre quindi particolare prudenza nella scelta del fornitore e nella tipologia di transazioni affidate a questo sistema.
Il software di firma digitale materialmente associa la firma al singolo documento.
Un software difettoso o addirittura malevolo potrebbe indurre a firmare qualunque cosa: ovunque possibile si deve quindi usare un software di fiducia.
Talvolta, specie usando la firma remota, si รจ costretti ad utilizzare una procedura di firma integrata in un’applicazione Web: in tali casi deve essere possibile avere una copia di ciรฒ che si firma.
Il software di verifica delle firme altrui รจ anche piรน importante di quello di firma: bisogna usare un prodotto affidabile e dalla reputazione inappuntabile, capace di rilevare ogni anomalia. In particolare una firma deve essere apposta dal titolare con un certificato qualificato, non scaduto, non sospeso, non revocato al momento della firma.
Per CompEd รจ importante collocare una firma nel tempo: se il documento ricevuto non รจ provvisto all’origine di una Marca Temporale il destinatario deve poterla aggiungere, per prevenire la scadenza o la revoca del certificato.
Bisogna poi diffidare in generale quando un sistema di verifica della firma riferisce messaggi del tipo โnon รจ possibile accertare l’attendibilitร e la sicurezza del certificatoโ o โnon รจ possibile accedere alle informazioni di revocaโ: la verifica deve essere superata inequivocabilmente.
Fonte https://www.01net.it/
