Il validatore discreto estrae dal documento i dati relativi alla firma e verifica soltanto questi ultimi (senza raccogliere informazioni sul contenuto del documento). Il documento non deve essere caricato integralmente e non lascia l’infrastruttura dell’utente.
Questa funzionalità è stata sviluppata poiché notai, avvocati e autorità che trasmettono atti giuridici per via elettronica hanno espresso la propria preoccupazione in merito al rischio di violazione del segreto professionale o del segreto d’ufficio nel momento in cui si caricano su un sistema esterno documenti confidenziali o contenenti dati sensibili.
Come funziona il validatore discreto e quali sono i suoi componenti?
Il validatore discreto è composto da un servizio web del validatore e da una biblioteca Java con un’applicazione CLI (interfaccia a riga di comando). Di seguito questa biblioteca è menzionata come client per la validazione discreta. Per impiegare la validazione discreta il client deve essere integrato in un’applicazione web, in un’applicazione tecnica o in un’applicazione locale.
Il client per la validazione discreta calcola, localmente, il valore hash crittografico del documento da validare, estrae tutte le firme elettroniche apposte al documento ed esegue una verifica preliminare localmente. Nel caso in cui tale verifica dia un esito positivo, il valore hash del client e tutte le firme vengono trasmesse al servizio web del validatore centrale, che ne verifica la validità. Il servizio web restituisce infine il risultato della verifica e il rapporto di validazione al programma richiedente. Il documento è conservato sempre localmente.
Chi può utilizzare il validatore web e il validatore discreto?
Il validatore web può essere utilizzato da chiunque gratuitamente. I Cantoni e i Comuni pagano però la configurazione di particolari tipi di documenti.
Il validatore discreto può essere utilizzato dalle autorità dei tre livelli statali e dalle piattaforme di trasmissione riconosciute dalla Confederazione. A tale scopo, esse ricevono dall’organismo designato in un contratto di service level agreement (ovvero l'UFIT per l'Amministrazione federale ed eOperations Svizzera SA per Cantoni (e Comuni) i diritti di accesso necessari e i programmi da integrare nelle loro applicazioni web o tecniche. Le autorità possono anche configurare particolari tipi di documenti sul validatore e depositare sullo stesso i sigilli regolamentati (oppure i certificati o catene di certificati) che utilizzano per i loro specifici tipi di documento.
Trattandosi di atti pubblici in forma elettronica, l’Ufficio federale di giustizia ha definito all’articolo 19 dell’ordinanza dell’8 dicembre 2017 sulla realizzazione di atti pubblici e autenticazioni in forma elettronica (OAPuE; RS 211.435.1) la base legale per il validatore e ha instaurato l’obbligo per la Confederazione di gestirlo in modo permanente.
