Classe A – FiEle (persone fisiche)

Contenuto del certificato

Il certificato rilasciato dalla Swiss Government PKI (SG-PKI) contiene le seguenti informazioni:

• il titolare del certificato (nome completo, indirizzo e-mail);
• il servizio di certificazione (emittente);
• l’impronta digitale del certificato;
• la validità del certificato;
• il numero di serie.

Le informazioni contenute nel certificato non possono essere modificate. Se, ad esempio, il nome o l’indirizzo e-mail viene modificato, occorre creare nuovamente le chiavi e il certificato.

Titolare del certificato

Il titolare del certificato è la persona alla quale è stato rilasciato un certificato qualificato. Opera per conto di un’organizzazione (Amministrazione federale, Cantoni) e, per via della sua attività, necessita di un certificato rilasciato dalla SG-PKI conformemente alla legge sulla firma elettronica (FiEle).

Verifica del richiedente

• Per garantire la corrispondenza tra una chiave pubblica e un richiedente, la SG-PKI deve verificare l’identità di quest’ultimo sulla base di un’identificazione personale e dei documenti ufficiali (passaporto o carta d’identità in corso di validità).
• All’autorità di registrazione locale (LRA) è affidato il compito di identificare il richiedente e di raccogliere le informazioni necessarie per il rilascio di un certificato.
• I documenti d'identità dei Paesi confinanti (Germania, Austria, Francia, Italia e Lichtenstein) possono essere accettati per l'identificazione. Altri documenti d'identità riconosciuti dalla Svizzera come documenti di viaggio validi sono disponibili sul sito Internet della Segreteria di Stato per la Migrazione SEM alla voce lista alfabetico dei paesi.

Possesso della chiave privata

Sulla smartcard

La chiave di firma viene generata all’interno di una smartcard. La creazione della chiave e la scelta dei codici PIN e PUK vengono inizializzate dallo stesso richiedente, il quale detiene il possesso esclusivo di questi dati e della chiave di firma.

Sul server di firma

Gli impiegati dell’Amministrazione federale hanno la possibilità di memorizzare la chiave privata del certificato qualificato su un server della Swiss Government PKI, sul cosiddetto «modulo di sicurezza hardware» (Hardware Security Module, HSM). Non è necessario definire PIN e PUK aggiuntivi. In questo caso non è necessaria neppure una smartcard aggiuntiva.

Utilizzo della chiave e del certificato da parte del titolare

La chiave di firma e il relativo certificato qualificato possono essere utilizzati esclusivamente per generare e verificare le firme elettroniche qualificate di documenti. L’elenco delle applicazioni che permettono l’impiego dei certificati è pubblicato alla rubrica «Standard e direttive».

L’utilizzo della chiave da parte del titolare è soggetto alle condizioni stabilite nel documento Condizioni contrattuali e di utilizzo per i certificati di classe A. In particolare, il titolare:

• può utilizzare la sua chiave privata soltanto per gli scopi previsti con un’applicazione approvata (DesktopSigner);
• possiede le conoscenze di base necessarie all’utilizzo appropriato della chiave di firma e del certificato;
• deve essere aggiornato in merito alle responsabilità e agli obblighi stabiliti nel Certificate Practice Statement (CPS);
• è responsabile unico delle proprie chiavi e del dispositivo di firma e, in quanto tale, deve prendere le precauzioni necessarie per evitare la perdita, la distribuzione a terzi, la modifica e l’utilizzo non autorizzato dei propri dati;
• in caso di sospetta o accertata compromissione della chiave privata, deve informare immediatamente la LRA affinché venga sospeso l’utilizzo delle chiavi crittografiche (del certificato);
• deve far revocare il suo certificato se le informazioni ivi contenute non sono più valide.

Rinnovo del certificato

• Se non vengono revocati prima, i certificati sono validi tre anni.
• Nel rinnovo del certificato, la procedura si svolge secondo le stesse modalità del primo rilascio.

Revoca

• Motivi di revoca?

  • La smartcard è stata rubata o è smarrita.
  • La smartcard è difettosa.
  • Il titolare del certificato ha dimenticato il PIN e il PUK per la smartcard.
  • Risoluzione del rapporto di lavoro.
  • I dati contenuti nel certificato sono cambiati (cognome, unità organizzativa ecc.).
  • Vi è il sospetto che la chiave privata sia compromessa perché altre persone ne sono venute a conoscenza e hanno utilizzato un servizio (ad es. hanno firmato elettronicamente unʼe-mail).
  • Il titolare del certificato non osserva le direttive del CPS.
  • Il LRA-Officer ritiene opportuna una revoca per altri motivi

• Possibili richiedenti di una revoca?

  • Il titolare del certificato stesso.
  • I collaboratori delle RU (Servizio del personale).
  • Il superiore gerarchico.
  • Il LRA-Officer competente.
  • Il responsabile della SG-PKI.
  • Il security officer della SG-PKI.
  • L’incaricato della sicurezza informatica dell’unità amministrativa (ISIU)

• Modalità di richiesta di una revoca?

  • Il titolare del certificato si reca personalmente alla LRA.
  • Invia la richiesta di revoca alla LRA per posta.
  • Invia la richiesta di revoca per e-mail apponendo la firma elettronica (chiave di firma), tranne che la revoca sia dovuta a una compromissione presunta o accertata della chiave di firma.
  • Al di fuori degli orari di ufficio della LRA, si rivolge al Service Desk UFIT

  Se la richiesta di revoca non proviene dal titolare, deve essere sempre effettuata per iscritto e firmata.

Servizio di firma

• Nel caso del servizio di firma, la manifestazione di volontà viene attivata tramite il certificato avanzato di classe B (smartcard personale utilizzata per il login sul PC) o la MobileID.
• L’eventuale modifica di certificato di classe B dovuta a una nuova emissione o a un rinnovo deve essere notificata alla Swiss Government PKI
  Klasse A Willensbekundung: Neues Klasse B hinterlegen (admin.ch)
• Modifica della dichiarazione d’intenti in MobileID
  Klasse A Willensbekundung: Wechsel auf MobileID (admin.ch)