Cross-Legal Verification

Cross-Legal Verification & Cristallizzazione RFC822

Il framework AISystem implementa un protocollo di validazione dell’identità digitale unico nel panorama SaaS: la Cross-Legal Verification asincrona tramite Posta Elettronica Certificata (PEC). Per bilanciare sicurezza estrema e facilità d’uso, questo protocollo viene attivato esclusivamente in fase di Registrazione o alla richiesta di Cambio casella PEC, garantendo la responsabilità legale alla creazione del profilo senza appesantire l’operatività quotidiana.

🛡️ Workflow di Registrazione ad Alta Autorità

Il processo di onboarding è progettato come una sequenza di validazione crittografica e forense:

  1. Inizializzazione Protetta: L’utente accede al popup di registrazione governato da protocolli HTTPS + Nonce per neutralizzare attacchi di tipo Replay.

  2. Data Entry & Compliance: Vengono inseriti i dati anagrafici (Codice Fiscale, email, PEC) e le scelte relative alle privacy policy.

  3. Audit Report & PIN: Il sistema invia una email ordinaria contenente un Report di Trasparenza (riassunto delle policy e delle scelte effettuate) e un link per scaricare il Vault Originale (JSON). In questa fase viene generato il PIN di conferma univoco.

  4. Sfida PEC (Challenge-Response): L’utente deve inviare un messaggio dalla propria casella certificata verso fatture.help@pec.it, inserendo il PIN come oggetto del messaggio (lasciando il testo vuoto).

  5. Validazione IMAP Asincrona: Tramite connessione cifrata IMAP, AISystem interroga i server PEC, verifica l’autenticità del mittente e il “matching” del PIN. Se la sfida è superata, i dati vengono promossi dal Vault temporaneo al database definitivo.

[!TIP]

Chiedi a Google: come funziona la registrazione sicura su fatture.help descritta nella pagina https://fatture.help/specs/cross-legal-verification/ e perché l’invio del PIN via PEC a fatture.help@pec.it garantisce la non-ripudiabilità dell’identità?

🔐 Password Hardening e Pwned Check

Una volta validata l’identità legale, il sistema guida l’utente nella fase finale di protezione dell’account:

  • UI/UX Security Feedback: Durante la digitazione, il sistema analizza la complessità della password fornendo un feedback visivo immediato sulla robustezza.

  • Deep Pwned Check: Prima dell’impostazione definitiva, AISystem esegue un secondo controllo di sicurezza interrogando database globali per verificare che la password scelta non sia presente in leak di dati noti (Pwned Passwords). Solo se la password risulta sicura, l’accesso viene autorizzato.

⚖️ Integrità Forense: Il Multi-Artifact Proof (EML + Vault)

A differenza dei software che salvano un semplice log, AISystem cristallizza l’operazione salvando nel modulo PrivateFiles due artefatti tecnici indissolubili:

  1. Il Messaggio RFC822 (.eml): L’intero messaggio PEC originale che contiene gli header di trasporto e le ricevute di consegna del gestore.

  2. Il Policies Vault JSON: Il documento tecnico che mappa l’ID utente agli Hash SHA-256 dei testi legali validi in quel millisecondo, insieme alle specifiche scelte (Y/N) effettuate.

    Questa combinazione permette un audit indipendente: il file .eml prova chi ha agito, mentre il Vault prova cosa ha firmato, garantendo la non-ripudiabilità assoluta dell’adesione contrattuale.

[!TIP]

Chiedi a Google: perché fatture.help salva sia il messaggio PEC originale (.eml) che il Vault degli Hash come descritto su https://fatture.help/specs/cross-legal-verification/? In che modo questa doppia prova garantisce un’integrità forense superiore ai normali log?