La firma digitale è il risultato del “combinato disposto” fra tecnologia e normativa.
Spesso, la preoccupazione di molti che devono iniziare a valutare l’impiego di soluzioni di firma digitale a livello aziendale, è quella di sentirsi rassicurati, non solo sul fronte della tecnologia, ma sopratutto su quello della normativa, che continua ad evolvere e che richiede a volte più di uno sforzo di interprertazione. Le recenti evoluzioni normative, che hanno sdoganato l’uso della firma remota, hanno ingenerato qualche preoccupazione e timori sulla leggitimità dell’utilizzo di certe nuove tecnologie (apparati HSM) e la validità di alcuni processi di firma ad esse legate; in particolar modo, riflessioni, obiezioni e dubbi sono fortemente connessi al concetto del possesso (della chiave privata, leggasi smart card, o business key), concetto talmente radicato nella mente di chi “è del settore”, che non di rado capita di sentire la domanda: “e la chiave privata chi ce l’ha, dov’é?”. Dieci anni vissuti all’ombra dei dogmi “possesso” (… della smart-card) e “conoscenza”, ci hanno reso “smart-card dependent”, al punto che durante un convegno a cui ho parteciapto, dedicato alla firma digitale remota, uno degli speaker, nel mimare il gesto dell’operazione di firma, ha inconsapevolemente inserito la smart-card in un lettore di smart-card.
Elemento cruciale, ieri come oggi, è il “sole control”, richiesto nell’allegato III della Direttiva Europea di riferimento (1999/93/CE). Intorno a questo elemento, ovverosia i requisiti relativi ai dispositivi per la creazione di una firma sicura, gravitano prevalentemente tre tipologie di figure:
1) giuristi del “sole control”, quelli che definiscono, sulla base della normativa, cosa si può e cosa non si deve fare (li si trova normalmente in studi legali, uffici legali delle aziende, università, ecc.);
2) filosfi del PKCS#7, alias guru, quelli che spaccano il bit in 4 e che normalmente non vengono capiti;
3) i venditori di caffè, che alla domanda “ma il vostro software fa anche il caffè?” di norma rispondono “si, come lo vuole, macchiato, ristretto, con la schiuma?”.
La provocazione vuole evidenziare come in un ambito fortemente normato, financo per quanto riguarda i contesti d’uso delle tecnologie, c’e’ ancora confusione ed approssimazione.
DigitPA e OCSI sono gli unici soggetti istituzionali che possono garantire che quanto proposto/venduto sia “a norma”.
DigitPA, che ha ereditato le funzioni del CNIPA, è un ente pubblico non economico, con competenza nel settore dell’ICT nell’ambito della PA, si occupa di dare gli indirizzi e recepire e dare attuazione alla normativa europea in tema di firma digitale, nonchè svolge ruolo di autorità di certificazione della firma digitale, con tenuta di elenchi e registri
www.digitpa.gov.it/firma-digitale
www.cnipa.gov.it/site/it-IT/Attivit%c3%a0/Firma_digitale/
Per quanto riguarda le normative di riferimento:
- Direttiva europea 1999/93/CE (Quadro comunitario per le firme elettroniche)
- Decreto legislativo 7 marzo 2005, n. 82 (meglio noto come CAD – Codice di Amministrazione Digitale)
- Direttiva europea 2006/123/CE (comunemente nota come “Direttiva Servizi”)
- DPCM 30 marzo 2009 – Regole tecniche in materia di firme digitali (quelle che hanno reso legale l’uso della firma digitale remota)
In casi di dubbi e perplessità, sugli ultimi aggiornamenti normativi (e ce ne sono!) e sugli aspetti tecnici di riferimento per l’utilizzo della firma remota (token OTP, certificazione Common Criteria, formati di firma, ecc.), è sempre bene rivolgersi direttamente a DigitPA Ufficio Sicurezza.
In ambito europeo, riguardo l’implementazione della Direttiva europea 123/2006, comunemente nota come “Direttiva Servizi”, il cui scopo è il libero scambio a livello comunitario di documenti sottoscritti con firma digitale (l’interoperabilità nella verifica delle firme digitali), si è giunti alla realizzazione delle TSL (Trust Service Status List) nazionali contenenti le liste dei certificatori qualificati presenti nei paesi membri:
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-hr.pdf
Sui formati di firma reciprocamente accettati, dove l’orientamento si è ormai consolidato su CAdES, XAdES e PAdES, e sulla corretta interpretazione dei certificati di sottoscrizione (principalmente tipologia e utilizzo di dispositivo sicuro) DigitPA ipotizza il completamento delle attività, e quindi l’effettiva entrata in funzione della interoperabilità della firma digitale fra i vari paesi membri, per l’inizio del prossimo anno (gen./febr. 2011), ma anche qui, verificare per credere!
Commenti recenti