Leggendo l’art. 35 del CAD testo vigente relativo ai “Dispositivi sicuri e procedure per la generazione della firma” al comma 3 si parla di firma apposta con procedura automatica (quella “buona” per la fatturazione elettronica, per intendersi) e al successivo comma 4 si dice che i dispositivi sicuri di firma devono essere dotati di certificazione – non autocertificazione – di sicurezza ai sensi dello schema nazionale di cui al successivo comma 5, che spiega come le conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall’allegato III della direttiva 1999/93/CE è accertata, in Italia, dall’Organismo di certificazione della sicurezza informatica, meglio noto come OCSI, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell’informazione, e in Europa (successivo comma 6) da un organismo all’uopo designato da un altro Stato membro e notificato ai sensi dell’articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE.
Rebus sic stantibus, in attesa del ”parere tecnico di DigitPA” (Capo VII – Regole tecniche Art. 71 del CAD – Testo vigente), nella forma delle nuove regole tecniche, da elaborare entro i 12 mesi successivi all’entrata in vigore del nuovo CAD (gennaio 2011), a novembre 2011, scadendo il periodo di deroghe e dell’autocertificazione, solo i dispositivi sicuri certificati presso OCSI potranno garantire servizi di firma automatica e/o massiva funzionali alla fatturazione elettronica.
Oops …
La certificazione è quella Common Criteria! Quindi può essere rilasciata sia da OCSI sia da un altro laboratorio accreditato Common Criteria a livello mondiale.
Per la fatturazione elettronica oggi può essere usata (dico purtroppo) la firma elettronica avanzata che non ha bisogno di un dispositivo sicuro per la creazione della firma, nemmeno la firma digitale ne ha bisogno. Mentre ne ha bisogno la firma qualificata (che però non è basata su un sistema di chiavi asimmetriche).
Non è questa la sede per fare conferenze, ma possiamo concludere che:
1) condivido l’analisi sulla confusione odierna e futura sulle regole;
2) non credo che le regole tecniche possano eliminare la confusione introdotta dalla norma primaria;
3) i relatori nei convegni che vengono dal Palazzo dicono che si è semplificato e che la norma contiene principi che le regole tecniche dovranno mettere in campo;
4) a titolo personale spero che le regole tecniche contengano almeno l’obbligo per i dispositivi di firma della procedura di accertamento OCSI. Altrimenti non capisco come possa essere soddisfatta la previsione normativa “L’utilizzo del dispositivo di firma è riconducibile al titolare”.