Leggendo l’art. 35 del CAD testo vigente relativo ai “Dispositivi sicuri e procedure per la generazione della firma” al comma 3 si parla di firma apposta con procedura automatica (quella “buona” per la fatturazione elettronica, per intendersi) e al successivo comma 4 si dice che i dispositivi sicuri di firma devono essere dotati di certificazione – non autocertificazione – di sicurezza ai sensi dello schema nazionale di cui al successivo comma 5, che spiega come le conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall’allegato III della direttiva 1999/93/CE è accertata, in Italia, dall’Organismo di certificazione della sicurezza informatica, meglio noto come OCSI, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell’informazione, e in Europa (successivo comma 6) da un organismo all’uopo designato da un altro Stato membro e notificato ai sensi dell’articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE.

    Rebus sic stantibus, in attesa del ”parere tecnico di DigitPA” (Capo VII – Regole tecniche Art. 71 del CAD – Testo vigente), nella forma delle nuove regole tecniche, da elaborare entro i 12 mesi successivi all’entrata in vigore del nuovo CAD (gennaio 2011), a novembre 2011, scadendo il periodo di deroghe e dell’autocertificazione, solo i dispositivi sicuri certificati presso OCSI potranno garantire servizi di firma automatica e/o massiva funzionali alla fatturazione elettronica.

    Oops …