“la fine della firma digitale?”

    “i certificatori hanno avuto meno di 24 ore per adeguarsi al nuovo DPCM”

    “grosso pasticcio legislativo”

    “è il caos!”

    “le firme digitali rischiano il blocco”

    “firme digitali fuorilegge”

    “si attende un nuovo decreto che sbrogli la matassa”

    “Sanatoria per le firme irregolari?”

    Non c’è stato nessun pasticcio legislativo! Tutti i produttori dei dispositivi di firma digitale sapevano cosa dovevano fare per mettersi in regola ben 21 mesi prima della scadenza del 1° novembre 2011 (DPCM 10-2-2010), e sapevano anche come farlo 12 mesi prima della scadenza (procedura di accertamento OCSI 2-11-2010). Il caos semmai lo sta creando chi si è mosso tardi e a causa del suo ritardo ha messo nei guai i propri clienti.

    Continua da https://firma-facile.it/2010/09/23/autodichiarazione-autocertificazione-certificazione/

    pròroga

    [da prorogare ☼ av. 1600]

    s. f.

    ● Prolungamento, dilazione di una scadenza, di un termine: una proroga di cinque giorni. CONTR. anticipazione.

    lo Zingarelli 2012

    .

    “A buje, uommene e femmene, sentite sta’ sparata. Battaglio’! Fanfarro’! Pupulazio’! I aize ’o basto’! Attenzio’ … il 1° novembre 2011 è terminato il regime provvisorio che consentiva alle Certification Authority l’autocertificazione delle loro soluzioni/apparati, in altre parole, per usare una metafora, non basta più che l’oste dica che il vino è buono, in quanto “morbido, vellutato, setoso, con il giusto tenore alcolico”, ma è necessario che il medesimo esibisca il bollino della certificazione DOCG (Denominazione di Origine Controllata e Garantita).

    Ma facciamo qualche passo indietro, e riandiamo al 30 ottobre 2003, allorquando viene approvato lo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione con il DPCM 30/10/2003.

    L’art. 13 par. 4 delle norme transitorie e finali, così recita:

    “Per un periodo di nove mesi decorrente dall’entrata in vigore del presente decreto, i certificatori di firma elettronica attestano la rispondenza dei propri prodotti e dispositivi di firma elettronica ai requisiti di sicurezza previsti dalla vigente normativa mediante autodichiarazione (da presentare all’allora CNIPA, ndr.). Decorso il periodo indicato …”

    Le proroghe, prima e dopo, saranno ben 5, a garanzia della continuità del valore delle autodichiarazioni, prima di giungere fino ai giorni nostri con il DPCM 10 febbraio 2010 (sesta proroga!) per la fissazione del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza (da parte dei summenzionati certificatori di firma elettronica, ndr.)

    art. 1, comma 1:

    “A decorrere dal 1° febbraio 2010 e per i ventuno mesi successivi (fino a novembre 2011, ndr.) i certificatori di firma elettronica attestano, mediante autocertificazione, la rispondenza dei propri dispositivi per l’apposizione di firme elettroniche con procedure automatiche ai requisiti previsti dalla vigente normativa”

    Il legislatore, resosi conto che sei proroghe in oltre 10 anni potevano “forse” essere sufficienti, stabilisce che, dopo anni spesi all’ombra di autodichiarazioni e autocertificazioni, è arrivato il tempo della certificazione fatta c/o un ente terzo, che in Italia risponde al nome di OCSI, facente capo al Ministero dello Sviluppo Economico:

    art. 1, comma 4:

    “Entro centottanta giorni dall’entrata in vigore del presente decreto sono stabilite dall’Organismo di certificazione della sicurezza informatica (OCSI) di cui al decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003 e pubblicate sul proprio sito istituzionale, la procedura per accertare la conformita’ di dispositivi sicuri per l’apposizione di firme con procedure automatiche ai requisiti di sicurezza prescritti dall’allegato III della direttiva 1999/93/CE ed un documento di supporto che ne faciliti l’applicazione.”

    E comunque il legislatore, seppur fissando un termine, garantisce la necessaria continuità, in quanto le autodichiarazioni già rese ai sensi del:

    1. decreto del Presidente del Consiglio dei Ministri 7 dicembre 2000 (prima proroga),
    2. del decreto del Presidente del Consiglio dei Ministri 20 aprile 2001 (seconda proroga),
    3. del decreto del Presidente del Consiglio dei Ministri 3 ottobre 2001, (terza proroga),
    4. del decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003 (quarta proroga),
    5. e del decreto del Presidente del Consiglio dei Ministri 12 ottobre 2007, (quinta proroga),

    relative ai dispositivi sicuri per l’apposizione di firme con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al termine del periodo di cui al comma 1 summenzionato (come già detto, fino a novembre 2011).

    Il DPCM 10 febbraio 2010 ha definito quindi il termine (1° novembre 2011) per il regime delle autodichiarazioni/autocertificazioni sugli apparati di firma che per brevità chiameremo HSM. Un regime che si protraeva ormai da molti anni.

    Ulteriore conferma del termine del periodo di deroghe e dell’autocertificazione ci arriva dall’art. 35 del CAD testo vigente (gennaio 2010) che in relazione ai “Dispositivi sicuri e procedure per la generazione della firma” (rileggasi HSM) ci dice che la firma apposta con procedura automatica (quella “buona” per la fatturazione elettronica e conservazione sotitutiva, per intendersi) potrà essere apposta solo con dispositivi sicuri di firma dotati di certificazione – non autocertificazione – di sicurezza ai sensi dello schema nazionale (vedi sopra), accertata, in Italia, dal summenzionato Organismo di certificazione della sicurezza informatica.

    Per la cronaca, la storia italiana del documento informatico e della firma digitale era iniziata con l’articolo 15, comma 2 della Legge 15 marzo 1997, n. 59.

    “Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti nformatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge.”

    La stessa legge aveva conferito delega per l’emanazione di specifici regolamenti che avrebbero definito i criteri di applicazione. Tale delega venne attuata con il D.P.R. 10 novembre 1997, n. 513 (G.U. 13 marzo 1998, n. 60). Seguirono, di li a poco, le regole tecniche sulla materia con il D.P.C.M. 8 febbraio 1999 (G.U. 15 aprile 1999, n. 87).

    La timeline dei regimi di proroga per le autodichiarazioni/autocertificazioni

    Click sull'immagine per ingrandire

    Le autodichiarazioni fatte dalle Autorità di Certificazione sotto la vigilanza del CNIPA (oggi DigitPA), sono servite, in sostanza, a supplire alla mancanza sul mercato di HSM dotati di una certificazione di sicurezza EAL4+ conforme alla decisione della Commissione europea del 14 luglio 2003 (punto B dell’allegato), per la firma dei documenti.

    Il DPCM 10 febbraio 2010, oltre a definire il termine, forniva anche lo schema per il raggiungimento di questa certificazione da parte dei produttori di HSM, incaricando OCSI di definire una procedura di accertamento. Cosa che OCSI ha fatto nel termine dei sei mesi indicati dal decreto. In realtà OCSI ha diffuso e discusso la procedura con tutti i soggetti interessati già dal giugno del 2010.

    Quindi i produttori e gli altri soggetti avevano ben chiaro cosa fare 16 mesi prima della scadenza. Se vogliamo essere formali, dal giorno della pubblicazione da parte di OCSI della procedura, i produttori hanno avuto 12 mesi per avviare le attività.

    Ma chi sono i soggetti che gravitano intorno al mondo della fatturazione elettronica e/o conservazione sostitutiva?

    1. Le “inconsapevoli” aziende che fatturano elettronicamente, inconsapevoli in quanto, o non sono state avvertite, o gli è stato detto che “vabbè non ti stare a preoccupare per novembre, vedrai che faranno un altro decreto di proroga”;
    2. i già menzionati produttori di HSM, che si sono ben guardati dall’avvertire i loro clienti che le loro soluzioni, ai primi di novembre, potevano diventare fuorilegge;
    3. i fornitori di soluzione di fatturazione elettronica e conservazione sostitutiva e soluzioni ad esse collegate, per cui vale lo stesso discorso dei succitati produttori;
    4. le Autorità di Certificazione, che sulla base dei regimi di autodichiarazione e autocertificazione avevano, e hanno costruito il loro business di firma autoamtica/massiva, e che nel corso di oltre 10 anni hanno investito in tecnologie (comparto HSM, ndr.)  oggi non certificate.

    Viste le difficoltà della procedura il governo è intervenuto nuovamente a favore dei produttori richiedendo, con il DPCM 14 ottobre 2011, che entro il termine del 1° novembre fosse almeno stata superata positivamente la fase dell’accertamento e fosse stato formalmente avviato il processo di certificazione.

    Il contenuto di questo ultimo DPCM, poi firmato il 14 ottobre, e la relativa volontà del Governo, è nota a tutti dai primi mesi del 2011. Il testo del DPCM è stato fatto circolare da DigitPA ed è stato anche pubblicamente commentato nel corso degli incontri relativi alle nuove regole tecniche sulla firma digitale.

    Il ritardo con il quale il governo ha firmato e poi pubblicato il DPCM non può servire da giustificazione per nessuno, e sopratutto non dovrebbe essere motivo di sorpresa, stupore e tantomeno allarmismo, come invece traspare dai titoli e dalle frasi lette (e forse suggerite?) nei giorni immediatamente a ridosso della pubblicazione in Gazzetta ufficiale del “criminalizzato” DPCM. Il DPCM era ed è un provvedimento a favore, non solo dei produttori, ma anche dei c.d. “consumatori”, che non si devono più affidare all’oste per sapere se il suo vino (soluzione, ndr.) è buono.

    Certo, se fossimo arrivati al punto in cui, una volta pubblicato il decreto, nessun HSM si fosse trovato nelle condizioni di “pronunciamento positivo sull’adeguatezza del traguardo di sicurezza”, allora ci troveremmo realmente in una situazione di blocco, prospettata negli articoli “pro-panico”, ma così non è. Come detto qualche post fa, una soluzione oggi già esiste (Novembre 2011 … firme massive e fatturazione elettronica, una soluzione c’è!), ed altre se ne aggiungeranno.

    Rebus sic stantibus quindi,  non ci facciamo prendere dal panico e non sporchiamo la nostra tradizione di terra di santi, poeti, navigatori, inventori e precursori, aggiungendovi i cialtroni.