Come avevamo avuto modo di raccontare nel post “Mi metta una firma qui e poi un’altra qui sotto, grazie” la firma digitale remota si è “mossa”, e fra i primi a muoversi, di cui esiste una evidenza mediatica, c’erano e ci sono le banche (l’elenco è in ordine di apparizione temporale, ndr.):
1
Banca Intesa San Paolo, prima fra tutte a muoversi a giugno 2010 con O-KeyPiù “il servizio di Firma Digitale comodo, in quanto non richiede alcun supporto fisico aggiuntivo rispetto all’O-Key, quale smart card o chiavetta USB, con emissione (e conservazione, ndr.) del certificato digitale su speciali server della Banca”;
2
nel 2011 si sono “mosse” Banca Sella con SellaDigit, la “tua firma digitale” pratica e semplice da usare per i clienti di Banca Sella, che non richiede installazioni sul proprio Pc, e per utilizzarla non serve altro che il proprio dispositivo @pritisella.it, lo stesso utilizzato per accedere ai servizi on line, tanto facile da poter “firmare in pochi click!” e …
3
Deutsche Bank con db Identity Business, la nuova soluzione per il banking on-line, che grazie alla combinazione dei più recenti sistemi di sicurezza informatica, OTP token (generatore di codici di protezione dinamici), Certificato di firma digitale remoto, PEC (Posta Elettronica Certificata), offre al firmatario, autorizzato ad operare sui conti correnti dell’azienda, la possibilità di autenticarsi e firmare digitalmente transazioni online tramite il servizio db Corporate Banking.
Alla “rivoluzione copernicana digitale remota” delle banche (abbiamo citato solo le principali), vanno aggiunti anche altri soggetti extra bancari, fra cui, per citare solo i più noti, rinveniamo:
4
InfoCert con LegalCert Remote sign, che “consente al titolare di effettuare tutte le normali operazioni di sottoscrizione di documenti informatici utilizzando una smart card “virtuale””.
5
Aruba Pec con la Firma Digitale Remota che consente di “effettuare tutte le operazioni volte alla sottoscrizione di documenti digitali in modo rapido, semplice e totalmente sicuro, grazie all’utilizzo di una comoda Smart Card Virtuale, Password OTP (One Time Password) e Software di Firma e Verifica;
6
Poste Italiane con l’offerta Postemailbox per privati, per “inviare e ricevere comunicazioni sicure e certificate, firmare digitalmente documenti elettronici, conservare i tuoi dati nella sezione archivio” (che si tratti di firma digitale remota nel caso di Postemailbox lo si evince dall’art. 1 delle Condizioni Generali del servizio ““POSTECERT – Firma Digitale” (Utenza Privati Postemailbox) dove la “generazione delle chiavi asimmetriche (avviene, ndr.) all’interno di un dispositivo di firma centralizzato tenuto presso il Certificatore”);
Per quanto mi è dato sapere, il numero di firme digitali remote rilasciabili dalle sei realtà citate, escludendo InfoCert di cui non ho evidenza di numeri al riguardo, assomma a circa 7.400.000 unità, che rappresenta, se ricomprendiamo nel conteggio anche Infocert e quanti non considerati, oltre il doppio dei 3.700.000 certificati di firma digitale rilasciati principalmente su smart card, o chiavette USB, alla fine del 2010, così come riportato nel “Rapporto E-Gov Italia 2010“.
Ora come allora in “Chi garantisce e vigila?“, ci si trova di fronte alla continua evoluzione della normativa e delle regole tecniche (vedasi il recente caso del decreto relativo alla “certificazione” dei dispositivi HSM per firma digitale remota – DPCM 14/10/2011, che “guarda caso” regola i quasi 8 milioni di firme di cui sopra) che richiedono spesso chiarimenti, precisazioni, rassicurazioni (nel caso degli HSM “ma chi mi garantisce che questa firma digitale remota è valida? ma la certificazione del dispositivo è valida per erogare firme digitali remote?”) e non ultime interpretazioni precise ed autorevoli (leggasi pareri DigitPA – Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione, e OCSI – Organismo di Certificazione della Sicurezza Informatica), che mal si combinano con il processo di “depauperamento” in fieri degli organismi di vigilanza e di supporto tecnico, normativo e di certificazione, a suo tempo denunciato nel succitato “Chi garantisce e vigila?“.
Se avevamo evidenziato in passato il problema, che chi dovrebbe fare chiarezza è “poco visibile” nei media e sul mercato, vis à vis dei famosi “venditori di caffè“, proprio lì dove avvengono i processi di compravendita delle “tecnologie normate” fra clienti e fornitori, oggi e domani come possiamo sperare di poter contare sui giusti riferimenti per chiarirsi le idee su cosa è “buono” e su cosa “no buono” (o non del tutto)?
In ultima battuta, chi fa rispettare la legge?
A completamento, esiste anche il servizio di Firma Sicura Mobile distribuito da Telecom Italia, che permette di apporre firme digitali utilizzando il proprio telefonino, in alternativa a token e smart card.
Il sistema remoto garantisce al titolare della firma che l’operazione sia effettuata in modalità sicura e con un’autenticazione forte. Il telefono cellulare dell’utilizzatore viene utilizzato per effettuare le operazioni seguenti:
• autenticazione forte dell’utente (strong authentication);
• autorizzazione diretta della firma da parte dell’utente.
Un apposito HSM custodisce in maniera sicura i certificati digitali e le chiavi private dei clienti.
I vantaggi sono numerosi, ad esempio:
• nessun supporto hardware aggiuntivo (come smart card, lettori, ecc.) per l’utilizzo dei certificati;
• costante adeguamento delle infrastrutture e delle policy rispetto alle evoluzioni delle normative e del contesto, garantito dalla Certification Authority di Telecom Italia;
• praticità della soluzione in quanto l’utente, usando uno strumento familiare, semplice e diffuso come il telefonino, non ha bisogno di sviluppare la propria “alfabetizzazione tecnologica”.