Firme digitali fuorilegge: ennesima sanatoria all’italiana?

Pubblicato il 27/01/12 | da Viviana Gazzola

Dal primo novembre 2011 situazione da far west,
solo un HSM su tre è conforme alla legge ma gli altri continuano ad essere utilizzati


Servizi di firma digitale proposti sul mercato italiano dal 1° novembre al di fuori della legge, in quanto generati con dispositivi automatici di firma non rispondenti alle procedure di valutazione e certificazione della sicurezza previsti dalla vigente normativa. Quasi 8 milioni gli utenti potenzialmente coinvolti.

Affrontato nell’articolo “Il pasticcio delle firme digitali” del Corriere della Sera del 23 gennaio scorso, il tema è caldo. Cerchiamo di approfondirlo grazie alla consulenza di Firma Facile, il blog più autorevole sul web in materia di firme digitali (www.firmafacile.it).

“La firma digitale è una cosa utile che permette di evitare l'uso della carta, riducendo i costi e snellendo le attività nelle aziende e nella Pubblica Amministrazione” afferma Federico Berti Arnoaldi, curatore del blog, che chiarisce: “Per fare firme digitali è necessario essere dotati di un dispositivo sicuro per la loro generazione, costituito da una smartcard o da un token USB o da un server di firma cosiddetto Hardware Security Module (HSM), la cui sicurezza deve essere accertata da un organismo pubblico, rappresentato in Italia dall’OCSI, l'Organismo di Certificazione della Sicurezza Informatica – parte del Ministero per lo Sviluppo Economico”.

La legge ha dato 21 mesi di tempo ai produttori per mettersi in regola (come da DPCM del 10 febbraio 2010). Un lasso di tempo esteso nonostante il quale solo uno dei produttori di HSM risulta essere a norma oggi. Dispositivi non certificati continuano infatti ad essere utilizzati e proposti ad ignari utilizzatori sia pubblici che privati. I dati citati nel blog parlano chiaro: in Italia il numero di firme digitali remote rilasciabili assomma a circa 7.400.000 unità, che rappresentano oltre il doppio dei certificati di firma digitale rilasciati principalmente su smart card o chiavette USB.

DigitPA, ente nazionale preposto a vigilare sui certificatori di firma digitale, si trova quindi nella posizione di dover intervenire quanto prima per normalizzare la situazione. Secondo Berti Arnoaldi: “Il governo deve intervenire per far rispettare la legge dimostrando ai cittadini e ai partner europei che, sebbene in un momento già difficile, il paese ha voltato definitivamente pagina nel segno della legalità e della serietà. Perché a pagare per avere rispettato la legge deve essere l’unica azienda che ha fatto i corretti investimenti per certificare e rendere conforme la sua soluzione? E’ necessario che chi adotta HSM non certificati smetta di offrire servizi di ‘Firma Digitale’che tali non sono in quanto impugnabili in sede di ricorso”. E conclude: “Se sarà proprio necessario un nuovo decreto, l’auspicio è che sia quindi riguardoso del mercato e della professionalità dei suoi protagonisti, oltre che a tutela degli inconsapevoli consumatori che si vedrebbero invalidare atti e documenti firmati tramite sistemi non conformi”.

La situazione nei fatti
L’Italia è all’avanguardia nell’uso della firma digitale. È infatti il primo paese ad avere attribuito fin dal 1997 piena validità giuridica ai documenti elettronici e conta la maggiore diffusione di firme in Europa.

A seguito di dieci anni di proroghe, con il decreto del 10 febbraio 2010 il governo italiano ha posto le condizioni per l'accertamento della sicurezza degli HSM, dando ai produttori 21 mesi di tempo (fino al 1° novembre 2011) per mettersi in regola. A distanza di qualche mese, l’OCSI ha reso pubbliche le procedure di accertamento da seguire.

A tutela degli utilizzatori, il governo è nuovamente intervenuto andando incontro ai produttori con un altro decreto in cui, senza prevedere obblighi aggiuntivi o diversi rispetto al decreto precedente, richiedeva loro di avere almeno completato i primi passi di accertamento dei dispositivi entro il 1° novembre 2011. Per questioni burocratiche, questo ulteriore decreto è stato firmato il 14 ottobre 2011 ed è stato pubblicato in Gazzetta Ufficiale il 31 ottobre, il giorno precedente al termine indicato. Nonostante questo ritardo non intenzionale, l’adeguato anticipo delle comunicazioni fornite ai produttori ha fornito i necessari presupposti per sapere cosa fare e in quali tempi e modalità dover agire per essere totalmente adempienti ai decreti legislativi.


Michela Sangalli msangalli@sangallimc.it
Sangalli M&C
T. +39 02.89056404

Federico Berti Arnoaldi
Firma-facile.it
www.firmafacile.it

Link: firmafacile.it