6477 Letture

Pubblicate le regole tecniche sull'uso delle firme elettroniche

Si torna a parlare, nel nostro Paese, di firma digitale, importantissimo strumento che permette non solo alle imprese ma anche alla pubblica amministrazione ed ai cittadini, di svincolarsi da procedure antidiluviane - ancora basate sull'uso del cartaceo -. L'utilizzo di firme digitali consente, ad esempio, di scambiare documenti validi dal punto di vista legale senza l'apposizione della classica firma autografa. Grazie all'uso delle firme digitali il destinatario del documento può sempre verificare l'autenticità della firma e, quindi, l'identità del mittente; il mittente, da parte sua, non potrà disconoscere (il cosiddetto "non ripudio") un documento da lui firmato; nessuno dei soggetti può alterare un documento firmato da terzi.
Sulla base di questi semplici premesse è ovvio che la firma digitale non possa non costituire uno dei cardini fondamentali del processo di e-government.


Tre giorni fa è arrivata un'importante novità: è stato infatti pubblicato in Gazzetta Ufficiale il decreto legge 22 febbraio 2013 che definisce le regole tecniche per la generazione, apposizione e verifica delle cosiddette firme elettroniche avanzate, qualificate e digitali (il testo completo è pubblicato in questa pagina).

Oltre a chiarire alcuni punti relativamente alla normativa già in vigore sulle firme qualificate e digitali, il decreto introduce delle novità per ciò che riguarda quelle che vengono definite "firme elettroniche avanzate". "La firma elettronica avanzata è apposta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, è creata con mezzi sui quali quest'ultimo conserva un controllo esclusivo ed è collegata ai dati ai quali si riferisce, in modo da consentire di rilevare se gli stessi sono stati successivamente modificati", si legge nella presentazione del decreto.

Sulla base delle regole tecniche contenute nel decreto appena adottato, viene dato il benestare per l'impiego di una serie di nuovi strumenti - utilizzati sinora soprattutto nel settore bancario - che garantiscono sicurezza e attendibilità e che permettono di semplificare e favorire l'uso delle nuove tecnologie anche nei rapporti tra utenti e pubbliche amministrazioni.

"È un provvedimento molto atteso nel mondo del lavoro e nelle amministrazioni pubbliche, che va valorizzato e applicato rapidamente perché faciliterà i rapporti fra lo Stato e le imprese e contribuirà ad un'effettiva modernizzazione e razionalizzazione della pubblica amministrazione", ha commentato la senatrice Silvana Amati, che ha seguito tutto l'iter di approvazione della normativa. "Siamo quindi finalmente alle battute finali di un ulteriore tassello dell'Agenda Digitale Italiana, fondamentale per la modernizzazione della pubblica amministrazione e delle imprese. Infatti le sottoscrizioni digitali sono elemento indispensabile per la dematerializzazione, ovvero per l'eliminazione del cartaceo".
La Amati cita anche la firma grafometrica, a proposito del cui impiego - in relazione all'avvio di una sperimentazione da parte di due istituti di credito - il Garante aveva proprio recentemente espresso parere favorevole (Garante: via alla firma biometrica per due banche), "che consente la sottoscrizione in digitale anche ad un pubblico non tecnologico perché riproduce esattamente il processo tradizionale", ha aggiunto la parlamentare.

La senatrice plaude alle nuove regole tecniche che dovrebbero facilitare le relazioni tra pubblica amministrazione ed imprese consentendo, allo stesso tempo, un risparmio economico notevole, anche in termini di risparmio di carta, con conseguenti benefici sul versante ecologico.

Esprime invece forti dubbi Massimo F. Penco, vicepresidente Gruppo Comodo GlobalTrust EMEA e presidente "Cittadini di Internet" che osserva come la firma digitale si sia improvvisamente triplicata: "da oggi si ha a che fare con tre firme digitali invece che una sola. Con tutta la buona volontà e con un minimo di raziocinio non riesco a capire come tutto questo porti alla semplificazione". E ricorda un assunto, suo "cavallo di battaglia": "la tecnologia si muove così velocemente che i governi non dovrebbero neanche provare a regolare il settore: cambia troppo rapidamente".

L'analisi di Penco si concentra sul concetto di firma elettronica avanzata (vedere, a tal proposito, anche questo e-book) e sulla sua definizione, citata in precedenza. Le regole tecniche sulla firma elettronica avanzata, dettate agli artt. 55 e successivi del d.p.c.m., stabiliscono ora che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva. I soggetti che erogano sistemi di firma elettronica avanzata, quindi, non sono obbligati ad alcuna registrazione e questo dimostra la volontà di liberalizzare le tipologie di firma avanzata, non vincolandole a un certificato qualificato o ad un dispositivo sicuro, come invece richiesto per le firme elettroniche qualificate e per quelle digitali.
Secondo il vicepresidente EMEA del Gruppo Comodo, quanto illustrato nel provvedimento appena pubblicato in Gazzetta Ufficiale equivarrebbe, sotto il profilo tecnico-pratico, all'applicazione di un certificato di firma su di un documento legato ad una persona fisica intestataria del certificato medesimo.
"Perché complicarsi l'esistenza?", osserva Penco, "Non siamo dinanzi ad una semplificazione ma ad una normativa che complica di più la vita ad imprese, professionisti e privati cittadini oltre che alla già confusa pubblica amministrazione".


Secondo Penco la vera novità del decreto poggia invece su due pilastri: in primis, le tre firme di cui si parla nelle norme tecniche "sono di fatto e di diritto equiparate tra loro. È qualcosa che fuori dai confini italiani succede già da anni: nel resto del mondo esiste una ed una sola firma elettronica, quella che in Italia è chiamata "firma elettronica avanzata". In ambito europeo alcuni certificatori emettono anche quelle che la normativa italiana definisce "firme qualificate". Si tratta però di firme sostanzialmente identiche a quelle "avanzate": cambia solamente chi le rilascia".
L'altro aspetto è che, secondo Penco, il decreto sancisce l'inesistenza di "qualunque limite o monopolio per quanto concerne i soggetti che forniscono agli utenti sistemi di firma elettronica avanzata". Il provvedimento, quindi, di fatto liberalizza il mercato dei prodotti correlati con il rilascio delle firme elettroniche (cosa peraltro già prevista nello stesso Codice dell'Amministrazione Digitale datato 2005), mercato oggi dominato da nomi quali Poste Italiane, Infocamere, Telecom Italia ed Aruba.

Per acquisire una propria firma elettronica avanzata, spiega Penco, è sufficiente rivolgersi ad un certificatore o ai soggetti delegati alla vendita. Secondo l'esperto, non sarebbe neppure necessario recarsi fisicamente presso gli sportelli del certificatore per fornire i propri documenti ed attestare la propria identità. Una serie di direttive (viene ricordata quella di Budapest) puniscono pesantemente, infatti, coloro che presentano false dichiarazioni al certificatore ed il certificatore stesso nel caso di sua responsabilità. "La compilazione di un apposito modulo online garantito da una connessione sicura SSL è a mio avviso più che sufficiente al rilascio della firma elettronica avanzata", osserva Penco che continua: "con la firma elettronica avanzata non esiste più la necessità che la firma sia custodita e consegnata su un supporto sicuro (smart-card, chiavetta USB,...); la conservazione del certificato va fatta come e forse con maggiore attenzione del PIN del Bancomat. Il certificato, infatti, altro non è che un file di testo dalle dimensioni ridottissime che viene normalmente acquisito dallo stesso utente tramite una connessine sicura ad un URL inviato dal certificatore".


Da sempre strenuo oppositore della PEC italiana, Penco spiega che il decreto avrà implicazioni anche su di essa, sistema che viene definito "autarchico", non adoperato in nessun Paese al mondo eccezion fatta per l'Italia. "La PEC è compatibile solo con se stessa (cita anche il parere dell'Istituto Superiore delle Comunicazioni, pubblicato a questo indirizzo), inoltre se l'uso della ricevuta di presa in consegna (busta di trasporto) diverrà inconfutabile prova di ricezione del contenuto di una e-mail è tutto ancora da dimostrare", aggiunge ricordando che una semplice e-mail, se spedita anche a se stessi, può già di per sé costituire prova in un'aula di tribunale.

Pubblicate le regole tecniche sull'uso delle firme elettroniche - IlSoftware.it