Gianni Sandrucci |
della sicurezza delle firme elettroniche. È terminato, infatti, il regime di autogestione prolungato dalle proroghe, in cui le varie Certification Authority (Aruba PEC, Infocert, Postecom, Telecom Italia, ecc. - circa 20 in Italia) erano state investite del compito di assumersi la responsabilità della sicurezza delle soluzioni di firma digitale remota. Ora questa responsabilità passa in capo (come è giusto e logico che sia) a chi produce i dispositivi di firma digitale. Gli stessi hanno l’obbligo di attestare gli standard di sicurezza delle proprie soluzioni, mediante un processo di test e verifiche lungo e oneroso, a cura di un organismo europeo di certificazione accreditato (OCSI per l’Italia).
Questa importante fascia di mercato, dunque, (oltre due milioni di firme digitali remote attivate) è diventata soggetta all’obbligo della certificazione dei dispositivi di firma centralizzata. La garanzia di sicurezza del proprio autografo, dunque, non è più un concetto opinabile. In pericolo fino ad ora, infatti, è stata la certezza del controllo esclusivo (sole control) del dispositivo della propria firma. L’importanza che questa norma assume nella vita di ogni giorno è da imputare a tre ordini di motivazioni.
Il primo, la maggiore usabilità dei dispositivi di firma digitale remota (basta il generatore di numeri casuali che ci hanno fornito molte banche per accedere ai nostri conti online) rispetto alle smartcard, che in tutti questi anni hanno tradito le aspettative e non sono riuscite a far decollare la dematerializzazione, causa difficoltà d’uso (la centralizzazione del servizio poi porta a non dover più distribuire HW, ridurre ai minimi termini il SW da installare e gestire sempre tutto in un unico punto dovendosi preoccupare poco o nulla della gestione delle varie compatibilità dei vari lettori di smart card in circolazione).
Il secondo è ascrivibile alla tipologia di documenti cui occorre apportare una firma elettronica: referti medici, denunce, pagelle, ordini di acquisto. E continuando: cambi di residenza o di domicilio, richieste di contributi, richieste di esenzioni a pagamenti a causa del reddito o di altre condizioni particolari, ricorsi, risposte a bandi di gara, verbali di riunioni, servizi camerali, ecc. Il terzo sta nel numero di soggetti che saranno autorizzati a vendere le soluzioni di firma digitale: solo due in Italia, infatti, hanno compiuto l’iter adeguato. Questo implica che le soluzioni di tutti i produttori di dispositivi non certificati non saranno a norma. Le aziende dovranno, dunque, verificare che i propri apparati in uso siano tra quelli che hanno superato le verifiche imposte dalla legge.
La normativa, infatti, prevede un periodo di 6 mesi per mettersi in regola, mediante un piano di migrazione verso i dispositivi certificati. Abbiamo incontrato Gianni Sandrucci, CEO itAgile distributore per l’Italia di CoSign, unica soluzione di firma digitale remota certificata in Europa: “Finalmente la certificazione della sicurezza non è più un requisito soggettivo, ma verificabile a fronte di un “bollino blu” di standard di sicurezza Common Criteria EAL4+, che i vari produttori di apparati esporranno a garanzia della sicurezza e della utilizzabilità della loro soluzione a partire da luglio 2014. L’Italia da questo punto di vista rappresenta un’apripista di esempio per l’Europa, con una normativa avanzata e completa, che armonizza gli standard internazionali e abbatte le barriere digitali del commercio”.
La certificazione è qualcosa su cui la Comunità Europea sta spingendo molto, in quanto garantisce una valutazione di prodotto e di servizio super-partes, ed essendo basata su standard internazionali (Common Criteria, nel caso di specie) può essere spesa su tutto il territorio dell’unione, senza la necessità di logoranti processi di mutui riconoscimenti di validità. La proposta di regolamento dell’Unione europea in materia – 2012/0146 (COD), votato al Parlamento europeo il 3 aprile 2014 - mantiene l’obbligatorietà della certificazione di sicurezza dei dispositivi di firma e lascia inalterata la necessità del controllo esclusivo, non modificando quanto già stabilito dalla legislazione nazionale.
La firma elettronica qualificata viene utilizzata oggi dall’88,2% degli enti locali. In generale nel 2012 la percentuale di amministrazioni comunali dotate di firma elettronica qualificata variava dal 98,1% dei Comuni di maggiori dimensioni all’85,9% dei Comuni con popolazione fino a 5.000 abitanti.