Dopo 15 anni e 8 proroghe normative, si completa il processo di certificazione dei dispositivi di firma digitale
Dopo 15 anni e ben 8 proroghe, una vera odissea normativa, con il Governo Renzi entra finalmente in vigore il decreto 19 luglio 2012. Non più deroghe e sanatorie ‘all’italiana’: nasce la nuova era della Firma Digitale. Dal 25 luglio 2014 i documenti firmati digitalmente parlano tutti la stessa lingua: quella della sicurezza.
Un passaggio epocale per il processo di dematerializzazione, che in questi anni aveva visto più volte rimandare l’attuazione della normativa a tutela della sicurezza delle firme elettroniche. È terminato, infatti, il regime di autogestione prolungato dalle proroghe, in cui le varie Certification Authority (Aruba PEC, Infocert, Postecom, Telecom Italia, ecc. – circa 20 in Italia) erano state investite del compito di assumersi la responsabilità della sicurezza delle soluzioni di firma digitale remota. Ora questa responsabilità passa in capo (come è giusto e logico che sia) a chi produce i dispositivi di firma digitale. Gli stessi hanno l’obbligo di attestare gli standard di sicurezza delle proprie soluzioni, mediante un processo di test e verifiche lungo e oneroso, a cura di un organismo europeo di certificazione accreditato (OCSI per l’Italia).
Questa importante fascia di mercato, dunque, (oltre due milioni di firme digitali remote attivate) è diventata soggetta all’obbligo della certificazione dei dispositivi di firma centralizzata. La garanzia di sicurezza del proprio autografo, dunque, non è più un concetto opinabile. In pericolo fino ad ora, infatti, è stata la certezza del controllo esclusivo (sole control) del dispositivo della propria firma.
L’importanza che questa norma assume nella vita di ogni giorno è da imputare a tre ordini di motivazioni.
Il primo, la maggiore usabilità dei dispositivi di firma digitale remota (basta il generatore di numeri casuali che ci hanno fornito molte banche per accedere ai nostri conti online) rispetto alle smartcard, che in tutti questi anni hanno tradito le aspettative e non sono riuscite a far decollare la dematerializzazione, causa difficoltà d’uso (la centralizzazione del servizio poi porta a non dover più distribuire HW, ridurre ai minimi termini il SW da installare e gestire sempre tutto in un unico punto dovendosi preoccupare poco o nulla della gestione delle varie compatibilità dei vari lettori di smart card in circolazione).
Il secondo è ascrivibile alla tipologia di documenti cui occorre apportare una firma elettronica: referti medici, denunce, pagelle, ordini di acquisto. E continuando: cambi di residenza o di domicilio, richieste di contributi, richieste di esenzioni a pagamenti a causa del reddito o di altre condizioni particolari, ricorsi, risposte a bandi di gara, verbali di riunioni, servizi camerali, ecc.
Il terzo sta nel numero di soggetti che saranno autorizzati a vendere le soluzioni di firma digitale: solo due in Italia, infatti, hanno compiuto l’iter adeguato. Questo implica che le soluzioni di tutti i produttori di dispositivi non certificati non saranno a norma. Le aziende dovranno, dunque, verificare che i propri apparati in uso siano tra quelli che hanno superato le verifiche imposte dalla legge. La normativa, infatti, prevede un periodo di 6 mesi per mettersi in regola, mediante un piano di migrazione verso i dispositivi certificati.
Abbiamo incontrato Gianni Sandrucci, CEO ItAgile distributore per l’Italia di CoSign, unica soluzione di firma digitale remota certificata in Europa: “Finalmente la certificazione della sicurezza non è più un requisito soggettivo, ma verificabile a fronte di un “bollino blu” di standard di sicurezza Common Criteria EAL4+, che i vari produttori di apparati esporranno a garanzia della sicurezza e della utilizzabilità della loro soluzione a partire da luglio 2014. L’Italia da questo punto di vista rappresenta un’apripista di esempio per l’Europa, con una normativa avanzata e completa, che armonizza gli standard internazionali e abbatte le barriere digitali del commercio”.
La firma elettronica qualificata viene utilizzata oggi dall’88,2% degli enti locali. In generale nel 2012 la percentuale di amministrazioni comunali dotate di firma elettronica qualificata variava dal 98,1% dei Comuni di maggiori dimensioni all’85,9% dei Comuni con popolazione fino a 5.000 abitanti.