Responsabile ufficio “Standard, architetture e metodologie” - Area “Regolazione e Formazione”
Premessa
L’obiettivo di legislatura di “un milione di firme digitali diffuse entro il 2003” è stato raggiunto ! Ovviamente esso deve essere inteso come un milione di dispositivi di firma digitale, ma la sostanza non cambia. La diffusione della firma digitale in Italia sta crescendo lentamente ma costantemente, tanto che a breve per la pubblica amministrazione e le imprese sarà indispensabile disporne. Inoltre, una serie di adempienze legali devono essere espletate utilizzando la sottoscrizione digitale. Con la diffusione della Carta d’Identità Elettronica e della Carta Nazionale dei Servizi, nell’ambito della diffusione di carte di accesso ai servizi in rete erogati dalla pubblica amministrazione, anche i cittadini potranno disporre di questo strumento digitale. Tutto procede per il meglio, la firma digitale è da considerarsi quindi uno strumento “a regime” oppure c’è ancora da fare ? E cosa si sta facendo per allargare il campo di utilizzo e per eliminare alcuni ostacoli ancora presenti?
INTRODUZIONE
Alla fine del 2003 si è raggiunto il milione di certificati per la firma digitale emessi, raggiungendo l’obiettivo che il governo in carica si era posto come uno degli obiettivi di legislatura. Nel primo bimestre del 2004 tale numero è salito a oltre 1.200.000 certificati, soprattutto in conseguenza della diffusione delle smart card distribuite dalle Camere di Commercio per ottemperare agli obblighi di legge sulla trasmissione telematica di bilanci. Per questo motivo il certificatore accreditato Infocamere S.c.p.A. ha rilasciato oltre l’80% dei certificati digitali emessi complessivamente. Si potrebbe obiettare che solo l’obbligo di legge ha portato a una così elevata diffusione e ciò in effetti è vero. Però non bisogna dimenticare che anche senza questo obbligo legislativo la firma digitale sarebbe ampiamente più diffusa in Italia che non negli altri paesi europei. Inoltre, si deve ricordare che nelle organizzazioni, sia pubbliche che private, il potere di firma è limitato. Si consideri che nell’intera pubblica amministrazione italiana, anche volendo forzare la diffusione a livelli gerarchici più bassi, non si superebbe il numero di 250.000 certificati digitali. Ciò premesso, dobbiamo ricordare che la firma digitale è anche uno strumento di supporto in processi tecnico/amministrativi, come la conservazione ottica, il protocollo informatico e la trasmissione delle notifiche al Garante per la protezione dei dati personali. Infine, ricordiamo che anche le pubbliche amministrazioni locali stanno introducendo sempre più, nei loro processi interni, la sottoscrizione digitale.
IL CONTESTO NORMATIVO
Al momento della pubblicazione è probabile che le nuove regole tecniche della firma digitale siano già state pubblicate in Gazzetta Ufficiale. In ogni caso il loro tortuoso e faticoso iter si è finalmente concluso e il decreto del Presidente del consiglio dei Ministri 13 gennaio 2004 relativo alla generazione, apposizione e verifica delle firme digitali sta per entrare in vigore, abrogando l’oramai storico decreto dell’8 febbraio 1999. Le nuove regole si armonizzano con le regole europee e di fatto non alterano il quadro che si era delineato negli ultimi 5 anni. Contemporaneamente si sta lavorando al “Codice per la digitalizzazione della pubblica amministrazione” che sostituirà, aggiornandolo, il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”. Tale decreto ha subito negli anni numerose modifiche e integrazioni, soprattutto a seguito del recepimento della Direttiva europea 1999/93/CE relativa alla firma elettronica. Conseguentemente una revisione complessiva del provvedimento, al fine di rendere il testo maggiormente ordinato, razionale e coerente è sicuramente molto opportuna. Il lungo processo normativo si concluderà con l’emissione di regole per la vigilanza dei certificatori che emettono certificati qualificati. A questo punto l’ordinamento è completo anche se è in corso una revisione da parte della Commissione europea della direttiva 1999/93/CE.
LO STATO DELL’ARTE ITALIANO E EUROPEO
Come già detto in precedenza, la firma digitale in Italia è significativamente più diffusa che nel resto d’Europa. Anche il numero soggetti che rilasciano al pubblico certificati qualificati è molto significativo, in Italia contiamo tredici certificatori (tutti volontariamente accreditati). Altri cinque soggetti sono in procinto di richiedere o ottenere il riconoscimento del possesso di maggiori requisiti in termini di qualità e sicurezza (accreditamento). Questi ultimi soggetti, riconducibili a aziende, pubbliche amministrazioni e ordini professionali, andranno a integrare lo strumento firma digitale nelle specifiche attività svolte. La pubblica amministrazione centrale, ma in alcuni casi significativi anche quella locale, ha organizzato i propri processi amministrativi di front office e back office per utilizzare al meglio la firma digitale. In particolare la pubblica amministrazione centrale ha diffuso circa 12.000 certificati digitali grazie al Centro Nazionale per l’informatica nella pubblica amministrazione (già Centro Tecnico per la rete unitaria della pubblica amministrazione) consentendo, in alcuni casi, l’eliminazione della carta in alcuni procedimenti amministrativi. L’introduzione di queste innovazione nella gestione del flusso documentale è costante e in alcuni casi molto rapida. Gli ordini professionali non sono da meno: il Consiglio Nazionale del Notariato e il Consiglio Nazionale Forense hanno richiesto ed ottenuto di essere accreditati. Anche il Ministero dell’Economia e delle Finanze dispone del proprio certificatore accreditato: SOGEI S.p.A., iscritta alla fine di febbraio del corrente anno.
A livello europeo il recepimento della direttiva è avvenuto in modo più o meno rapido nei vari paesi. Da sottolineare anche il fatto che la Slovenia e l’Estonia hanno adottato la direttiva senza averne l’obbligo, in quanto non facenti parte degli attuali 15 stati membri. Senza descrivere dettagliatamente la diffusione dei certificati digitali nei vari stati membri, si tenga presente che, nel migliore dei casi, non si discosta dalle 60.000 unità. Lo scambio documentale a livello comunitario di documenti informatici sottoscritti con firma digitale, trova l’ostacolo dell’interoperabilità. Questo argomento viene dettagliato nel paragrafo successivo.
INTEROPERABILITA’ E PORTABILITA’ DEGLI STRUMENTI DI FIRMA
Abbiamo più volte evidenziato, anche in questa rivista, che già dai primi sviluppi della firma digitale alla fine del 1999 il problema dell’interoperabilità divenne evidente. Un documento informatico firmato con la tecnologia offerta da un certificatore non era verificabile utilizzando la tecnologia offerta da altro certificatore. In Italia il problema fu affrontato e risolto con la circolare A.I.P.A. numero 24 del giugno 2000. Tale disposizione, sviluppata con il consenso dei certificatori iscritti nell’elenco pubblico e del certificatore pubblico rappresentato dal Centro Tecnico per la RUPA, dopo un breve periodo di assestamento delle scelte tecnologiche, ha garantito e continua a garantire la piena interoperabilità, nel processo di verifica, delle firme digitali conformi alle disposizioni nazionali. Ulteriore garanzia è fornita dal gruppo di lavoro permanente insediato all’interno dell’Associazione dei certificatori di firma digitale che effettua, con ottimi risultati, attività di monitoraggio delle tecnologie utilizzate dagli associati. Diversa è la situazione comunitaria. Nonostante gli sforzi e i buoni risultati ottenuti in seno all’iniziativa “European Electronic Signature Standardization Initiative (EESSI)”, il problema dell’interoperabilità è stato affrontato in ritardo. Finalmente si è compreso, a livello delle strutture di standardizzazione, l’importanza di questo aspetto e i primi risultati in tal senso sono già disponibili. Un primo risultato è stato ottenuto per i sistemi di posta elettronica nell’ambito del “PKI Challenge”, coordinato dall’associazione no profit EEMA. Nell’importante iniziativa denominata “Forum for European Supervisory Authorities (FESA)” che raccoglie le autorità di vigilanza dei vari paesi che hanno aderito (al momento sono 18), l’Italia si è resa promotrice di un test di interoperabilità tra gli aderenti al forum. Il test consisteva nel trasmettere in un’area di lavoro condivisa e accessibile solo ai componenti FESA un file firmato digitalmente, conforme alla normativa nazionale e equivalente, in questo senso a una sottoscrizione autografa. Pur avendo aderito formalmente tutti i paesi del FESA, solo cinque hanno fornito i dati richiesti, evidenziando purtroppo una pressoché assenza di interoperabilità. In un caso la soluzione prescelta a livello nazionale è addirittura proprietaria. Non è obiettivo del presente articolo fornire dettagli ulteriori sull’andamento del test, ma si può senz’altro dire che esso è fallito sia in termini di partecipazione che di risultati. Al FESA, preso atto di ciò, si continua comunque a cercare di individuare una soluzione comunemente accettabile. Quanto appena detto evidenzia ancora una volta che il mercato non può risolvere questo tipo di problema. Sono i Governi che devono armonizzare regole comuni nelle opportune sedi utilizzando il buon lavoro che stanno svolgendo gli enti di standardizzazione. Al momento si sta sviluppando, per la risoluzione di questo problema, l’iniziativa IDA Bridge CA che intende creare una struttura comune di interfaccia tra varie tipologie di sottoscrizione, al fine di eliminare i problemi di interoperabilità mediante una gestione dei differenti formati e profili di sottoscrizione digitale. L’iniziativa è interessante e ne seguiremo gli sviluppi con attenzione.
Anche il problema della portabilità delle smart card è risolto a livello nazionale. Già alcuni fornitori di smart card, tra quelli che hanno sottoscritto, in data 13 maggio 2003, il protocollo di intesa con il Ministero dell’interno e il Ministro per l’innovazione e le tecnologie, producono dispositivi dotati di comandi del sistema operativo (APDU) normalizzati. Mediante la normalizzazione anche del file system, e conseguentemente delle librerie PKCS#11, per interfacciare il token crittografico, a regime sarà possibile utilizzare smart card di produttori diversi su postazioni e software di firma e autenticazione eterogenei. Questo è il principio di portabilità per il quale si sta lavorando al fine di compiere un ulteriore passo verso la diffusione della firma digitale.
CONCLUSIONI
Come abbiamo descritto la situazione è nel complesso positiva e per usare una terminologia tipica degli ambienti software la fase di sviluppo è terminata e si è in fase di manutenzione evolutiva, almeno dal punto di vista giuridico. Discorso diverso per gli aspetti più strettamente tecnologici. In questo settore si stanno affrontando numerosi problemi di armonizzazione e eventuale legalizzazione di altri formati e profili di sottoscrizione digitale.Il formato PDF di Adobe ad esempio, che a partire dalla versione 6 di Acrobat (anche del solo Reader) consente di generare firme elettroniche avanzate basate su un sistema a coppie di chiavi asimmetriche, basate su un certificato qualificato e create mediante un dispositivo sicuro. Queste sono a tutti gli effetti delle firme digitali “a norma”, ma il loro formato non è conforme alla Circolare AIPA n.24 del giugno del 2000 sull’interoperabilità (tale circolare prevede solo il formato PKCS#7 v.1.5). Stesso discorso può essere fatto per la sottoscrizione mediante strutture XML. E’ necessario esaminare tali problematiche nell’ambito della revisione della circolare 24 (già in corso), anche per rispondere agli sviluppi della tecnologia e al loro utilizzo in ambienti critici come il sistema interbancario (XML signature) o strategicamente importanti per la pubblica amministrazione come la gestione elettronica dei documenti (Acrobat PDF). Nel fare le analisi evolutive non si dovrà assolutamente sottovalutare l’impatto sull’interoperabilità che può avere l’introduzione di ulteriori formati di firma digitale. In relazione ai sistemi di protezione dei dati e dei dispositivi sicuri di firma, è interessante ricordare che la possibilità di utilizzare come PIN di sblocco della smart card una specifica impronta digitale (per meglio dire un codice numerico derivato dalla propria impronta) è sempre più realistica. Come già ricordato in un altro articolo pubblicato su ICT Security (Utilizzo della biometria per la firma digitale, ICT Security dicembre 2003) questa può costituire un ulteriore impulso alla diffusione della firma digitale, in quanto la fiducia del sottoscrittore sull’accesso biometrico è sicuramente superiore rispetto a quella riposta in un PIN, che altro non è che una password, con tutte le limitazioni che ne derivano. Per concludere una riflessione: anche nel settore della sicurezza ICT si è raggiunto un adeguato livello di maturità per gestire strumenti quali la sottoscrizione digitale. Adesso si deve aumentare l’utilizzo di questi strumenti e, dove già presenti, individuare quali procedure ed attività possano trarne vantaggio. Dopo fiumi di discorsi, presentazioni e disquisizioni a carattere meramente accademico, è ora di agire. Questo consentirà di far emergere necessarie ulteriori migliorie che potranno essere recepite tanto a livello tecnologico quanto a livello regolamentare. Stiamo vivendo infatti un periodo di forte innovazione tecnologica che, nel tempo, sarà oggetto di adeguati aggiustamenti e porterà notevoli vantaggi per le Amministrazioni, i cittadini e le imprese.
