Con le nuove regole tecniche definite nel decreto del 30 marzo
2009, che avranno piena applicazione nei prossimi mesi, si
concretizzano le possibilità di usufruire della Firma Digitale
anche in configurazione remota, con piena validità legale e
senza la necessità di un dispositivo crittografico installato
direttamente sul personal computer dell’utente. Che sia
la volta buona? L’Italia è uno dei paesi della Comunità
che per primi hanno aderito alla direttiva Europea per la Firma
Digitale. È altresì vero che l’uso dei documenti
elettronici con valore legale è attualmente diffuso da noi
più che in altre nazioni vicine. Purtroppo però la diffusione
della firma digitale è ancora limitata ad ambiti molto
ristretti e la sua penetrazione resta sostanzialmente
trascurabile. Le ragioni del troppo timido successo che la
firma ha avuto nelle aziende sono da ricercare nelle
conseguenze che la migrazione dalla carta al documento digitale
comporta sia per gli aspetti organizzativi, sia per quanto
riguarda l’impatto tecnologico e i costi.
Le novità introdotte nella delibera del CNIPA sono tali però
da cancellare, con un bel colpo di spugna, alcuni dei problemi
tecnologici che maggiormente hanno pesato sulla decisione di
non offrire al pubblico servizi di firma digitale. Per questo,
chi gestisce le popolazioni online che maggiormente sono
interessate a servizi professionali, alias le grandi banche,
può oggi proporre concrete soluzioni di dematerializzazione
senza che queste comportino investimenti non giustificabili
solo in nome dell’innovazione. Se il processo riuscirà
ad innescarsi, e sembra che stia accadendo, è probabile che
anche le aziende più piccole possano, con costi contenuti,
appropriarsi della tecnologia e avviarsi verso un futuro meno
cartaceo. Per firmare un documento e affinché la firma
digitale abbia valenza legale attualmente occorre
sostanzialmente che:
- l’utente venga riconosciuto da un ente ufficialmente
qualificato (Registration Authority riconosciuta dal CNIPA); - venga emesso un adeguato certificato a nome del
l’utente da una Certification Authority anch’essa
qualificata; - al certificato venga associata una coppia di chiavi RSA e
che le chiavi siano generate e protette da un dispositivo
crittografico sicuro certificato nel rispetto dei requisiti
normativi (ad esempio una smartcard fornita dalla stessa
Certification Authority); - il dispositivo sia utilizzato su una stazione di lavoro
adeguatamente configurata con un software di firma e sulla
quale l’utente visualizza i dati e firma il documento
esprimendo la propria volontà tramite la digitazione di un PIN
di sblocco del dispositivo.
Con la firma remota, invece, si può utilizzare un unico
sistema di sicurezza centralizzato in cui caricare tutte le
chiavi e i certificati degli utenti. Un tale sistema viene
normalmente denominato Server HSM (Hardware Security Module).
È evidente il vantaggio di non dover più consegnare
all’utente la smartcard: una infrastruttura centralizzata
è più controllabile, può essere gestita da risorse interne
in modo diretto, l’ambiente in cui vengono eseguite le
operazioni è noto a priori, è possibile stabilire adeguati
livelli di servizio e dimensionare l’infrastruttura
affinché li possa rispettare. Caricando le chiavi e i relativi
certificati (ci si riferisce all’insieme di questi
oggetti con il termine di credenziali) su un HSM, si garantisce
la necessaria protezione e sicurezza ma, per la validità
legale di una firma, deve essere garantito il possesso
esclusivo della credenziale da parte del proprietario.
Per soddisfare tale requisito, la normativa impone che
l’utente disponga di uno strumento di “strong
authentication” e quello più adatto allo scopo è un
dispositivo OTP (One Time Password). Sembrerebbe che sia un
cane che si morde la coda: si elimina la smartcard e subito
dopo la si sostituisce con un altro oggetto hardware che costa
e che va distribuito. Che senso ha? Nel caso della smartcard,
occorre che questa venga connessa fisicamente al personal
computer e che sia presente il software di gestione del
dispositivo, complesso e spesso non perfettamente funzionante
in quanto la limitata diffusione non favorisce il processo di
standardizzazione e di miglioramento qualitativo. Nel caso
dell’OTP, invece, non si richiede nessuna connessione
fisica. L’utente legge il codice OTP sul display del
dispositivo e lo copia nel campo corrispondente della pagina in
cui si richiede la firma. Non ci sono rischi di
malfunzionamento, di integrazione o di compatibilità. Inoltre,
la firma remota è anche accessibile a chi usa netbook,
smartphone e tablet: l’OTP resta valido e garantisce
comunque la necessaria sicurezza. Esistono, poi, prodotti OTP
alternativi che si possono installare sul nostro telefonino o
che si basano su chiamate e messaggi Sms. La firma remota,
dunque è una soluzione che ha i numeri per essere diffusamente
utilizzata e per dare finalmente la spinta verso l’uso
dei documenti digitali. Gli ambiti nei quali potrà trovare
terreno più fertile saranno quelli in cui gli OTP sono già
usati, quali i servizi online di Home e Corporate Banking.
Lo scenario italiano della firma digitale
Benchè ci siano state, nel recente passato, iniziative che
hanno portato un numero significativo di smartcard nelle mani
degli italiani, il numero di servizi con Firma Digitale
accessibili tramite queste carte rimane limitato e settoriale.
Gli esempi di maggiore diffusione riguardano le carte regionali
dei servizi (CRS) utilizzate principalmente in ambito
sanitario, le carte di firma distribuite da Infocamere e poi
InfoCert agli imprenditori italiani per la firma dei bilanci e
le carte di firma distribuite alla clientela Corporate dalle
banche per la sottoscrizione di contratti direttamente tramite
servizi online. Qualche numero:
CRS distribuite ai cittadini della Regione Lombardia –
circa 5 milioni (fonte: Actalis);
CRS distribuite ai cittadini della Regione Sicilia –
circa 5 milioni (fonte: Actalis);
Lettori di smartcard venduti dalla Regione Lombardia –
circa 300.000 (Fonte Altro Consumo);
Smartcard di firma qualificata per imprenditori –
circa 3 milioni (fonte: InfoCert);
Popolazione media Utenti Corporate con firma digitale nelle
grandi banche – circa 20.000 (fonte:
Intesi);
Aziende che hanno adottato la firma digitale nei propri
processi interni – trascurabile.
Come detto, i numeri sono elevati, ma i 10 milioni di CRS
individuano solo potenziali utenti di firma in quanto la
mancanza del certificato rende possibile svolgere solo
operazioni di autenticazione. È presumibile che solo una
frazione dei 300.000 utenti lombardi che hanno acquisito il
lettore abbia richiesto ed effettivamente ricevuto anche il
certificato di firma. La popolazione di utenti in grado di
firmare è definita quindi essenzialmente dalle carte InfoCert
e dalle utenze Corporate Banking, un numero stimabile in circa
3 milioni. Pochi se si pensa che in Belgio, grazie alla carta
di identità elettronica, a fine 2009 oltre 12 milioni di
cittadini hanno ricevuto la loro smartcard con certificato di
firma a bordo.
