OCSI, Organismo di Certificazione della Sicurezza Informatica, ha aggiornato di recente l’elenco dei dispositivi di firma per i quali è in corso un processo di Accertamento di Conformità presso OCSI stessa. Come si potrà notare dall’elenco, fra i produttori che hanno in corso un processo di Accertamento di Conformità, si è aggiunto, dallo scorso 14 marzo 2012, un nuovo produttore, portando a quattro il numero dei dispositivi di firma di tipo HSM, soggetti a valutazione.
.
.
.
Ritornando all’elenco dei dispositivi di firma, la società Thales e-Security Ltd. ha ottenuto lo scorso 11 maggio 2012 il pronunciamento positivo (da parte di OCSI, ndr.) sull’adeguatezza del TDS (Traguardo di Sicurezza). Vale la pena ricordare che le due condizioni che devono essere soddisfatte, per l’adeguatezza dei dispositivi per l’apposizione di firme elettroniche con procedure automatiche, sono:
che i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI);
e che alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 ottobre 2011
Proroga del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza di cui al decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003. (11A14291) (GU n. 254 del 31-10-2011)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto l’articolo 35 del … [omissis]
Decreta
Art. 1
1. Le autocertificazioni e le autodichiarazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, riguardante i dispositivi per l’apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.
Ancora oggi CoSign, è l’unico dispositivo ad avere ottenuto da parte di OCSI sia il pronunciamento positivo sul proprio Traguardo di Sicurezza che la formale iscrizione e avvio (nello schema italiano) del processo di valutazione e certificazione CC EAL4+ di CoSign, ma la buona notizia è che le nebbie del far west della firma digitale automatica e centralizzata si stanno diradando ulteriormente. “Consumatori” e produttori hanno capito che la strada della certificazione è sinonimo di garanzia e sicurezza per tutti.
Lo ribadiamo, garanzie concernenti:
adeguatezza,
qualità,
efficacia
dei dispositivi di sicurezza di un sistema informatico possono e devono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale.
Parafrasando il titolo del romanzo per ragazzi di Louisa May Alcott …
Il processo di dematerializzazione in ambito informatico, ormai lo sappiamo tutti, non è quello di dematerializzare esseri viventi per teletrasportarli altrove, ma bensì un processo che evita (la semplifico) di produrre e/o conservare carta “scritta”. Quando scriviamo, trasferiamo sul supporto su cui stiamo scrivendo (bit, o carta è indifferente) delle informazioni (verba volant, scripta manent); alla fine, l’insieme delle informazioni trasferite, correlate fra loro, va a comporre un documento (un tema d’esame, uno spartito musicale, un disegno tecnico, un contratto di compravendita, una lettera d’amore, una richiesta di autorizzazione, ecc.).
L’arrivo dell’era dei computer, con la sua enorme e inarrestabile diffusione, ha fatto, e sta facendo, quasi del tutto sparire la nostra abitudine a scrivere utilizzando la buona vecchia penna. Si è arrivati al paradosso che in casa non si trova un pezzo di carta e una penna per scrivere un appunto, mentre alcuni di noi, fra Desktop, Portatili, Tablet, Smart… e chi più ne ha più ne metta, non sanno più a chi dare i byte.
Oggi si “scrive” quasi esclusivamente al computer! Come avevamo avuto occasione di sottolineare in “Consideratemi come vostro umile servitore”, nel linguaggio comune odierno, scrivere un documento e spedirlo non viene più considerato come un qualcosa di tecnologico, nessuno parla di avviare l’editor di testo, salvare il file, aprire il client di posta, scrivere una email, allegandovi il file, e spedirla via internet! Perchè? Perchè la tecnologia, quella che ci serve per scrivere (e spedire) è diventata usabile, e non viene più considerata come un elemento del processo, in altre parole ci siamo “dimenticati” di lei, tutto viene mentalmente riportato all’attività di base che è “scrivere”, appunto.
Ma ritorniamo al nostro documento scritto. Quasi sempre il documento, oltre a contenere le informazioni anzidette, necessita anche di una indicazione/connotazione di paternità e provenineza (chi lo ha scritto?). Questa indicazione di paternità a volte è desumibile dalle informazioni presenti all’interno del documento, come avviene nel caso delle epigrafi …
Stele di Rosetta
altre volte invece l’informazione proviene dalla presenza di una firma, o un sigillo/timbro, che ne definisce in maniera plausibile e verosimile la provenienza. La firma, nelle sue varie forme e sfumature, ha come intento quello di riconoscere, approvare, autenticare, sancire quanto scritto e spesso obbligarsi nei confronti del contenuto del documento firmato.
Per firmare utilizzando un computer dobbiamo essere in grado di utilizzare una “penna” che mantenga intatta la possibilità di esprimere la NOSTRA volontà, renda evidente e manifesta la paternità del documento e ne granatisca l’autenticità, ovverosia tutti quegli elementi che l’operazione di firma autografa su carta (pur con i suoi limiti “ambinetali”) ha garantito nei secoli. La tecnologia in ambito informatico è in grado ormai da svariati anni di garantire integrità, paternità e volontà, non è stata però sufficiente e in grado, fino ad ora, di garantire l’usabilità e la facilità d’uso di se medesima. Ancora oggi tantissimi ricorrono al sistema/processo misto, mix fra bit e carta: si scrive al computer e si firma su carta. Capovolgendo l’ordine dei fattori, la mancanza di linearità del processo salta immediatamente all’occhio: scrivo su carta con tanto di penna ad inchiostro e poi scansiono il documento per firmarlo digitalmente. E’ facile arrivare alla conclusione che è molto meglio firmare direttamente quel documento con la penna che abbiamo usato per scriverlo, che scansionarlo e firmarlo digitalmente, n’est pas?
Qualsiasi documento oggigiorno, nasce digitalmente su un computer.
E’ auspicabile, nonchè possibile, mantenerne la genesi digitale, facendogli percorrere “autostrade” digitali, dal pieno valore legale e nel pieno rispetto delle regole, purtroppo però, mentre
molti di noi hanno imparato ormai a “scrivere” al computer, ma molti meno hanno imparato a “firmare” al/dal/sul/con il computer!
Ma a che ci serve alla fine la firma digitale?
Dal titolo del post se ne può intuire la risposta.
In Italia vengono stampate circa 115 miliardi di pagine, di cui 19,5 miliardi inutilizzate, che generano un costo di 287 milioni di euro all’anno (fonte: Microsoft Italia 2010).
Esistono ad oggi vari modi per firmare “digitalmente” un documento ed esistono varie forme, formati e “fogge” di “firme digitali”. Senza voler entrare nell’universo mondo delle diverse modalità e tipologie di firma digitale, sulla scorta di quanto premesso, ci limiteremo a prendere in considerazione solo due gruppi:
quelle che non funzionano;
e quelle che funzionano.
Quelle che non funzionano sono le figlie della “generazione smart card”, dove le risposte alle domande, “cos’è il codice di emergenza ERC”, “cos’è il codice IUT”, “perchè in fase di installazione mi appare il codice di errore “-132″”, “in quali circostanze può presentarsi l’errore “Corrupt cabinet file””, per finire con “mi appare l’errore “Run time 76″, che significa?”, non hanno ancora risposto alla domanda primaria: “come faccio a firmare questo documento?”
Le seconde sono quelle che sono partite dalla definizione e progettazione di una user experience di successo, di tipo “don’t make me think!”, che ha visto coinvolgere “pesantemente” il suo utilizzatore, e dove la tecnologia è rimasta slave, non master, rispetto al suo utilizzatore, dove ci si è “dimenticati” di lei, e alla fine la nostra firma digitale, nelle sue varie fogge e colori, è diventata una “semplice” firma.
Nel processo di dematerializzazione il primo caposaldo è la firma digitale.
Come riusciamo a rendere questo strumento usabile? Degli esempi e casi di usabilità legati alla firma remota e i suoi “compagni di viaggio” (formato PDF, client Adobe Reader, sistema Timbro digitale/Glifo, ecc.) ne abbiamo già abbondantmente parlato, qui cercheremo di parlare dell’ultimo ritrovato di firma: la firma biometrica, anche, e meglio nota come firma grafometrica.
La firma su tavoletta grafica ha innescato una forte accelerazione di mercato, spinta dai successi dei pad di firma bancari c.d. “a sportello”.
In alcuni casi però queste firme su tavoletta sono lontane parenti della firma elettronica garante di integrità, autenticità e non ripudio, in altri, sebbene l’utilizzo del più evoluto dei tablet per la firma grafometrica non sia sufficiente per il raggiungimento dei requisiti di legge, la species si “avvicina molto” alla nascitura firma elettronica avanzata realizzabile attraverso la combinazione dello strumento tecnologico (il tablet di firma, per l’appunto), con elementi organizzativi e procedurali. La firma grafometrica, come detto, sta avendo particolare successo in banca nei c.d. processi di dematerializzazione “a sportello”, dove il documento nasce digitale, con piena validità legale, e con un’accettazione molto elevata da parte dell’utente (vedasi “una firma facile per uno sportello senza carta“).
La valenza del processo di dematerializzazione appare evidente in un ciclo che consente la digitalizzazione all’origine dei documenti (i tipici moduli “mi metta una firma qui, grazie“), eliminando alla fonte la carta:
Con le modifiche introdotte al C.A.D. (Dlg. 30 Dic 2010) la “firma elettronica avanzata” ha assunto (non senza qualche polemica) piena validità giuridica, al pari della firma digitale con certificato qualificato. Sarà quindi possibile, SOLO all’indomani della pubblicazione delle nuove regole tecniche (giugno 2012?), produrre firme legalmente valide usando le tavolette di firma, rispettando ovviamente i formati di firma previsti dalle norme (CAdES, XAdES, PAdES).
Delle firme elettroniche, quella applicata su tavoletta elettronica, è quella che maggiormente consente di ridurre l’effetto Digital Divide, essendo la più vicina al processo naturale di firma di un documento cartaceo. In altri termini, una firma facile!
La firma biometrica si basa sulle caratteristiche tipiche della persona che firma. Tramite l’ausilio di un pennino elettronico e una tavoletta grafica ad alta sensibilità, vengono rilevate le caratteristiche di ritmo, pressione, velocità, accelerazione, posizione/movimento associate al gesto di firma. In maggiore dettaglio:
La velocità di scrittura.
La pressione esercitata.
L’angolo di inclinazione della penna.
L’accelerazione del movimento.
Il numero di volte che la penna viene sollevata.
La misurazione dei 5 parametri consente di identificare, in maniera pressochè univoca, la firma di una persona. Di per sé, la firma biometrica nasce ed è una firma elettronica, ma adeguatamente connessa ad un sistema documentale, come anticipato, può divenire una firma elettronica avanzata, e se utilizzata “a sportello”, soddisfa a pieno i requisiti di identificazione del titolare richiesti per la firma elettronica avanzata.
La componente hardware dei sistemi di firma biometrica, è costituita da tablet dedicati, o dispositivi mobili utilizzati per l’apposizione di firme grafometriche, dotati di tecnologia touch in grado di rilevare i principali parametri della firma dell’utente. I dispositivi mobili, ormai tanto di moda (vedasi il caso iPad e “compagni di viaggio”), hanno però come controindicazione l’impossibilità di rilevare il dato pressorio, e questo ne riduce le possibiulità di utilizzo come componente tecnologica per la fattispecie firma elettronica avanzata “che verrà”.
Non è scopo di questo post entrare in dettagli architetturali complessi e dissertare di tecnologia, procedure di enrollment e variazione dei “livelli di confidenza” nella gestione dei falsi negativi (disconoscimento della firma) e/o falsi positivi (falsificazione della firma), per questo rimandiamo agli esperti della materia, ci soffermiamo invece nell’evidenziare solo le componenti del processo attraverso una semplice schematizzazione:
Tavoletta di firma
Front end di firma
Back-end di autenticazione
Back end di gestione dei «cartellini biometrici di firma»
L’offerta
Nonostante si sia ancora lontani da un consolidamento omogeneo dell’offerta, il mercato propone già delle soluzioni di firma che integrano elementi tecnologici, organizzativi e procedurali, necessari al raggiungimento dello status di FEA (firma elettronica avanzata). Senza nessuna pretesa di esaustività e completezza, per le quali si rinvia ai siti dei rispettivi produttori, ne prenderemo in considerazione soltanto tre:
Studiata per avere impatto minimo sugli utenti, FirmaGrafoCerta è un processo di Firma Elettronica Avanzata che ha come prerogativa la presenza di una Certification Authority (Namirial S.p.A.) abbinata alla presenza di un operatore di front-end (operatore di sportello, addetto ufficio, ecc.) che presiede all’atto della firma dell’utente e ne convalida la sua presenza, firmando con un proprio certificato qualificato, rilasciato da una Certification Authority accreditata presso DigitPA.
Con FirmaGrafoCerta:
l’operatore di filiale viene responsabilizzato con l’apposizione della firma;
spariscono i concetti di falsi negativi e falsi negativi, in quanto il processo di verifica è basato sul riconoscimento dell’operatore incaricato;
ad ogni firma corrisponde una firma digitale e una marcatura temporale:
per la verifica della firma si utilizza uno strumento di semplice confronto tra i dati biometrici del soggetto firmatario presenti sul documento e quelli dello stesso rilevati contestualmente alla verifica, non utilizzando algoritmi proprietari di verifica che attualmente hanno una % di scarto che nel migliore delle ipotesi è del 4% e che non sono del tutto trasparenti nel loro funzionamento.
Lo schema del servizio prevede una prima identificazione del soggetto firmatario con firma autografa dell’informativa sul servizio.
Nell’operatività giornaliera successiva alla prima fase di identificazione (enrollment), alla firma biometrica del cliente verrà sempre abbinato un processo di controfirma digitale, con certificato qualificato da parte del c.d. operatore di sportello, dando così vita ad un documento sottoscritto autoconsistente.
I dati biometrici di firma non sono archiviati a sé stanti, ma solo ed unicamente in associazione al singolo PDF firmato, eliminando il rischio di intrusioni in banca dati e di furto d’identità.
Trusted RealSign è la firma remota integrata con la grafometria di Intesa S.p.A., e serve per la convalida in sicurezza di documenti (contratti, convenzioni, fatture elettroniche, ecc.).
Questa soluzione è integrata con un servizio di firma digitale remota. Lo sblocco del certificato digitale del cliente viene attivato a fronte dell’esito positivo dell’autenticazione della firma biometrica, rendendo l’utilizzo della firma digitale remota più semplice e accessibile, in quanto non viene più richiesto all’utente l’utilizzo di dispositivi di firma, o l’inserimento di codici personali (PIN), ma solo una firma autografa con la penna sul tablet. Rispetto alla firma digitale ‘tradizionale’ con smart card, Trusted RealSign garantisce una maggiore sicurezza attraverso l’uso della grafometria: il titolare della firma viene riconosciuto inequivocabilmente in base alla valutazione delle caratteristiche della sua firma: ritmo, velocità, pressione, accelerazione, movimento.
Come funziona?
Intesa S.p.A., come Namirial S.p.A., è Certificatore Accreditato dal 2001, iscritto all’elenco pubblico dei certificatori accreditati, curato da DigitPA, e Gestore di PEC iscritto all’Albo DigitPA dal 2006.
Kartha SignDoc consiste in un software (SoftPro) capace di salvare moduli e contratti da compilare digitalmente e da far firmare manualmente dal cliente. A seconda del tipo di terminale scelto, i campi del modulo vengono inseriti manualmente dall’operatore, o automaticamente tramite tessera sanitaria nazionale, carta d’identità elettronica o carta bancomat del cliente.
Una volta completato il modulo sotto gli occhi del cliente questi potrà firmare il documento visualizzato a schermo. Contestualmente alla firma, il file viene salvato nel gestionale dell’azienda per eventuali prossime ricerche, o consultazioni, ed inviato via posta elettronica o Posta Elettronica Certificata al cliente, che potrà a sua volta conservare la propria copia. Dopo la firma, è possibile stampare una copia del modulo, su richiesta.
Alla fine …
Sebbene “la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva” (art. 55 Disposizioni generali – Bozza regole tecniche), delle tre soluzioni, le prime due sono fornite e “presidiate” da due CA, iscritte nell’elenco dei Certificatori Accreditati DigitPA, che vigila a garanzia del mantenimento del possesso ed il rispetto dei requisiti tecnici, organizzativi e societari che un Certificatore deve possedere. Entrambi le CA posseggono una certificazione ISO:
certificazione generica ISO9001 per Progettazione, Realizzazione, Erogazione ed Assistenza nei Servizi, quella di Intesa
certificazione specifica ISO27001 (espressamente richiesta ex art. 58 Obblighi per i soggetti che realizzano per terzi soluzioni di firma elettronica avanzata – Bozza regole tecniche) per Impostare e Gestire un Sistema di Gestione della Sicurezza delle Informazioni, quella di Namirial.
Il mercato si è tuffato in queste tecnologie con un fortissimo entusiasmo ma anche, come d’abitudine, con una discreta superficialità, ma il fatto che alcune aziende stiano valutando la certificazione Common Criteria della loro soluzione di firma grafometrica, ci dovrebbe rassicurare sulla possibilità di poter scongiurare il far-west dei regimi di autodichiarazioni e autocertificazioni, che per oltre 10 anni hanno imperversato nel mondo delle firme digitali automatiche/massive/remote.
La firma biometrica diventerà una “killer application”, sarà il “motore” primaio di dematerializzazione, bisognerà solo avere l’accortezza di non farsi travolgere dall’entusiasmo dei c.d. venditori di caffè pronti a tutto pur di piazzare la loro “firma grafomentica via etere”!
Un ringraziamento a Giovanni Manca e a Enrico Giacomelli di Namirial per il loro contributo alla stesura di questo post
Dal 9 maggio, il Ministero dell’Interno comunica che i cittadini potranno presentare le dichiarazioni anagrafiche – di residenza e di trasferimento all’estero – senza necessariamente recarsi allo sportello del comune, ma spedendole per posta oppure inviandole via fax o e-mail. I moduli da compilare e la documentazione per gli stranieri, per la Dichiarazione di residenza e di trasferimento all’estero, sono scaricabili dalla sezione Approfondimenti che reinvia al sito servizi demografici.
Ed ecco cosa succede: l’ennesimo link della PA non funzionante, il cui testo di errore è integralmente riportato in cima al presente post:
Capita a chi lavora di comettere errori, non accaniamoci. Ed in effetti, dopo un po’ di tempo speso a ricercare con Google, il link dove viene pubblicata la modulistica per il “cambio di residenza in tempo reale”, salta fuori nella sezione Anagrafe del sito del Ministero dell’Interno Direzione Centrale dei Servizi Demografici, documentazione in formato .doc e quindi utilizzabile per “scrivere” al computer e firmare digitalmente.
La nuova procedura “Cambio di residenza in tempo reale”, viene dettagliatamente descritta nella circolare n. 9 del 27 aprile 2012 del Ministero dell’Interno, dipartimento Affari interni e territoriali, una circolare che per non venir meno all’afflato di dematerializzazione “autografa”, conseguenza dell’onda lunga post-Brunettiana, garante di una amministrazione digitale che non resti solo una dichiarazione di principio, è scansionata un po’ di sbieco, recando in calce la firma autografa (e ovviamente scansionata!) del Capo Dipartimento Pansa.
Vabbeh, piccole disattenzioni formali.
La sostanza però fortunatamente migliora la forma, in quanto “… i cittadini potranno presentare le dichiarazioni anagrafiche non solo attraverso l’apposito sportello comunale (e fin qui, tutto uguale a prima), ma altresì per raccomandata, per fax e per via telematica. Quest’ultima possibilità è consentita ad una delle seguenti condizioni:
che la dichiarazione sia sottoscritta con firma digitale;
che l’autore sia identificato dal sistema informatico con l’uso della carta d’identità elettronica, della carta nazionale dei servizi, o comunque con strumenti che consentano l’individuazione del soggetto che effettua la dichiarazione;
che la dichiarazione si trasmessa attraverso la casella di posta elettronica certificata del dichiarante;
che la copia della dichiarazione recante la firma autografa e la copia del documento d’identità del dichiarante siano acquisite mediante scanner e trasmesse tramite posta elettronica semplice”
La procedura si “incricca” un po’ allorquando si tratta di iscrizioni per trasferimento da altro comune o dall’estero di cittadini iscritti all’AIRE (Anagrafe degli Italiani Residenti all’Estero). Nei casi di iscrizione con provenineza da altri comuni o dall’estero di cittadini italiani iscritti all’AIRE, l’ufficiale d’anagrafe dovrà provvedere, con la massima tempestività, ad informare dell’iscrizione effettuata il comune di provenienza o di iscrizione AIRE, inoltrando a questo ultimo i dati forniti dall’interessato, attraverso il modello APR4, che ahimè ci riporta al buon vecchio supporto/modulo cartaceo. L’intreccio documentale carterceo-digitale evidenzia, ancora una volta, come esistano tuttora numerose situazioni in cui documenti, dei quali occorra garantire l’autenticità, possano attraversare nel corso del loro ciclo di vita, uno o più passaggi attraverso la carta, ed intrecciarsi inevitabilemnte con documenti digitali. La carta, a causa di una serie di problematiche non solo tecniche, ma soprattutto organizzative, gestionali ed economiche, difficilmente verrà abbandonata, a tal proposito ci basti pensare a tutti quegli ambiti dove è necessario, come in questo caso, allegare documentazione “assortita” (proveniente da diverse organizzazioni e dai formati più disparati) a domande, o a richieste da presentare presso enti ed istituzioni.
C’e’ sicuramente ancora tantissima strada da fare per poter finalmente rendere più interoperabile il supporto cartaceo con quello digitale, come ad es. il ricorso al c.d. timbro digitale/glifo, che come visto in passato permette di generare documentazione ibrida (documenti cartacei validi digitalmente e viceversa), intanto però un plauso al legislatore, che ancora una volta si è “portato avanti” nel processo di dematerializzazione, un po’ digitale e un po’ cartacea, … sia nella forma che nella sostanza.
Scopro dal Quotidiano Nazionale QN che la firma digitale si può copiare, da quello che leggo però sembrerebbe che lo si possa fare solo “attaccando”, prendendo di punta, il sistema informatico delle Camere di Commercio e per di più, come era stato nel caso del primo ipermercato con la firma digitale la firma digitale la si può fare utilizzando un tablet di firma, come quelli usati da Banca Intesa San Paolo per le sue filiali paperless (da qui forse la possibilità di copiare il grafo di firma, come si faceva a scuola con le firme dei genitori sul libretto di giustificazioni?).
In poco più di 5 righe ho letto un concentrato di imprecisioni e di errate associazioni evocative (“firma digitale in banca” associata all’immagine di un tablet di firma biometrica/grafometrica), che non possono che portarci a fare l’ennesima amara considerazione: c’e’ tanta confusione. L’evento del “furto della firma digitale” ha catalizzato l’attenzione della “stampa”, da quella generalista a quella di settore, che si è sbizzarrita nel rappresentare i fatti di cronaca nelle fogge più diverse. Non credo si possa puntare l’indice contro la “stampa”, come non credo ce la si possa prendere più di tanto con chi associa la firma elettronica qualificata alla firma elettronica avanzata, magari un po’ biometrica, ma perchè no anche grafometrica, con un pizzico di aroma digitale e una spolverata di elettronico, e che mantenga la caratteristica di firma sicura.
Art. 21. Valore probatorio del documento informatico sottoscritto.
[...]
2. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.
CAD testo vigente d.lgs. 82/2005
Qualche post fa ci eravamo chiesti se le firme digitali non fossero troppe (Firme digitali: troppe?), nella convizione che il proliferare delle tipologie potesse ingenerare confusione e parallelamente un indebolimento, perdita di credibilità e valore, dello strumento “firma digitale”.
Il furto della Srl, avvenuto sfruttando gli anelli deboli della catena di riconoscimento de visu, evidenzia come in tutti questi anni si sia potuto soprassedere sulla irregolare permanenza delle firme digitali presso gli studi dei commercialisti (fino a quando queste sono servite solo all’adempimento burocratico della firma dei bilanci), ma adesso, che l’uso, i casi d’uso e il “proliferare delle forme e fogge” sono in aumento, la firma digitale deve essere attentamente presidiata nei suoi passaggi di rilascio, così come al momento dell’utilizzo da parte dei titolari e da chi ne deve verificare la regolarità e la correttezza nell’uso.
Il rischio nel paese dei furbi (non necessariamente l’Italia, anche se …), dove fatta la legge, trovato lo spiraglio, meglio, il portone aperto, trovato l’inganno, è quello che allorquando entreranno in circolazione a pieno titolo, una volta emanate le regole tecniche, le altre firme (avanzate e/o qualificate), la cui debolezza nel processo di certificazione del firmatario, reale, o presunto, è endemica, assisteremo a disconoscimenti e denunce a valanga, con tanto di processi, non certo di dematerializzazione, ma in sede giudiziale.
Parafrasando Quelo: “c’è grossa confusione! qua la gente non sa più quando stiamo andando su questa tera, qua la gente non sa più quando stiamo facendo su questa tera”
OCSI, Organismo di Certificazione della Sicurezza Informatica, ha pubblicato lo scorso 15 febbraio la notizia, in bella vista sulla sua homepage, e su richiesta delle aziende produttrici, che riporta l’elenco dei dispositivi di firma per i quali è in corso un processo di Accertamento di Conformità presso OCSI stessa.
La Procedura di Accertamento è basata su certificazione Common Criteria (standard pubblicato dall’ISO (ISO/IEC 15408:2005), e nello specifico il livello è l’EAL4+
Vale solo la pena ricordare che la certificazione soddisfa importanti necessità di imparzialità, oggettività, ripetibilità e riproducibilità di una valutazione condotta in base a criteri definiti, noti e riconosciuti validi. L’uso di criteri ben definiti ed internazionalmente accettati fornisce un’unità di misura (ad es. i 7 livelli di garanzia EAL nella succitata certificazione Common Criteria) per la sicurezza informatica presentando una serie di vantaggi:
da tempo i produttori e le CA offrono sistemi e prodotti dotati di funzionalità di sicurezza, per i quali “autodichiarano” (“oste com’é il vino?”) caratteristiche e prestazioni al fine di orientare gli utenti nella scelta delle soluzioni più idonee a soddisfare le proprie esigenze;
in molte applicazioni caratterizzate da un elevato grado di criticità, le predette “autodichiarazioni” potrebbero risultare non sufficienti;
le garanzie concernenti l’adeguatezza, la qualità e l’efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale;
chi acquista un oggetto certificato può dimostrare anche verso terzi, siano essi i “clienti”, o una autorità statale (ad esempio, la magistratura, o il Garante per la tutela dei dati personali) di aver curato adeguatamente la gestione della sicurezza.
L’accertamento basato sulla certificazione Common Criteria prevede due modalità alternative:
Modalità 1: copre i casi in cui il richiedente cerca di dare valore a una certificazione la cui spendibilità ai fini dell’accertamento non sia stata precedentemente formalizzata in alcun modo dall’OCSI, ed è questo il caso del dispositivo LUNA® PCI configured for use in LUNA® SA 4.1 della società Safenet. Questa prima modalità è indicata per i casi in cui il Certificato sia disponibile all’avvio della Procedura e prevede un’unica fase della durata massima prevista di sette mesi a partire dall’attivazione, al termine del quale viene rilasciato l’Attestato di Conformità, o la motivazione per il mancato rilascio (in pratica si parte da una certificazione già ottenuta, ma per un Protection Profile diverso).
Modalità 2: la seconda modalità è indicata per i casi in cui il Certificato non è disponibile all’avvio della Procedura e il relativo processo di Certificazione non è ancora stato avviato, o si trova in una fase iniziale, ed è questo il caso del dispositivi CoSign della società ARX e nShield Solo F3 PCIe HSM della società Thales e-Security Ltd.. La seconda modalità prevede una prima fase, della durata massima prevista di sei mesi a partire dall’attivazione, che produce un primo responso da parte dell’OCSI, consistente in un Pronunciamento (Positivo o Negativo) sul materiale analizzato (più in dettaglio, il pronunciamento di OCSI è specificatamante sul Security Target e sulla sua adeguatezza a “sostenere” una valutazione CC EAL4+ per il prodotto a cui si riferisce). In caso di Pronunciamento Positivo, la Procedura prevede una seconda fase, da avviare alla consegna del Certificato, che dovrà avvenire entro un tempo prefissato; la seconda fase produce un secondo responso consistente nel rilascio dell’Attestato di Conformità, o nella motivazione per il mancato rilascio.
Cosa è il Certificato?
Il certificato è il documento rilasciato da un organismo di certificazione accreditato (OCSI per l’Italia) sulla base delle evidenze (Rapporto Finale di Valutazione – RFV) prodotte da un Laboratorio di Valutazione della Sicurezza Informatica accreditato (come nel caso di LVS/IMQ rispetto ad ARX che è il prodtuttore/sponsor della valutazione di CoSign). Nello specifico, il Laboratorio di Valutazione della Sicurezza Informatica accreditato, attesta che il prodotto XYZ soddisfa il suo security Target con un livello di garanzia almeno pari a CC EAL4+.
OCSI ha previsto nella sua procedura per la Modalità 2 complessivamente 30 mesi per:
l’ottenimento del Pronunciamento (Positivo o Negativo) della durata massima di 6 mesi;
l’ottenimento della certificazione Common Criteria EAL4+ del prodotto sottoposto ad accertamento entro massimo 24 mesi.
Ritornando all’elenco dei dispositivi di firma di cui sopra, il primo, CoSign, è l’unico ad avere ottenuto da parte di OCSI sia il pronunciamento positivo sul proprio Traguardo di Sicurezza (Security Target) il 13 settembre 2010 (n. prot. 59125/2010), sia la formale iscrizione e avvio (nello schema italiano) del processo di valutazione e certificazione CC EAL4+ di CoSign (n. prot. 88413/2011) secondo il Piano di Valutazione (PDV) presentato ad OCSI il 28 ottobre 2011, che pone l’HSM CoSign nella condizione di “pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per esso, alla medesima data (1° novembre 2011, ndr.), sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI)” così come prescitto dalla norma (DPCM 14-ottobre-2011).
Dall’elenco pubblicato da OCSI possiamo desumere quindi che:
un solo dispositivo (CoSign) è in regola con il DPCM 14 ottobre 2011 perché OCSI ha approvato il suo traguardo di sicurezza ed ha cominciato il processo di valutazione (certificazione)
Stato della Procedura: Pronunciamento positivo sull’adeguatezza del TDS rilasciato in data 13 settembre 2010 Processo di Certificazione CC avviato presso OCSI in data 31 ottobre 2011
un altro dispositivo (nShield Solo F3 PCIe HSM) ha cominciato la procedura il 26 ottobre 2011, solo cinque giorni prima della scadenza del DPCM 14 ottobre 2011, e se consideriamo che la prima fase della procedura in Modalità 2 prevede un tempo di sei mesi, a maggio potremmo avere qualche aggiornamento.
Stato della Procedura: In corso
un altro dispositivo (LUNA® PCI configured for use in LUNA® SA 4.1) ha cominciato la procedura l’11 aprire 2011 in Modalità 1, consistente in una sola fase della durata massima prevista di sette mesi, ed undici mesi dopo, lo stato della procedura è ancora in corso.
Stato della Procedura: In corso
lapalissiano ed ultimo, ma non meno importante, tutti gli altri dispositivi non presenti nell’elenco, non sono in corso di Accertamento di Conformità presso OCSI stessa, tradotto in pratica, tutte le schede e/o apparati che sono “sparsi in giro” a fare firme automatiche/massive, firme digitali remote e/o qualsivoglia altra forma di firma elettronica qualificata sono furiliegge e vanno spenti … e le CA devono revocare i certificati.
“Stato della Procedura: Non in accertamento”
Rebus sic stantibus, è il caso di ribadire una volta ancora, che la soluzione CoSign è ad oggi l’unico dispositivo di firma HSM (Hardware Security Module) legalmente valido in Italia per la firma digitale e per la firma elettronica qualificata, essendo terminato il 1° novembre 2011 il regime transitorio che consentiva l’utilizzo di dispositivi HSM in mancanza di adeguati accertamenti di sicurezza.
Quindi: o si usa una smartcard nelle mani del titolare – e non infilata chissà dove – oppure si usa CoSign. In tutti gli altri casi non si ha una firma digitale, o firma elettronica qualificata e diventa oltremodo necessario che chi ha adottato ed usa HSM non certificati, o meglio, senza pronunciamento positivo sull’adeguatezza del TDS,smetta di offrire servizi di “Firma Digitale”, che tali non sono, in quanto impugnabili in sede di ricorso, e che espongono gli inconsapevoli “consumatori” all’invalidazione degli atti e dei documenti firmati tramite sistemi non conformi.
Un ringraziamento a Claudia Piccolo di IMQ per il suo contributo alla stesura di questo post per la parte di Certificazione CC
Ho fatto ricorso al Giudice di pace di Bologna per svariate multe ricevute in quella città, perchè nessuno dei verbali aveva una firma visibile del vigile che ha accertato l’infrazione. Il Giudice di pace, però, mi ha detto che esiste la firma elettronica, senza vedere i verbali che ho ricevuto. Vorrei sapere se la firma elettronica è invisibile?
La prima applicazione che utilizzò la firma digitale fu “Telematico Entrate” per la dichiarazione dei redditi in formato elettronico, dove le smart card dell’epoca erano rappresentate dai floppy che trasportavano una chiave privata cifrata utilizzando il PIN.
Nel lontano 1997 (15 anni orsono), iniziò l’era dei provvedimenti legislativi che hanno conferito valore giuridico ai documenti elettronici e alla firma digitale. La pubblicazione della Direttiva Europea 1999/93/CE sulle firme elettroniche impose un quadro comune agli Stati dell’Unione europea. Il processo legislativo ha anche sempre fornito indicazioni sulle tecnologie da utilizzare per ottenere le firme digitali. Quello che però il legislatore non ha mai potuto prevedere e imporre, per limiti di “impalpabilità”, è stata, ed è, l’usabilità, ovverosia la facilità d’uso della tecnologia di firma e di verifica della medesima. Ancora oggi chi firma un bilancio, nella maggior parte dei casi, non “vede” il documento che sta firmando, lo seleziona certo, ma non lo vede a schermo. Per verificare poi se la firma è stata apposta deve usare lo “specifico software” (client, ndr.) rilasciato generlamente da una CA (Autorità di Certificazione).
La firma CADES formato PKCS#7, meglio noto come p7m, interprete del documento “mensa.pdf.p7m” nel testo “Guida alla firma digitale” del CNIPA è un formato caratterizzato da numerose limitazioni d’uso (fra cui complicati cambi di formato ed estensioni con tanto di “imbustamenti” e “sbustamenti”) e da una “user experience“, come abbiamo visto, non ottimale.
La user experience è decisamente migliorata all’indomani del riconoscimento del formato PDF, come standard valido ai fini della firma digitale. La disponibilità diffusa, e già da tempo consolidata del verificatore gratuito Adobe Reader da parte della stragrande maggioranza degli utenti di personal computer, ha consentito in maniera facile e “indolore” la verifica della validità e delle caratteristiche della firma, questo grazie al fatto che Adobe, dalla versione 9 del prodotto Acrobat, ha sviluppato, e reso disponibile, un’utile funzione (add-on per la firma digitale), che permette di gestire automaticamente l’aggiornamento dei certificati usati dai certificatori accreditati in Italia, pubblicati dal CNIPA/DigitPA attraverso l’elenco pubblico dei certificatori accreditati.
Ulteriore passo avanti, in termini di user experience si registra con la visualizzazione del grafo di firma in “calce” al documento, riproducendo in pratica la stessa situazione che si verifica con l’apposizione della firma autografa: il firmatario vede la sua firma sul documento! Il grafo, meglio sarebbe dire l’immagine del grafo di firma, non ha ovviamente nessun valore legale, ma serve unicamente a rendere l’operazione di “verifica” della apposizione della propria firma quanto più somigliante a quella che abbiamo imparato sin dai primi giorni di scuola (“lo vedi, il documento è firmato!”). Potrà sembrare una banalità, ma vedere un proprio segno grafico di firma su un documento a video, ci rassicura sul fatto di averlo corretamente firmato, anche se, come detto, l’operazione di firma digitale non ha nessuna connessione con la presenza del grafo. Qui di seguito riporto due soluzioni a me note:
Echosign di Abobe, il cui slogan è molto user experience oriented: “the way the world sign“;
CoSign di ARX (Algorithmic Research) “a simple click process“.
.
.
E veniamo ai giorni nostri …
e alla firma biometrica, o grafometrica, ovvero quel particolare tipo di firma elettronica avanzata che si ottiene dal rilevamento dinamico dei dati calligrafici (ritmo, pressione, velocità, inclinazione della penna, movimento, ecc.) della firma di un individuo tramite una penna elettronica su una tavoletta grafica, altrimenti noto come “pad di firma“.
Questa tipologia di sottoscrizione, come abbiamo visto in passato (Una firma facile per uno sportello senza carta), si sta diffondendo molto rapidamente nelle banche. E’ il caso di ricordare che la sperimentazione del progetto Filiale Paperless del gruppo Intesa San Paolo, svoltosi nel corso del 2011 su 13 Filiali CARISBO di Bologna e Modena, che ha visto coinvolti circa 40.000 clienti fra abituali e occasionali e 150 dipendenti, ha ottenuto un altissimo tasso di accettazione da parte della Clientela della banca.
L’evidenza dell’accettazione pressochè unanime della tecnologia di firma grafometrica è conseguenza diretta della ottima user experience associata, che consente di:
presentare il documento all’interno dello schermo della tavoletta (oltre che sullo schermo del computer), come se ci presentassero un foglio/documento di carta da firmare sul piano di una scrivania;
far firmare l’utente usando una penna (elettronica, ndr.);
ink effect: l’effetto grafico sulla tavoletta e nel campo di firma del documento è quello di una classica firma su carta (per quanto a mia conoscenza, il produttore Wacom si è spinto “oltre”, riuscendo a simulare in tutto e per tutto la sensazione di una penna che scorre sul foglio di carta);
una volta completata la firma, l’utente può decidere se accetarla, premendo con la penna un pulsante di OK sulla tavoletta, o di rifarla, annullando l’operazione appena compiuta;
completata l’operazione di firma, il documento firmato si presenta sullo schermo con la sottoscrizione fatta in bella vista nell’apposito campo;
apporre tante firme quanti sono i sottoscrittori, semplicemente ripetendo l’operazione di firma per un numero di volte pari a quello dei sottoscrittori.
L’excursus appena compiuto mi suggerisce l’adattamento di un famoso motto campagnolo, ruspante, ma di sicura resa:
dallo e dallo se piega pure lo digitallo!
Un ringraziamento a Giovanni Manca per il suo contributo alla stesura di questo post
Dalla società Itagile Srl riceviamo e volentieri pubblichiamo; questa rappresenta l’opinione di uno dei soggetti interessati. Saremo lieti naturalmente di ospitare l’opinione degli altri soggetti.
Nel suo articolo “Il pasticcio delle firme digitali” a firma di Umberto Torelli del 23 gennaio, il Corriere della Sera, per ovvie esigenze di spazio e di comunicazione giornalistica, non ha potuto fornire alcuni fatti che questo blog ha già ampiamente documentato, ma che vorrei sintetizzare, a futura memoria. Chiedo scusa in anticipo se procedo con l’accetta, ma non trovo più l’alabarda spaziale.
1. La firma digitale è una cosa utile. E’ un elemento importante della dematerializzazione, quindi produce minori costi, maggiore efficienza e maggiore sicurezza. Chi dice che in fondo non serve perché “il nostro sistema informativo è sicuro” apre la strada alla truffa.
2. La firma digitale deve essere fatta su un dispositivo sicuro altrimenti non è una firma digitale.
3. La sicurezza del dispositivo deve essere certificata da un organismo pubblico e non solamente dichiarata dal produttore altrimenti è certamente un imbroglio.
4. I dispositivi sicuri sono oggi:
i chip certificati EAL4+ ed utilizzati dalla mano del titolare (e non infilati chissà dove, perché questo prevede il profilo di protezione CWA 14169);
gli HSM conformi al DPCM 14 ottobre 2011, ovvero CoSign.
Tutto il resto non produce firme digitali e non può essere usato con certificati qualificati.
5. Non c’è nessun monopolio da parte di un produttore, l’ARX Technolgies con CoSign. Il monopolio si forma perché lo Stato decide di avere un’esclusiva (ad esempio i tabacchi) o perché ci sono barriere di ingresso che rendono impossibile ad altri l’accesso. Nel nostro caso è stato il produttore con la dimensione più piccola a superare la “barriera”, non quelli più grandi. E non è nemmeno questa gran barriera, stiamo parlando di cose standard, complicate, ma standard. Parlare di “monopolio da evitare” è quindi fuori luogo.
6. I produttori di HSM sapevano da 21 mesi della scadenza del primo novembre 2011 e sapevano cosa dovevano fare per far accertare la sicurezza del proprio dispositivo. Il governo ha operato nell’interesse di tutti i produttori e del mercato limitando i requisiti richiesti al primo novembre, pur mantenendo un ragionevole grado di sicurezza . Chi afferma di averlo saputo solo il giorno prima della scadenza mente.
7. A causa del ritardo nella pubblicazione del DPCM 14 ottobre 2011, solo dopo il 1° novembre si è chiarita la situazione. Fino a quella data gli utilizzatori potevano basarsi solo sulla parola dei produttori. E’ quindi giusto pensare ad un ragionevole periodo transitorio per consentire agli utilizzatori di HSM di mettersi in regola senza subire ulteriori danni. Ma prorogare il termine del 1° novembre sarebbe un vero e proprio provvedimento “ad aziendam”, un premio per chi se n’è infischiato della legge. Violerebbe quindi il principio della libertà e soprattuto della lealtà della concorrenza. E sarebbe una presa in giro del produttore in regola.
Concludo con una domanda: siamo proprio sicuri che sia una buona idea servire a Passera e Monti la polpetta avvelenata di una proroga “ad aziendam” ?
Tutte le identificazioni digitali basate su richieste di username+password sono diventate ormai altamente insicure, ma possono, e vengono rese sicure con sistemi di autenticazione forte, che utilizzano due, o più, fattori di identificazione (qualcosa che si conosce, qualcosa che si ha e qualcosa che si è).
Minacce ed esigenze di sicurezza crescenti hanno portato la gran parte dei fornitori di servizi online ad adottare metodi di autenticazione forte basate sul modello OTP (One Time Password), tecnologia diventata standard “de facto”, con password “a perdere” (One Time, appunto) generate dai token, con cui ormai abbiamo familiarizzato, soprattutto grazie ai conti in banca.
Risultato: per ogni servizio online, che preveda la gestione dei nostri dati sensibili (carte di credito, dati personali, numeri di conto, ecc.), ogni fornitore di servizio (Service Provider) rilascia il SUO token OTP, per l’autenticazione esclusiva al SUO servizio – e non altri, NON interoperabile con altri servizi e NON standardizzato, trasformando il portachiavi dell’utilizzatore di servizi (leggasi “il cliente”) in un portatoken.
In “One nation, one authentication” abbiamo visto come il governo di Singapore, attraverso la distribuzione di OneKey, si sia posto l’obiettivo di far accedere i propri cittadini, verso una moltitudine di servizi on-line (con i vari fornitori di servizi), attraverso l’uso di un unica “chiave” di autenticazione (OneKey, appunto). OneKey è pensato nell’ottica “Highlander” de “alla fine ne resterà soltanto uno”, ciò nonostante, la centralizzazione del servizio di autenticazione non può prescindere però dalla ennesima distribuzione di un dispositivo, il token OTP OneKey.
Gli oltre dieci anni vissuti all’ombra dei dogmi “possesso” (… della smart-card) e “conoscenza”, ci hanno reso, in un certo qual modo, “token dependent”; il possesso, oltre ad essere fattore di strong authentication, peraltro ci conforta e rassicura, sopratutto a livello di inconscio, nella nostra capacità di controllo, e in ultima analisi sicurezza associata al processo di autenticazione che di volta in volta effettuiamo.
Le recenti evoluzioni tecnologiche e normative hanno però consentito, e stanno consentendo di spostare il paradigma del possesso, da qualcosa che si riceve/ottiene a qualcosa che già si ha (e che deve essere solamente configurato, ndr.); è questo il caso della firma digitale remota, eseguibile dal nostro computer collegato alla rete, ed è questo il caso di sistemi di autenticazione basati sui nostri smartphone e/o tablet pc.
Il progetto italiano free software I-AM sposa il paradigma di “qualcosa che già si ha” associato “a qualcosa che si è”, ponendosi come obiettivo la realizzazione di un sistema di autenticazione OTP distribuito basato sul modello “una persona – un’unica identità” (one person – one unique identifier, 1P-1UID).
Il progetto I-AM segue le dinamiche che sottendono ai processi di certificazione in ambito firma digitale, in questo caso ad essere coinvolti sono il Cliente, il Fornitore di Servizio (Service Provider) e le Terze Parti (Trust Provider), che certificano e garantiscono l’identità delle parti, le credenziali di accesso e in definitiva la validità/sicurezza della transazione. I Trust Providersono distribuiti su due strati, il primo direttamente a ridosso del Service Provider e rappresenta l’anello di fiducia “più vicino”, o già esistente (per esemplificare quello che già gestisce il processo di identificazione e autenticazione “proprietario” fra Service Provider e Cliente, in soldoni, quello che ha fornito, o sta “dietro” alla fornitura, del token OTP hardware), il secondo strato, è rappresentato dai nodi della catena di fiducia (chain of trust) che collegano fra loro tutti i gestori di accesso tramite soluzioni OTP proprietarie, con il risultato che una volta identificato/autenticato presso un nodo, posso, le volte successive, farlo da qualsiasi altro nodo della rete I-AM, utilizzando sempre e solo un unico dispositivo di autenticazione: il MIO smartphone/tablet pc. La diffusione degli smart phone e degli altri dispositivi portatili in grado di connettersi con la Rete rappresenta la base tecnologica per una capillare distribuzione della soluzione e per la sua efficace gestione come sistema di autenticazione/accesso OTP distribuito (e diffuso) event based.
Per fare un parallelo, ci basti pensare alla carta di identità: ce la rilascia un Comune, ma è valida in tutti gli altri Comuni ed è anche utilizzabile nei paesi della UE, al di fuori del perimetro nazionale.
Una volta che il Cliente ha ottenuto le credenziali I-AM si può autenticare c/o qualsiasi Service provider, senza alcuna altra attività propedeutica di registrazione/attivazione.
Ogni Fornitore di Servizi online (Service Provider) ha un Fornitore di Fiducia online di riferimento (I-AM Community Trust Provider), con cui scambia tutti i messaggi di richiesta di autenticazione.
Lo schema di seguito riportato rappresenta una situazione ideale
Quale che sia l’I-AM Community Trust Provider che ha guidato la registrazione di uno USER, non ha rilevanza. Il circuito è organizzato affinchè tutte le componenti siano informate su quale Fornitore di Fiducia online di riferimento (I-AM CTP) sia necessario attivare per ottenere la verifica di una richiesta di autenticazione OTP del circuito I-AM/OTP.
I-AM garantisce la rigorosa associazione tra la persona e la sua credenziale digitale sfruttando una credenziale frutto dell’identificazione operata da una Pubblica Amministrazione e/o da un Pubblico Ufficiale (ad esempio all’atto dell’emissione di una Carta d’Identità – elettronica, o meno, o del rilascio del PIN di una Carta Nazionale dei Servizi). Di seguito lo schema di registrazione/attivazione di un utente attraverso la sua Carta Nazionale dei Servizi (CNS).
I vantaggi derivanti dalla piena diffusione del progetto sono abbastanza evidenti:
per i Clienti, l’estrema facilità d’uso dello strumento di autenticazione e poter scongiurare il pericolo di diventare dei … portatoken;
per i Fornitori di Servizi online (Service Provider), la possibilità di fornire servizi senza ulteriori distribuzioni, sia a nuovi clienti che a clienti già autenticati (evitando laboriose, complicate e spesso poco, o per nulla user friendly, procedure di enrollment) e l’importante risparmio in termini di investimenti tecnologici in infrastrutture per la strong authentication;
per i Fornitori di Fiducia la possibilità di “saltare”, o ereditare da un altro nodo della catena I-AM, il passaggio del enrollment e la fase della autenticazione, laddove questa sia necessaria, ad es. ad apporre una firma digitale remota (“se il Cliente è già iscritto al circuito I-AM non c’e’ bisogno di altro per utilizzare il servizio”).
Parafrasando Amleto … “accedo o non accedo, questo non è più il problema!”
Un ringraziamento a Andrea Caccia ed Egidio Casati per il contributo alla stesura di questo post. Per maggiori dettagli: http://www.i-am-association.org/it/
Come avevamo avuto modo di raccontare nel post “Mi metta una firma qui e poi un’altra qui sotto, grazie” la firma digitale remota si è “mossa”, e fra i primi a muoversi, di cui esiste una evidenza mediatica, c’erano e ci sono le banche (l’elenco è in ordine di apparizione temporale, ndr.):
1
Banca Intesa San Paolo, prima fra tutte a muoversi a giugno 2010 con O-KeyPiù “il servizio di Firma Digitale comodo, in quanto non richiede alcun supporto fisico aggiuntivo rispetto all’O-Key, quale smart card o chiavetta USB, con emissione (e conservazione, ndr.) del certificato digitale su speciali server della Banca”;
2
nel 2011 si sono “mosse” Banca Sella con SellaDigit, la “tua firma digitale” pratica e semplice da usare per i clienti di Banca Sella, che non richiede installazioni sul proprio Pc, e per utilizzarla non serve altro che il proprio dispositivo @pritisella.it, lo stesso utilizzato per accedere ai servizi on line, tanto facile da poter “firmare in pochi click!” e …
3
Deutsche Bank con db Identity Business, la nuova soluzione per il banking on-line, che grazie alla combinazione dei più recenti sistemi di sicurezza informatica, OTP token (generatore di codici di protezione dinamici), Certificato di firma digitale remoto, PEC (Posta Elettronica Certificata), offre al firmatario, autorizzato ad operare sui conti correnti dell’azienda, la possibilità di autenticarsi e firmare digitalmente transazioni online tramite il servizio db Corporate Banking.
Alla “rivoluzione copernicana digitale remota” delle banche (abbiamo citato solo le principali), vanno aggiunti anche altri soggetti extra bancari, fra cui, per citare solo i più noti, rinveniamo:
4
InfoCert con LegalCert Remote sign, che “consente al titolare di effettuare tutte le normali operazioni di sottoscrizione di documenti informatici utilizzando una smart card “virtuale””.
5
Aruba Pec con la Firma Digitale Remota che consente di “effettuare tutte le operazioni volte alla sottoscrizione di documenti digitali in modo rapido, semplice e totalmente sicuro, grazie all’utilizzo di una comoda Smart Card Virtuale, Password OTP (One Time Password) e Software di Firma e Verifica;
6
Poste Italiane con l’offerta Postemailbox per privati, per “inviare e ricevere comunicazioni sicure e certificate, firmare digitalmente documenti elettronici, conservare i tuoi dati nella sezione archivio” (che si tratti di firma digitale remota nel caso di Postemailbox lo si evince dall’art. 1 delle Condizioni Generali del servizio ““POSTECERT – Firma Digitale” (Utenza Privati Postemailbox) dove la “generazione delle chiavi asimmetriche (avviene, ndr.) all’interno di un dispositivo di firma centralizzato tenuto presso il Certificatore”);
Per quanto mi è dato sapere, il numero di firme digitali remote rilasciabili dalle sei realtà citate, escludendo InfoCert di cui non ho evidenza di numeri al riguardo, assomma a circa 7.400.000 unità, che rappresenta, se ricomprendiamo nel conteggio anche Infocert e quanti non considerati, oltre il doppio dei 3.700.000 certificati di firma digitale rilasciati principalmente su smart card, o chiavette USB, alla fine del 2010, così come riportato nel “Rapporto E-Gov Italia 2010“.
Ora come allora in “Chi garantisce e vigila?“, ci si trova di fronte alla continua evoluzione della normativa e delle regole tecniche (vedasi il recente caso del decreto relativo alla “certificazione” dei dispositivi HSM per firma digitale remota – DPCM 14/10/2011, che “guarda caso” regola i quasi 8 milioni di firme di cui sopra) che richiedono spesso chiarimenti, precisazioni, rassicurazioni (nel caso degli HSM “ma chi mi garantisce che questa firma digitale remota è valida? ma la certificazione del dispositivo è valida per erogare firme digitali remote?”) e non ultime interpretazioni precise ed autorevoli (leggasi pareri DigitPA – Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione, e OCSI – Organismo di Certificazione della Sicurezza Informatica), che mal si combinano con il processo di “depauperamento” in fieri degli organismi di vigilanza e di supporto tecnico, normativo e di certificazione, a suo tempo denunciato nel succitato “Chi garantisce e vigila?“.
Se avevamo evidenziato in passato il problema, che chi dovrebbe fare chiarezza è “poco visibile” nei media e sul mercato, vis à vis dei famosi “venditori di caffè“, proprio lì dove avvengono i processi di compravendita delle “tecnologie normate” fra clienti e fornitori, oggi e domani come possiamo sperare di poter contare sui giusti riferimenti per chiarirsi le idee su cosa è “buono” e su cosa “no buono” (o non del tutto)?
OneKey è stato lanciato lo scorso 12 dicembre 2011.
OneKey è il primo dispositivo al mondo di autenticazione multifunzionale c.d. a due fattori a carattere nazionale utilizzabile (e richiedibile gratuitamente) da tutti gli utenti dei servizi online del settore pubblico e privato della repubblica di Singapore.
‘One’, come unico dispositivo comune a tutti gli utenti per effettuare transazioni con molti e differenti fornitori di servizi online.
‘Key‘, come chiave che serve a sbloccare e aprire un mondo di transazioni elettroniche in modalità sicura e conveniente.
Come nel caso delle firme digitali, dove l’identità del Pippo di turno viene garantita da una terza parte fidata, che risponde al nome di Certification Authority, anche nel caso della autenticazione OneKey esiste una terza parte, Assurity Trusted Solutions Pte Ltd, meglio nota come “Assurity“, società interamente controllata da IDA – Info-commmunication Development Authority di Singapore (“the Chief Information Officer for the Singapore Government“), che è stata istituita per gestire il NAF, sistema nazionale di autenticazione (National Authentication Framework) e servizi/sistemi nazionali 2FA (Second Factor Authentication).
Il National Authentication Framework (NAF) ha come obiettivo quello di creare un’infrastruttura nazionale di autenticazione forte per la tutela contro l’accesso non autorizzato ad informazioni sensibili online, come ad esempio le coordinate bancarie, i dettagli dei conti di trading, o le cartelle cliniche elettroniche, e che sia in grado di offrire ai consumatori una maggiore sicurezza durante l’esecuzione di transazioni online.
Vale la pena ricordare che l’autenticazione è il processo di convalida dell’identità di una persona per assicurare che “è colui che dice di essere”. Esistono tre elementi per autenticare un individuo:
“Qualcosa che conosci”, come ad esempio una password o un PIN;
“Qualcosa che hai”, come un token hardware di sicurezza (smart card, chiavetta USB, OTP, ecc.);
“Qualcosa che si è”, come impronte digitali, scansione della retina, ecc..
Il primo elemento, “Qualcosa che conosci”, è in genere fornito dal provider di servizi web quando un utente accede al suo sito. Il secondo elemento di autenticazione, o 2FA (Second Factor Authentication), nella pratica corrente del retail banking è la One-Time Password, o OTP, generata dinamicamente attraverso un dispositivo/token, o via SMS.
Al giorno d’oggi pressoché tutti i service provider hanno, o stanno implementando, le proprie infrastrutture 2FA, con il risultato che i token, o dispositivi di autenticazione, sono di tipo proprietario, potendo essere utilizzati solo per accedere a specifici servizi online trasformando l’utilizzatore nel portachiavi (o portatoken…) menzionato in premessa.
L’obiettivo del NAF è quello di consentire ai consumatori dotati di OneKey, distribuita gratuitamente a tutti i cittadini di Singapore che ne fanno richiesta, di accedere a numerosi e diversi servizi on-line (con i loro vari fornitori di servizi), attraverso l’uso di un unico dispositivo, potendo “fare tutte le transazioni online in tutta tranquillità”.
Il successo di questo progetto “one nation, one authenticacion” non può prescindere dai numeri, che Chai Chin Loon, Chief Operating Officer di Assurity, ha indicato in “milioni di autenticazioni al mese” fatte con il dispositivo OneKey; alla base della fiducia nel successo dell’iniziativa vi sono, tra gli altri:
la diffusione capillare, che a regime dovrebbe raggiungere oneKey;
la comodità di utilizzo e la sicurezza (se ne fa garante direttamente il governo di Singapore!) dello strumento di autenticazione unico, sia per consumatori/utilizzatori che per fornitori di servizi online;
la convenienza per i fornitori di servizi, che anzichè doversi dotare di strutture di autenticazione 2FA, possono ricorrere al NAF.
Restando in attesa di verificarne o meno il successo, rendendomi conto delle difficoltà di replicare il modello “one nation, one authentication” in realtà più grandi della Repubblica di Singapore, continuo ad essere dell’idea che firma digitale e sitemi di autenticazione a secondo fattore dovrebbero avere sin dalla nascita (nostra, ndr.) un importante imprinting da parte dei governi di ogni paese, al pari di carta di identità, passaporto, codice fiscale/partita IVA.
Parafrasando il jingle di Radio Deejay auguriamoci che il “test del National Authentication System” vada a buon fine affinchè …
.
L’arrivo dell’era dei computer, con la sua enorme e inarrestabile diffusione, ha fatto, e sta facendo, quasi del tutto sparire la nostra abitudine a scrivere utilizzando la buona vecchia penna. Si è arrivati al paradosso che in casa non si trova un pezzo di carta e una penna per scrivere un appunto, mentre alcuni di noi, fra Desktop, Portatili, Tablet, Smart… e chi più ne ha più ne metta, non sanno più a chi dare i byte.
Come riusciamo a rendere questo strumento usabile? Degli esempi e casi di usabilità legati alla firma remota e i suoi “compagni di viaggio” (formato PDF, client Adobe Reader, sistema Timbro digitale/Glifo, ecc.) ne abbiamo già abbondantmente parlato, qui cercheremo di parlare dell’ultimo ritrovato di firma: la firma biometrica, anche, e meglio nota come firma grafometrica.
Intesa S.p.A., come Namirial S.p.A., è Certificatore Accreditato dal 2001, iscritto all’
Come nel caso delle firme digitali, dove l’identità del Pippo di turno viene garantita da una terza parte fidata, che risponde al nome di Certification Authority, anche nel caso della autenticazione OneKey esiste una terza parte, Assurity Trusted Solutions Pte Ltd, meglio nota come “
