Dalla società Itagile Srl riceviamo e volentieri pubblichiamo; questa rappresenta l’opinione di uno dei soggetti interessati. Saremo lieti naturalmente di ospitare l’opinione degli altri soggetti.

Nel suo articolo “Il pasticcio delle firme digitali” a firma di Umberto Torelli del 23 gennaio, il Corriere della Sera, per ovvie esigenze di spazio e di comunicazione giornalistica, non ha potuto fornire alcuni fatti che questo blog ha già ampiamente documentato, ma che vorrei sintetizzare, a futura memoria. Chiedo scusa in anticipo se procedo con l’accetta, ma non trovo più l’alabarda spaziale.

1. La firma digitale è una cosa utile. E’ un elemento importante della dematerializzazione, quindi produce minori costi, maggiore efficienza e maggiore sicurezza. Chi dice che in fondo non serve perché “il nostro sistema informativo è sicuro” apre la strada alla truffa.

2. La firma digitale deve essere fatta su un dispositivo sicuro altrimenti non è una firma digitale.

3. La sicurezza del dispositivo deve essere certificata da un organismo pubblico e non solamente dichiarata dal produttore altrimenti è certamente un imbroglio.

4. I dispositivi sicuri sono oggi:

    • i chip certificati EAL4+ ed utilizzati dalla mano del titolare (e non infilati chissà dove, perché questo prevede il profilo di protezione CWA 14169);
    • gli HSM conformi al DPCM 14 ottobre 2011, ovvero CoSign.

Tutto il resto non produce firme digitali e non può essere usato con certificati qualificati.

5. Non c’è nessun monopolio da parte di un produttore, l’ARX Technolgies con CoSign. Il monopolio si forma perché lo Stato decide di avere un’esclusiva (ad esempio i tabacchi) o perché ci sono barriere di ingresso che rendono impossibile ad altri l’accesso. Nel nostro caso è stato il produttore con la dimensione più piccola a superare la “barriera”, non quelli più grandi. E non è nemmeno questa gran barriera, stiamo parlando di cose standard, complicate, ma standard. Parlare di “monopolio da evitare” è quindi fuori luogo.

6. I produttori di HSM sapevano da 21 mesi della scadenza del primo novembre 2011 e sapevano cosa dovevano fare per far accertare la sicurezza del proprio dispositivo. Il governo ha operato nell’interesse di tutti i produttori e del mercato limitando i requisiti richiesti al primo novembre, pur mantenendo un ragionevole grado di sicurezza . Chi afferma di averlo saputo solo il giorno prima della scadenza mente.

7. A causa del ritardo nella pubblicazione del DPCM 14 ottobre 2011, solo dopo il 1° novembre si è chiarita la situazione. Fino a quella data gli utilizzatori potevano basarsi solo sulla parola dei produttori. E’ quindi giusto pensare ad un ragionevole periodo transitorio per consentire agli utilizzatori di HSM di mettersi in regola senza subire ulteriori danni. Ma prorogare il termine del 1° novembre sarebbe un vero e proprio provvedimento “ad aziendam”, un premio per chi se n’è infischiato della legge. Violerebbe quindi il principio della libertà e soprattuto della lealtà della concorrenza. E sarebbe una presa in giro del produttore in regola.

Concludo con una domanda: siamo proprio sicuri che sia una buona idea servire a Passera e Monti la polpetta avvelenata di una proroga “ad aziendam” ?

Gianni Sandrucci