Dopo 15 anni, 8 decreti proroga, il prossimo 25 luglio 2014 finalmente cessa il regime da “oste come è il vino”, e avverrà un passaggio epocale: la sicurezza dei dispositivi/server di firma remota verrà equiparata a quella delle tanto sicure ma poco usabili smartcard (25 luglio 2014: la caduta del regime … delle autocertificazioni).

Click sull’immagine per ingrandire

Stop > Rewind …

ma prima partiamo dalla notizia.

AgID comunica in home page, dove campeggia l’emblematico motto “Il Paese che cambia passa da qui”,

… che il termine previsto dal DPCM 19 luglio 2012, che consente di utilizzare la firma digitale remota su dispositivi non certificati fino al 9 febbraio 2015, è stato differito al 1° settembre 2015, con DPCM a firma dei Ministri Madia, Guidi, Padoan.

Con qualche imbarazzo, crediamo, nella pagina interna, AgID spiega il perché dell’ennesima proroga: il differimento consentirà di ultimare la sostituzione dei dispositivi di firma senza provocare disservizi agli utenti. Copia integrale del decreto sarà resa disponibile a breve.

Dicevamo? Ah, si, rewind

Dopo 15 16 anni, 8 9 decreti proroga, il prossimo 25 luglio 2014 1 settembre 2015 finalmente cessa il regime da “oste come è il vino”, e avverrà un passaggio epocale: la sicurezza dei dispositivi/server di firma remota verrà equiparata a quella delle tanto sicure ma poco usabili smartcard.

Questo “passaggio epocale” sta diventando una barzelletta, e vediamo perchè:

1) il DPCM del 10 febbario 2010 (il 6° decreto proroga, ndr.) stabiliva che (art. 1 comma 1)  “a decorrere dal 1° febbraio 2010 e per i ventuno mesi successivi (fino a novembre 2011, ndr.) i certificatori di firma elettronica attestano, mediante autocertificazione, la rispondenza dei propri dispositivi per l’apposizione di firme elettroniche con procedure automatiche ai requisiti previsti dalla vigente normativa”; al comma 4 “entro centottanta giorni dall’entrata in vigore del presente decreto sono stabilite dall’Organismo di certificazione della sicurezza informatica (OCSI) di cui al decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003 e pubblicate sul proprio sito istituzionale, la procedura per accertare la conformita’ di dispositivi sicuri per l’apposizione di firme con procedure automatiche ai requisiti di sicurezza prescritti dall’allegato III della direttiva 1999/93/CE ed un documento di supporto che ne faciliti l’applicazione.”.

In pratica il decreto stabiliva la ulteriore proroga, la sesta, ma allo stesso tempo definiva il termine ultimo (1 novembre 2011) entro il quale sarebbe partito il processo di certificazione dei dispositivi, e quindi l’era delle certificazioni dei dispositivi di firma, e di questo se ne sarebbe occuapta OCSI dando le linee guida.

2) Si arriva al 1° novembre 2011 con un solo apparato conforme a quanto prescritto dalla norma (DPCM 14 ottobre 2011) e quindi in grado di gestire firme elettroniche con certificati di firma qualificati validi al suo interno, ma questo fa scatenare “l’opposizione” che grida dalle pagine di stampa titolata che “i certificatori hanno avuto meno di 24 ore per adeguarsi al nuovo DPCM, grosso pasticcio legislativo, è il caos!, le firme digitali rischiano il blocco, si attende un nuovo decreto che sbrogli la matassa”, quando invece il legislatore, abbiamo visto al precedente punto 1, aveva dato ben 21 mesi di tempo!

Succede una cosa strana, per quasi un anno, il decreto rimane in vigore, anche se poco pubblicizzato (AgID stessa non ne da notizia sul sito), fino alla apparazione in Gazzetta Ufficiale mercoledì 10 ottobre 2012, del 8° decreto, da qualcuno definito “Decreto salva HSM” (da me ribatezzato il decreto per salvare chi non rispetta la legge), che “RITENUTO il termine del 1° novembre 2011 […] non congruo in relazione alla complessità della procedura di accertamento di conformità dei dispositivi automatici di firma ai requisiti di sicurezza e CONSIDERATO che l’applicazione delle disposizioni di cui al citato articolo 1 potrebbe avere un significativo impatto sui servizi assicurati dell’utilizzo dei dispositivi automatici di firma, creando notevoli disservizi agli utenti che se ne avvalgono, ivi comprese numerose amministraioni ed enti pubblici” decreta un ennesima proroga, “CONSIDERATA pertanto, l’esigenza, sempre in relazione alle ragioni sopra evidenziate (non conguità e potrebbe avere, ndr.) di stabilire in via definitiva le condizioni volte all’attestazione della rispondenza dei dispositivi per l’apposizione di firma elettronica” così come “scaduti i termini stabiliti nel decreto, le dichiarazioni già rese allo scopo di attestare la rispondenza dei dispositivi automatici di firma ai requisiti stabiliti dalla vigente normativa cessano DEFINITIVAMENTE di avere efficacia.

All’epoca ci facemmo la domanda “ma perchè, prima c’era qualcosa di poco defintivo? Forse il precedente DPCM era uno scherzo, una burla, mancava di efficacia?”

3) Si arriva al 25 luglio 2014 dove scade l’ultimo termine DEFINITIVO di efficacia delle autocertificazioni, e stavolta “si fa sul serio” tant’è che la stessa AgID comunica, con largo anticipo di 4 mesi, che allo scadere del periodo di 6 mesi utili alla migrazione, “eventuali firme elettroniche generate successivamente a tale termine su dispositivi di firma che non hanno ottenuto la prevista certificazione, non sarebbero inquadrabili quali firme digitali o firme elettroniche qualificate e sempre con decorrenza 10 febbraio 2015, i certificatori accreditati hanno l’obbligo di revocare eventuali certificati qualificati le cui chiavi continuino a essere utilizzate su dispositivi per la generazione della firma non certificati”.

Insomma dopo 5 anni abbondanti di tira e molla sembra ormai raggiunto il traguardo della certificazione, ma c’e’ il colpo di scena: ecco la 9° proroga, peraltro solo annunciata sul sito AgID e non pubblicata in Gazzetta Ufficiale, quindi a rigore non dovrebbe avere valore, ma si ritorna al modello ricorrente di questi anni “fatta una legge speriamo che venga applicata”.

Adesso vediamo cosa succederà il prossimo 1° settembre 2015 …

le cavallette?