Tag Archive for 'certificati di firma'

“Signor giudice, non sono io quel Brunetta lì!”

“Me lo dimostri allora.”

Il ministro Brunetta fa un brutto sogno!

Riepiloghiamo i fatti (del sogno, ndr.): Brunetta, il Ministro, viene convocato in tribunale per una denuncia a suo carico fatta da un funzionario della pubblica amministrazione, che lo accusa di mancata applicazione del CAD, portando come prova una lettera a firma di Renato Brunetta, nel quale il medesimo esorta le pubbliche amministrazioni ad abbandonare i “falsi miti della chimera digitale” e ritornare ai buoni, e molto più sicuri, vecchi metodi di comunicazione ed archiviazione cartacea. In particolare il Ministro conclude la lettera con l’augurio “di mantenere come prassi quotidiana, quello che è stata prassi secolare: l’uso della carta!”

Brunetta, ancor prima di entrare nel vivo del dibattimento, con tanto di Consulenza Tecnica d’Ufficio da parte di DigitPA, relativa alla applicazione delle regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche (D.P.C.M. XX MMMM 2011), ribadisce al giudice la non paternità del documento in quanto “io, signor giudice, firmo sempre in maniera autografa (vero, vedere a tal proposito “L’innovazione della dematerializzazione autografa atto II“), si figuri se posso essere stato io a firmare con una firma elettronica, per di più avanzata!”.

Ed eccola la lettera “incriminata”:

http://www.firma-facile.it/wp-content/uploads/Lettera_Brunetta1quater.pdf

Pofff, fine del sogno …

1. La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

Art. 55 – Disposizioni generali
TITOLO V -FIRMA ELETTRONICA AVANZATA
Bozza D.P.C.M. xx mmmm 2011 – Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, firme elettroniche qualificate, firme elettroniche digitali e validazione temporale
dei documenti informatici.

Come avevamo avuto modo di sostenere in “Papocchio all’italiana?” la firma elettronica avanzata viene posta allo stesso livello della firma qualificata, e della firma digitale, in pratica può essere portata in giudizio e avere lo stesso valore probatorio delle seconde. E’ abbastanza evidente, nel contenzioso di cui sopra, che una firma elettronica avanzata così debole, come quella del fantomatico Ministro, farebbe molta poca strada in sede di giudizio, in quanto disattende tanti, se non tutti gli obblighi per i soggetti che realizzano soluzioni di firma elettronica avanzata. Peccato però che tutti questi obblighi, a monte del processo/momento di firma non rientrano nelle caratteristiche che la firma deve “mostrare” di avere al momento della verifica, in altre parole se il mio Reader mi dicesse “Firmato, tutte le firme sono valide.” (si noti che la FEA, trattandosi di firma elettronica non necessita di certificati qualificati emessi da CA riconosciute, e dei relativi controlli di revoca) potrei considerare quella firma, per me che la verifico, come valida, sarà poi onere del mio interlocutore portarmi in tribunale e dimostrare che quella firma non vale (la c.d. inversione dell’onere della prova).

La vicenda del brutto sogno di Brunetta vuole essere ulteriore stimolo alla riflessione per ribadire una volta di più quanto ormai si va ripetendo da tempo: la firma elettronica avanzata, così pensata, rischia di dare molto lavoro agli avvocati nei processi, non di dematerializzazione, ma quelli in sede giudiziale.

L’intento del legislatore di volersi uniformare ai dettami europei indicati nella Direttiva 1999/93/CE è assolutamente condivisibile, ma siamo andati ben oltre in quanto solo la firma elettronica qualificata è riconosciuta dalla Direttiva come equivalente ad una sottoscrizione tradizionale. Il rischio è quello che, in un paese di furbi (non necessariamente l’Italia), fatta la legge, trovato lo spiraglio, meglio, il portone aperto, trovato l’inganno.

Se proprio non si potrà re-invertire l’onere della prova, forse, per evitare di percorrere strade affollate da circuiti di certificazione paralleli, o sovrapposti, potrebbe valere la pena valutare se si debba trasformare da volontaria ad obbligatoria “l’evidenza del grado di conformità della soluzione di firma elettronica avanzata a quanto previsto dalle presenti regole tecniche” mediante la certificazione dell’intero processo da parte di enti terzi e considerare, quale elemento qualificante, le caratteristiche intrinseche di robustezza della firma con l’uso di dispositivi di firma certificati Common Criteria, indicandolo nell’Art. 59 – Affidabilità delle soluzioni di firma elettronica avanzata – Bozza regole tecniche.

Tutto ciò non potrebbe evitare frodi, ma sicuramente ne restringerebbe l’ambito, in quanto “tarperebbe le ali” a tutto il mondo delle applicazioni dal certificato “fai da te”.

NOTA IMPORTANTE: i fatti narrati nell’episodio “CAD WARS, episode I, Firma Elettronica Avanzata” nel presente post http://www.firma-facile.it/2011/10/10/signor-giudice-non-sono-io-quel-brunetta-li sono il frutto dell’immaginazione dell’autore.

Banca d’Italia – Firma elettronica: questa connessione non è affidabile

Il “sequel” di How secure is my password?

Navigo sulla rete, cerco su Google: “banca d’italia firma elettronica” e mi appare in prima pagina, al secondo posto del ranking, un rassicurante, confermato anche dal LinkScanner dell’antivirus AVG,  risultato di ricerca https: Banca d’Italia – Firma elettronica

Clickandoci sopra ecco quello che mi dice Google Chrome:

Ancora più esplicativo, se possibile, è il messaggio di Mozilla Firefox:

Questa connessione non è affidabile

È stata richiesta a Firefox una connessione sicura con www.bancaditalia.it, ma non è possibile confermare la sicurezza del collegamento.

Normalmente, quando si cerca di attivare un collegamento in modalità sicura, il sito web fornisce un’identificazione affidabile per garantire all’utente che sta visitando il sito corretto. Tuttavia l’identità di questo sito non può essere verificata.

Che cosa dovrei fare?

Se generalmente è possibile collegarsi a questo sito senza problemi, è possibile che questo errore sia causato dal tentativo da parte di qualcuno di sostituirsi al sito originale. Il consiglio è di non proseguire la navigazione.

Dettagli tecnici

  • www.bancaditalia.it utilizza un certificato di sicurezza non valido.
  • Il certificato non è affidabile in quanto l’autorità emittente è sconosciuta.

Andando a rimuovere la “s” finale dall’https dell’indirizzo, ritroviamo la Banca d’Italia e la Firma Elettronica:

Ci era stato raccontato, e ci viene ribadito ancora oggi, con la speranza, per noi tutti, che sia ancora vero, che la connessione ad un indirizzo https si può considerare sicura, che garantisce il transito di dati sensibili (tipicamente numeri di carte di credito) su un canale sicuro, senza rischi di essere intercettati, ma i recenti accadimenti “how secure is?” sembrano minare queste “certezze” e suggerirci di stare … più attenti.

Firma digitale … abbastanza diffusa

“Abbastanza diffuse sono anche le connessioni a banda larga e firma digitale

pag. 10 del Rapporto e-Gov Italia 2010.

Di seguito stralci sul tema “firma digitale” dal Rapporto e-Gov Italia 2010.

Le CNS (Carta Nazionale dei Servizi) emesse dalle PA centrali e locali sono circa 20 milioni. Di queste, 650.000 rendono disponibile, oltre al certificato di identificazione, anche un certificato di firma digitale.

Le Firme digitali emesse dai certificatori accreditati DigitPA sono circa 3,7 milioni. I principali utilizzatori della Firma digitale rimangono i rappresentati dalle imprese, soprattutto per il deposito telematico obbligatorio dei bilanci alle Camere di Commercio. Le Firme digitali trovano largo impiego anche nel comparto della Sanità, dove sono utilizzate dagli operatori sanitari per la refertazione in formato digitale (nella sola regione Lombardia ogni mese sono autenticati dai medici circa 2,5 milioni di referti mediante la propria firma digitale).

L’utilizzo di certificati di firma digitale da parte dei dipendenti della pubblica amministrazione è un requisito fondamentale alla completa dematerializzazione dei procedimenti amministrativi, fra cui quelli relativi allo sportello unico delle attività produttive, allo sportello per l’edilizia, ai servizi sanitari e socio-assistenziali.

In Italia quasi il 57% dei Comuni distribuisce la firma digitale ai propri dipendenti; le regioni in cui la diffusione presso i Comuni è maggiore sono Toscana, Provincia Autonoma di Bolzano ed Emilia-Romagna, con percentuali superiori all‟80%. Per converso, al di sotto del 40% dei dipendenti troviamo i Comuni di Abruzzo, Molise, Calabria e Sicilia.

Solamente in tre regioni (Emilia-Romagna, Lombardia e Veneto) più del 60% delle aziende sanitarie gestisce la documentazione attraverso l‟uso di firma digitale, principalmente per la firma (digitale, appunto) di referti e documenti clinici.

La realizzazione e la diffusione del Processo Civile Telematico (PCT) mira ad automatizzare – nell’ambito del processo civile – i flussi informativi e documentali tra utenti esterni (avvocati e ausiliari del giudice) e uffici giudiziari, nonché tra utenti interni (magistrati e cancellerie). Attualmente il PCT – attivo in oltre il 20 % del Tribunali – riguarda il procedimento d’ingiunzione, di esecuzione immobiliare e le procedure concorsuali, e tra i vari servizi online offerti, consente di depositare in cancelleria atti digitali, sottoscritti con firma elettronica.

Il “primato” nella speciale classifica della “firma digitale” spetta alla Toscana, fanalino di coda risulta essere la Calabria.

La validità nel tempo di un documento firmato


Anno 1020, il più antico documento in originale, su pergamena, conservato nell’Archivio di Stato di Vicenza

Perchè firmiamo un documento? Per rendere fermo quel documento, affine di riconoscerne, approvarne, autenticarne, sancirne il contenuto e di conseguenza obbligarsi e/o simili. I documenti con cui ci “confrontiamo” ogni giorno possono essere materiali, di carta, o c.d. immateriali, frutto di una sequenza di bit, rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (peraltro conservati su solide e molto materiali memorie digitali). I primi hanno una storia secolare alle spalle, mentre per i secondi le origini risalgono a pochi decenni fa. Cartaceo, o digitale, un documento firmato per sua natura assolve due compiti:

  • dare evidenza di una volontà associata ad una paternità (autenticità);
  • essere funzionale al mantenimento della validità e della conservazione integra nel tempo della suddetta espressione di volontà.

Mantenere la validità nel tempo di un documento non può prescindere dal suo “mantenimento in vita” e quindi dalla sua conservazione. Conservare documenti di cui non si è sicuri dell’integrità e autenticità, ha ovviamente poco senso, ed è per questo che i documenti pubblici, o privati, trovano collocazione in contesti di “conservazione garantita” quali archivi di stato, notarili, ecclesiastici, datacenter “certificati”, ecc. ecc.. Gli archivi, che rappresentano la memoria storica secolare, o decennale, raccolgono e conservano l’insieme dei documenti/testimonianze lasciate da un ente, da un ufficio o da una persona.

In Italia, al vertice della conservazione della memoria storica su carta e i suoi “affiliati” (papiro e pergamena) è posta l’Amministrazione archivistica, che svolge compiti generali di custodia per fini storico-culturali avvalendosi di una rete di Archivi di Stato e di Soprintendenze archivistiche a cui fanno riferimento, e sono collegati, uffici amministrativi e giudiziari dello Stato, notai, enti pubblici, istituti religiosi e assistenziali, associazioni professionali e artigianali, privati (generalmente famiglie nobiliari). Nel caso della carta, autenticità, integrità e conseguente non ripudio del documento vengono garantiti dalle realtà archivistiche, e non solo, dianzi menzionate, che per ruolo istituzionale, tradizione secolare, autorevolezza, catena di fiducia e garanzia, vengono considerate terze parti affidabili.

La conservazione della memoria su bit, parte dalla validità della firma (digitale, o elettronica) apposta al documento informatico. Quando firmiamo digitalmente un documento, la garanzia che sia veramente Pippo a firmare e non Paperino, che fa finta di essere Pippo, ce la da la Certification Authority, una terza parte fidata, che certifica che Pippo è veramente Pippo.

Questa garanzia/certificazione è a scadenza, solitamente triennale, una volta scaduta non garantisce più financo i documenti firmati validamente nel passato, in quanto a fronte di una verifica (fatta con un client SW di verifica) la CA risponderà che “non garantisce più per Pippo”, oggi come ieri. In altre parole, se la certificazione di Pippo è scaduta, revocata, o sospesa, e non è possibile stabilire con certezza se Pippo ha firmato i documenti allorquando il certificato era valido, autenticità e integrità di un documento non sono garantiti, ergo il documento risulta privo di validità legale … come firma digitale (il suo valore probatorio sarà minore in quanto il firmatario potrà disconoscere la firma).

Art. 21 comma 3 – CAD (Codice dell’Amministrazione Digitale)
“L’apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione”

Senza inoltrarsi nell’ambito della “vexata quaestio” della conservazione a lungo termine dei documenti informatici su cui si susseguono delibere (AIPA-CNIPA) e sono ancora in corso dibattiti (ANORC), il limite di validità della sottoscrizione con firma digitale viene “arginato”, ma non risolto definitivamente nel lungo periodo, dalla marca temporale, dalla posta elettronica certificata, dalla segnatura di protocollo e attraverso la procedura di conservazione documentale. Nel caso specifico della marca temporale, il riferimento temporale più usabile opponibile ai terzi, altro non è che una ulteriore firma digitale, apposta al documento firmato da parte di un soggetto terzo (CA),  a cui è associata l’informazione di una una data ed un orario giuridicamente certi ed opponibili a terzi. La marca temporale è lo strumento che permette di prorogare la validità di un documento oltre la scadenza del certificato di firma del firmatario del medesimo documento. Le marche temporali emesse da una CA sono conservate in un apposito archivio non modificabile della stessa CA per un  periodo di 20 anni ovvero, su richiesta dell’interessato, per un periodo maggiore.

Il prolungamento temporale della validità del documento informatico tramite marca temporale può essere garantita attraverso una catena ininterrotta di marche temporali, apposte prima della scadenza della precedente, ma come detto, il dibattito rimane ancora aperto su vari temi conservativi, uno fra tutti l’obsolescenza delle tecnologie.

.

.

.

.

La firma digitale, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, è valida se alla stessa è associabile un riferimento temporale opponibile ai terzi che colloca la generazione di detta firma digitale in un momento precedente alla sospensione, scadenza o revoca del suddetto certificato.

Art. 51 D.P.C.M. 30 marzo 2009 – Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici.

To be continued …

Una tecnologia utile deve essere usabile!

“Abbiamo fatto un progetto di firma digitale, ma poi nessuno l’ha utilizzata”

“Con il progetto di firma digitale abbiamo fatto un bagno di sangue e adesso i nostri responsabili non ne vogliono più sentire parlare”

“La firma digitale ce l’abbiamo, ma la utilizziamo solo per la conservazione sostitutiva”

Le affermazioni fatte da chi ha “provato” ad usare la firma digitale nei suoi processi documentali, parlano di una tecnologia ancora oggi complicata, costosa e utilizzata per scopi marginali.

Dalle analisi del F.E.S.A. (Forum of European Supervisory Authorities for Electronic Signatures)  http://www.fesa.eu/  è emerso che nel 2002 l’Italia era con 500.000 certificati lo Stato con la maggiore diffusione di certificati, seguita dalla Norvegia con 32.000 e dalla Germania con 26.000. Nel primo trimestre 2004 il numero dei dispositivi rilasciati in Italia per la firma digitale ha superato 1.250.000 unità e, ad oggi, abbiamo superato la soglia di 3.200.000 di unità. Questi numeri suggerirebbero un grande utilizzo dello strumento firma digitale in Italia, mentre così non è, in quanto gli oltre 3 milioni di firme digitali vengono utilizzate principalmente per adempimenti obbligatori di ordine amministrativo/fiscale (tipicamente l’invio telematico dei bilanci delle società alle CCIAA) e dove molto spesso, i titolari dello strumento delegano l’operazione di firma a chi, per loro conto, è incaricato agli adempimenti di cui sopra (leggasi ragionieri, commercialisti, avvocati, ecc.).

In altri termini, la firma digitale è una tecnologia necessaria e diffusa, ma ancora oggi complicata da usare.