AATL … World Wide Sign: identità affidabili per firme digitali… 1.0, che cosa ci eravamo detti?

Quando si scambiano in rete documenti firmati digitalmente, per i destinatari di tali documenti è fondamentale poter verificare l’autenticità della firma digitale.

Come possono i destinatari essere sicuri che colui che ha firmato il documento è effettivamente lui, o non un altra persona? Che il certificato sia ancora valido e non scaduto? A garantire identità e validità di una firma digitale ci pensano le Autorità di Certificazione (CA), terze parti di cui ci si può fidare, che hanno il compito di accertare l’identità personale di chi richiede la firma, consentire a chiunque l’accesso a un Registro dei Certificati emessi al fine di permettere l’identificazione del titolare della chiave pubblica ed aggiornare costantemente una Lista dei certificati (CRL – Liste di revoca). La CA identifica con certezza la persona , ne rilascia, a garanzia della sua identità, relativo certificato, il quale è verificabile da chiunque riceva un suo documento firmato. Le CA quindi svolgono un ruolo fondamentale nella c.d. chain of trust (catena di fiducia), svolgendo compiti similari a quelli di un notaio pubblico.

A suo tempo, il 1° febbraio 2011, avevamo raccontato la bella storia di usabilità di Adobe dal nome AATL (Adobe Approved Trust List), un elenco di certificati affidabili regolarmente aggiornato, che viene scaricato quando si apre il file, consentendo all’utilizzatore di Acrobat o Reader (dalla versione 9 in su) di verificare in modo automatico, predefinito e completo le caratteristiche di autenticità e validità di una firma, senza dover fare alcuna attività di configurazione. Ciò vuol dire che per il 90% ed oltre di utilizzatori di Adobe Reader nel mondo, la verifica della validità di un documento firmato (integrità, autenticità e validità) è contestuale al momento della visualizzazione a video dello stesso, nonché facile, perchè evidenziata nella barra del menù di Adobe. Il ruolo dell’AATL è quello di garantire l’attendibilità della e delle CA a essa collegate, grazie ai rigorosi requisiti tecnici che deve dimostrare di possedere la CA per entrare a far parte del circuito (nell’elenco delle CA aderenti al programma AATL troviamo già realtà quali GlobalSign,VeriSign, e i governi degli Stati Uniti e dei Paesi Bassi).

Intesa, società del Gruppo IBM, è oggi l’unica Certification Authority (CA) italiana ad aver conseguito la certificazione Adobe AATL. La scelta di Intesa di aderire all’iniziativa AATL (Adobe Approved Trust List) è figlia della consapevolezza e volontà di voler offrire un servizio in grado di garantire una sempre maggiore sicurezza e certezze in materia di firma digitale. In un contesto di sempre maggiore e crescente dematerilizzazione, dove ai casi di dematerializzazione dei cedolini del Ministero Economia e Finanze, di notifica elettronica del processo penale al Ministero della Giustizia, di multa elettronica del Ministero dell’Interno, Polizia di Stato, di pagella elettronica del Ministero dell’Istruzione, e infine del DURC c/o l’INAIL, molti altri, e ancor più numerosi, se ne potrebbero citare sul fronte del privato, e altri ancora si vanno aggiungendo, diventa ormai sempre più strategico rendere la tecnologia facilmente fruibile e assicurare la massima affidabilità dei processi di autenticazione dei documenti.

Con AATL, il Portable Document Format continua il suo percorso “don’t make me think” garantendo al documento facilità di verifica worldwide, reale interoperabilità nazionale ed internazionale, indipendenza, dal tipo di certificato (settoriale, nazionale, europeo, worldwide), dal dispositivo di firma, o dall’applicazione di firma.

A suo tempo, parafrasando ale&franz, avevamo detto “mi fido di Adobe“, oggi è il caso di aggiungere “mi fido di Intesa”.

Un ringraziamento a Simonetta De Santis di Intesa an IBM Company per il suo contributo alla stesura di questo post