Firma Facile, il blog più autorevole sul web in materia di firme digitali (www.firmafacile.it) in seguito al tema affrontato da Il Corriere della Sera il 23 gennaio scorso “Il pasticcio delle firme digitali” cerca di chiarire la situazione italiana ad oggi.
“La firma digitale è una cosa utile che permette di evitare l’uso della carta, riducendo i costi e snellendo le attività nelle aziende e nella Pubblica Amministrazione” afferma Federico Berti Arnoaldi, curatore del blog, che chiarisce: “Per fare firme digitali è necessario essere dotati di un dispositivo sicuro per la loro generazione, costituito da una smartcard o da un token USB o da un server di firma cosiddetto HardwareSecurity Module (HSM), la cui sicurezza deve essere accertata da un organismo pubblico, rappresentato in Italia dall’OCSI, l’Organismo di Certificazione della Sicurezza Informatica – parte del Ministero per lo Sviluppo Economico”.
La legge ha dato 21 mesi di tempo ai produttori per mettersi in regola (come da DPCM del 10 febbraio 2010). Un lasso di tempo esteso nonostante il quale solo uno dei produttori di HSM risulta essere a norma oggi. Dispositivi non certificati continuano infatti ad essere utilizzati e proposti ad ignari utilizzatori siapubblici che privati.
L’Italia è all’avanguardia nell’uso della firma digitale. È infatti il primo paese ad avere attribuito fin dal 1997 piena validità giuridica ai documenti elettronici e conta la maggiore diffusione di firme in Europa.A seguito di dieci anni di proroghe, con il decreto del 10 febbraio 2010 il governo italiano ha posto le condizioni per l’accertamento della sicurezza degli HSM, dando ai produttori 21 mesi di tempo (fino al 1° novembre 2011) per mettersi in regola. A distanza di qualche mese, l’OCSI ha reso pubbliche le procedure di accertamento da seguire. A tutela degli utilizzatori, il governo è nuovamente intervenuto andando incontro ai produttori con un altro decreto in cui, senza prevedere obblighi aggiuntivi o diversi rispetto al decreto precedente, richiedeva loro di avere almeno completato i primi passi di accertamento dei dispositivi entro il 1° novembre 2011. Per questioni burocratiche, questo ulteriore decreto è stato firmato il 14 ottobre 2011 ed è stato pubblicato in Gazzetta Ufficiale il 31 ottobre, il giorno precedente al termine indicato.
I dati citati nel blog parlano chiaro: in Italia il numero di firme digitali remote rilasciabili assomma a circa 7.400.000 unità, che rappresentano oltre il doppio dei certificati di firma digitale rilasciati principalmente su smart card o chiavette USB.
DigitPA, ente nazionale preposto a vigilare sui certificatori di firma digitale, si trova quindi nella posizione di dover intervenire quanto prima per normalizzare la situazione. Secondo Berti Arnoaldi: “Il governo deve intervenire per far rispettare la legge dimostrando ai cittadini e ai partner europei che, sebbene in un momento già difficile, il paese ha voltato definitivamente pagina nel segno della legalità e della serietà. Perché a pagare per avere rispettato la legge deve essere l’unica azienda che ha fatto i corretti investimenti per certificare e rendere conforme la sua soluzione? E’ necessario che chi adotta HSM non certificati smetta di offrire servizi di ‘Firma Digitale’ che tali non sono in quanto impugnabili in sede di ricorso”. E conclude: “Se sarà proprio necessario un nuovo decreto, l’auspicio è che sia quindi riguardoso del mercato e della professionalità dei suoi protagonisti, oltre che a tutela degli inconsapevoli consumatori che si vedrebbero invalidare atti e documenti firmati tramite sistemi non conformi”. La situazione nei fattiL’Italia è all’avanguardia nell’uso della firma digitale. È infatti il primo paese ad avere attribuito fin dal 1997 piena validità giuridica ai documenti elettronici e conta la maggiore diffusione di firme in Europa.A seguito di dieci anni di proroghe, con il decreto del 10 febbraio 2010 il governo italiano ha posto le condizioni per l’accertamento della sicurezza degli HSM, dando ai produttori 21 mesi di tempo (fino al 1° novembre 2011) per mettersi in regola. A distanza di qualche mese, l’OCSI ha reso pubbliche le procedure di accertamento da seguire. A tutela degli utilizzatori, il governo è nuovamente intervenuto andando incontro ai produttori con un altro decreto in cui, senza prevedere obblighi aggiuntivi o diversi rispetto al decreto precedente, richiedeva loro di avere almeno completato i primi passi di accertamento dei dispositivi entro il 1° novembre 2011. Per questioni burocratiche, questo ulteriore decreto è stato firmato il 14 ottobre 2011 ed è stato pubblicato in Gazzetta Ufficiale il 31 ottobre, il giorno precedente al termine indicato.
Nonostante questo ritardo non intenzionale, l’adeguato anticipo delle comunicazioni fornite ai produttori ha fornito i necessari presupposti per sapere cosa fare e in quali tempi e modalità dover agire per essere totalmente adempienti ai decreti legislativi.
