martedì 6 dicembre 2011

Firme digitali fuorilegge

Potrebbe essere addirittura questa la conseguenza che si profila dopo la pubblicazione sulla Gazzetta Ufficiale di un Dpcm all'apparenza innocuo, che, come spesso accade al legislatore nostrano, si è limitato a far slittare una scadenza di ulteriori due anni, fino al 1° novembre 2013. 

L'infelice tempismo e l'aver introdotto una nuova condizione per poter usufruire della proroga rischiano però di gettare nel caos il sistema delle sottoscrizioni elettroniche qualificate, quelle che garantiscono l'autenticità del documento, come se si trattasse di una firma autografa. 
Il problema riguarda le sottoscrizioni digitali rilasciate attraverso dispositivi automatici e la certificazione di questi ultimi. Si tratta praticamente di quasi tutte le firme elettroniche che circolano sul mercato, perché quelle che ricorrono alla smart card rappresentano un'esigua minoranza. 

La questione rimonta al 2002, quando la firma digitale debutta in Italia. Più precisamente a quando i certificatori – cioè coloro che rilasciano le sottoscrizioni elettroniche qualificate, ovvero con la medesima valenza della firma autografa – iniziano a fare uso degli strumenti che generano le sottoscrizioni elettroniche in modo automatico. All'epoca si trattava soprattutto di apparecchi di fabbricazione statunitense, che avevano tutte le certificazioni Usa, ma non quelle richieste dall'Europa con la direttiva 1999/93/Ce. Trattandosi, però, dei primi passi della firma digitale in Italia e più in generale nella Ue, nessun produttore dei dispositivi automatici di firma si sentiva di affrontare gli elevati costi (anche centinaia di migliaia di euro) per far ottenere a quegli strumenti anche la certificazione europea, considerato che una "patente", seppure a stelle e strisce, comunque l'avevano.
 Nel 2003 il legislatore nostrano decide di risolvere la situazione e fissa le regole per certificare i dispositivi di firma, affidando all'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione (Iscti, oggi Ocsi, Organismo di certificazione della sicurezza informatica insediato presso il ministero dello Sviluppo) il compito di valutare le richieste e la documentazione. Per i primi nove mesi, però, i certificatori possono fare da soli con un'autocertificazione. La situazione, tuttavia, non cambia e nel 2010 un ulteriore decreto sposta i termini ultimi dell'autocertificazione al 1° novembre scorso. 
Nel frattempo il ministero della Pubblica amministrazione e dell'innovazione inizia a lavorare per trovare una nuova soluzione, chiesta anche dalle imprese che si occupano di firma digitale. Per non lasciare il campo a una semplice autodichiarazione, si conviene che quest'ultima possa essere concessa ancora per due anni a condizione, però, che i produttori dei dispositivi automatici di firma facciano anche loro uno sforzo. 
Il nuovo decreto di proroga è, pertanto, congegnato in questa maniera: possono continuare a fare uso dell'autodichiarazione fino al 1° novembre 2013 i produttori che entro il 1° novembre 2011 (data di scadenza del differimento concesso nel 2010) abbiano presentato all'Ocsi (o a un altro ente accreditato) domanda di certificazione
Tutto questo è chiaro alle parti – imprese e ministero – già diversi mesi fa. 
I produttori, però, prima di muoversi aspettano l'ufficialità che può venire solo dalla pubblicazione del decreto sulla Gazzetta Ufficiale. Il provvedimento, rallentato dai vari passaggi burocratici, finisce per arrivare in Gazzetta solo il 31 ottobre. Impossibile, dunque, poter rispettare quanto vi viene previsto. Dunque, da ieri i produttori che non hanno presentato all'Ocsi domanda di certificazione non possono più ricorrere all'autodichiarazione. Le firme digitali generate attraverso i dispositivi automatici non sono, pertanto, più regolari. Un vero e proprio pasticcio, di cui sono ben consapevoli al ministero e a DigitPa, l'organismo informatico del Governo. 
In quegli ambienti si sta valutando il da farsi e quale risposta dare ai produttori e certificatori delle firme che si trovano a gestire una situazione così ingarbugliata. «Stiamo in attesa di un segnale – afferma Paolo Cascino, direttore di Assocertificatori – e stiamo noi stessi esaminando la situazione. Viste le condizioni, potremmo anche dover sospendere il servizio di erogazione delle firme». 

Articolo di Federica Caponi pubblicato su Il Sole 24 Ore

Nessun commento: