L’articolo pubblicato dall’inserto Corriere Economia del Corriere della Sera di lunedì 23 gennaio ha tolto il velo all’ennesimo pasticcio all’italiana. I servizi di firma digitale erogati dal 1 novembre 2011 potrebbero risultare fuori legge in quanto generati con dispositivi automatici di firma non rispondenti alle procedure di certificazione della sicurezza previsti dalla normativa.
La questione riguarda le firme rilasciate attraverso i dispositivi elettronici Hsm (Hardware security module, server di nuova generazione, gestiti con software cràttografati) mentre non interessa gli utenti di Smart Card e chiavette Usb, dispositivi elettronici che integrano già la tecnologia necessaria per operare in modo autonomo. Tra le firme a rischio, spiega l’articolo del Corriere, vanno incluse quelle generate con dispositivi cloud, le «firme remote» usate sempre più da tablet e smartphone.
In tutto sono coinvolti oltre 8 milioni di certificati e le persone che hanno firmato quei documenti corrono il rischio di vederseli invalidati.
La legge ha dato 21 mesi di tempo ai produttori per mettersi in regola (come da DPCM del 10 febbraio 2010) e delle tre società che producono sistemi HSM per il mercato italiano solo una (l’israeliana Arx) risulta essere a norma oggi. La conseguenza è di generare un effetto a cascata: le aziende italiane che acquistano firme da server Hsm e poi offrono la firma digitale assieme ad altri servizi ai cittadini (posta certificata, servizi sanitari e della pubblica amministrazione), si potrebbero trovare nei guai e tra queste ci sono Aruba, Infocert, Intesa Sanpaolo, Intesa Spa (gruppo Ibm), Poste Italiane e Telecom.
I cittadini a loro volta sono ignari utilizzatori di dispositivi non certificati. Semplificando le cose, spiega l’articolo del Corriere, è come se una farmacia dopo aver acquistato medicnali scaduti da un distributore, li mettesse in vendita al pubblico.
DigitPA, ente nazionale preposto a vigilare sui certificatori di firma digitale, si trova quindi nella posizione di dover intervenire quanto prima per normalizzare la situazione. Secondo Federico Berti Arnoaldi, curatore del blog firmafacile.it : “Il governo deve intervenire per far rispettare la legge dimostrando ai cittadini e ai partner europei che, sebbene in un momento già difficile, il paese ha voltato definitivamente pagina nel segno della legalità e della serietà .
Perché a pagare per avere rispettato la legge deve essere l’unica azienda che ha fatto i corretti investimenti per certificare e rendere conforme la sua soluzione? È necessario che chi adotta HSM non certificati smetta di offrire servizi di ‘Firma Digitale’ che tali non sono in quanto impugnabili in sede di ricorso”.
“Se sarà proprio necessario un nuovo decreto, l’auspicio è che sia quindi riguardoso del mercato e della professionalità dei suoi protagonisti, oltre che a tutela degli inconsapevoli consumatori che si vedrebbero invalidare atti e documenti firmati tramite sistemi non conformi”.
Ora la palla passa al Ministero dello Sviluppo Economico in seno al quale opera l’organismo di Certificazione della Sicurezza Informatica (OCSI) a cui spetta accertarsi della sicurezza della firma digitale.