La moltiplicazione delle PEC

Dopo la PEC e la CEC PAC, arriva il Glifo. Ma con il nuovo CAD, il “miracolo” colpisce anche le Firme digitali che, per volere delle modifiche apportate, diventano ben cinque

di Massimo Penco | 27 gennaio 2011

Come abbiamo già visto qualche giorno fa, le sorprese contenute nel nuovo CAD sono tante. A partire dall’ultimo arrivato, il Glifo:



Un sistema di cui parleremo presto...

Ma una delle più novità più “anomale”, è senza dubbio l’aumento teorico - e normativo - del numero delle firme digitali.

Eravamo già abituati a questo proliferare di complicazioni derivanti dalla PEC. Vi ricordate la CEC PAC, giusto? Che poi con un colpo di penna è assurta al ruolo di “surrogato di firma digitale”?

La norma era questa: “Le pubbliche amministrazioni accettano le istanze dei cittadini inviate tramite PEC nel rispetto dell’art. 65, comma 1, lettera c), del decreto legislativo n. 82/2005. L’invio tramite PEC costituisce sottoscrizione elettronica ai sensi dell’art. 21, comma 1, del decreto legislativo n. 82/2005; le pubbliche amministrazioni richiedono la sottoscrizione mediante firma digitale ai sensi dell’art. 65, comma 2, del citato decreto legislativo.”

Con il nuovo CAD, il “miracolo” della moltiplicazione ha colpito anche le firme digitali che, per volere delle modifiche all’art.1, sono diventati cinque!

1) “p-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;”

2) “r) firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;”

3) “s) firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;”

4) Firma autenticata - 1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la firma elettronica o qualsiasi altro tipo di firma avanzata autenticata dal notaio o da altro pubblico ufficiale a ciò autorizzato.

5) PEC CEC PAC con valore di firma.

Ora, il teorema per cui “Innovazione” dovrebbe far rima con “semplificazione”, è svanito. Si è vanificato! E altrettanto vanificato – vi ricordo - è il parere del Consiglio di Stato riportato nel nostro precedente articolo.

Beh, la domanda nasce spontanea: che senso ha chiedere un parere al Consiglio di Stato e poi non seguirlo? Per non parlare, poi, dei buoni proponimenti con la adozione dei principi Internazionali...

Ma, passiamo all’aspetto pratico.

Le firme digitali, da un punto di vista tecnico, sono tutte eguali e non sono altro che l’applicazione dell’algoritmo RSA in uso in tutto il mondo.

Distinguerle e chiamarle in modo diverso – a mio parere - è un mistero. E penso che non ci sarà mai svelato!

L’unica differenza sostanziale è nel modo in cui queste firme vengono date a chi le richiede.

E qui c’è una estrema confusione: con l’avvento della firma digitale (legge Bassanini del 97 e le successive disposizioni) si è voluto creare quelle che vengono definite Autorità di Certificazione, copiando dall’inglese Certification Authority e, conseguentemente, applicando - in un sistema a legislazione “latina” - un sistema di tipo anglosassone (con le conseguenti storture del caso, aggiungo io).

Fatto ciò, un numero abnorme di certificatori si è tuffato in questo business, arrivando - nel 2000/2001- a raggiungere la riguardevole cifra di 40.

Tutte Autorità di Certificazione accreditate al CNIPA. Ma nessuna definita Certification Authority pubblica nel resto del mondo.

Ci si trovavano banche, enti pubblici (o semi pubblici), associazioni; ovviamente Telecom Italia; la sempre presente Poste Italiane; persino l’esercito con il Comando C4 Difesa - Stato Maggiore della Difesa.

Buona parte di queste non ha mai fornito certificati di firma digitale al pubblico. E nel tempo, ha iniziato a capire che non era aria...

Oggi, sono solo 15 gli enti accreditati come CA presso il CINPA (ora Digitpa).

In Italia, in definitiva:

1) non esiste alcuna Autorità di certificazione - come disse il mio amico Prof. Bassanini in un convegno di un paio di anni fa  - di questa roba non se ne fa in Italia



(Il video completo lo trovate qui)

2) purtroppo nella rigogliosa selva di leggi, regole, regolamenti e circolari, la stessa Registration Authority si è persa. O meglio, non esiste. La Registration Authority nel resto del mondo altro non è che un organizzazione che per conto e su mandato della vera Certification Authority, ed esegue la procedura di autenticazione delle persone/organizzazione e dei siti web al fine del rilascio di certificati di firma digitale.

3) l’infrastruttura a chiavi pubbliche, detta anche PKI che prevede una chiara e semplice gerarchia usata in tutto il mondo, è stata completamente sovvertita e resa ancora più confusa dal testo del CAD attuale.
E come se non bastasse, a furia di fare leggi che si accavallano tra loro, ci si dimentica delle scadenze fissate dalle stesse. Mi riferisco alla scadenza improrogabile dell’art 3, comma 1: "I certificatori accreditati devono utilizzare l’algoritmo RSA (Rivest-Shamir-Adleman) con lunghezza delle chiavi non inferiore a 1024 bit; le chiavi di certificazione di cui all’articolo 4, comma 4, lettera b) delle regole tecniche devono avere una lunghezza non inferiore a 2048 bit".
“Chiudiamo quindi le nostre porte digitali”... con chiavi vecchie stampo che nessuno ha provveduto ad adeguare.

Differenziare il tipo di firma dandogli nomi diversi non ha alcun senso logico trattandosi in definitiva tecnicamente della stessa cosa chiamata con nomi diversi.

Finalmente, poi, in ottemperanza alla direttiva comunitaria 93/99 si allarga il mercato anche ad altri Certificatori Europei con il seguente provvedimento relativo alle firme elettroniche qualificate:

“Il valore giuridico delle firme elettroniche qualificate e delle firme digitali basate su certificati qualificati rilasciati da certificatori accreditati in altri Stati membri dell'Unione europea ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE è equiparato a quello previsto per le firme elettroniche qualificate e per le firme digitali basate su certificati qualificati emessi dai certificatori accreditati ai sensi del presente articolo.”

Dulcis in fundo, appare un'altra firma da definirsi fantasma “Firma con procedura automatica” fornita dal seguente dispositivo di legge:
a) i commi 3 e 4 sono sostituiti dai seguenti: “3. Il secondo periodo del comma 2 non si applica alle firme apposte con procedura automatica. La firma con procedura automatica è valida se apposta previo consenso del titolare all’adozione della procedura medesima.

E tutto ciò accade nella patria del diritto, dove fino a qualche anno fa non bastava il documento anagrafico per farsi riconoscere da un Notaio...


   Massimo Penco
   Presidente dell'Associazione
   Cittadini di Internet