La firma digitale è un particolare tipo di firma elettronica che consente di scambiare in rete documenti con piena validità legale.
Per generare una firma digitale è necessario rivolgersi a un certificatore accreditato da DigitPA (Ente nazionale per la digitalizzazione della Pubblica Amministrazione), il quale attesta l'esistenza della persona fisica del richiedente e crea la firma con un dispositivo certificato dall'OCSI (Organismo di Certificazione della Sicurezza Informatica).
Il dispositivo può essere una smartcard, un token USB o un server HSM (Hardware Security Module) gestito con software crittografato.
L'Italia si trova in una situazione contraddittoria rispetto alla firma digitale: da un lato è il primo paese europeo ad avere attribuito piena validità giuridica ai documenti elettronici (1997), oltre a essere il primo per diffusione di firme elettroniche in Europa.
Dall'altro lato però la situazione delle firme digitali nel nostro paese è critica: vediamo perchè ripercorrendone le vicende.
L'Italia e la firma digitale
La firma digitale è stata introdotta in Italia nel 2002.
I primi dispositivi di certificazione erano statunitensi, perciò avevano tutte le certificazioni USA, ma non quelle europee.
Il costo di adeguamento era molto alto (fino a centinaia di migliaia di euro) e la firma digitale era una novità: perciò i certificatori non li hanno adeguati fino al 2003, quando è stato introdotto l'obbligo.
Per i primi nove mesi era valida l'autocertificazione, per dare il tempo a chi non l'avessse fatto di adeguarsi.
Dopo 7 anni la maggior parte dei certificatori non era ancora in regola e un nuovo DL ha prorogato i termini di validità dell'autocertificazione fino al 1 novembre 2011.
Avvicinandosi la nuova scadenza, la situazione non era ancora cambiata e un ulteriore DL ha prorogato per altri due anni la validità dell'autocertificazione, almeno per i certificatori che entro il 1 novembre 2011 avessero presentato domanda all'OCSI o a un altro ente accreditato.
A causa di ritardi burocratici, la pubblicazione del DL sulla Gazzetta Ufficiale è avvenuta solo il 31 ottobre 2011, rendendo quasi impossibile l'adeguamento.
La situazione attuale in Italia
I certificatori che non hanno presentato domanda in tempo non possono più ricorrere all'autocertificazione e le firme digitali che hanno generato non sono più in regola.
Il problema riguarda le firme generate con server HSM e le firme remote (create con dispositivi cloud), molto usate su smartphone e tablet.
Il discorso esclude quelle generate con smartcard e token USB, poichè questi dispositivi integrano la tecnologia necessaria per operare in modo autonomo, ma sono un'esigua minoranza.
Delle tre società che producono server HSM per il mercato italiano, solo una è a norma oggi e otto milioni di certificati rischiano di essere invalidati.
Ciò determina una serie di problemi:
- il blocco di un mercato (quello delle firme digitali) la cui domanda è in crescita;
- conseguenze economiche, poichè la digitalizzazione permetterebbe un notevole risparmio alle aziende e alla pubblica amministrazione;
- un effetto a cascata, per via delle aziende che acquistano firme da server HSM per poi offrirle ai clienti insieme ad altri servizi (per esempio la PEC).
Cosa pensi della firma digitale e dei problemi a essa legati?
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.