Certificazione digitale: autarchia italiana, semplicità polacca e LegalSMS

Come facciamo ad essere certi che documenti elettronici, firme elettroniche e certificati digitali  siano validi? Cioè se il mittente sia davvero quello che dice di essere, se il documento non è stato modificato o alterato dopo l’invio e la ricezione. Non è questione peregrina, poiché con la diffusione degli strumenti digitali anche nelle transazioni economiche nazionali e internazionali, la sicurezza dell’inviolabilità dei dati contenuti nei documenti e la garanzia dell’identità degli interlocutori diventano fondamentali. Come si fa a verificarne l’autenticità?

Ogni paese ha le sue Autorità di Certificazione. In Italia (dati settembre 2010) le CA sono indicate nell’elenco mantenuto dall’ex CNIPA (oggi DigitPA). Per accedere ai documenti digitali e verificarne l’autenticità ci sono numerosi software:

• dal Cnipa il software FCMT
• dalla società Comped, il software DigitalSign
• dalla società Postecom, il software Firma OK
• dalla società Digitaltrust, il software Sign’ncrypt
• dalla società Intesi Group, il software PkNet
• dalla società Infocert, il software DIKE
• dalla società Primeur Security Services il software DSTK

Sembra molto complicato, vero? Lo è. L’esatto contrario della semplificazione che, a parole, dovrebbe sottendere tutta la filiera della digitalizzazione pubblica e privata. In Polonia c’è un approccio più pragmatico.

L’Autorità di certificazione polacca CERTUM  mette a disposizione di tutti – cittadini, PA e imprese – un servizio  gratuito che permette di verificare certificati, documenti elettronici, e l’autenticità delle firme elettroniche in uso nell’Unione Europea.  Si chiama WebNotarius®  e si avvale di elenchi di TSL (“elenchi verificati di fornitori di servizi certificati”) pubblicati da tutti i paesi dell’UE. Così gli utenti di Internet hanno la possibilità di verificare lo stato di oltre 400 diverse certificazioni rilasciate nel mercato dell’UE (e non solo).

“Si tratta di una vera innovazione nell’uso della firma elettronica all’interno del mercato comunitario; inoltre abbiamo stipulato un accordo separato con la Federazione russa –  dice in proposito l’amministratore delegato di Unizeto Technologies SA,  Andrzej Bendig-Wielowiejski –  grazie al servizio WebNotarius® abbiamo eliminato le barriere legate all’uso delle firme elettroniche nel territorio che va da Lisbona a Vladivostok.

Finora, per verificare le firme elettroniche occorreva impiegare un software particolare consigliato da ognuna delle quasi cento AC attive nell’Unione europea e le molte altre AC operanti nella Federazione russa. Il ricorso a molti programmi diversi che richiedevano aggiornamenti per verificare le forme elettroniche è alquanto sconveniente, soprattutto per le pubbliche amministrazioni e le società operanti in diversi paesi.

 Inoltre, queste applicazioni sono generalmente limitate e compatibili solo con alcuni sistemi operativi. Ora, grazie a WebNotarius®, ogni utente Internet potrà verificare facilmente lo stato di validità di una firma o un verificato in formato elettronico, utilizzando qualsiasi browser, indipendentemente dal paese di origine”.

Il servizio è disponibile gratuitamente anche tramite il protocollo SOAP. Ciò consente una facile integrazione con qualsiasi sistema IT e quindi una completa automazione del processo di verifica di certificati e firme elettroniche. Si tratta di un’innovazione particolarmente importante per gli sviluppatori di software che potranno ridurre considerevolmente i costi e i tempi di implementazione dei servizi di assistenza per i documenti elettronici formati all’interno dei sistemi informatici.

Peccato che i messaggi di errore di WebNotarius® siano…in polacco!

Ma veniamo all’autarchia digitale italiana. Finora ha partorito topolini, anzi, mostri burocratici. Tempo fa Cnipa e Adobe hanno sottoscritto un protocollo – ormai superato – per dichiarare il formato PDF come unico documento sostitutivo e ufficiale del precedente formato con estensione  P7M, rivelatosi incompatibile o poco compatibile con la maggior parte dei software in uso.

Si è dovuto creare un programma ad hoc – il Dike – per gestire il sistema di firma digitale, e poi un altro marchingegno  per l’installazione dei certificati delle chiavi di certificazione per l’utilizzo con Adobe Reader e Adobe Acrobat e dunque rendere gestibile  la firma digitale italiana con i prodotti Adobe.

Gli utenti italiani sono costretti a installare questo software, altrimenti  il sistema genera errori. Se poi il documento firmato con Dike viene spedito a un utente che Dike non ce l’ha, non funziona nulla.

Provate, per credere, ad aprire questo documento con estensione P7M:

http://www.cnipa.gov.it/site/_files/LISTACER_20100907.zip.p7m

Quanto alla compatibilità di Dike oltre i confini nazionali, non se ne parla neanche. Procedura lunare, avrebbe detto il compianto presidente Pertini (che si riferiva alla compilazione della dichiarazione dei redditi).

L’Europa, intanto, guarda oltre. La Commissione UE ha accettato il più evoluto (e technologically indipendent) formato PAdES  (Pdf Advanced Electronic Signatures) per l’interscambio di documenti certificati.

E se, per non impazzire con il computer, si provasse con il cellulare? Mobile Solution ha creato LegalSMS, un sistema di SMS Certificato indirizzato a enti o aziende per dare valore legale alle interazioni commerciali con i clienti finali.

(segue alla pagina successiva)