Come facciamo ad essere certi che documenti elettronici, firme elettroniche e certificati digitali siano validi? Cioè se il mittente sia davvero quello che dice di essere, se il documento non è stato modificato o alterato dopo l’invio e la ricezione. Non è questione peregrina, poiché con la diffusione degli strumenti digitali anche nelle transazioni economiche nazionali e internazionali, la sicurezza dell’inviolabilità dei dati contenuti nei documenti e la garanzia dell’identità degli interlocutori diventano fondamentali. Come si fa a verificarne l’autenticità?
Ogni paese ha le sue Autorità di Certificazione. In Italia (dati settembre 2010) le CA sono indicate nell’elenco mantenuto dall’ex CNIPA (oggi DigitPA). Per accedere ai documenti digitali e verificarne l’autenticità ci sono numerosi software:
- dal Cnipa il software FCMT
- dalla società Comped, il software DigitalSign
- dalla società Postecom, il software Firma OK
- dalla società Digitaltrust, il software Sign’ncrypt
- dalla società Intesi Group, il software PkNet
- dalla società Infocert, il software DIKE
- dalla società Primeur Security Services il software DSTK
Sembra molto complicato, vero? Lo è. L’esatto contrario della semplificazione che, a parole, dovrebbe sottendere tutta la filiera della digitalizzazione pubblica e privata. In Polonia c’è un approccio più pragmatico.
L’Autorità di certificazione polacca CERTUM mette a disposizione di tutti – cittadini, PA e imprese – un servizio gratuito che permette di verificare certificati, documenti elettronici, e l’autenticità delle firme elettroniche in uso nell’Unione Europea. Si chiama WebNotarius® e si avvale di elenchi di TSL (“elenchi verificati di fornitori di servizi certificati”) pubblicati da tutti i paesi dell’UE. Così gli utenti di Internet hanno la possibilità di verificare lo stato di oltre 400 diverse certificazioni rilasciate nel mercato dell’UE (e non solo).
La home page di WebNotarius
“Si tratta di una vera innovazione nell’uso della firma elettronica all’interno del mercato comunitario; inoltre abbiamo stipulato un accordo separato con la Federazione russa – dice in proposito l’amministratore delegato di Unizeto Technologies SA, Andrzej Bendig-Wielowiejski - grazie al servizio WebNotarius® abbiamo eliminato le barriere legate all’uso delle firme elettroniche nel territorio che va da Lisbona a Vladivostok.
Finora, per verificare le firme elettroniche occorreva impiegare un software particolare consigliato da ognuna delle quasi cento AC attive nell’Unione europea e le molte altre AC operanti nella Federazione russa. Il ricorso a molti programmi diversi che richiedevano aggiornamenti per verificare le forme elettroniche è alquanto sconveniente, soprattutto per le pubbliche amministrazioni e le società operanti in diversi paesi.
Inoltre, queste applicazioni sono generalmente limitate e compatibili solo con alcuni sistemi operativi. Ora, grazie a WebNotarius®, ogni utente Internet potrà verificare facilmente lo stato di validità di una firma o un verificato in formato elettronico, utilizzando qualsiasi browser, indipendentemente dal paese di origine”.
Il servizio è disponibile gratuitamente anche tramite il protocollo SOAP. Ciò consente una facile integrazione con qualsiasi sistema IT e quindi una completa automazione del processo di verifica di certificati e firme elettroniche. Si tratta di un’innovazione particolarmente importante per gli sviluppatori di software che potranno ridurre considerevolmente i costi e i tempi di implementazione dei servizi di assistenza per i documenti elettronici formati all’interno dei sistemi informatici.
Peccato che i messaggi di errore di WebNotarius® siano…in polacco!
Ma veniamo all’autarchia digitale italiana. Finora ha partorito topolini, anzi, mostri burocratici. Tempo fa Cnipa e Adobe hanno sottoscritto un protocollo – ormai superato - per dichiarare il formato PDF come unico documento sostitutivo e ufficiale del precedente formato con estensione P7M, rivelatosi incompatibile o poco compatibile con la maggior parte dei software in uso.
Si è dovuto creare un programma ad hoc – il Dike – per gestire il sistema di firma digitale, e poi un altro marchingegno per l’installazione dei certificati delle chiavi di certificazione per l’utilizzo con Adobe Reader e Adobe Acrobat e dunque rendere gestibile la firma digitale italiana con i prodotti Adobe.
Gli utenti italiani sono costretti a installare questo software, altrimenti il sistema genera errori. Se poi il documento firmato con Dike viene spedito a un utente che Dike non ce l’ha, non funziona nulla.
Provate, per credere, ad aprire questo documento con estensione P7M:
http://www.cnipa.gov.it/site/_files/LISTACER_20100907.zip.p7m
Quanto alla compatibilità di Dike oltre i confini nazionali, non se ne parla neanche. Procedura lunare, avrebbe detto il compianto presidente Pertini (che si riferiva alla compilazione della dichiarazione dei redditi).
L’Europa, intanto, guarda oltre. La Commissione UE ha accettato il più evoluto (e technologically indipendent) formato PAdES (Pdf Advanced Electronic Signatures) per l’interscambio di documenti certificati.
E se, per non impazzire con il computer, si provasse con il cellulare? Mobile Solution ha creato LegalSMS, un sistema di SMS Certificato indirizzato a enti o aziende per dare valore legale alle interazioni commerciali con i clienti finali.
(segue alla pagina successiva)
“Nell’era di internet - dice il responsabile di Mobile Solution, Davide Marrone – l’unico mezzo che aziende ed enti pubblici hanno a disposizione per inviare alla ‘totalità’ dei loro clienti comunicazioni importanti è ancora la raccomandata RR con alti costi di gestione e spedizione.
La PEC è un’alternativa per l’invio di comunicazioni digitali certificate a basso costo ma è limitata alla popolazione che possiede Internet (in Italia circa il 50%) e necessita di una casella PEC (0,8 su 24milioni di indirizzi email).
L’SMS Certificato supera in pieno queste problematiche: infatti è accessibile alla quasi totalità della popolazione grazie all’uso del cellulare e dell’SMS come servizio di comunicazione e ha costi di consegna e ricezione molto contenuti e livelli di sicurezza maggiori”.
Il funzionamento di LegalSMS
LegalSMS combina protocolli standardizzati e open source per strong authentication, crittografia asimmetrica, firma digitale, conservazione sostitutiva su archivi durevoli che soddisfano le norme di sicurezza e garantiscono così l’autenticità di comunicazioni e accordi.
Come e quando si usa LegalSMS?
Parcheggio auto: si va alla cassa (anche automatica) e si chiede di addebitare il costo sul cellulare. Gli si fornisce il numero del telefonino e si aspetta. Il sistema genera il MAC (Message Authentication Message) e in pochi istanti sul cellulare del cliente arriva un SMS firmato digitalmente dal parcheggiatore, crittografato e sicuro. Il server verifica l’autenticità del mittente, depone il messaggio in “archiviazione sostitutiva” (come richiesto dalla proceduta PEC) e lo trasmette al cellulare del cliente: “ vuoi addebitare questa cifra sul tuo abbonamento”? Se la risposta è SI, il server farà sapere al parcheggiatore che è tutto ok e può alzare la sbarra.
Televendita: si deve stipulare un abbonamento con il gestore telefonico. Se le parti sono d’accordo, la transazione può andare in porto con LegalSMS, come se il contratto fosse firmato a mano.
Sembra una buona idea, rispetto ai tempi, ai costi e alle difficoltà di una raccomandata con ricevuta di ritorno o una PEC.
Fonti: Municipia.it, IctBusiness
Pacman
Nostradamus
Magical Cat Adventure
Snake