Nel corso della sua oltre ventennale storia, la firma digitale (vedi qui quadro completo su firme) è stata sempre un po’ ostacolata nella sua diffusione da alcune “difficoltà” tecniche.
Nel 2008 chi scrive era al Centro Nazionale per l’Informatica nella Pubblica Amministrazione (CNIPA, oggi AgID) e nell’ambito delle attività istituzionali gestiva la difficoltà endemica del software di interfaccia tra il PC e la smart card (compreso il lettore) utilizzata come dispositivo per la creazione della firma digitale (o qualificata, che dir si voglia).
Non erano rare frasi del tipo “Abbiamo attivato la firma digitale nella nostra organizzazione ma è stato un bagno di sangue, i lettori delle smart card non funzionano, il software di firma dà errore…).
Dalle librerie multivendor alla firma remota, storia di un successo
In questa sede non vogliamo fare cronaca di eventi passati ma ricordare che una forte sinergia tra istituzioni e mercato ha dato risultati evidenti e la cosiddetta firma remota è evoluta a un livello tale da costituire una storia di successo europea.
Prima della firma remota ci furono le librerie “multi vendor” per l’utilizzo dei lettori e delle smart card. Una società italiana è ancora oggi leader in questo settore.
Poi vennero i token di firma che hanno al momento una buona diffusione per le esigenze di sottoscrizioni personali/professionali. Come è noto si tratta di smart card in formato SIM telefonica, installate in un dispositivo simile al Pen Drive USB ampiamente utilizzato per memorizzare i nostri dati e facilitare la loro portabilità.
Il dispositivo è user friendly ed elimina l’obbligo del lettore di smart card perché è esso stesso il lettore. Inoltre i modelli più evoluti hanno anche a bordo un sistema operativo con una serie di funzionalità accessorie (Es. il Reader PDF o il compressore dati) che insieme al software di sottoscrizione consentono all’utente di svincolare l’utilizzo di tali funzionalità dal PC specifico.
Ma i PC vanno scomparendo, le interfacce USB non ci sono in mobilità, e quindi…Si utilizza la firma remota.
Firma remota, gli esordi
Agli esordi l’azienda che sviluppò la prima soluzione diceva nella brochure (inizio 2009):
La firma digitale qualificata rappresenta in Europa la firma elettronica col massimo valore legale. Per la generazione e la custodia sicura delle chiavi di firma richiede l’uso di un apposito dispositivo hardware (SSCD), tipicamente una smartcard oppure una “chiavetta” USB. Per poter usare tale dispositivo, l’utente deve installare appositi driver sul proprio computer. Questa fase iniziale è gestibile in molti contesti, specialmente quando gli utenti non sono troppo numerosi, utilizzano PC di configurazione nota ed operano nell’ambito di un’organizzazione che può dar loro assistenza tecnica. Questo vale anche per le successive fasi del suo impiego.
Quando invece gli utenti sono molto numerosi (da migliaia fino a milioni di utenti) ed operano in ambienti eterogenei, gli strumenti tradizionali di firma digitale possono rivelarsi problematici, oltre che eccessivamente costosi.
Per facilitare l’adozione della firma digitale in tali contesti, può essere utile cambiare approccio, per esempio adottando una soluzione di firma remota. Con firma remota si intende un’operazione di firma digitale eseguita con una chiave privata non residente su un dispositivo locale dell’utente (come la smartcard), bensì custodita presso un provider remoto all’interno di un HSM (dispositivo crittografico hardware). Questa tecnica consente di eliminare alla radice tutte le complessità legate all’uso di dispositivi locali e quindi consente di semplificare drasticamente l’esperienza d’uso dell’utente, rendendo la firma digitale accessibile anche per utilizzi sporadici e da parte di soggetti non in grado di sostenere operazioni di installazione software e hardware pur semplici.
Mediante tecniche sicure e affidabili l’utente accede al dispositivo di firma remoto attraverso la rete Internet e con una semplice operazione di autenticazione è in grado di sottoscrivere digitalmente qualsiasi documento.
Lo stimolo delle esigenze utente viene colto dalle istituzioni che forniscono un chiaro input al mercato sui requisiti da soddisfare. Le esigenze di certificazione di sicurezza dei dispositivi di firma (Hardware Security Module – HSM) vengono prese in carico da OCSI organizzazione per la certificazione della sicurezza informatica attiva all’interno del Ministero dello Sviluppo Economico che progetta e mette in opera una procedura che è attiva, anche oggi, con successo, tant’è che aziende leader di settore hanno scelto l’Italia per certificare gli apparati HSM.
Nel 2012 vede la prima luce lo schema di regolamento europeo che poi sarà il ben noto eIDAS (Regolamento 910/2014). Ancora una volta una buona idea si sviluppa e anche le istituzioni comunitarie e gli Stati membri sostengono la “server side signature” che diventa in italiano sottoscrizione a distanza o firma remota.
Firma remota e nuovo codice dell’amministrazione digitale
E si arriva al 27 gennaio 2018 con l’entrata in vigore dell’ultimo codice dell’amministrazione digitale (CAD).
Quest’ultimo introduce una nuova fattispecie di formazione del documento informatico. Nella quale quest’ultimo “è formato, previa identificazione informatica del suo autore”. Il Legislatore ha in mente SPID (il Sistema Pubblico Identità Digitale). Per l’operatività di questa norma siamo in attesa di Linee guida da parte di AgID.
La sinergia tra mercato e istituzioni dovrebbe evitare nuove fattispecie di sottoscrizioni informatiche. SPID può diventare semplicemente lo strumento per la “semplice operazione di autenticazione” e anche il cittadino potrà finalmente sottoscrivere digitalmente documenti.
Sarà un traguardo come quello della firma di milioni di fatture elettroniche, referti clinici, contabili bancarie, contratti remoti, credito al consumo, ecc.
I dati di AgID ci dicono che i certificati digitali rilasciati per la firma remota sono l’82% del totale. Esigenza, obbligo e semplicità d’uso hanno vinto.
Cinque persone nel 2008, istituzionali e d’impresa ci hanno creduto e nel 2017 sono state generate 1.876.379.223 firme digitali remote.
Nell’evento OMAT 2009 a Roma abbiamo visto la prima firma remota industriale.
E dieci anni dopo, i due miliardi di sottoscrizioni remote sono a un passo.
Ci auguriamo altrettanti successi per questo paese che ha idee, fantasia originali e che poi si perde in quello che sappiamo.
