l'analisi

Sottoscrizioni informatiche, le linee guida Agid in vigore : ecco le novità dopo i rilievi Ue

Nel testo delle linee guida in vigore sulla “generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate” le regole obbligatorie sono state ridotte al minimo e non contengono esplicite o dirette indicazioni. Ecco cosa cambia

13 Giu 2019
Giovanni Manca

consulente, Anorc


Sono vigenti le “Linee guida contenenti le Regole Tecniche e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate” emanate da AgID con la Determinazione 147 del 4 giugno 2109.

Rispetto al testo commentato in un precedente articolo si rileva che è fortemente mutato lo scenario operativo per le regole obbligatorie e di quelle raccomandate. Questo per i commenti pervenuti direttamente dalla Commissione Europea al testo notificato a Bruxelles.

La piena operatività delle linee guida avrà un impatto sul sistema della convalida delle firme elettroniche e delle marche temporali. Non potrà quindi più essere accettato dalle pubbliche amministrazioni solo il formato CAdES noto per la sua estensione di file .p7m, ma avranno piena dignità anche il PAdES (documento PDF sottoscritto) e lo XAdES (un formato di sottoscrizione che utilizza l’XML).

La notifica di regole tecniche a Bruxelles

E’ noto che la notifica di regole tecniche (le Linee guida stabiliscono regole tecniche) è un atto obbligatorio nel mercato interno comunitario ed ha lo scopo di armonizzare tali regole al fine di evitare squilibri o applicazioni che favoriscano lo specifico Stato membro.

Già avevamo evidenziato che il testo notificato era stato oggetto di commenti da parte della Commissione Europea. Quindi vi era già certezza che il medesimo testo doveva essere modificato perché i commenti della Commissione devono essere applicati obbligatoriamente. La loro mancata applicazione comporta l’avvio di una procedura di infrazione.

La struttura generale delle Linee guida non è cambiata. Per ottemperare alle norme comunitarie queste sono sempre suddivise in obblighi e raccomandazioni.

Le raccomandazioni sono “fortemente consigliate” ma la loro disapplicazione non può comportare la non validità di certificati, firme e sigilli elettronici qualificati.

Regole obbligatorie

Le regole obbligatorie sono state ridotte al minimo e di fatto sono di principio e non contengono esplicite o dirette indicazioni tecnologiche.

In riferimento all’articolo 24, paragrafo 2, lettera e) del regolamento n. 910/2014 che stabilisce che un prestatore di servizi fiduciari qualificato (che presta servizi fiduciari qualificati) utilizza sistemi affidabili e prodotti protetti da alterazioni e che garantiscono la sicurezza tecnica e l’affidabilità dei processi che assicurano, nelle Linee guida si stabilisce che in specifica attinenza ai servizi fiduciari di emissione di certificati qualificati e ai sistemi di validazione temporale elettronica qualificata, i prestatori di servizi fiduciari qualificati sono liberi di utilizzare le funzioni di hash (utilizzate per il calcolo delle impronte dei documenti da sottoscrivere o marcare temporalmente) e lunghezza delle chiavi crittografiche utilizzate negli algoritmi di cifratura, purché adeguati a quanto stabilito nel sopra citato articolo 24, paragrafo 2, lettera e) del regolamento eIDAS.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza

Per avere il polso della situazione realizzativa le scelte dei prestatori di servizi fiduciari qualificati devono essere comunicate all’AgID e accompagnate dalle indicazioni che hanno determinato la scelta.

Questa situazione legata a scelte dei soggetti coinvolti deve gestire anche la parte informativa ai fruitori, destinatari dei servizi, che devono essere informati in modo chiaro e completo sia per le scelte obbligatorie che per le modalità di applicazione o eventuale non applicazione delle raccomandazioni indicate nelle LLGG in esame con le conseguenze che questo comporta.

Pur non essendoci obblighi è certo (anche perché queste modifiche comporterebbero significative modifiche al software di sistema e di firma) la funzione di hash per la sottoscrizione e la marcatura temporale sarà la SHA-256, l’algoritmo RSA continuerà a utilizzare chiavi di lunghezza pari ad almeno 2048 bit mentre se si utilizzano gli algoritmi a “curva ellittica” ECDSA la lunghezza sarà non inferiore a 256 bit.

Anche per le chiavi utilizzate per la firma dei certificati è ragionevole ipotesi la lunghezza di 4096 bit per RSA e 384 bit per ECDSA.

Raccomandazioni

Come abbiamo già detto una serie di regole previste come obbligatorie sono state modificate a raccomandazioni in base a quanto richiesto dalla Commissione Europea.

Quindi per i formati di firme e sigilli elettronici qualificati ci si deve attenere alla Decisione di esecuzione della Commissione UE n. 1506/2015 dell’8 settembre 2015 ma non come obbligo.

Vengono aggiornate anche le regole per la fornitura di informazioni sullo stato dei certificati di firma e sigillo. Si stabilisce una chiara opzione per il protocollo OCSP e comunque i certificati revocati o sospesi devono permanere nelle eventuali CRL, anche dopo la loro naturale scadenza, fino alla scadenza del relativo certificato di certificazione.

I prestatori di servizi fiduciari che applicano pienamente le raccomandazioni stabilite nelle linee guida utilizzano una codifica specifica nel certificato qualificato.

Le regole operative di dettaglio per i vari formati e strutture dati sono state aggiornate al solo fine di essere congrue ad uno scenario di “raccomandazioni”. Nella sostanza non ci sono modifiche particolarmente evidenti nel testo in vigore rispetto al testo notificato alla Commissione Europea.

Interoperabilità, ritorno al passato

Nel precedente articolo avevamo espresso apprezzamento per l’iniziativa di “raccomandare” regole utilizzando gli standard ETSI di riferimento che superava parzialmente la classica visione comunitaria che ipotizza regole di interoperabilità stabilite dal mercato, senza obblighi normativi.

Questa ipotesi non ha mai funzionato, né è facile farla funzionare senza obblighi o almeno indicazioni precise.

In questo senso il nuovo scenario stabilito nelle LLGG in esame ci fa tornare indietro, complicando l’interoperabilità e il mutuo riconoscimento delle sottoscrizioni e delle marcature temporali qualificate.

Non a caso, nell’esperienza di chi scrive, si rilevano numerosi casi di sottoscrizioni comunitarie che non sono verificate da soggetti nazionali per la oggettiva difficoltà derivante da un quadro comunitario tecnologicamente non omogeneo.

Certamente le indicazioni obbligatorie della Commissione sono formalmente conformi al Regolamento eIDAS ma diventa più complesso il software di verifica che deve tenere in conto un numero maggiore di variabili cruciali in gioco.

Questo, per esempio, può complicare meccanismi di verifica massiva delle sottoscrizioni e delle marcature qualificate come, ad esempio, nell’ambito della fatturazione elettronica per la pubblica amministrazione.

Ulteriori difficoltà derivano anche nella fatturazione elettronica tra privati e in generale sullo scambio di documenti sottoscritti in modo qualificato tra soggetti sia pubblici che privati quando il campo di applicazione si estende al di fuori dell’Italia e quindi con regole, in generale, differenti da quelle nazionali.

A livello nazionale, in ogni caso, la Deliberazione CNIPA n. 45 del 21 maggio 2009 e successive modificazioni è abrogata.

WHITEPAPER
Trasformazione digitale per PMI: tutto quello che c’è da sapere
Dematerializzazione
Digital Transformation

@RIPRODUZIONE RISERVATA

Articoli correlati