Sono anni che medito di scrivere un libro sulla firma digitale: grazie alla mia pigrizia atavica questo è per ora il modestissimo risultato. Se la mia speranza di una lunga vita si avvererà, forse le generazioni future avranno il privilegio (!?!) di leggere il libro completo. Per ora i poveri lettori devono accontentarsi di queste poche pagine, nella speranza, alla fine di una rapida lettura, di aver avuto finalmente la possibilità di capire meglio cosa significa la firma digitale, e con il rischio di essersi ulteriormente complicate le idee.
La prima versione di questo libretto risale al 2005. Dopo cinque anni di profonda meditazione ho aggiunto il capitolo relativo alla marca temporale (sei pagine), e dopo altri due ho ritoccato qua e la per tentare di chiarire, nel limite del possibile, gli arcani legati alle ultime normative europee e italiane (CAdES, PadES, XadES, TSR, TSD e altre chicche).
Comunque questo che state leggendo ha la pretesa di essere un piccolo contributo chiarificatore alla comprensione del mondo che ruota intorno alla firma digitale.
Da anni si parla ormai di questo argomento, e delle mirabilia annesse e connesse. Nella pratica, sino ad ora (anno 2011) gli unici effetti visibili al grosso pubblico, perlomeno in ambito Italiano, sono due: la chiavetta che si chiude nei browser navigando in Internet, segnalando in tal modo che si entra in “siti protetti” (da cosa ?); le SmartCard e le chiavette crittografiche USB rilasciate dagli enti certificatori accreditati e utilizzati dalle aziende prevalentemente per lo scambio con l’Agenzia delle Entrate.
Per le aziende non è cambiato molto rispetto alle prime SmartCard rilasciate nei primi anni 2000 dalle Camere di Commercio per la firma digitale aziendale delle dichiarazioni dei redditi, (quelle che erano finite, quasi tutte, nelle casseforti dei commercialisti insieme alle relative password protettive - PIN). Ben poca cosa per una innovazione che avrebbe permesso, almeno potenzialmente, di eliminare gran parte della carta all’interno di organizzazioni, aziende, enti, con risparmi sensibili sia in termini economici che ecologici.
La realtà è più complessa e articolata. Diversi progetti, su scala nazionale e locale, sono in fase avanzata di realizzazione, e stanno preparando un tessuto normativo, tecnologico e organizzativo di tutto rispetto. Ma non siamo ancora arrivati al punto di innesco della reazione a catena che porterà la firma digitale a trovare una applicazione diffusa e capillare. Manca la scintilla che può scatenare la reazione, e le informazioni disponibili sono tante, frammentarie e scoordinate.
Navigando in Internet sino a qualche anno fa i motori di ricerca ritornavano uno sproloquio di siti in cui si trovava di tutto e di più, ma sopratutto miriadi di personaggi esoterici (praticoni, pseudo-esperti, maghi, chiaccheroni, avvocaticchi, aiuti contabili e simili ammenicoli) che parlavano a sproposito di algoritmi di firma, di chiavi pubbliche e segrete, di credenziali di firma, di verifica, e di tante altre cose, senza sapere di cosa stessero effettivamente parlando.
E pure avari di notizie erano i fornitori delle tecnologie sviluppate a corredo della firma digitale: SmartCard, lettori di SmartCard (che in effetti permettevano anche di scriverle, ma nessuno lo diceva), HSM, software di firma e di verifica, PKI, prodotti aderenti a tutti gli standard del pianeta (che come risultato immediato spesso non riuscivano nemmeno a essere interoperabili, ovvero compatibili, con sè stessi).
Oggi la situazione è in parte migliorata (i venditori delle bancherelle Internet sono finiti nelle ultime pagine dei motori di ricerca), ma in quanto a chiarezza ancora poca – il discorso si sta spostando sulle dematerializzazione, la Conservazione Sostitutiva, la PEC, ... – ma la firma digitale continua ad essere una grande sconosciuta, e come tale una cosa che forse è meglio evitare.
3
Firma Digitale e Non
In mezzo a questo baluginare di sigle, discorsi, articoli, l’unica cosa che forse si riesce a capire, è che in un mondo sempre più rivolto all’open-source una pletora di non ben definiti professionisti e aziende stanno operando ancora in base al più misero approccio proprietario1. Alla faccia della tanto decantata democrazia elettronica, di cui la firma digitale dovrebbe essere una delle punte di diamante!
Pessimismo a parte, la firma digitale rappresenta una sfida formidabile (come dicono i cuginetti di oltre oceano).
Credo sia giunto alfine il momento di accettarla …
Clizio Merli
1 Mi è capitato anche di interagire con distributori che dovevano chiedere il permesso alla società costruttrice per rispondere a domande banali, quali le caratteristiche di performance di firma, o la tipologia di interfacce standard supportate dai loro prodotti.
4
Firma Digitale e Non