Firma digitale

Ciao a tutti,

Bene, come promesso, qualche rapido appunto
sulla firma digitale. Su questo uscira' un
servizio (un po' piu' ordinato... ;-) su
Week.it (ex Pc Week Italia, di Mondadori
Informatica; vi diro' quando, ma devo ancora
fare due o tre interviste).

Mooolto in breve, per non annoiare tutti....

Innanzitutto, schematizzo i punti piu' controversi, riportando in merito
il parere dell'Aipa:

  • Per la firma digitale e' tutto pronto da luglio scorso (pubblicazione
  • dell'elenco delle Cert.
    Aut. sulla G.U.).

  • Il fatto che il registro dei certificatori non
  • sia ancora stato firmato (digitalmente) dal Centro Tecnico del Ministero
    non e' rilevante ai fini dell'operativita' della legge.

  • La bozza di aggiornamento del dCPM e' gia' stata consegnata al Consiglio
  • dei Ministri; la novita' e' che inizia ad allinearsi alla normativa
    europea.

  • Per l'allineamento alla normativa europea verra' preparato a breve
  • (sempre dall'Aipa) un nuovo testo.

  • Sull'archiviazione dei documenti su supporto ottico: anche il Ministero
  • delle Finanze (finora restio ad accettarla) sta preparando una circolare
    interna in merito che dovrebbe sciogliere ogni dubbio; in ogni caso e'
    gia' possibile "buttare via" il cartaceo.

    Passiamo a un discorso piu' generale e a quanto emerso dalle interviste ai
    certificatori.

    Dopo la pubblicazione del dPCM di febbraio (1999) e del registro dei
    certificatori (luglio 2000), il quadro normativo per la firma digitale e'
    pronto. Il Testo Unico approvato nel febbraio scorso (2001), in prima
    stesura conteneva alcune ambiguita', poi eleminate; nella versione
    definitiva recepisce soltanto la normativa gia' in vigore (per il dPCM si
    veda l'art. 75 del T.U.).

    Ci sono comunque due importanti scadenze legislative.
    Il dCPM e' valido solo per due anni, e, come gia' detto, e' pronta la
    nuova bozza (sto cercando di averne una copia). Entro luglio ci dovra'
    essere l'allineamento alla direttiva europea, che e' meno prescrittiva e
    che prevede, oltre alla firma che si potrebbe definire "qualificata" (come
    quella italiana), firme meno regolamentate.

    Nel frattempo, i certificatori hanno costituito
    lo scorso gennaio Assocertificatori, un organismo che, mi e' parso di
    capire, ricevera' una sorta
    di riconoscimento anche giuridico da parte dell'Aipa, e hanno iniziato a
    operare.

    Il sw piĆ¹ diffuso per l'attivita' dei certificatori e' di Baltimore; sul
    versante utente esistono oggi diverse soluzioni (non moltissime), alcune
    proprietarie degli enti di certificazione. In linea di massima, non e'
    interesse dei certificatori vendere il sw. per
    gli utenti; spesso gli enti lasciano la scelta del sw.
    abbastanza libera. Il costo del certificato per l'utente finale e' di
    circa 18 mila lire, piu' 12 mila lire per il rinnovo (ogni anno). Il time
    stamping costa 150 lire.
    L'hw necessario costa tra 50 e 100 mila lire.
    Molti certificatori forniscono anche sw di crittografia (non richiesto
    dalla normativa).

    Finora si tende a lavorare "a progetto". I progetti avviati sono ancora a
    carattere sperimentale e di test.
    I certificatori hanno emesso non piu' di qualche migliaio di certificati a
    testa (fa eccezione Ssb, con 500 mila certificati, emessi pero' prima
    dell'entrata in vigore della normativa).
    Qualcuno degli enti si lamenta perche' le smart card non sono ancora
    disponibili in tempi rapidi e in numero sufficiente. Un'altra difficolta'
    e' individuata nell' obbligo di conformita' alle norme Itsec, ritenute
    troppo rigide.

    Anyway, secondo tutti, il 2001 sara' l'anno del decollo effettivo della
    firma digitale (il che rendera' felice Carlo Paolini, che ringrazio per
    la collaborazione).

    Sono disponibile in privato per ulteriori chiarimenti; tenete comunque
    presente che la materia e' "ostica"
    e molto complessa, e che su molte questioni i
    pareri sono decisamente contrastanti.

    Sono benvenuti i commenti (sempre in privato, direi; non facciamo
    addormentare tutti).

    Ciao, Fabio.

    -- Fabio Metitieri
    http://space.tin.it/computer/f metitie
    "Adsl ergo sum" (f.m.)