La firma informatica, termine non tecnico per indicare le firme elettroniche e quella digitale, sta vivendo un presente di successo, tuttavia alcuni fronti critici non ancora risolti rischiano di creare intoppi: vediamo la situazione e gli scenari normativo e operativo
La situazione estremamente positiva di firma elettronica e firma digitale presenta ancora una serie di problemi poco noti e irrisolti che ne attenuano l’indubbio successo. Alle soglie dei venticinque anni anni dalla nascita del valore giuridico del documento informatico, con la Legge 59/97, è utile fare il punto della situazione sullo stato dell’arte della firma informatica (espressione utilizzata nei suoi scritti dalla professoressa Giusella Finocchiaro “in senso atecnico e inclusiva di tutte le differenti tipologie di firme elettroniche e della firma digitale”).
In questo articolo si descrivono alcune tappe fondamentali sulle firme, lo stato dell’arte attuale con gli ultimi dati disponibili sulla loro diffusione. Sono, infine, trattate le prospettive future sia nazionali che europee alla luce della proposta di modifica del Regolamento 910/2014 (eIDAS) pubblicata dalla Commissione Europea nel recente mese di giugno. La soluzione evolutiva nel breve termine è descritta con riferimento al futuro della firma rispetto agli strumenti di identità digitale italiani ed europei, la blockchain e i registri distribuiti.
Firme informatiche, il percorso dagli albori
Iniziamo il percorso con una sintesi degli eventi passati e in particolare con il DPR 513/1997 che, dopo la citata Legge 59/97 e con il DPCM 8 febbraio 1999 hanno posto le basi normative per l’utilizzo effettivo della firma digitale che diventava in parallelo storico, con termine equivalente, firma elettronica qualificata a seguito della pubblicazione della Direttiva Comunitaria 1999/93/CE. Nel breve giro di qualche mese la firma digitale, ben presente in Italia, viene affiancata, non senza problemi di coordinamento normativo, a quella qualificata europea.
Il mercato nazionale si sviluppa rapidamente e 8 soggetti si accreditano presso l’AIPA (oggi AgID) per l’emissione di firme digitali. Il primo sviluppo nell’utilizzo delle firme è nella norma che obbliga l’invio dei bilanci aziendali alle Camere di Commercio con firma digitale del rappresentante legale. Altri obblighi si sviluppano nella pubblica amministrazione con l’obbligo di gestire il documento informatico con valore legale e quindi completarne le formazione con l’apposizione della firma digitale.
In parallelo la normativa comunitaria introduce varie tipologie di firme, la firma elettronica, la firma elettronica avanzata e la firma elettronica qualificata. Tutte queste tipologie obbligano il legislatore nazionale a introdurre principi di efficacia probatoria e valore giuridico per le firme informatiche. La difficoltà di equilibrio giuridico su questi principi è evidenziata dalla costante modifica degli stessi in ogni versione del Codice dell’Amministrazione Digitale (CAD) a partire dalla prima versione del marzo 2005.
L’impatto del regolamento eIDAS
Tra alti e bassi il mercato della firma e l’utilizzo nella pubblica amministrazione crescono costantemente fino alla situazione odierna. Questo stato dell’arte è influenzato, ovviamente, dal Regolamento Europeo 910/2014 (eIDAS) che modifica in modo importante l’approccio comunitario e obbliga gli Stati membri, per la natura regolamentare, superiore a quella nazionale nella gerarchia delle fonti del diritto, a modificare le regole di ingaggio dei soggetti pubblici e privati che intendono offrire servizi connessi alle firme informatiche. Queste circostanze fanno scomparire il certificatore accreditato e nasce (nel 2016) il Prestatore di Servizi Fiduciari qualificato (QTSP – Qualified Trust Service Provider).
I numeri del mercato
Ad oggi in Europa sono attivi 206 QTSP e ben 159 emettono certificati qualificati per la firma. In questo scenario l’elenco di fiducia (termine derivante dalla normativa) italiano è, ad oggi, composto da 19 soggetti che emettono certificati qualificati per la firma. L’elenco è abbastanza stabile da qualche anno anche se due soggetti si sono aggiunti recentemente. Il mercato sarebbe ancora più ricco di soggetti qualificati se nel nostro ordinamento non fosse presente la barriera di ingresso di 5 milioni di euro di capitale sociale che blocca l’ingresso a molte piccole e medie imprese.
In tempi recenti, la capillare diffusione della fattura elettronica ha ulteriormente sviluppato il mercato della firma qualificata/digitale anche grazie al fiore all’occhiello nazionale della firma remota. Secondo i dati rilevati da AgID e diffusi fino a giugno 2021, sono stati emessi un totale di 26.265.987 certificati qualificati per la firma qualificata/digitale. L’81,65% è emesso per un utilizzo remoto, questa circostanza consente di avere i dati di utilizzo della sottoscrizione in modalità remota che sono pari a 2.202.413.066 (numero di firme digitali remote generate nel periodo Gennaio – Giugno 2021).
Firma digitale in Italia, i fronti critici
Quanto riportato è sinonimo di grande successo ma il sistema nazionale della firma qualificata/digitale presenta ancora dei problemi. La risoluzione di questi e l’evoluzione delle norme nazionali sulle nuove normative comunitarie rappresentano il futuro. Il futuro è anche nell’utilizzo di nuovi strumenti per la firma informatica da parte dei cittadini, prima di tutti la Carta di Identità Elettronica (CIE).
Ma andiamo per ordine. Se la diffusione del firma è altissima il problema della verifica della stessa si presenta in modo diffuso. In tempi recenti numerose applicazioni della pubblica amministrazione non verificavano come valide sottoscrizioni basate su certificati emessi in conformità al Regolamento eIDAS da soggetti europei. Il problema si è lentamente attenuato ma non è risolto. Il problema principale è nella genericità e vaghezza dei diagnostici di errore dei sistemi di verifica che se la cavano con un “Firma non valida” senza fornire maggiori e più dettagliate informazioni. E’ evidente che se viene emesso un diagnostico il software “conosce” il problema ma non lo esplicita.
Questa azione non porta a particolari vantaggi per l’utente medio che non possiede le competenze tecniche necessarie per comprendere la natura dell’errore; evidente il vantaggio per lo specialista che eviterebbe onerose verifiche del problema. A questo problema porterebbe giovamento anche un approccio meno bizantino nella verifica. In fondo una firma è buona se i principali parametri di sicurezza sono soddisfatti, il documento è integro, il certificato qualificato del titolare e valido e il QTSP è attivo.
Molti errori derivano da minuzie di bit su particolari formalismi nei formati delle firme elettroniche avanzate. Questi errori dovrebbero essere riportati come warning, vista anche la natura non obbligatoria di molte regole tecniche ai sensi della neutralità tecnologica prevista dalla normativa comunitaria. La situazione più paradossale è l’accettazione amministrativa di firme non verificate per non bloccare il procedimento amministrativo. In questa sede è altresì utile ricordare che la generazione e la verifica della firme qualificate e digitali possono essere servizi qualificati erogati da un prestatore di servizi fiduciari ai sensi del regolamento eIDAS. Nel cruscotto europeo indicato precedentemente, i soggetti attivi sono 17, nessuno è italiano. Esiste anche una standardizzazione ETSI sul tema che potrebbe essere utile per un migliore approccio alla tematica della verifica e della validazione delle firme qualificate/digitali.
La proposta di modifica da parte della Commissione Europea del Regolamento eIDAS contiene importanti novità sul tema della firma remota.
Regole tecniche non ancora diventate linee guida
Per completare il quadro della situazione attuale delle firme, in particolare a livello nazionale, non si può fare a meno di ricordare che le regole tecniche contenute nel DPCM 22 febbraio 2013 sono le uniche che ancora non hanno cambiato la loro forma giuridica in Linee guida ai sensi dell’articolo 71 del CAD. Tale DPCM è ampiamente non coordinato con il Regolamento eIDAS, il CAD e obsoleto anche nei confronti delle regole operative emesse da AgID. Nei fatti la applicazione del DPCM è quasi impossibile, perché le norme nazionali ivi contenute sono in contrasto con le prevalenti norme comunitarie.
Il futuro della firma informatica è iniziato con un ritorno alle origini causato dalla pandemia e dall’emergenza sanitaria. Le aziende hanno riproposto azioni commerciali dopo numerosi anni ricordando al mercato che con la firma digitale si possono firmare contratti e documenti con pieno valore legale e a distanza. Si è anche sviluppata l’offerta di piattaforme cloud di gestione delle transazioni digitali che utilizzano la firma informatica in modo strutturato al procedimento, anche amministrativo, garantendo l’evoluzione dell’utilizzo del documento informatico. Questo scenario (indicato spesso in letteratura come DTM – Digital Transaction Management) è in costante evoluzione ed è è prevedibile che anche la pubblica amministrazione ne venga influenzata nell’ambito dell’applicazione del principio del cloud first.
Il futuro delle firme
Il nuovo approccio all’identità digitale in Europa, rappresentato in Italia da SPID e CIE, introduce un altro scenario futuro per la firma. L’utilizzo dell’identità digitale è già attivo per l’accesso ai sistemi di firma remota. L’utilizzo di SPID per la firma dei quesiti referendari ne è la più limpida e recente testimonianza, visto anche il grande successo che ha avuto il servizio per lo sviluppo della democrazia digitale. Il tema futuro è se e come l’identità può essere direttamente associata ad una operazione di firma collegando direttamente al documento i dati della sessione di autenticazione del titolare. Questi principi saranno sviluppati nel nuovo Regolamento eIDAS come già evidente nella proposta presentata dalla Commissione Europea.
Per concludere le ipotesi sullo scenario futuro della firma si può affermare che si attende a breve la possibilità di verificare la firma elettronica avanzata apposta con la CIE utilizzando gli strumenti che gestiscono la verifica delle firme PAdES (Es. Acrobat Reader DC) su documenti in formato PDF. Le pubbliche amministrazioni avrebbero un potentissimo strumento nelle mani dei cittadini che, tramite la CIE, già oggi possono firmare con valore legale nei confronti della stessa pubblica amministrazione (cfr. art. 61, comma 2 del DPCM 22 febbraio 2013). Purtroppo gli ostacoli nella verifica e l’articolo 60 del medesimo DPCM ne frenano l’utilizzo con grave limitazione nella trasformazione digitale.
CIE e firma qualificata
L’attivazione della firma qualificata/digitale nella CIE sembra un altro scenario possibile e raggiungibile nel medio periodo. L’emissione della CIE potrebbe avere il supporto nell’emissione dei certificati qualificati da parte del Ministero della Difesa e i cittadini non sarebbero più limitati nelle sottoscrizioni che avrebbero lo stesso valore della sottoscrizione autografa, in conformità al Regolamento eIDAS. Il mercato dei QTSP non dovrebbe essere significativamente influenzato da questa circostanza.
La firma remota è ampiamente più user friendly in attività professionali soprattutto in termini di tempi di utilizzo. La diffusione di poco dell’82% del totale dei certificati di firma remota (rispetto a token e smart card) ne è evidente testimonianza. Una limitazione è certamente nella diffusione già attiva della CIE che è in possesso di circa 25 milioni di cittadini. Prima di una CIE con firma digitale oltre metà della popolazione ne sarebbe priva. Ulteriori sviluppi futuri sono nell’utilizzo di blockchain e registri distribuiti come previsto anche nella proposta di modifica del Regolamento eIDAS.
Certamente tramite questi strumenti è possibile emettere e gestire la firma informatica sia a livello legale che tecnico, ma ci si deve sempre chiedere se la maggiore complessità operativa è giustificata o è solo clamore da marketing. L’esperienza ci insegna che le cose troppo complicate hanno vita breve.