Dopo quasi sei anni (1° luglio 2016) dalla piena attuazione del regolamento europeo 910/2014 (eIDAS) si riscontrano ancora significativi problemi di verifica della firma qualificata o digitale. Vediamo qual è lo stato dell’arte e cosa si può fare per migliorare la situazione.
Le parole “verifica” e “convalida” usate nel titolo sono conformi a quanto stabilito con l’articolo 3 del regolamento eIDAS dove al numero 41) si definisce che
41) “convalida”: il processo di verifica e conferma della validità di una firma o di un sigillo elettronico.
Gli utenti della firma digitale sanno che il procedimento di verifica di una firma qualificata può portare a un diagnostico di “firma non valida” senza che il soggetto che effettua la verifica disponga di dettagli sul motivo dell’errore segnalato.
I motivi che possono portare a questo messaggio diagnostico possono essere vari.
Il documento sottoscritto risulta non essere integro, gli algoritmi crittografici utilizzati non sono conformi alla normativa europea.
Possono essere obsoleti o con lunghezza delle chiavi non adeguata o con calcolo dell’impronta di lunghezza non adeguata allo stato dell’arte. Tutto questo certamente può accadere ma nella realtà accade che la verifica fallisce molto spesso per qualche bit “fuori posto”.
Negli ultimi mesi poi si riscontra un non adeguato aggiornamento delle procedure di verifica delle firme qualificate europee (provenienti da soggetti qualificati in Stati membri esteri) da parte delle pubbliche amministrazioni italiane. Le procedure di verifica messe a disposizione dai prestatori di servizi fiduciari qualificati in Italia ai sensi dell’articolo 42, comma 8 del DPCM 22 febbraio 2013 (Regole tecniche per le firme avanzate, qualificate e digitali) sono generalmente valide rispetto ai formati europei ma le pubbliche amministrazioni che accettano sottoscrizioni online non fanno altrettanto in numerosi casi, peraltro in diminuzione, dopo spesso lunghe trattative e garbate segnalazioni da parte degli interessati.
Numerosi problemi si riscontrano anche con la verifica di firme in formato PAdES (file di riferimento in PDF). La mancanza di uno strumento standard che in fase di verifica non si limiti alla verifica con errori generici crea difficoltà e situazioni paradossali.
A chi scrive sono capitate situazioni dove sottoscrizioni palesemente non valide sono state accettate “per non bloccare il procedimento amministrativo” e naturalmente questi documenti sono stati protocollati anche se non erano rispettati i requisiti di corretta formazione del documento come da DPCM 13 novembre 2014.
Numerosi soggetti europei basano le loro verifiche sul Digital SIgnature Service (DSS) messo a disposizione dalla Commissione Europea
Si ribadisce che questo approccio purtroppo non è adottato in modo efficace dalla pubblica amministrazione nazionale, anche se con interventi puntuali la situazione va lentamente migliorando.
Per dare adeguato supporto alla situazione anche AgID ha pubblicato indicazioni e chiarimenti legali sul proprio sito come visualizzabile alla pagina seguente:
La situazione potrebbe essere stabilizzata e resa omogenea utilizzando la recente emissione di specifiche tecniche nell’ambito della realizzazione delle previsioni del regolamento eIDAS.
Ricordiamo che in questo regolamento, tra i servizi fiduciari sono compresi anche quelli per la creazione, la verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche.
All’interno del medesimo regolamento sono stabiliti specificamente i requisiti per la convalida delle firme elettroniche qualificate (articolo 32).
Quest’ultima norma è piuttosto strutturata e prevede che il processo di convalida di una firma elettronica qualificata conferma la validità di una tale firma purché siano soddisfatti una serie di requisiti.
In particolare:
il certificato associato alla firma fosse, al momento della firma, un certificato qualificato di firma elettronica conforme all’allegato I del regolamento eIDAS;
il certificato qualificato è stato rilasciato da un prestatore di servizi fiduciari qualificato ed è valido al momento della firma;
i dati di convalida siano corrispondenti con quelli trasmessi alla parte facente affidamento sulla certificazione;
l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione;
l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione, se uno pseudonimo era utilizzato al momento della firma;
la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata;
l’integrità dei dati firmati non sia stata compromessa;
i requisiti base di una firma elettronica avanzata fossero soddisfatti al momento della firma.
Il regolamento eIDAS stabilisce nel medesimo articolo che il sistema utilizzato per convalidare la firma elettronica qualificata fornisce alla parte facente affidamento sulla certificazione (la persona fisica o giuridica che fa affidamento su un’identificazione elettronica o su un servizio fiduciario) il risultato corretto del processo di convalida e le consente di rilevare eventuali questioni attinenti alla sicurezza.
Il regolamento eIDAS stabilisce regole anche per il servizio di convalida qualificato delle firme elettroniche qualificate che può essere prestato solo da un soggetto qualificato e, nota particolare, consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato.
Analizzando l’elenco di fiducia comunitario (Trust List) con lo strumento messo a disposizione dalla Commissione Europea
si riscontra la presenza di 21 (alla data del 17 febbraio 2022) prestatori del servizio qualificato di validazione delle firme. Vista la similitudine tra firme e sigilli tutti questi soggetti hanno qualificato l’analogo servizio per i citati sigilli.
In ETSI si è completato il procedimento di emissione di specifici documenti tecnici (TS – Technical Specification) che ha prodotto i seguenti documenti:
TR 119 100 v1.1.1 Guidance on the use of standards or signature creation and validation.
TS 119 101 v1.1.1 Policy and security requirements for applications for signature creation and signature validation.
TS 119 102-1 v1.2.1 Procedures for Creation and Validation of AdES Digital Signatures, Part 1: Creation and Validation.
TS 119 102-2 v1.1.1 Procedures for Creation and Validation of AdES Digital Signatures, Part 2: Signature Validation Report.
TS 119 441 v1.1.1 Policy requirements for TSP providing signature validation services.
Un elevato numero di standard (classe documentale EN) è stato pubblicato da ETSI per definire I formati dei certificate e delle firme elettroniche avanzate. Questo particolare aspetto non è oggetto del presente documento.
In questa sede si descrive la tematica della verifica e convalida delle firme alla luce di questi standard appena puntualmente indicati.
Affinché questi standard siano pienamente applicabili in conformità al regolamento eIDAS si dovrà attendere la pubblicazione della specifica decisione di esecuzione della Commissione europea.
Naturalmente gli Stati membri possono procedere autonomamente applicando gli standard senza che questo sia impedito da alcuna normativa.
Le policy contenuta nella specifica 119 441 sono la base per il procedimento di qualifica dello specifico prestatore di servizi fiduciari.
Di particolare rilevanza e novità è invece la specifica 119 102-1 che in modo articolato e dettagliato fornisce le metodologie per generare, verificare e convalidare le firme.
La specifica di 79 pagine è molto complessa e conferma sostanzialmente gli aspetti ben noti nella generazione della firma in linea con il nostro CAD.
E’ comunque apprezzabile che tutti gli elementi che coinvolgono la sottoscrizione siano definiti e descritti (Es. il documento da sottoscrivere, la presentazione di questo al sottoscrittore, gli attributi della sottoscrizione, ecc.).
Decisamente innovativa è l’introduzione nella convalida della firma di un modello di riferimento ben specificato.
Nell’ambito del procedimento di verifica si stabiliscono tre stati di verifica:
TOTAL-PASSED: nel caso che i controlli crittografici (compresi i controlli delle impronte dei documenti a qualsiasi titolo calcolate sugli oggetti) abbiano esito positivo insieme alle politiche di convalida della firma.
TOTAL-FAILED: nel caso i controlli precedenti falliscano ovvero il certificato digitale non è valido al momento della sottoscrizione o perché la firma non è conforme ai formati stabiliti negli standard di base per quanto attiene ai componenti di formazione dei formati stessi.
INDETERMINATE: quando non ci si trova in nessuno degli stati precedenti.
Questi nuovi paradigmi consentono un nuovo approccio alla verifica della firma. Certamente dobbiamo continuare a verificare che il documento sottoscritto sia integro, che il firmatario sta utilizzando un certificato valido o che sono soddisfatti alcuni specifici requisiti della firma come, ad esempio, l’appartenenza del firmatario ad un ordine professionale.
Gli stati della convalida devono essere dettagliati in modo standard nel report di convalida e ogni decisione operativa è comunque predefinita e deve essere conforme ad una precisa regola stabilita in questa specifica.
Questa metodologia consente di migliorare il procedimento attuale applicato dai prestatori di servizi fiduciari attualmente qualificati in Italia (ma anche in Europa). Allo stato attuale si applicano le regole di dettaglio AgID (le regole tecnologiche contenute nelle deliberazioni e determine, peraltro da aggiornare in ottica comunitaria) e gli standard sui blocchi base di costruzione dei documenti firmati (CAdES, PAdES e XAdES).
In questo nuovo contesto europeo la verifica di una firma è un’operazione vincolante, su regole precise e comportamenti errati o fraudolenti comportano sanzioni anche economiche come per tutti i servizi fiduciari qualificati.
Oggi le verifiche vengono condotte sulla base di inevitabili interpretazioni dei certificatori (che ricordiamo sono qualificati solo per l’emissione di certificati qualificati e validazioni temporali) con il risultato di avere diagnostici di “firma non valida” senza avere informazioni specifiche sulla natura del problema.
Sarebbe molto positivo se l’AgID affrontasse il tema cruciale, sviluppando delle specifiche Linee Guida. Questo consente un grande salto di qualità e incremento di efficienza al mercato nazionale che costituisce ampiamente il maggiore utilizzatore europeo e mondiale di firme digitali con circa 22 milioni di certificati qualificati attivi (fonte AgID).
Ma risulterebbe estremante utile anche la possibilità di disporre in sede di verifica della firma di diagnostici completi che consentano agli specialisti di valutare la natura specifica del problema consentendo anche lo sviluppo di una professione specifica per il grafologo digitale ovvero quella ipotetica figura professionale simile al notaio che “sigilla” elettronicamente la verifica della validità di una sottoscrizione informatica.