Mi è capitato, nelle ultime settimane di riscontrare una dozzina di non conformità nei vari formati di firma digitale, nelle liste di revoca e in alcune incapacità elaborative di verificatori con firme multiple. Si tratta ovviamente di sfortuna dello scrivente e molti sosterranno che tali problemi non esistono. Ma in verità non è così e nel seguito provo a spiegare perché.
Una storia lunga vent’anni
La storia che si racconta in questa sede è iniziata circa venti anni fa. Nell’allora Autorità per l’Informatica nella Pubblica Amministrazione (AIPA) un notaio facente parte della cosiddetta Commissione firma digitale fece notare che non si aveva alcuna certezza che la firma digitale generata con il software del certificatore X potesse essere verificata con il software del certificatore Y. All’epoca esistevano 8 certificatori accreditati ai sensi del mitico DPCM 8 febbraio 1999, primo decreto con regole tecniche sulle sottoscrizioni. L’AIPA attivò un gruppo di lavoro coordinato da uno commissari e iniziò lo scambio di documenti sottoscritti al fine di verificare la circolarità delle sottoscrizioni digitali. Il termine interoperabilità era già utilizzato ma si riferiva allo scambio dati tra pubbliche amministrazioni nell’ambito del cosiddetto modello di cooperazione applicativa.
I risultati del gruppo di lavoro furono positivi e la circolarità completa fu raggiunta dopo essere partiti da zero certificatori che verificavano la firma di altri e addirittura uno che non verificava nemmeno se stesso.
Dopo breve tempo queste aziende si associarono in Assocertificatori e spontaneamente all’interno di questa organizzazione si svolgevano dei “plug test” periodici per “testare” quanto mutuo riconoscimento (è il termine utilizzato nel regolamento 910/2014 – eIDAS) ci fosse tra gli associati. Per le società nuovamente accreditate e non associate era l’Ufficio diretto da chi scrive a gestire i risultati dei test nel Centro Nazionale per l’Informatica nella Pubblica Amministrazione (CNIPA subentrato all’AIPA dopo la soppressione di questa da parte del Ministro per l’innovazione e le tecnologie Lucio Stanca) e a garantire un livello di mutuo riconoscimento elevatissimo.
Cosa sta succedendo
E arriviamo ai giorni nostri. Negli ultimi tre mesi, nonostante la mia attività sia ben diversa, mi sono trovato a verificare una serie di firme digitali e anche sigilli elettronici ovvero la nuova fattispecie di servizio fiduciario introdotta dal sopra citato regolamento eIDAS.
I risultati sono tutt’altro che incoraggianti e l’evento di punta è di qualche giorno fa dove un documento firmato è stato respinto da un prestatore di servizi fiduciari qualificato (QTSP – Qualified Trust Service Provider) per non validità della firma mentre era verificato correttamente da altri nove software (tutti segnalati dall’Agenzia per l’Italia Digitale che rilancia le segnalazioni del mercato e ovviamente non può entrare in merito sulla qualità del prodotto per mancanza di strumenti adeguati).
Cosa genera il caos
Questo scenario scatena alcune riflessioni. La prima è che i problemi riscontrati sono il normale risultato dell’elevatissimo numero di sottoscrizioni che si producono in Italia. Poi un notevole contributo al “caos” è dato dalle nuove regole tecniche europee che hanno definito tre formati per le sottoscrizioni:
- il CAdES, lo storico formato evoluzione del PKCS#7 da sempre caratterizzato dall’estensione del file firmato .p7m;
- il PAdES, utilizza le basi del PDF come stabilito nella specifica pubblica ISO 32000
- lo XAdES, un CAdES che utilizza le sintassi, gli schemi e le tassonomie dell’XML.
Rivedere l’approccio alla modalità di verifica
Ma se esistono numerose giustificazioni ai problemi riscontrati è comunque indispensabile agire per evitare casi gravi di respingimento di documenti sottoscritti per interpretazioni personali del singolo QTSP sia in sede di generazione della sottoscrizione che di verifica della stessa.
Si ritiene che il livello di errore sia non “tragico” ma abbastanza significativo da sollecitare presso i QTSP una iniziativa di verifica del mutuo riconoscimento che comprenda anche una revisione dell’approccio alle modalità di verifica. Molto spesso i verificatori restituiscono un generico errore di “firma non valida” che non fornisce gli elementi minimi al sottoscrittore (ovviamente al suo consulente tecnico) per capire quale sia il vero problema della mancata verifica.
E’ quindi indispensabile che i paradigmi della verifica siano su più livelli di analisi. Nella sottoscrizione gli elementi cruciali da verificare non sono molti. La qualifica del TSP, l’integrità del certificato digitale che attesta l’identità del sottoscrittore (il non ripudio) e la sua validità, l’integrità del documento sottoscritto basata sull’impronta del documento sottoscritto.
Altre amenità o estensioni come il titolo professionale del sottoscrittore o particolarissime estensioni sono dettagli imposti dallo standard e la loro non conformità allo stesso dovrebbe essere segnalata lasciando al destinatario la facoltà di respingere (su una base predefinita normativamente) o accettare il documento sottoscritto.
Interventi del legislatore e di Agid
Il Legislatore è già intervenuto più volte sul tema ma l’efficacia di quanto previsto nel DPCM 22 febbraio 2013 nell’articolo 63, comma 3 è limitata. Tale comma stabilisce che
“3. Eventuali difformità nella generazione delle firme digitali, delle firme elettroniche qualificate, dei certificati qualificati e delle marche temporali, alle regole tecnologiche di cui al Titolo II, che non ne mettano a rischio la sicurezza, non ne inficiano la validità. L’Agenzia valuta tali difformità e rende note le proprie decisioni sul proprio sito internet.”
L’AgID è intervenuta varie volte ma in tempi più recenti non si hanno evidenze di ulteriori interventi stante anche le numerose modifiche organizzative che hanno modificato l’allocazione delle competenze all’interno dell’Agenzia.
Concludiamo sostenendo in modo convinto che l’AgID deve riprendere le fila di una situazione non drammatica ma pericolosa e comunque generatrice di inefficienze, di esclusione da gare di appalto, di scarto di fatture elettroniche, quest’ultimo tema ad elevatissima criticità con l’avvio della fatturazione elettronica tra privati. In questo senso sarebbe utile rivedere il procedimento di verifica separando gli elementi cruciali della sottoscrizione da non conformità minori.
Particolare attenzione deve essere prestata anche nei confronti del PAdES che spesso introduce elementi di discussione poi raramente definitivamente risolti.
In questo senso il coinvolgimento efficace di ADOBE è indispensabile vista la diffusione del Reader che è sempre più utilizzato per le sottoscrizioni PDF.
I problemi dei QTSP
Non esenti da problemi anche i QTSP che hanno liste di revoca non aggiornate (un paio proprio in questi giorni) e il verificatore comunitario che dovrebbe essere il riferimento ma che non è esente da problemi nelle verifiche di particolari sottoscrizioni come il cosiddetto PAdES-BES.
Attendiamo anche la messa in opera dei nuovi standard ETSI TS 119 102-1 e TS 119 102-2 sulle procedure di creazione e verifica delle sottoscrizioni.
E speriamo di mantenere il primato ineguagliabile di sottoscrizioni associato anche ad un adeguato livello di qualità del sistema. Che va aggiornato per renderlo più semplice e comprensibile ai non tecnici.