Un aspetto come la scadenza dei certificati della firma digitale, all’apparenza poco importante e semplice, nel contesto del digitale italiano viene trasformato in qualcosa di intricato ed oneroso. Cerchiamo di fare chiarezza, per capire il meccanismo della scadenza ed evitare spiacevoli conseguenze in caso non si presti attenzione a questo fattore.
Perché un certificato scade
Innanzitutto chiariamo, perché un certificato scade ed è possibile un solo rinnovo? A questa domanda viene spesso risposto: per motivi di sicurezza. Risposta che non è del tutto inappropriata. Il problema è che quando si cerca di approfondire, chiedendo di meglio specificare quale siano i problemi di sicurezza a cui ci si riferisce, la maggior parte delle persone ritiene che questi siano legati alla sicurezza del sistema di firma in sé, ossia agli algoritmi. Ma la parte algoritmica della firma non dipende affatto dal certificato, salvo per il fatto che il certificato è esso stesso un documento firmato digitalmente.
La parte algoritmica è estremamente sicura e molto presidiata da istituti di ricerca e istituzioni governative, gli standard elevatissimi e i margini di sicurezza presenti nella parte tecnologica della firma (non solo algoritmi ma anche hardware) sono di assoluta prudenza. Impensabile che i tempi di obsolescenza degli standard possano essere di pochi anni. Ma anche se si dubitasse di questa mia affermazione ci sarebbe un’argomentazione di tipo logico a sostegno: se la sicurezza riguardasse gli algoritmi crittografici, allora il problema sarebbe legato al fatto che il certificato, in quanto firmato con quegli algoritmi, sarebbe, dopo solo pochi anni, poco sicuro. Ma allora se così fosse non solo i certificati sarebbero insicuri ma tutti i file firmati digitalmente (il certificato non è diverso dagli altri file firmati digitalmente), che conseguentemente andrebbero trattati come i certificati, ossia dovrebbero scadere.
Cosa che così non è, perché, anche a livello normativo, non sono le firme a scadere ma i certificati. Ma anche perché, se così fosse, delle firme digitali non ce ne potremmo fare niente. Se dipendesse dagli algoritmi un certificato potrebbe tranquillamente durare 20 anni, come d’altronde già oggi avviene per i certificati delle CA stesse che tipicamente (basta verificare nel proprio browser) durano 15-20 anni. Quindi, perché un certificato scade?
Fondamentalmente per lo stesso motivo per cui ogni documento di identità scade. Perché scade dopo 3 anni e non 10 come la CdI? Non essendoci reali motivi tecnologici, allora non si può che concludere che sia una questione di “mercato”. Ogni rinnovo ci costa e quindi qualcuno ci guadagna. Più breve è il periodo di validità del certificato, maggiore il guadagno per la CA. Comunque, al di là del problema economico, prima o poi un certificato deve scadere e quindi con il problema della scadenza (o di altre forme di interruzione di validità del certificato) ci si deve comunque confrontare. Perché, non esiste solo la scadenza; anche se il certificato non scadesse mai, la necessità di “annullarlo” definitivamente (revoca) oppure interromperne temporaneamente la validità (sospensione) esisterebbe comunque. Basti pensare allo smarrimento/furto del dispositivo di firma.
Le conseguenze della scadenza e come evitarle
La scadenza dei certificati è un fattore alquanto delicato nel contesto della firma digitale dei documenti. Mentre per certificati utilizzati per altri scopi, quali ad esempio quelli per i siti web, la scadenza del certificato al più può interrompere il corretto funzionamento di un sito, ripristinabile semplicemente sostituendo il certificato scaduto con uno in corso di validità, nel contesto della firma digitale la scadenza ha ripercussioni ben più gravi. Perché è pur vero che la firma non scade mai (come ama sempre ricordarmi un amico) ma firmare oppure non poter mostrare che al momento della firma, il certificato non fosse scaduto, sospeso o revocato, rende (ovviamente) ogni firma digitale/qualificata basata su quel certificato non valida, ossia, ai sensi dell’art. 24 comma 4-bis del CAD, il documento senza sottoscrizione.
Un certificatore è in grado di verificare se un certificato ad una certa data fosse valido, ma fornire una data (certa) in cui collocare temporalmente il documento è onere di chi produce il documento. Questa è davvero una spada di Damocle che pende sulla firma digitale. Che deriva dal fatto che si utilizza uno standard nato per rendere sicure le trasmissioni di messaggi sulla rete, non tanto di doverle preservare per periodi prolungati. L’utilizzo di questa tecnologia esteso alla firma digitale ha reso evidente come un riferimento temporale certo da associare ad un documento firmato digitalmente sia un elemento essenziale di fatto, se non per legge.
Il problema del riferimento temporale
Per essere chiari: un file firmato digitalmente privo di un riferimento temporale certo non serve. Ovviamente a livello tecnologico una soluzione standard è presente: la marca temporale. Una marca temporale non è altro che un’altra “firma” dove all’impronta del documento è associata una data ed un’ora certificati da apposite autorità (TSA, time stamp authority). Curiosamente, una marca temporale è essa stessa firmata con un certificato ma dura 20 anni, e lo fa perché è obbligo della TSA, conservare le marche emesse per tale periodo (art. 53 del DPCM 22 febbraio 2013, le regole tecniche sulla firma).
Anche a livello di standard europei, le norme ETSI sui formati di firma prevedono particolari estensioni (livelli) che incorporano nel file stesso anche una marca temporale (livelli B-T, B-LT e B-LTA) e in alcuni anche le informazioni relative alla verifica stessa. Le stesse specifiche, al capitolo 6, raccomandano l’uso di questi formati in caso di necessità di mantenere valide le firme oltre la scadenza dei certificati. Basterebbe quindi fare in modo che ogni firma nascesse con la sua marca temporale incorporata per risolvere il problema alla radice. Almeno per gli anni coperti dalla marca temporale.
D’altronde per documenti informatici da conservare per lungo tempo non basterebbe più un riferimento temporale, ma sono necessari trattamenti ben più complessi in grado di mantenere il documento valido anche a fronte di problematiche specifiche del lungo periodo quali ad esempio l’obsolescenza dei formati. Per questi documenti la soluzione è un’altra: il deposito presso appositi sistemi pensati per la conservazione del lungo periodo.
Ciò nonostante, sebbene la soluzione sia ormai alla portata, ancora l’utilizzo delle marche temporali è poco diffuso, ultimamente quasi deprecato. E il problema della conservazione della validità delle firme oltre la scadenza del certificato così permane, quasi come se fosse una cosa voluta, un utile grimaldello per forzare altri tipi di soluzioni. Ai tempi delle regole tecniche per la firma (l’ormai lontano 2013, si attendono infatti con ansia le LLGG aggiornate) la marca temporale non era una soluzione sempre agevole (serve essere online), e anche costosa. Per questo vennero introdotte delle “alternative”, quali la data riportata sulla segnatura di protocollo della PA, le PEC ed il riversamento nei sistemi di conservazione a norma.
Tutti metodi non pienamente convincenti: il primo, valido solo per la PA, ha poi dovuto prevedere a sostegno il versamento del giornaliero del registro di protocollo nel sistema di conservazione e successivamente è diventato quasi inutile, visto che la PA, ai sensi dell’art.44 del CAD, deve versare tutti i documenti nel sistema di conservazione; il secondo, quasi ridicolo, perché la PEC contiene sì all’interno una data valida, ma non in forma di marca temporale, come molti credono, bensì semplicemente come testo riportato nella ricevuta, firmata digitalmente dal gestore del servizio, e quindi anch’essa soggetta al problema della scadenza del certificato (che potrebbe scadere in teoria prima ancora di quello del documento trasmesso, salvo l’obbligo del gestore di conservare le ricevute per 3 anni); il terzo, oltre che costoso, sembra davvero spropositato, specie per i documenti che richiedono periodi di conservazione (tipo quelli fiscali ad esempio) limitati.
Proposte per superare i fronti critici
Un problema che sembra semplice e di facile soluzione (almeno dal punto di vista tecnico) si è invece trasformato in un qualcosa di estremamente intricato. Ciò ha inevitabilmente condotto alla tendenza attuale, anticipata anche dall’Agenzia delle Entrate nell’ambito della fatturazione elettronica, che vede nel riversamento in sistemi di conservazione a norma, visti come unica soluzione per garantire la validità giuridica dei documenti informatici, tutti i documenti digitali che siano da conservare per legge, anche se per periodi limitati. Inclusi i privati, come sembra emergere anche alla modifica dell’art.44 comma 1-ter del CAD, introdotta dal DL Semplificazioni.
Non si può sempre commettere l’errore di richiedere al digitale cose che prima del suo avvento non erano richieste, specie se non strettamente necessarie; non si possono caricare sul digitale oneri tecnici, organizzativi ed economici che prima non c’erano. Così facendo il digitale non decollerà mai, non solo nella PA, ma anche fra i privati. Se prima una fattura era un pezzo di carta, non firmato, tenuto in un armadio del contabile, ora che invece è firmata digitalmente, inviata al Sistema di Interscambio, trasmessa su canali sicuri ecc. non è possibile che non possa essere tenuta, come prima, non nell’armadio, ma sui propri sistemi senza ulteriori oneri economici e tecnico/organizzativi. Apporvi una marca (magari contestualmente alla firma) garantirebbe integrità, immodificabilità e provenienza.
