Le firme digitali italiane sono fuori da ogni normativa di legge. Così afferma il blog più noto su questa materia, www.firmafacile.it. Infatti i servizi proposti sul mercato italiano dal 1° novembre 2011 non sono compatibili con le procedure di valutazione e certificazione della sicurezza previsti dalla normativa vigente.
Una realtà molto confusa e che vede coinvolti quasi 7,5 milioni di utenti. La statistica è impietosa ed occorre fare chiarezza: un HSM su tre è conforme e quelli fuorilegge sono ugualmente utilizzati e ritenuti regolari, anche se non lo solo affatto. Ma partiamo dal motivo per cui ci dobbiamo affidarci alla firma digitale. Lo spiega bene il blog firma facile.it, con Federico Berti Arnoaldi: “La firma digitale è una cosa utile che permette di evitare l’uso della carta, riducendo i costi e snellendo le attività nelle aziende e nella Pubblica Amministrazione. Per fare firme digitali è necessario essere dotati di un dispositivo sicuro per la loro generazione, costituito da una smartcard o da un token USB o da un server di firma cosiddetto Hardware Security Module (HSM), la cui sicurezza deve essere accertata da un organismo pubblico, rappresentato in Italia dall’OCSI, l’Organismo di Certificazione della Sicurezza Informatica che fa parte del ministero per lo Sviluppo economico”.
Il tempo per mettersi in regola c’è stato, eccome. Ben 21 mesi per i produttori degli HSM, un periodo molto lungo e nel quale solo uno ha effettivamente le carte in regola. Ma ciò poco importa. Infatti i dispositivi non certificati continuano ad essere utilizzati e proposti ad ignari utilizzatori sia pubblici che privati.
Ma continuiamo a snocciolare i numeri: in Italia le firme digitali remote rilasciabili ammontano a 7.400.000 unità, che rappresentano oltre il doppio dei certificati di firma digitale rilasciati principalmente su smart-card o chiavette USB. Una quantità considerevole aggravata dal fatto che la maggior parte di essi non si rende conto di non essere al sicuro. La DigitPA, la ente nazionale preposto a vigilare sui certificatori di firma digitale, si trova quindi nella posizione di dover intervenire quanto prima per normalizzare la situazione. Non solo. La protesta potrebbe allargarsi agli utenti stessi visto che la propria firma non avrebbe la validità presunta.Una telenovela che continuerà ancora a lungo se il Governo non provvederà ad imporre le normative vigenti.
(www.bitmat.it)
