Nel 2023 circa un milione di certificati di firma elettronica qualificata (ossia il 25% dei certificati qualificati di firma digitale attivi, ospitati su smart card o token), saranno revocati e, pertanto, le firme digitali apposte con tali dispositivi non saranno più valide, per il venir meno della catena di trust eIDAS.
A comunicarlo è stata l’Agenzia per l’Italia digitale (AGID), dopo la notifica ricevuta dall’agenzia francese ANSSI (Agence nationale de la sécurité des systèmes d’information, organismo designato in Francia ai sensi dell’art. art. 30, c1 del Regolamento eIDAS per la certificazione dei dispositivi per la firma elettronica qualificata) dell’imminente revoca di 2 secure electronic signature creation devices (SSCD) e qualified electronic signature creation devices (QSCD) dall’elenco notificato alla Commissione europea.
AGID, da parte sua, ha già provveduto ad informare le software house, nella loro qualità di prestatori di servizi fiduciari qualificati, in modo tale che possano mettere in atto in tempi brevi, insieme ad amministrazioni, aziende e professionisti clienti che utilizzano tali dispositivi per la generazione di firme digitali, un piano di sostituzione che preveda l’utilizzo di dispositivi alternativi certificati e con tecnologie più recenti.
È chiaro però che nel futuro ci saranno altri “secure electronic signature creation devices” che saranno revocati: è quindi inevitabile pensare che i certificati qualificati di firma digitali ospitati su smart card o token saranno destinati ad una progressiva scomparsa. Questa ipotesi non deve creare allarmismo tra i professionisti che attualmente utilizzano un dispositivo fisico per autenticarsi e firmare digitalmente, perché esistono servizi digital trust utilizzabili senza la necessità di disporre materialmente di token o smart card.
Non bisogna dimenticare infatti che con la pubblicazione in Gazzetta ufficiale della legge n.120/2020 è diventato operativo l’insieme di norme volto a rimodulare la governance del digitale e ad accelerare la digitalizzazione dei servizi pubblici, oltre che a semplificare i rapporti tra pubblica amministrazione e cittadini, anche in un’ottica di superamento del divario digitale, con particolare attenzione all’accesso agli strumenti informatici da parte delle persone con disabilità.
Le credenziali uniche per i rapporti con la Pubblica Amministrazione
Dal 28 febbraio 2021 tutte le amministrazioni hanno dovuto iniziare il passaggio dalle diverse modalità di autenticazione online al Sistema Pubblico di Identità Digital (SPID) e alla Carta d’Identità Elettronica: a partire da questa data quindi le amministrazioni non hanno più potuto rilasciare o rinnovare le vecchie credenziali e quelle rilasciate in precedenza hanno funzionato fino al 30 settembre 2021.
Prima di questo cambiamento, cittadini e professionisti dovevano utilizzare numerose credenziali diverse per accedere ai vari servizi pubblici digitali: oggi le credenziali uniche rendono più semplice il rapporto con la Pubblica Amministrazione, perché non è più necessario ricorrere a credenziali diverse in base al servizio che si vuole utilizzare; dall’altro lato le amministrazioni non devono più farsi carico di sistemi di rilascio e gestione delle credenziali di accesso degli utenti, con evidenti vantaggi in termini di risparmio di tempo e risorse.
Ad oggi, SPID e la Carta d’identità elettronica (CIE) hanno lo stesso valore di un documento d’identità per quanto riguarda lo svolgimento di pratiche amministrative online: possiamo quindi affermare che questi due sistemi hanno già sostituito token e smart card in qualità di strumenti digitali finalizzati all’identificazione della persona che deve accedere a determinati servizi erogati dalla pubblica amministrazione.
Per quanto riguarda la giustizia civile, i professionisti sanno che per utilizzare il portale dei servizi telematici per avere accesso a un fascicolo telematico per la consultazione pubblica delle cause, oltre all’accesso tramite token o smart card è, da qualche tempo consentito anche l’ingresso tramite SPID.
Sottoscrivere i documenti digitalmente
Anche per sottoscriver digitalmente i documenti informatici da alcuni anni è possibile utilizzare il sistema di firma digitale remota. Con questa soluzione l’utente non possiede un dispositivo di firma fisico, ma utilizza un dispositivo chiamato HSM (Hardware Security Module), su cui sono utilizzate le chiavi crittografiche necessarie per la generazione della firma digitale.
Per accedere al dispositivo è necessario conoscere lo User ID e il PIN ed essere in grado di generare una password usa e getta (OTP) con il proprio telefono cellulare. Rispetto ai vecchi token fisici l’utilizzo del cellulare garantisce una maggiore sicurezza, perché:
- eventuali attacchi dovrebbero essere effettuati contemporaneamente sulla rete internet e sulla rete di telefonia mobile;
- smarrire la smart card o il token è molto più semplice rispetto allo smartphone.
Le soluzioni di firma remota, messe a disposizione da quasi tutti i certificatori, sono disponibili per tutti i device con sistema Android e iOS.
Un ulteriore vantaggio è che la firma digitale remota rimane sotto il controllo del certificatore che custodisce il dispositivo HSM, il quale sa quando un certo soggetto genera un firma digitale (pur restando garantita la segretezza dell’oggetto della firma) e perciò può generare un avviso ogni volta che la firma digitale viene generata.
Già oggi quindi, il professionista può utilizzare SPID per autenticarsi e accedere ai propri fascicoli informatici e utilizzare la firma digitale remota per sottoscrivere digitalmente qualsiasi documento informatico destinato al deposito telematico, senza dover far ricorso a dispositivi fisici di firma digitale, quali token o smart card.
La tradizionale firma digitale sembra quindi destinata a scomparire a favore di SPID e firma digitale remota.
Credits: DepositPhoto/toppercussion