Intervista/ Firma digitale all'italiana

Come funziona e funzionerà la firma digitale nel nostro paese. Quali tecnologie sono coinvolte? Quali garanzie di sicurezza offre? Potremo fare a meno dei notai? Cos'ha fatto l'AIPA. Ecco le risposte di Bruno Crispo, boss di Cryptomathic

Intervista/ Firma digitale all'italianaRoma - di F. Bordino - A che punto siamo con la firma digitale in Italia?

Lo abbiamo chiesto a Bruno Crispo, PhD in cryptography and data security dell'Università di Cambridge (Gran Bretagna) e managing director della sezione italiana di Cryptomathic, azienda danese leader in sistemi di sicurezza e crittografia.

L'Italia è stato il primo paese europeo a introdurre una legge sulla firma digitale. Il 19 luglio prossimo scadrà il termine per recepire una direttiva europea che potrebbe cambiare in gran parte l'assetto attuale, per armonizzarlo al contesto comunitario. Quali problemi incontrerà il legislatore?

Grazie al framework legislativo degli ultimi anni la pubblica amministrazione ha fatto passi da gigante, bisogna darne atto principalmente all'Aipa. Ci sono molti aspetti positivi, poi si può obiettare su alcuni aspetti tecnici. L'Aipa in realtà ha formulato una legge che dovrebbe considerare la firma digitale all'interno della pubblica amministrazione. Alcune delle richieste tecniche fatte dalla legge non hanno molto senso se traslate nel mondo privato. E mi riferisco alla certificazione ITSEC e alla privatezza delle chiavi. Ha senso se sono fatte, ad esempio, per la legge ad uso personale, per un privato cittadino, ma non hanno molto senso all'interno di una azienda, dove è spesso necessario il backup delle chiavi per un recovery. L'Italia, inoltre, ha introdotto un albo dei certificatori obbligatorio, mentre per la direttiva europea è facoltativo.
Insomma, possiamo dire che i troppi vincoli della legge italiana abbiano ucciso un mercato prima ancora che nascesse; ma bisogna ricordare che è la prima volta che si da luce a una legge prima che la tecnologia sia pronta. Molte di queste regole vanno rivista alla luce dell'esperienza sul campo. Il merito italiano comunque è di aver accelerato l'informatizzazione della pubblica amministrazione.

Anche sugli standard ci sono dei problemi. Sono in commercio almeno 5 smart card con 5 lettori diversi. Un problema non indifferente per l'utente finale, che dovrà andare in giro con un computer portatile e diversi lettori per smart card appesi al collo...

Un paio di anni fa si è molto parlato della possibilità di avere più applicazioni diverse sulla stessa smart card, perché dal punto di vista commerciale è molto attraente. Il problema è chi possiede di fatto la smart card. Ci sono problemi di giurisdizione e di responsabilità se mettiamo insieme, ad esempio, applicazioni bancarie e di sanità. Il possessore della carta controlla i dati che ci sono sulla stessa. È possibile avere moltiplicazioni applicative solo all'interno dello stesso dominio, quindi ha un senso che la banca inserisca all'interno della sua carta diverse applicazioni, però non si possono sommare domini incompatibili. La carta non è di nostra proprietà, la carta è di chi l'ha emessa.

Va bene, ci porteremo dietro diverse carte di plastica. Ma almeno un lettore solo?

Certo, a questo bisogna arrivare. Il fatto è che ogni produttore di smart card tende ad imporre il suo standard.
Vorrei far notare che la legge non parla mai di smart card, parla solo di dispositivi sicuri. La smart card è solo uno dei possibili device, ci sono situazioni dove i token USB possono essere una buona alternativa, che richiede anche un aggiornamento dell'hardware minore.
La legislazione in Italia ha creato un mercato, ma il costo di ogni singola firma è molto alto, e in questo senso ha ucciso il mercato, perché ha messo il costo di entrata di ogni singola azienda troppo alto. Nella P.A. siamo noi tutti a pagare questi costi, per i singoli privati è troppo. Tenere delle chiavi crittografiche in un floppy ha evidentemente dei limiti, ma ci sono delle situazioni, delle realtà, in cui quella potrebbe essere una soluzione adeguata. Costringere tutti ai lettori di smart card è stata una forzatura non necessaria.
TAG: italia
4 Commenti alla Notizia Intervista/ Firma digitale all'italiana
Ordina