75. E' possibile non usare la firma digitale?

Con alcuni colleghi e con funzionari di una pubblica amministrazione locale mi trovo nella strana circostanza di capire se è possibile NON fare ricorso alla firma digitale per la realizzazione di un sistema documentale interno poiché ciò renderebbe più complesso lo sviluppo del sistema stesso. Nella fattispecie, parliamo di digitalizzazione di atti di stato civile.
La questione è così riassumibile: il cliente desidera acquisire digitalmente le immagini degli atti che NON verrano distrutti (quindi non rientriamo nel caso di digitalizzazione sostitutiva) pertanto l'autenticità del documento potrà essere verificata in ogni istante, se necessario. L'obiettivo pratico è solamente quello di creare un archivio elettronico indicizzato facilmente consultabile dagli ufficiali di anagrafe evitando di andare fisicamente alla ricerca dei documenti tra gli scaffali...
L'anagrafe rilascia ovviamente documenti ma NON si prevede che saranno forniti documenti digitali degli atti: quando richiesto, verrà prodotta una copia su carta dell'ente, timbrata e firmata manualmente da un ufficiale autorizzato (ovviamente, non si tratterà necessariamente dello stesso ufficiale che ha proceduto all'acquisizione digitale dell'atto!).
La mia opinione è che ci troviamo di fronte alla necessità di assicurare che il documento digitale acquisito non venga alterato ed eventualmente sapere quale ufficiale lo ha acquisito; non dobbiamo però garantire "verso l'esterno" l'autenticità del documento poiché essa sarà attestata dall'ufficiale che produrrà una nuova copia cartacea (esattamente come accade ora quando si produce una fotocopia dell'atto e si firma...).
Premesso ciò, ritengo che la firma digitale forte non sia necessaria e si possa ricorrere ad un meccanismo di firma e cifratura (sempre basato su chiavi asimmetriche e con gli stessi strumenti della firma digitale) che non coinvolga enti esterni certificatori poiché tutto il ciclo di acquisizione-firma-riproduzione rimane interno all'amministrazione. A maggior ragione, non pare necessario ricorrere alla marca temporale. In pratica, la mia idea è di predisporre una CA interna che assegni chiavi pubbliche e private ai dipendenti con le quali essi siano in grado di firmare i documenti per le sole finalità di cifratura e per identificare (all'interno) chi ha proceduto all'acquisizione. Poichè un eventuale certificato sarà realizzato su carta, tali accorgimenti garantiranno all'ufficiale che l'immagine digitale non è stata alterata dal momento della sua acquisizione ed egli potrà apporre timbri e firma senza rischi.
E' corretto il mio ragionamento? Può cioè sostenersi che per un sistema documentale ad uso interno, non sostitutivo e che non prevede l'emissione di documenti digitali verso l'esterno (o comunque non senza un ulteriore intervento di un responsabile che firmi digitalmente ad hoc il documento prima dell'invio) si possa evitare il ricorso a firme digitali e marche temporali e sfruttare solamente meccanismi di firma e cifratura interni, al limite personalizzati? (Messaggio firmato)

Il ragionamento è corretto, il presupposto è quanto meno discutibile, per due motivi: il primo è che, sul piano operativo, non c'è differenza tra l'uso di una firma debole e quello della firma digitale e quindi tanto vale usare la seconda; il secondo è che la digitalizzazione dei documenti delle pubbliche amministrazioni è ormai un percorso obbligato (con l'ormai prossimo "Codice delle pubbliche amministrazioni digitali" saranno date scadenze inderogabili). Che senso ha introdurre oggi procedure che dovranno comunque essere cambiate? Uno spreco di denaro pubblico!
(Per altre considerazioni sull'argomento si veda la FAQ n. 76)

Per inviare un quesito basta fare clic sull'icona della busta: