Alcuni titolari di certificati di firma digitale emessi da Finital segnalano di aver ricevuto nei giorni scorsi una e-mail apparentemente spedita dalla stessa Finital, nella quale si annuncia la cessazione dell'attività e si invita il cliente a consultare l'elenco dei certificatori reso pubblico dal CNIPA per farsi rilasciare un nuovo certificato.
Dice il messaggio (così come ci è stato inoltrato da un lettore della rivista):

Gent.le Cliente con la presente siamo a comunicarle che Finital Spa sta procedendo alla dismissione dell'attività della divisione Certification Authority.
Entro il 31 dicembre 2003 Finital verrà inserita nell'elenco dei certificatori cessati e non sarà più in grado di emettere certificati di firma digitale a pieno valore legale.
Il primo comma dell'art. 29-septier del TU 445/2000 introdotto con DPR n.137 del
7 aprile 2003 prevede la revoca dei certificati attivi da parte del certificatore
in caso di cessazione dell'attività.
Pertanto non sarà più possibile effettuare il rinnovo del suo certificato e qualora fosse intenzionato ad ottenere un nuovo certificato di firma digitale a pieno valore legale la invitiamo ad accedere al sito della CNIPA (Centro Nazionale
per l'Informatica nella Pubblica Amministrazione) dove sono disponibili i nomi e gli indirizzi dei certificatori qualificati attivi:

Elenco Certificatori Attivi 

Le comunichiamo infine che per maggiori informazioni è attivo il nostro numero
verde 800 984247.

Distinti Saluti
Finital Spa - Div. CA
Ufficio Commerciale e Affari Istituzionali

A prima vista si notano alcuni aspetti strani. Il primo è che non tutti i titolari di certificati Finital hanno ricevuto la comunicazione (per esempio, l'estensore di questa nota). Il secondo è che si parla della cessazione dell'attività di Certification Authority e non di quella di "certificatore" regolata dalla normativa italiana. Ma la definizione scorretta appare proprio nella home page della società (nella quale non si trovano cenni alla fine delle attività di certificazione), che evidentemente non tiene in gran conto la normativa vigente. E infatti, mentre cita l'art. 29-septies del testo unico sulla documentazione amministrativa, dimentica il successivo:

Art. 29-octies (R) Cessazione dell'attività
1. Il certificatore qualificato o accreditato che intende cessare l'attività deve, almeno sessanta giorni prima della data di cessazione, darne avviso al Dipartimento per l'innovazione e le tecnologie, informando senza indugio i titolari dei certificati da lui emessi specificando che tutti i certificati non scaduti al momento della cessazione saranno revocati.
2. Il certificatore di cui al comma 1 comunica contestualmente la rilevazione della documentazione da parte di altro certificatore o l'annullamento della stessa. L'indicazione di un certificatore sostitutivo non impone la revoca di tutti i certificati non scaduti al momento della cessazione.
3. Il certificatore di cui al comma 1 deve indicare altro depositario del registro dei certificati e della relativa documentazione.

Ora è necessario leggere con attenzione queste disposizioni: il certificatore cessante non è obbligato a indicare un certificatore sostitutivo, ma deve indicare un altro depositario del registro dei certificati e della relativa documentazione. Si tratta di una norma essenziale, perché la scomparsa del registro (e delle liste di sospensione e revoca) comporta l'impossibilità di verificare le firme regolarmente generate in precedenza. Le conseguenze per i titolari possono essere gravissime.
Sarebbe dunque opportuna qualche precisazione, anche perché una comunicazione di questo tipo dovrebbe almeno essere firmata digitalmente, o inviata con posta certificata, o con la tradizionale raccomandata cartacea.

Che sia uno scherzo?

(M. C.)