L'articolo pubblicato il 4 marzo a firma Murru e Giacalone contiene alcune inesattezze alle quali (pur non volendo assurgere a difensore d'ufficio) ritengo doveroso rispondere con tempestività, anche per non generare equivoci sul comportamento tenuto fino ad oggi dall'AIPA e dal DIT.

E' noto il ruolo da me svolto (insieme ad altri) all'interno di AIPA, sia nella fase normativa sia nella fase di accreditamento dei primi certificatori, per cui mi ritengo sufficientemente qualificato per replicare ad affermazioni non condivisibili e giuridicamente scorrette. Sempre che non si tratti, come è auspicabile, di suggerimenti per aggiornare in termini migliorativi la normativa.
Non è di mia competenza entrare nei dettagli tecnici, ma dal punto di vista giuridico è evidente che siamo di fronte a un caso di cattiva informazione o errata lettura della legge.
Le domande poste dagli autori dell'articolo in questione ai punti 2 e 3 non tengono conto, infatti, dell'ambito normativo in cui ci si è mossi e nel quale è a tutt'oggi costretto chi si occupa della materia.

Il processo di accreditamento non ha mai riguardato, né può riguardare, la certificazione di qualità dei "client" di verifica: nessuna norma lo richiede. Né può ancora parlarsi di funzione di vigilanza e controllo da parte dell'AIPA o del DIT, non essendo ancora operative le disposizioni ricordate dall'avvocato De Giovanni nell'intervista pubblicata lo stesso 4 marzo.
La scoperta di un "baco" all'interno di un applicativo "client" non è di per sé motivo sufficiente per escludere un certificatore dall'elenco pubblico, se tale "scoperta" viene adeguatamente pubblicizzata e pone l'utenza in uno stato di allarme tale da giustificare il ricorso a quella che dovrebbe essere una normale ordinaria prudenza.

Il fatto che un software riconosca per valido un certificato "fasullo" di CA non comporta, a mio giudizio, un esonero da responsabilità per l'utente, il quale è sempre tenuto ad adottare le misure di sicurezza del caso, tra le quali rientra sicuramente il controllo della bontà e validità del certificato di CA presso il certificatore ed il sito AIPA.
In altri termini, non può pretendersi che la corretta gestione dei certificati sia svolta solo ed esclusivamente dal certificatore: anche l'utenza faccia la sua parte, una parte cui è obbligata per legge.