(Intervento al convegno "Firma digitale per l'e-government"  - OMAT, Roma, 13 novembre 2003)

AssoCertificatori, l'associazione dei certificatori di firma digitale iscritti nell'elenco pubblico tenuto dal CNIPA (ACTALIS, BNL Multiservizi, Cedacri, InfoCamere, IT Telecom, Postecom, nonché il Consiglio nazionale del notariato), nasce nel 2001 con lo scopo esclusivo di promuovere iniziative per la diffusione dei sistemi di firma digitale, della relativa certificazione, dell'archiviazione elettronica e della sicurezza informatica, con riferimento sia agli aspetti tecnici, sia a quelli giuridici.

In questa ottica è necessario chiarire prima di tutto la distinzione tra la firma digitale e i sistemi di autenticazione. La firma è strettamente legata al documento, al suo contenuto. Così si possono firmare digitalmente anche gli auguri di Natale!
Invece l'autenticazione (uso la parola in senso tecnico) è qualcosa di completamente diverso: è legata a un soggetto che deve farsi riconoscere da un sistema informatico. L'esempio più comune è quello del PIN del Bancomat, che non è, e non può essere, una "firma". In effetti è un meccanismo "abilitativo", mentre la firma digitale esprime una "manifestazione di volontà". Ed è quest'ultima il campo di azione dei certificatori di firma digitale.

L'associazione, oltre ad avere esplicitato le regole di comportamento da seguire per una firma digitale "sicura", ha messo a punto una serie di standard di riferimento per le imprese e la pubblica amministrazione per assicurare agli utenti, ed agli operatori, la piena interoperabilità dei documenti firmati digitalmente.
Il raggiungimento dell'interoperabilità delle firme digitali permette che un qualsiasi documento elettronico firmato da un soggetto mittente, che utilizza i servizi di un determinato certificatore (certificatore A), possa essere correttamente trattato da un soggetto destinatario che utilizza i servizi offerti da un diverso certificatore (certificatore B).

A luglio 2003 il livello di interoperabilità tra i soci di AssoCertificatori, conseguito e certificato, coinvolgeva le firme digitali singole, correttamente generate e verificate da tutti i certificatori associati, i certificati digitali (conformi agli standard e alla circolare AIPA/CR/24); le CRL, correttamente accessibili da tutti i certificatori associati e conformi agli standard e alla circolare AIPA/CR/24.
Per gennaio 2004 si prevede di raggiungere la piena interoperabilità anche per le firme digitali corredate dalla eventuale indicazione del ruolo o del potere rivestito dal titolare del certificato, per la verifica di documenti informatici a "firma multipla" (in tutte le diverse possibili modalità di apposizione delle firme) e per la visualizzazione di marche temporali in standard RFC3161 almeno in formato "detached" (ossia come file a se stante, svincolato dal file di origine), con verifica della autorità di marcatura temporale e della corretta associazione (tramite hash) col documento di origine.

Il Comitato tecnico e di interoperabilità di AssoCertificatori ha allo studio, inoltre, l'interoperabilità dei certificati di autenticazione, dei certificati di cifratura e di marcatura temporale nonché dei dispositivi di firma.
Di particolare interesse è il nuovo standard messo a punto da AssoCertificatori, pienamente recepito dal Centro tecnico della RUPA (Rete Unitaria della Pubblica Amministrazione), che assicura la possibilità di includere nel certificato digitale qualificato l'indicazione del ruolo e del potere rivestito dal titolare della firma digitale nell'ambito del proprio ordinamento o della propria organizzazione.
Nel compimento di attività giuridiche ed economiche un soggetto può agire sia in qualità di privato cittadino, sia nell'esercizio di una professione, di una funzione pubblica, o in rappresentanza di imprese o altri soggetti; in tal caso, l'ordinamento giuridico richiede una legittimazione dei poteri esercitati, che generalmente è rappresentata da una procura, da un atto amministrativo o dall'iscrizione in albi, ruoli o pubblici registri.

Tradizionalmente, nel mondo "cartaceo", per attestare la legittimità dei poteri esercitati, è previsto che si alleghi al documento da sottoscrivere una appropriata documentazione giustificativa. Nel mondo "digitale", invece, lo strumento della firma elettronica è in grado di assicurare una notevole semplificazione dei processi organizzativi tradizionali, grazie all'utilizzo del certificato elettronico, che può attestare contemporaneamente l'identità del firmatario ed il ruolo da questi rivestito. La vigente normativa in materia di firme elettroniche (gli articoli 27-bis e 29-bis del DPR 445/2000; gli articoli 11, 32 e 36 del DPCM 8/2/1999; gli articoli 2, 5 e 6 della direttiva 99/93/CE) consente al soggetto che richiede il rilascio di un certificato elettronico di poter specificare in esso il ruolo nel quale intende agire o il potere di rappresentanza attribuitogli.

In tal modo, la verifica della sottoscrizione elettronica consente di accertare nello stesso momento sia l'integrità e la provenienza di un documento informatico, sia il ruolo in cui ha agito colui che lo ha sottoscritto.
La semplificazione è poi di portata ancora maggiore, allorquando si utilizzi la firma digitale con indicazione del ruolo o del potere nell'ambito di procedure automatizzate: si pensi ad un ufficio pubblico abilitato a ricevere documenti solo da una determinata categoria di soggetti (ad esempio professionisti, oppure imprenditori); in questo caso la selezione dei mittenti è fatta all'inizio del procedimento, in maniera automatica, con notevole alleggerimento dei controlli successivi.

Le informazioni relative ai ruoli contenute nei certificati elettronici rilasciati dai Certificatori aderenti ad AssoCertificatori e dal Centro tecnico della RUPA sono classificate in quattro raggruppamenti:
- Rappresentanza (volontaria e legale) di persone fisiche.
- Rappresentanza di persone giuridiche ed altri enti di diritto privato.
- Esercizio di funzioni pubbliche, inteso sia come rappresentanza di Enti ed Uffici della P.A., sia come esercizio di funzioni Pubbliche delegate.
- Abilitazioni professionali.

La descrizione in "linguaggio naturale" del ruolo da inserire nel certificato elettronico è tratta dalla Tabella unica dei ruoli (pubblicata sul nuovo portale www.assocertificatori.org), gestita direttamente da AssoCertificatori.
Il certificatore, all'atto della emissione del certificato elettronico, è direttamente responsabile della esatta indicazione del ruolo del titolare, quale risultante dalla documentazione fornita dal terzo interessato ed esibita dal richiedente (titolare del certificato) al certificatore stesso. A sua volta, il terzo interessato che abbia richiesto, eventualmente anche attraverso apposite convenzioni con i certificatori, l'emissione di un certificato elettronico per il titolare, è direttamente responsabile della richiesta, da inoltrare al certificatore, di sospensione o revoca del certificato elettronico nei casi di contestazione, revoca o scadenza dei poteri o delle funzioni a suo tempo conferiti al titolare del certificato.