Con l'emanazione da parte dell'AIPA della circolare sull'iscrizione dei certificatori, la prima normativa sul documento informatico è completa. Tra poco, presumibilmente alla fine dell'estate, ci saranno i primi certificatori della firma digitale "all'italiana".
Di solito, quando si dice "all'italiana" si pensa a qualcosa di raffazzonato, di provvisorio e magari malfatto, ma in questo caso l'espressione indica esattamente il contrario: la nostra normativa non è solo la prima al mondo a disciplinare compiutamente una materia tanto nuova quanto delicata, ma è anche molto più rigorosa di quanto molte aspiranti Certification Authority sperassero, sulla base delle esperienze già in corso da tempo sull'internet

Basta scorrere il testo della circolare - un noioso elenco di documenti e di formalità - per capire che il "certificatore dei certificatori" non scherza: per essere iscritti nell'elenco non basta avere un capitale sociale plurimiliardario e amministratori formalmente al di sopra di ogni sospetto. E' necessaria un'organizzazione d'impresa coi fiocchi, strutturata e documentata a un livello che si potrebbe definire "militare" e che non è tipico delle aziende italiane. Sarà interessante vedere quanti aspiranti certificatori nazionali supereranno l'esame.

La ragione di tanto rigore è semplice. Il documento informatico "valido e rilevante a ogni effetto di legge" è un elemento fondamentale della riforma della pubblica amministrazione, che ha nella Rete unitaria il suo fulcro e il suo principio di organizzazione. Se qualcosa non va, se non si determina una fiducia generale nell'attendibilità del documento informatico, sia da parte degli amministratori, sia da parte dei cittadini, tutto l'edificio crolla.
Le condizioni di inefficienza della pubblica amministrazione sono ben note e costituiscono un freno non indifferente allo sviluppo del sistema-paese. E' necessario recuperare in tempi brevi un ritardo di decenni (basti pensare che le norme sul protocollo, innovate dal DPR 428/98, risalgono al 1900!) e non si può quindi procedere a piccoli passi. Si deve fare un grande salto. Se non riesce, la partita è persa senza rimedio. Ma un grande salto comporta un grande rischio e si devono quindi prendere opportune misure di sicurezza. Ecco perché la normativa è tanto severa e dettagliata: non si può lasciare nulla al caso, non si può permettere che qualche iniziale fallimento faccia venir meno quel castello di fiducia che è il fondamento dell'infrastruttura di certificazione.

Ci può essere un risvolto negativo, dato dallo "scollamento" tra la normativa sulla firma digitale e la certificazione libera, molto più semplice, che si è affermata sulla rete con i primi sviluppi del commercio telematico. Il solo fatto che per apporre una firma digitale su un documento "valido e rilevante a ogni effetto di legge" non basti installare un software nel PC, ma sia necessario acquistare un "dispositivo di firma" con il suo hardware di contorno e seguire una procedura iniziale di riconoscimento fisico del titolare, potrebbe essere sufficiente, nel breve periodo, a rallentare la diffusione del nuovo strumento.
Ma, come ho già scritto, il commercio elettronico può benissimo fare a meno di tutto il marchingegno di sicurezza della firma "all'italiana" e andare avanti con le procedure che già si vanno affermando, basate sostanzialmente sui meccanismi di sicurezza delle carte di credito (vedi Il certificatore non è una Certification Authority).

Si deve però rilevare che molte organizzazioni, che presumibilmente aspirano al ruolo di certificatori, sembrano prepararsi a "vendere" la certificazione a norma di legge proprio come strumento del commercio elettronico. Forse si tratta solo di una strategia promozionale, forse c'è qualcosa di più: l'intenzione di sfruttare il sistema di certezze quasi assolute disegnato dalla normativa per accrescere la fiducia degli utenti nella sicurezza delle transazioni in rete. Se la cosa funzionasse - e potrebbe funzionare - il risultato sarebbe ampiamente positivo sui due fronti. Perché il maggior numero di cittadini "certificati" per il commercio telematico sarebbe anche pronto per i rapporti via internet con la pubblica amministrazione.
Si verificherebbe così un singolare paradosso. Le norme per il settore pubblico, che sembrano fatte apposta per frenare quello privato, finirebbero con accelerare il primo, grazie alla spinta impressa dal secondo. Staremo a vedere.

Per concludere, una sola annotazione sul testo della circolare. Il piano per la sicurezza, prescritto dal paragrafo 2.2, "deve essere racchiuso in una busta sigillata". E' un ragionevole compromesso tra l'esigenza di verificare l'adeguatezza delle misure adottate dai certificatori e il principio di segretezza che è essenziale per l'efficacia delle misure stesse.
Del resto parleremo in futuro, dopo una più meditata lettura del testo.