Più volte si è discusso di una incredibile incongruenza delle nostre norme sulla firma digitale. Il CAD afferma in modo netto e chiaro l’equivalenza fra CADES, PADES e XADES ma pezzi importanti della PA (ad esempio il Registro delle Imprese gestito dalle Camere di Commercio) fanno “orecchie da mercante” e rifiutano il deposito di atti con il formato Pades ammettendo solo il Cades.
Adesso il Direttore Generale delle Finanze con decreto del 21/4/2023 ammette (anche se con ritardo) , relativamente al Processo Tributario Telematico (PTT) l’equivalenza dei formati CADES/PADES.
Vedo che ci sono ancora incomprensibili resistenze (forse dettate da ignoranza informatica e giuridica, sia nell’Amministrazione pubblica che nel sistema giudiziario, oltre che una troppa abitudine a schemi di lavoro superati basati sulla carta), ma la perfetta equivalenza delle due modalità di firma è stabilita dal Regolamento (UE) eIDAS e pacificamente riconosciuta dalla Suprema Corte di Cassazione (anche SS.UU., sentenza 10266 del 27/04/2018).
Comunque un conto e’ dire “voglio CAdES perché PAdES non mi piace e non la ritengo altrettanto valida”, un conto è progettare un sistema automatizzato che riceve e tratta automaticamente file firmati digitalmente e si fa una scelta di prediligere un sistema rispetto a un altro. Con il dovuto studio del caso e le dovute istruzioni mi pare lecito limitare l’uso di un solo formato di firma (per dire, PAdES va bene solo per i PDF).
Esempio:
se ti chiedo di scaricare un PDF e caricarlo solo in CAdES o solo in PAdES, non ti sto danneggiando, alla fine per te è uguale firmare PAdES o CAdES;
se ti chiedo di caricarmi l’originale di un documento che già hai non posso invece importi un formato di firma, ma devo accettare tutto…
Nel registro delle imprese si pubblicano documenti pdf (ad esempio Statuti e Verbali) e file xbrl (bilanci nell’apposito formato rielaborabile utilizzato a livello mondiale nella comunicazione finanziaria). La cosa sconveniente per gli operatori è che quando devono apporre firme a cascata sullo stesso documento (ad esempio le relazioni ai bilanci oppure i verbali, etc) è come se firmassero un documento in bianco (senza controllare il contenuto) perchè spesso questi operatori non sanno neanche la differenza fra firma cades e firma pades. Quindi io vedo adesso il modus operandi poco sensibile al tema della massima trasparenza di questi processi che in genere sono piuttosto avversati. Allora mi chiedo: è così difficile modificare il sistema per far accettare la tipologia dei documenti in pdf con la firma pades?
AGGIUNGO: che sempre riportando la mia esperienza, vedo questi amministratori (ma purtroppo anche professionisti) che quando devono apporre una firma digitale girano la mail alla segretaria che ha il token fisico e fanno fare a loro per paura di sbagliare! Questa cosa tutti la sanno e tutti fanno finta di non saperlo!!
L’XBRL o lo firmi CAdES o, al limite, XAdES, direi… ma non mi incasinerei con lo XAdES se sono file che girano fuori da sistemi rigidi.
E sì, se il registro delle imprese ti chiede di depositare un duplicato dell’originale di quei documenti ha poco da fare lo schizzinoso su CAdES o PAdES, se ne chiede una copia invece…
Dopo di che, non credo che sia PAdES o CAdES a fare la differenza se “il capo” legge quello che sta firmando digitalmente oppure no. O sì?
quello è chiaro…io chiedo semplicemente che il sistema camerale che ha dei costi incredibili …e quindi non ci credo che non possono sopportare una modifica del genere…deve poter far depositare i documenti PDF con il PADES…come avviene con il PCT e adesso anche con il PTT
la camera di commercio spinge sempre di più per avere verbali e relazioni che nascono in formato digitale e quindi io deposito direttamente il file P7M firmato dai vari soggetti che formano l’atto (l’amministratore, sindaco, etc). Quindi costringono l’autore a produrre l’atto nativo digitale direttamente in P7M nonostante il CAD non faccia questa discriminazione fra i diversi tipi di firma. Non parliamo di PDF che provengono da una scansione oppure da una copia conforme ma di deposito di originale.
A livello informatico la firma CADES è più semplice da gestire in processi automatizzati, perchè si può verificare facilmente che il file firmato sia quello prodotto dal sistema e non un altro attraverso il confronto dell’hash dei due file. Cosa che non sempre è possibile fare con file firmati in PADES, in quanto molte volte i software di firma alterano il documento prima della firma e quindi non si riesce più a ricavare l’hash del documento originale generato dal sistema.
Il PDF è nato per le tipografie per avere una anteprima sui PC di ciò che poi andava su carta. Pades è taroccabile ma viene considerato valido. Quando verranno realizzate procedure completamente digitali senza passare per documenti di carta fatta con i byte che hanno sostituito la cellulosa ma sempre di documenti da interpretare da un umano invece di essere trattati eventualmente con intervento umano ma automatizzati al massimo?
