Com’è noto l’app IO diventerà un Wallet di Stato.
Fra le novità più o meno annunciate c’è la possibilità che con le modifiche normative in vista questo nuovo Wallet includerà anche una firma gratuita a disposizione dei cittadini per un uso non professionale.
Su questo tema è utile la lettura di questo articolo di Eugenio Prosperetti su Agenda Digitale sulle modifiche al CAD che il Parlamento Italiano sta per varare. Si tratta di una legge delega che quindi ha dei tempi non brevi per la effettiva applicazione.
Incollo di seguito un passaggio significativo dell’articolo:
"E’ probabile che sia la necessità di disciplinare di tale aspetto ad aver ispirato il criterio dettato dal Legislatore. Si tratta di un passaggio delicato: rendere disponibili attraverso il wallet servizi di firma gratuiti – se questi non siano adeguatamente e chiaramente limitati rispetto ai servizi di firma professionali – può mettere in crisi quella che è una eccellenza nazionale: i fornitori dei servizi fiduciari; la gratuità del wallet potrebbe infatti essere utilizzata da provider multinazionali (Apple e Google hanno già espresso il loro interesse) per fornire – anche in perdita – versioni del wallet con modalità che, potenzialmente, potrebbero aumentare ed incentivare i legami degli utenti ai rispettivi ecosistemi digitali, a detrimento dell’interoperabilità.
In particolare, riguardo alla firma, la norma del Regolamento EIDAS2, l’art. 5 comma 5, lettera g) prevede la facoltà degli Stati membri di emanare norme che limitino l’uso della firma elettronica gratuita inclusa nel wallet agli scopi non professionali. Riterrei dunque che nell’ambito dell’esercizio dela delega dovrà senz’altro essere una norma in questo senso che chiarisca anche cosa è scopo professionale e cosa è scopo non professionale e, soprattutto, quali sono gli effetti dell’uso di firma non professionale in ambito professionale: la firma sarà nulla? Occorrerà pagare al relativo provider di firma l’utilizzo per scopi non conformi?
Il problema è che, normalmente, quando lo Stato (in questo caso l’Unione) impone a soggetti privati prestazioni gratuite, anche per salvaguardare la concorrenza ed il mercato, dovrebbe farsi carico del relativo indennizzo. "
Con tutta la sincerità di questo mondo, l’articolo fa un po’ sembrare che i provider di firma sian santi e i governi non abbiano l’autorità di dire “da domani FEQ per tutti”. Siamo solo noi l’anomalia rispetto al resto dell’europa, dove i servizi di autenticazione e di firma digitale sono in carico a privati e non a enti governativi.
Se va in porto la firma via wallet ci sta da stappare il vino buono, non esser tristi per gli introiti di infocert e aruba.
Io penso che i privati hanno avuto in questi 20 anni un ruolo di supplenza dello Stato che non ha saputo offrire in modo efficace ai cittadini questi strumenti fondamentali per realizzare la digitalizzazione dell’economia privata e della PA.
Quindi i provider privati non sono “santi” ma hanno fatto il loro mestiere. Se ci sono delle assurdità/carenze/ritardi o incongruenze nel sistema attuale la responsabilità è della politica che non riesce a “sfornare” le regole giuste e della PA che spesso (tranne alcune “best practices” ) non fa il suo dovere.
Ricordo a tutti, la storia della CEC-PAC di Brunetta & Altri del 2009. Io l’ho avuta ma non ci potevo fare niente perchè le PA non l’hanno attivata e non poteva essere utilizzato nell’ambito privatistico!
Oppure basta andare a leggersi il difficile parto della Carta di Identità Elettronica che è stata varata nel 1997 e che dopo 28 anni non ancora si riesce a completare!
aggiungo che le Camere di Commercio (deposito atti nel Registro delle Imprese) accettano SOLO le firme digitali CADES mentre la norma non prevede la possibilità di DISCRIMINARE fra le varie tipologie (cades/pades/xades) !!
Possono farlo? Il Regolamento eIDAS indica che una firma digitale valida in uno Stato membro vale anche in tutti gli altri, senza discriminazioni. Possono non riconoscere, ad esempio, una firma PAdES francese?
Che cos’e’, un’autocertificazione di follia? Una firma o e’ valida o non lo e’. Esserlo, ma solo se legata a uno scopo ben preciso, significa crearci da soli miriadi di nuovi problemi inutili e superflui.
Trovo che la soluzione estone sia estremamente semplice ed elegante. PEC di Stato per la comunicazione tra cittadini e PA. Firma digitale di Stato XAdES senza distinzioni degli scopi. PEC e firma legate alla loro CIE.
Quando esiste una soluzione semplice e funzionante qualsiasi altra soluzione diventa per forza di cose complicata e pasticciata.
Beh mi pare che fino a poco tempo fa la FEA via CIE era valida solo da cittadino a pubblica amministrazione, non aveva valore per uso professionale o intra-enti (dove era obbligatoria la FEQ). Tutt’ora provare a fornire una FEA via ciesign è praticamente inutile visto che la validazione è quasi sempre impostata per FEQ.
L’unica differenza tra la firma elettronica avanzata (FEA) e qualla qualificata (FEQ) sta nel fatto che l’emittente del certificato usato per la firma, il Ministero dell’Interno, sia iscritto all’ elenco dei prestatori di servizi fiduciari qualificati nell’UE.
Io non so come si faccia ad iscriversi a tale lista, ma, come avevo a suo tempo verificato, il nostro Ministero dell’Interno non c’è. Non credo che questa sia una mancanza per incapacità o impossibilità, ma per precisa volontà politica.
Non è solo l’emittente ma anche il tipo di certificato. La CIE o qualsiasi altra FEA ha un certificato di FIRMA DIGITALE/AUTENTICAZIONE mentre la FEQ ha un certificato di NON RIPUDIO.
Purtroppo non è vero neanche questo!
Qualche tempo fa mi sono visto rifiutare una pratica presentata al RUNTS (istituito presso il Ministero del Lavoro e delle Politiche Sociali) perchè sottoscritta con la FEA disponibile con la CIE (rilasciata dal ministero dell’Interno)…
Il problema è che PEC… CEC-PAC… FEA… FEQ… Tessere Sanitarie con chip… Tessere Sanitarie senza chip… uso professionale… uso non professionale e, da ultimo, possibile dismissione dello SPID… sono tutte cose che servono solo ad aumentare la confusione. Se lo stato vuole dotare i cittadini di PEC e FEQ lo faccia mettendo a disposizione degli strumenti standard ed universalmente validi, altrimenti, piuttosto che inventare e sbandierare triofalisticamente delle mezze soluzioni di compromesso che non servono a niente e a nessuno, lasci perdere: è meglio!
Probabilmente la prossima riforma trasferira’ la responsabilita’ alle ASL/USL. Roma Nord e Roma Sud avranno due soluzioni software differenti, non compatibili E non e’ detto che la firma di Terni verra’ accettata a Perugia.
E non e’ detto che la firma di Terni verra’ accettata a Perugia.