Firma digitale remota: luci e ombre

La firma digitale è un particolare tipo di firma elettronica avanzata basata su un sistema di chiavi crittografiche, correlate tra loro, e su un certificato qualificato, rilasciato da uno dei certificatori accreditati autorizzati da DigitPA (cfr. art. 1 del Codice dell’amministrazione digitale). Tale sistema garantisce la provenienza e l’integrità del documento sottoscritto con firma digitale, in quanto essa si riferisce in maniera univoca ad un solo soggetto ed al documento cui è apposta o associata e detto documento, una volta sottoscritto, non può essere modificato senza che ciò emerga durante la procedura di verifica.

In concreto, il titolare del certificato di firma digitale tradizionale appone la firma attraverso l’inserimento di un codice PIN (richiesto ogni qual volta debba sottoscrivere un documento); al fine di poter effettuare detta operazione, però, occorre che detto soggetto abbia provveduto ad installare il software di firma e i driver necessari sul computer utilizzato e abbia la disponibilità materiale del dispositivo fornito (smart card o token usb) ogni qual volta debba procedere alla sottoscrizione.
Per operare con maggiore snellezza senza il vincolo di utilizzare i citati strumenti e per sottoscrivere più facilmente un notevole numero di documenti (esigenza che potrebbe rilevare, ad esempio, in un procedimento di conservazione sostitutiva caratterizzato da un elevato flusso documentale), potrebbe optarsi invece per la firma digitale remota.
Trattasi di una particolare firma digitale basata sull’utilizzo di un HSM (Hardware Security Module), ossia un  dispositivo sicuro centralizzato per la generazione e conservazione delle chiavi di firma, che consente di sottoscrivere più documenti in un’unica sessione, da remoto o anche in modalità automatica, attraverso l’utilizzo di un qualsiasi computer con accesso alla rete e mediante l’inserimento del solo codice PIN.
La firma digitale remota permette quindi di semplificare le modalità operative e di ridurre in modo significativo la dotazione tecnica, indispensabile invece per apporre la firma digitale tradizionale.
Occorre però chiedersi se l’utilizzo di detto sistema sia legittimo e se garantisca un adeguato livello di  sicurezza.
Le basi normative per il riconoscimento della firma remota devono rinvenirsi nel DPCM del 30/3/09 (Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici) e, precisamente, nell’art. 7 di detto decreto, ove è previsto che il titolare debba mantenere in modo esclusivo la conoscenza o la disponibilità di “almeno uno dei dati per la creazione della firma”.
Nel caso della firma digitale remota il dato di cui il titolare del certificato dispone è il codice PIN, mentre il dispositivo HSM centralizzato gli consente -come già detto- di non utilizzare altri strumenti tecnici.
Rimane però da chiarire se detti dispositivi HSM, su cui si fonda la firma digitale remota e il cui utilizzo è implicitamente ammesso dal legislatore (cfr. l’art. 35 comma 3 del CAD), siano sufficientemente sicuri.
In mancanza di un organismo che certifichi il livello di sicurezza degli HSM, l’ostacolo è stato aggirato i questi anni attraverso l’emanazione di decreti che hanno introdotto la possibilità, per gli enti certificatori,  di autocertificare la rispondenza dei propri sistemi di apposizione di firme elettroniche con procedure automatiche ai requisiti di sicurezza.

Così, da ultimo, il vigente DPCM del 10 febbraio 2010 prevede che “a decorrere dal 1° febbraio 2010 e per i ventuno mesi successivi”  i certificatori di firma elettronica possano presentare apposita autocertificazione, attestante, appunto, il rispetto degli standard di sicurezza richiesti.
La volontà però di fare chiarezza sull’utilizzo della firma digitale remota -che già da tempo è offerta agli utenti dagli operatori del settore- emerge dall’esame della “Bozza di regole tecniche sulle firme elettroniche”, elaborata all’interno del gruppo di lavoro istituito da DigitPA.
In detto documento, pubblicato il 4 luglio 2011 e aperto a commenti entro i successivi 15 giorni, è  specificamente richiamata la “firma remota” e vengono precisati alcuni aspetti di notevole rilievo. Nell’art. 3 comma 5 della citata bozza di regole tecniche si precisa infatti che la firma remota “è generata su un HSM custodito e gestito sotto la responsabilità del certificatore accreditato ovvero dell’organizzazione di appartenenza dei titolari dei certificati che ha richiesto i certificati medesimi ovvero dell’organizzazione che richiede al certificatore di fornire certificati qualificati ad altri soggetti al fine di dematerializzare lo scambio documentale con gli stessi, realizzata con misure tecniche ed organizzative … tali da garantire al titolare il controllo esclusivo della chiave privata”.
Non solo. Viene espressamente previsto (art. 35 della bozza di regole tecniche) che il certificatore debba definire un piano per la sicurezza, ove indicare specificamente le misure adottate per la protezione dei dispositivi di firma remota, ivi comprese le modalità di custodia, e indicato che DigitPA possa imporre al certificatore di inserire limitazioni d’uso e di valore nei certificati qualificati afferenti la firma remota.
Alla luce di tali osservazioni, nonostante sia evidentemente necessario attendere che dette regole tecniche entrino in vigore, non vi sono dubbi sul fatto che la firma digitale remota -il cui utilizzo deve  ritenersi già allo stato legittimo- sia destinata ad essere puntualmente disciplinata dal legislatore, anche in ordine al profilo della sicurezza, che non può cedere innanzi alle esigenze di semplificazione delle modalità operative di apposizione di firma.