domenica, settembre 14, 2008

Firma Digitale

Il prof. Buccafurri ha pubblicato una ricerca sulla firma digitale da lui svolta con altre due persone. La ricerca e' stata oggetto di una ampia discussione perche' citata da Panorama in un articolo durante il mese di giugno. L'articolo di Panorama ha avuto una replica da parte del CNIPA, ed e' stata oggetto di cinque articoli su Interlex, e di uno mio su Punto-Informatico.

La ricerca di cui parliamo e' pubblicata qui http://www.unirc.it/firma/

Come segnalato nel mio articolo, fonte di alcune informazioni e' il CNIPA, che non era al corrente dei problemi segnalati dal Prof. Buccafurri quando era stato contattato da lui per la prima volta. In seguito, a fronte di verifiche, il CNIPA ha segnalato di aver avuto conferma del problema da Peter Rybar fornendo indicazioni in proposito.

Riguardo a Peter Rybar : in Slovacchia il problema individuato da Buccafurri e' gia' stato rilevato da Rybar stesso e risolto in ambito normativo. A fronte di questa segnalazione, mi e' stato indicato che la ricerca scientifica di Buccafurri e' ritenuta valida: sia a fronte del primo contatto che in seguito a questa verifica.

La validita' della ricerca non e' stata oggetto di discussione, in quanto accettata senza problemi da varie fonti. In un certo senso il tema e' della sua validita' e' stato sorvolato, quanto e' iniziata la discussione sulla pericolosita' del problema.

Spero sia ovvio che se ne Rybar ne il CNIPA hanno sollevato dubbi sulla natura della ricerca, non vi sia motivi perche' lo facciano altri: certamente il problema esiste e va risolto.

Il problema si risolve in via normativa, come in Slovacchia, ma nel contempo e' possibile risolverlo ora, usando Linux con Gnome: in ambito firma digitale ad esempio la firma non e' stata adeguata a supportare il formato doc, ma ci si limita a non ritenere valida la firma di un documento in questo formato, questo anche se il formato di cui parliamo e' usato dal 99.99% degli utenti. La massa critica di utenti infatti non determina ne se il problema e' risolvibile, ne come debba essere risolto.

L'ambito della firma digitale e' estremamente ristretto, volendo citare qualche numero, sono state emesse qualche milione di smartcard (nove?) usate dalle aziende italiane per firmare digitalmente i bilanci depositati, pero' nel contempo chi le usa sono un numero esiguo di commercialisti, che firmano per interposta persona questi bilanci: questo ovviamente non e' legale... ..
Ahem.. tra l'altro i commercialisti non firma di persona, con le smartcard non loro, ma l'attivita' la svolgono gli impiegati/e.
Alla fine le postazioni in uso per la firma ditale sono un numero ridotto a fronte di questa realta': citare come riferimento il 99% dei computer che ha windows come target per la firma e' poco significativo.

La smartcard per la firma non e' cedibile, chi la riceve viene informato di questo, e nessuno puo' firmare "conto terzi": questo fa si che la pratica abituale in uso da anni in Italia di cedere le smartcard al commercialista rende il processo di firma poco sicuro.

Questi non sono dettagli da poco in ambito firma digitale, ma semplici basi per la discussione.

Nessun commento: