Amministrazioni orientate al cittadino. Strategie di multicanalità …archive.forumpa.it/forumpa2003/convegni/relazioni/685... · 2003. 5. 20. · l’analogia con quanti, circa
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Allaxia S.p.A. :: Milano Roma Firenze Vicenza Bari ¡ www.allaxia.com ¡ 800 121 141
Via Val Formazza 10, 20157 Milano ¡ T. +39.02.33208.1 ¡ F. +39.02.33208.300 P.I. 05322710723 ¡ C.F. 11808440157 ¡ R.E.A. BA 412185 ¡ Capitale Sociale € 5.000.000,00 i.v.
Convegno - Amministrazioni orientate al cittadino. Strategie di multicanalità per costruire un sistema di relazioni con cittadini ed imprese.– La firma elettronica: luci ed ombre
Da due lustri si dibatte molto in Italia a proposito dell’impiego delle firme
elettroniche; senza che a tanto parlare facciano seguito le palingenesi promesse
dagli addetti ai lavori. Qui di seguito è esplicitato un punto di vista di un addetto deluso che ha cercato di darsi una ragione di tanto successo così tardo a
concretizzarsi. Per motivi di concisione espositiva, si assume il lettore addentro
nella materia. Un’introduzione breve ai presupposti di questo lavoro è riportata in riferimento.
La firma elettronica può essere vista secondo due punti di vista contrapposti: uno
massimalista, l’altro di ordinaria amministrazione.
Gli Approcci della Firma Elettronica
L’approccio massimalista, facendo riferimento agli scenari messi in moto dalle
leggi Bassanini sulla semplificazione delle procedure amministrative, punta ad equiparare i documenti informatici (cioè articolati come sequenze di bit) firmati in
maniera elettronica a quelli cartacei sottoscritti con firme chirografe. Il tutto con:
¡ i primi che verrebbero ad avere le medesime pregnanze legali dei secondi ai
sensi del codice civile e delle legislazioni vigenti;
¡ l’idea che tale equiparazione condurrebbe ad una società in cui i documenti
legali cartacei potrebbero sparire per essere sostituiti da quelli digitali;
¡ ampi e sostanziali vantaggi economici e pratici per il sistema Paese.
L’approccio d’ordinaria amministrazione vede nelle firme elettroniche solo una
variante potenziata delle credenziali di autenticazione (nomi utenti parole d’accesso (password)) da impiegare nell’erogazione di servizi ICT (o telematici).
L’approccio massimalista
Ad oltre sei anni dalla emissione delle leggi Bassanini, l’approccio massimalista appare come un’utopia non necessaria e pericolosa. In proposito si può applicare
l’analogia con quanti, circa 60 anni fa, proponevano l’energia nucleare a scopi
civili, in sostituzione di quella da combustili chimici. Allora, i propugnatori del nuovo, a fronte degli innegabili vantaggi che ci si attendeva, posero in sordina i
problemi non risolti relativi al trattamento dei residui radioattivi e ai rischi di
catastrofi. Simile è la posizione di quanti auspicano l’avvento dei documenti
Forum P.A. – Roma, 5/9 maggio 2003
Convegno - Amministrazioni orientate al cittadino. Strategie di multicanalità per costruire un sistema di relazioni con cittadini ed imprese.– La firma elettronica: luci ed ombre
informatici reali al posto ed in sostituzione di quelli cartacei, senza preoccuparsi di sviluppi tecnologici che, di qui a uno due decenni, potrebbero consentire a
truffatori di varia natura di clonare le chiavi asimmetriche di firma.
Il fattore che maggiormente blocca sul nascere l’impiego sostitutivo delle firme elettroniche a posto di quelle chirografe come fattore legale sta nella circostanza
che vede le firme elettroniche valide a tempo; cioè, dotate di scadenza. Una firma
elettronica vale fino alla scadenza del corrispondente certificato X.509. Cioè, per al più due tre anni; forse meno. Chi dispone di un qualsiasi documento contrattuale
firmato in maniera elettronica sa che, alla scadenza dei certificati X. 509 di quanti
lo hanno sottoscritto, ciò di cui dispone sarà una sequenza di bit priva di valore legale. Per evitare tale iattura dovrà farsi parte diligente nel rinnovare il
documento presso autorità che ne riconoscano ed estendano la validità temporale.
Anche i processi di estensione vanno a scadenza con il certificato X.509 di quanti li effettuano. Debbono, pertanto, essere ripetuti continuativamente, a scadenza.
La necessità di rinnovare una documentazione elettronica appare come un fastidio
non indifferente, anche a valle della messa a punto di norme ed istituzioni per operare la certificazione delle marche temporali elettroniche da apporre alle
estensioni; e per eseguire le estensioni. Tutte cose che appaiono come una
bizzarria che lascia perplessi quanti preferiscono, pertanto, continuare ad impiegare carta, strumentazioni d’automazione d’ufficio e penna; magari
integrate, nel caso, dalle impronte digitali (fisiche e da apporre su carta con
inchiostri non delebili).
Per essere caratterizzate da adeguati livelli di certezza, le firme elettroniche
debbono essere realizzare con tecnologie e processi a prova delle frodi più accorte, astute e sofisticate. Di qui i rimestamenti dell’acqua nel mortaio avviati con la
leggi Bassanini e non ancora giunti a conclusione. Con codazzi di contrasti più o
meno sotterranei tra quanti puntano a sicurezze incontrovertibili a costi inaccettabili e gli altri che mirano a soluzioni fattibili a costi ragionevoli, ma non
sicure agli occhi di quanti non sono disponibili a fare tacere le loro perplessità
critiche.
L’ordinaria amministrazione
L’impiego delle firme elettroniche appare relativamente agevole nelle relazioni
telematiche tra i cittadini e le organizzazioni, pubbliche o private, che erogano servizi. Esemplificativo su questo punto è il caso degli sportelli telematici offerti
dalle banche. In questo caso, all’impiego delle firme o dei codici di identificazione
personali fanno seguito documenti cartacei liberatori, sottoscritti in maniera chirografa dalle istituzioni che erogano il servizio e nei cui confronti gli utenti
operano secondo il criterio del silenzio assenso. Un tale modo di procedere usa, di
fatto, le carte di firma ed i codici personali come firme pro tempore, che debbono continuare a valere solo per le poche settimane che precedono l’emissione del
documento cartaceo dotato di valore liberatorio e definitivo. Tutto ciò, nel caso
Forum P.A. – Roma, 5/9 maggio 2003
Convegno - Amministrazioni orientate al cittadino. Strategie di multicanalità per costruire un sistema di relazioni con cittadini ed imprese.– La firma elettronica: luci ed ombre
delle firme, taglia la testa al toro ed evita i problemi connessi ai limiti temporali assegnati alla validità dei certificati X.509.
Nel caso degli approcci di ordinaria amministrazione, il valore competitivo delle
carte di firma elettronica, rispetto a nomi utente e parole d’ordine, sta nel fatto che una carta di firma si basa su due chiavi asimmetriche di cui una (quella
riservata) è nota solo all’utilizzatore del servizio, mentre l’altra (quella pubblica)
può essere nota a tutti senza che insorgano problemi di sicurezza. Tale situazione è un netto vantaggio rispetto alle parole d’accesso che debbono essere note
contemporaneamente ad utilizzatori ed erogatore del servizio. Con il conseguente
problema per cui, in caso di controversie, occorre dimostrare chi tra i due ha fatto trapelare indebitamente conoscenze (la parola d’accesso) che dovevano rimanere
rigorosamente riservate.
Come per le parole d’accesso, un erogatore di un servizio ICT (Ad esempio l’Amministrazione delle Finanze nel caso dell’acquisizione telematica delle
dichiarazioni fiscali) può impiegare e distribuire carte di firma elettronica, da
impiegare per il suo solo servizio. Nel caso, per pruderie formali e nominalistiche, può chiamarle codici di autenticazione personali; tanto per non entrare in
collisione con i vincoli artificiosi piantati dai propugnatori dell’approccio
massimalista.
Impiegando dette carte a posto delle parole d’acceso, l’organizzazione titolare può
erogare i suoi servizi senza dovere ricorrere ad autorità di certificazione di
qualsiasi natura; perché è l’ente in questione che ha distribuito le carte e conosce identità e chiavi pubbliche dei titolari abilitati a fruire dei servizi offerti. In questi
casi, ogni riferimento alla legislazione conseguente alle leggi Bassanini è gratuita e
fuorviante. Si tratta solo di estensioni della prassi d’impiego dei codici di autenticazione personale quali quelli usati, ad esempio, nel circuito BANCOMAT.
Le autorità di certificazione
Una complicazione relativa all’impiego dei codici di autenticazione personali sta nel fatto che ciascun erogatore di servizio deve distribuire i suoi ai suoi utenti. Tale
circostanza crea due ordini di problemi:
¡ Ogni erogatore di servizio deve distribuire, secondo procedure fidate e sicure, i codici alle utenze; sobbarcandosi costi ed impegni che non sono, di regola
marginali.
¡ Gli utenti sono subissati di codici di autenticazione, uno per classe di servizi usufruiti, tutti da ricordare e conservare in maniera sicura; ciascuno da
impiegare per i soli casi previsti.
L’impiego delle carte di firma supportate da una autorità di certificazione offre la possibilità di lenire i problemi qui sopra puntualizzati. Basta dare ad un utilizzatore
una sola carta e chiedere all’interessato di impiegarla in termini giudiziosi per
accedere a più classi di servizi. I centri servizio che riconoscono la carta ricevono
Forum P.A. – Roma, 5/9 maggio 2003
Convegno - Amministrazioni orientate al cittadino. Strategie di multicanalità per costruire un sistema di relazioni con cittadini ed imprese.– La firma elettronica: luci ed ombre
dall’utente la sua firma ed il corrispondente certificato X.509. Quest’ultimo contiene la chiave pubblica con cui autenticare la richiesta che il mittente ha
inviato; assieme alla autorità di certificazione che ha emesso (all’utente) la carta;
e che è pronta a testimoniare circa l’associazione autentica tra firma pubblica ed identità dell’interessato.
L’impiego di carte distribuite da autorità di certificazione esonera quanti erogano
servizi da assegnare loro carte o loro codici d’autenticazione. Però aggiunge l’onere delle interazioni e delle verifiche sulle autorità di certificazione; che non
operano, di regola, a titolo gratuito, per pura e disinteressata filantropia.
Sull’argomento, la significatività dell’approccio non è assoluta e dipende dai costi e dagli oneri complessivi da fronteggiare. Nella fattispecie, le autorità di
certificazione chiamate a sostenere sovracosti sostanziali per ottemperare a
regolamentazioni imposte dalla visione utopica dell’approccio massimalista rischiano di darsi la zappa sui piedi; perché accettano oneri impropri che rischiano
di porle fuori mercato nell’offrire i loro servizi a quanti sarebbero disposti ad
impiegare una carta di firma comune a posto di un codice d’accesso (o una carta di firma) a cura dell’erogatore del servizio ICT.
A questo punto, la dannosità potenziale dell’approccio massimalista diviene
sostanziale per lo sviluppo dei servizi ICT da erogare al pubblico in termini riservati e personalizzati. E tra questi vanno incluse le varie forme di commercio
elettronico che stanno cercando di affermarsi come realtà non effimera di mercato.
Sicurezza informatica
L’erogazione dei servizi di sportello delle pubbliche amministrazioni si basa su
prassi consolidate da decenni di esperienze, con ampia pregnanza dei rapporti
personali tra addetti e cittadini in cui fanno aggio i processi di riconoscimento ed autenticazione impliciti quando si tratta di transazioni concluse tra persone che si
guardano in faccia. La telematizzazione dei medesimi servizi passa attraverso la
necessità di emulare i rapporti umani con strumenti informatici che fanno perdere il rapporto umano e le relazioni di fiducia che normalmente ne conseguono.
Sull’argomento, l’impiego delle firme elettroniche (viste in una logica di ordinaria
amministrazione) aiuta; senza però costituire una sorta di panacea universale.
Per telematizzare i rapporti di sportello tra amministrazioni, imprese, cittadini
occorre mettere a punto servizi ICT che, il più delle volte, debbono essere resi
sicuri ricorrendo ad accorgimenti di carattere organizzativo adeguati, supportati da strumenti informatici robusti ed inclusiti di congrue funzioni di sicurezza. La messa
a punto dei servizi ICT sicuri e delle loro tecnologie abilitanti risulta complessa e
costosa; anche perché, ogni volta che si tratta di sicurezza, è sempre complesso scegliere i giusti compromessi tra contromisure costose e minacce potenziali
lasciate scoperte per risparmiare tempi e risorse.
Sull’argomento della sicurezza dei servizi ICT (Cfr. i riferimenti) e delle loro tecnologie abilitanti, i Criteri Comuni ISO offrono una metodologia di approccio
Forum P.A. – Roma, 5/9 maggio 2003
Convegno - Amministrazioni orientate al cittadino. Strategie di multicanalità per costruire un sistema di relazioni con cittadini ed imprese.– La firma elettronica: luci ed ombre
consolidata e pregnante. Basta solo volerli applicare in termini accorti, malgrado gli oneri che ciò comporta.
Carta Servizi e Carta elettronica d’identità
Quando si analizzano le procedure amministrative e l’erogazione dei servizi dalle pubbliche amministrazioni ad imprese e cittadini, si può constatare come, nella
stragrande maggioranza dei casi, si tratta di servizi telematici strutturalmente
affini a quelli offerti, ad esempio, dagli sportelli telematici delle banche. Perché si tratta, nella maggioranza dei casi, di funzioni di sportello telematico.
Con un minimo di fantasia e di ingegnosità progettuale (e normativa), i servizi di
sportello telematico possono essere concepiti e realizzati seguendo l’approccio dell’ordinaria amministrazione, senza scomodare quello massimalista. Come
ulteriore punto critico, appare auspicabile che un’amministrazione che vuole aprire
sportelli telematici non debba sobbarcarsi l’onere della distribuzione sicura delle credenziali di accesso (parole d’accesso o carte di firma) ai suoi utenti. Di qui
l’appetibilità potenziale dell’impiego di carte di firma distribuite da autorità di
certificazione. Purché i costi da pagare non scoraggino in partenza le proposte innovative.
A fronte di un disegno mirato a favorire, nei decenni a venire, la telematizzazione
progressiva delle interazioni tra cittadini, imprese e pubbliche amministrazioni, apparirebbe cosa sensata aggiungere alla carta d’identità elettronica e alla carta
servizi la circuiteria tecnologica necessaria per la firma elettronica. Significherebbe
fornire ad ogni cittadino una sua capacità di firma con cui autenticarsi nelle interazioni telematiche con le pubbliche amministrazioni.
L’integrazione della firma elettronica nella carta servizi nazionale (o nella carta
d’identità elettronica) comporta come sua componente abilitante necessaria, la istituzione, la messa in esercizio ed il finanziamento di autorità di certificazione
presso cui le amministrazioni che erogano servizi ICT ai cittadini e alle imprese
possano verificare la validità dei certificati X.509 che riceveranno dalle loro utenze. A parte le pruderie originate dalla libertà di concorrenza originate dalla
Unione Europea, la realizzazione di autorità di certificazione correlate alla carta
servizi e a quella d’identità elettronica significa dirimere un guazzabuglio di problemi di competenza (governo centrale, regioni, province, comuni, comunità di
comuni, questure, carabinieri,…..). Sempre che tanto lavorare ed impegnarsi, tra
querele molteplici e confuse, valga veramente la candela, nell’interesse dell’efficienza complessiva della macchina pubblica e dei cittadini e delle imprese
cui sarebbero rivolte tante attenzioni.
Conclusioni secondo buon senso
Le attività mirate a sostituire in maniera integrale i documenti cartacei legali con
equipollenti testi digitali firmati in maniera elettronica appaiono come sforzi di
Sisifo inconcludenti. Meglio fare, sull’argomento, un paio di passi in dietro.
Forum P.A. – Roma, 5/9 maggio 2003
Convegno - Amministrazioni orientate al cittadino. Strategie di multicanalità per costruire un sistema di relazioni con cittadini ed imprese.– La firma elettronica: luci ed ombre
Le firme elettroniche appaiono adeguate come strumentazioni tecnologiche con cui sottoscrivere, in maniera interimale dichiarazioni o richieste successivamente
validate da documentazioni cartacee. Secondo procedure concordate tra le parti
coinvolte che userebbero la documentazione cartacea per dirimere querele e conflitti in cui si dovesse incorrere.
Le firme elettroniche sono una strumentazione più adeguata di nome utente e
parola d’accesso per realizzare meccanismi di accreditamento da parte di utenze che accedono a servizi telematici offerti da organizzazioni pubbliche o private.
Il ricorso alle autorità di certificazione può aiutare le organizzazioni che erogano i
servizi in questione a ridurre i costi associati alla distribuzione delle credenziali alle loro utenze potenziali. La significatività delle medesime autorità è di tipo
economico: dipende dai costi che chiedono di imporre per i servizi che intendono
erogare. Allo stato delle conoscenze attuali, potrebbero avere successo; forse; se non sono obbligate ad adeguarsi a normative inutilmente onerose.
L’introduzione delle capacità di firma nelle carte d’identità elettronica e nella carta
servizi regionali ha senso ed appare auspicabile se:
¡ le autorità competenti riescono a dirimere in termini puntuali e tempestivi chi
debba accudire le associate autorità di certificazione;
¡ non si entra in conflitto con le direttive dell’Unione Europea;
¡ i costi dei servizi erogati dalle medesime autorità di certificazione sono tali da
stimolarne l’impiego da parte delle corrispettive utenze naturali.
Riferimenti bibliografici
Giuseppe FANTAUZZI – Impiego universale delle Firme elettroniche: dati di fatto,
vincoli, possibilità.- Quaderni Consiel N. 16 – Maggio 1999
Giuseppe FANTAUZZI – La sicurezza dei servizi ICT e delle loro tecnologie abilitanti – In corso di pubblicazione
Giuseppe FANTAUZZI, Fabio LAZZINI – Lo spessore dei Criteri Comuni ISO per
la sicurezza informatica – In corso di pubblicazione