Subscribe
Share
Search
Torna in alto
Scorri la pagina
top

Verifica e convalida delle firme digitali.

Cosa si intende per “verifica” e “convalida”
Le parole “verifica” e “convalida” sono utilizzate in linea con l’articolo 3 del regolamento eIDAS dove al numero 41) si definisce che la “convalida è: “il processo di verifica e conferma della validità di una firma o di un sigillo elettronico”.Gli utenti della firma digitale sanno che il procedimento di verifica di una firma qualificata può portare a un diagnostico di “firma non valida” senza che il soggetto che effettua la verifica disponga di dettagli sul motivo dell’errore segnalato.I motivi che possono portare a questo messaggio diagnostico possono essere vari. Il documento sottoscritto risulta non essere integro, gli algoritmi crittografici utilizzati non sono conformi alla normativa europea. Possono essere obsoleti o con lunghezza delle chiavi non adeguata o con calcolo dell’impronta di lunghezza non adeguata allo stato dell’arte. Tutto questo certamente può accadere ma nella realtà accade che la verifica fallisce molto spesso per qualche bit “fuori posto”.

La procedura di verifica delle firme
Negli ultimi mesi poi si riscontra un non adeguato aggiornamento delle procedure di verifica delle firme qualificate europee (provenienti da soggetti qualificati in Stati membri esteri) da parte della pubbliche amministrazioni italiane. Le procedure di verifica messe a disposizione dai prestatori di servizi fiduciari qualificati in Italia ai sensi dell’articolo 42, comma 8 del DPCM 22 febbraio 2013 (Regole tecniche per le firme avanzate, qualificate e digitali) sono generalmente valide rispetto ai formati europei ma non nelle verifiche delle firme ai fini della contrattualistica necessaria per ottenere le credenziali SPID.

Numerosi problemi si riscontrano anche con la verifica di firme in formato PAdES (file di riferimento in PDF). La mancanza di uno strumento standard che in fase di verifica non si limiti alla verifica con errori generici crea difficoltà e situazioni paradossali.

A chi scrive sono capitate situazioni dove sottoscrizioni palesemente non valide sono state accettate “per non bloccare il procedimento amministrativo” e naturalmente questi documenti sono stati protocollati anche se non erano rispettati i requisiti di corretta formazione del documento come da DPCM 13 novembre 2014.

Numerosi soggetti europei basano le loro verifiche sul Digital SIgnature Service (DSS) messo a disposizione dalla Commissione Europea. Questo approccio purtroppo non è adottato in modo efficace dalla pubblica amministrazione nazionale anche se, con interventi puntuali, la situazione va lentamente migliorando. Per dare adeguato supporto alla situazione, anche AgID ha pubblicato indicazioni e chiarimenti legali sul proprio sito.