Amministrazioni orientate al cittadino. Strategie di multicanalità...

Allaxia S.p.A. :: Milano Roma Firenze Vicenza Bari ¡ www.allaxia.com ¡ 800 121 141

Via Val Formazza 10, 20157 Milano ¡ T. +39.02.33208.1 ¡ F. +39.02.33208.300 P.I. 05322710723 ¡ C.F. 11808440157 ¡ R.E.A. BA 412185 ¡ Capitale Sociale € 5.000.000,00 i.v.

© Allaxia S.p.A. 2003 – Vietata la riproduzione

AAmmmmiinniissttrraazziioonnii oorriieennttaattee aall cciittttaaddiinnoo..

SSttrraatteeggiiee ddii mmuullttiiccaannaalliittàà ppeerr ccoossttrruuiirree uunn ssiisstteemmaa ddii

rreellaazziioonnii ccoonn cciittttaaddiinnii eedd iimmpprreessee..

LLaa ffiirrmmaa eelleettttrroonniiccaa::

lluuccii eedd oommbbrree

Forum P.A. – Roma, 5/9 maggio 2003

Convegno - Amministrazioni orientate al cittadino. Strategie di multicanalità per costruire un

sistema di relazioni con cittadini ed imprese.– La firma elettronica: luci ed ombre

© Allaxia S.p.A. 2003 – Vietata la riproduzione Pag. 0 di 8

Indice

Introduzione........................................................................................................1

Gli Approcci della Firma Elettronica ......................................................................1

L’approccio massimalista .....................................................................................1

L’ordinaria amministrazione .................................................................................2

Le autorità di certificazione..................................................................................3

Sicurezza informatica ..........................................................................................4

Carta Servizi e Carta elettronica d’identità ...........................................................5

Conclusioni secondo buon senso..........................................................................5

Riferimenti bibliografici ........................................................................................6


Convegno - Amministrazioni orientate al cittadino. Strategie di multicanalità per costruire un sistema di relazioni con cittadini ed imprese.– La firma elettronica: luci ed ombre


Pag. 3 di 8

Introduzione

Da due lustri si dibatte molto in Italia a proposito dell’impiego delle firme

elettroniche; senza che a tanto parlare facciano seguito le palingenesi promesse

dagli addetti ai lavori. Qui di seguito è esplicitato un punto di vista di un addetto deluso che ha cercato di darsi una ragione di tanto successo così tardo a

concretizzarsi. Per motivi di concisione espositiva, si assume il lettore addentro

nella materia. Un’introduzione breve ai presupposti di questo lavoro è riportata in riferimento.

La firma elettronica può essere vista secondo due punti di vista contrapposti: uno

massimalista, l’altro di ordinaria amministrazione.

Gli Approcci della Firma Elettronica

L’approccio massimalista, facendo riferimento agli scenari messi in moto dalle

leggi Bassanini sulla semplificazione delle procedure amministrative, punta ad equiparare i documenti informatici (cioè articolati come sequenze di bit) firmati in

maniera elettronica a quelli cartacei sottoscritti con firme chirografe. Il tutto con:

¡ i primi che verrebbero ad avere le medesime pregnanze legali dei secondi ai

sensi del codice civile e delle legislazioni vigenti;

¡ l’idea che tale equiparazione condurrebbe ad una società in cui i documenti

legali cartacei potrebbero sparire per essere sostituiti da quelli digitali;

¡ ampi e sostanziali vantaggi economici e pratici per il sistema Paese.

L’approccio d’ordinaria amministrazione vede nelle firme elettroniche solo una

variante potenziata delle credenziali di autenticazione (nomi utenti parole d’accesso (password)) da impiegare nell’erogazione di servizi ICT (o telematici).

L’approccio massimalista

Ad oltre sei anni dalla emissione delle leggi Bassanini, l’approccio massimalista appare come un’utopia non necessaria e pericolosa. In proposito si può applicare

l’analogia con quanti, circa 60 anni fa, proponevano l’energia nucleare a scopi

civili, in sostituzione di quella da combustili chimici. Allora, i propugnatori del nuovo, a fronte degli innegabili vantaggi che ci si attendeva, posero in sordina i

problemi non risolti relativi al trattamento dei residui radioattivi e ai rischi di

catastrofi. Simile è la posizione di quanti auspicano l’avvento dei documenti




Pag. 4 di 8

informatici reali al posto ed in sostituzione di quelli cartacei, senza preoccuparsi di sviluppi tecnologici che, di qui a uno due decenni, potrebbero consentire a

truffatori di varia natura di clonare le chiavi asimmetriche di firma.

Il fattore che maggiormente blocca sul nascere l’impiego sostitutivo delle firme elettroniche a posto di quelle chirografe come fattore legale sta nella circostanza

che vede le firme elettroniche valide a tempo; cioè, dotate di scadenza. Una firma

elettronica vale fino alla scadenza del corrispondente certificato X.509. Cioè, per al più due tre anni; forse meno. Chi dispone di un qualsiasi documento contrattuale

firmato in maniera elettronica sa che, alla scadenza dei certificati X. 509 di quanti

lo hanno sottoscritto, ciò di cui dispone sarà una sequenza di bit priva di valore legale. Per evitare tale iattura dovrà farsi parte diligente nel rinnovare il

documento presso autorità che ne riconoscano ed estendano la validità temporale.

Anche i processi di estensione vanno a scadenza con il certificato X.509 di quanti li effettuano. Debbono, pertanto, essere ripetuti continuativamente, a scadenza.

La necessità di rinnovare una documentazione elettronica appare come un fastidio

non indifferente, anche a valle della messa a punto di norme ed istituzioni per operare la certificazione delle marche temporali elettroniche da apporre alle

estensioni; e per eseguire le estensioni. Tutte cose che appaiono come una

bizzarria che lascia perplessi quanti preferiscono, pertanto, continuare ad impiegare carta, strumentazioni d’automazione d’ufficio e penna; magari

integrate, nel caso, dalle impronte digitali (fisiche e da apporre su carta con

inchiostri non delebili).

Per essere caratterizzate da adeguati livelli di certezza, le firme elettroniche

debbono essere realizzare con tecnologie e processi a prova delle frodi più accorte, astute e sofisticate. Di qui i rimestamenti dell’acqua nel mortaio avviati con la

leggi Bassanini e non ancora giunti a conclusione. Con codazzi di contrasti più o

meno sotterranei tra quanti puntano a sicurezze incontrovertibili a costi inaccettabili e gli altri che mirano a soluzioni fattibili a costi ragionevoli, ma non

sicure agli occhi di quanti non sono disponibili a fare tacere le loro perplessità

critiche.

L’ordinaria amministrazione

L’impiego delle firme elettroniche appare relativamente agevole nelle relazioni

telematiche tra i cittadini e le organizzazioni, pubbliche o private, che erogano servizi. Esemplificativo su questo punto è il caso degli sportelli telematici offerti

dalle banche. In questo caso, all’impiego delle firme o dei codici di identificazione

personali fanno seguito documenti cartacei liberatori, sottoscritti in maniera chirografa dalle istituzioni che erogano il servizio e nei cui confronti gli utenti

operano secondo il criterio del silenzio assenso. Un tale modo di procedere usa, di

fatto, le carte di firma ed i codici personali come firme pro tempore, che debbono continuare a valere solo per le poche settimane che precedono l’emissione del

documento cartaceo dotato di valore liberatorio e definitivo. Tutto ciò, nel caso




Pag. 5 di 8

delle firme, taglia la testa al toro ed evita i problemi connessi ai limiti temporali assegnati alla validità dei certificati X.509.

Nel caso degli approcci di ordinaria amministrazione, il valore competitivo delle

carte di firma elettronica, rispetto a nomi utente e parole d’ordine, sta nel fatto che una carta di firma si basa su due chiavi asimmetriche di cui una (quella

riservata) è nota solo all’utilizzatore del servizio, mentre l’altra (quella pubblica)

può essere nota a tutti senza che insorgano problemi di sicurezza. Tale situazione è un netto vantaggio rispetto alle parole d’accesso che debbono essere note

contemporaneamente ad utilizzatori ed erogatore del servizio. Con il conseguente

problema per cui, in caso di controversie, occorre dimostrare chi tra i due ha fatto trapelare indebitamente conoscenze (la parola d’accesso) che dovevano rimanere

rigorosamente riservate.

Come per le parole d’accesso, un erogatore di un servizio ICT (Ad esempio l’Amministrazione delle Finanze nel caso dell’acquisizione telematica delle

dichiarazioni fiscali) può impiegare e distribuire carte di firma elettronica, da

impiegare per il suo solo servizio. Nel caso, per pruderie formali e nominalistiche, può chiamarle codici di autenticazione personali; tanto per non entrare in

collisione con i vincoli artificiosi piantati dai propugnatori dell’approccio

massimalista.

Impiegando dette carte a posto delle parole d’acceso, l’organizzazione titolare può

erogare i suoi servizi senza dovere ricorrere ad autorità di certificazione di

qualsiasi natura; perché è l’ente in questione che ha distribuito le carte e conosce identità e chiavi pubbliche dei titolari abilitati a fruire dei servizi offerti. In questi

casi, ogni riferimento alla legislazione conseguente alle leggi Bassanini è gratuita e

fuorviante. Si tratta solo di estensioni della prassi d’impiego dei codici di autenticazione personale quali quelli usati, ad esempio, nel circuito BANCOMAT.

Le autorità di certificazione

Una complicazione relativa all’impiego dei codici di autenticazione personali sta nel fatto che ciascun erogatore di servizio deve distribuire i suoi ai suoi utenti. Tale

circostanza crea due ordini di problemi:

¡ Ogni erogatore di servizio deve distribuire, secondo procedure fidate e sicure, i codici alle utenze; sobbarcandosi costi ed impegni che non sono, di regola

marginali.

¡ Gli utenti sono subissati di codici di autenticazione, uno per classe di servizi usufruiti, tutti da ricordare e conservare in maniera sicura; ciascuno da

impiegare per i soli casi previsti.

L’impiego delle carte di firma supportate da una autorità di certificazione offre la possibilità di lenire i problemi qui sopra puntualizzati. Basta dare ad un utilizzatore

una sola carta e chiedere all’interessato di impiegarla in termini giudiziosi per

accedere a più classi di servizi. I centri servizio che riconoscono la carta ricevono




Pag. 6 di 8

dall’utente la sua firma ed il corrispondente certificato X.509. Quest’ultimo contiene la chiave pubblica con cui autenticare la richiesta che il mittente ha

inviato; assieme alla autorità di certificazione che ha emesso (all’utente) la carta;

e che è pronta a testimoniare circa l’associazione autentica tra firma pubblica ed identità dell’interessato.

L’impiego di carte distribuite da autorità di certificazione esonera quanti erogano

servizi da assegnare loro carte o loro codici d’autenticazione. Però aggiunge l’onere delle interazioni e delle verifiche sulle autorità di certificazione; che non

operano, di regola, a titolo gratuito, per pura e disinteressata filantropia.

Sull’argomento, la significatività dell’approccio non è assoluta e dipende dai costi e dagli oneri complessivi da fronteggiare. Nella fattispecie, le autorità di

certificazione chiamate a sostenere sovracosti sostanziali per ottemperare a

regolamentazioni imposte dalla visione utopica dell’approccio massimalista rischiano di darsi la zappa sui piedi; perché accettano oneri impropri che rischiano

di porle fuori mercato nell’offrire i loro servizi a quanti sarebbero disposti ad

impiegare una carta di firma comune a posto di un codice d’accesso (o una carta di firma) a cura dell’erogatore del servizio ICT.

A questo punto, la dannosità potenziale dell’approccio massimalista diviene

sostanziale per lo sviluppo dei servizi ICT da erogare al pubblico in termini riservati e personalizzati. E tra questi vanno incluse le varie forme di commercio

elettronico che stanno cercando di affermarsi come realtà non effimera di mercato.

Sicurezza informatica

L’erogazione dei servizi di sportello delle pubbliche amministrazioni si basa su

prassi consolidate da decenni di esperienze, con ampia pregnanza dei rapporti

personali tra addetti e cittadini in cui fanno aggio i processi di riconoscimento ed autenticazione impliciti quando si tratta di transazioni concluse tra persone che si

guardano in faccia. La telematizzazione dei medesimi servizi passa attraverso la

necessità di emulare i rapporti umani con strumenti informatici che fanno perdere il rapporto umano e le relazioni di fiducia che normalmente ne conseguono.

Sull’argomento, l’impiego delle firme elettroniche (viste in una logica di ordinaria

amministrazione) aiuta; senza però costituire una sorta di panacea universale.

Per telematizzare i rapporti di sportello tra amministrazioni, imprese, cittadini

occorre mettere a punto servizi ICT che, il più delle volte, debbono essere resi

sicuri ricorrendo ad accorgimenti di carattere organizzativo adeguati, supportati da strumenti informatici robusti ed inclusiti di congrue funzioni di sicurezza. La messa

a punto dei servizi ICT sicuri e delle loro tecnologie abilitanti risulta complessa e

costosa; anche perché, ogni volta che si tratta di sicurezza, è sempre complesso scegliere i giusti compromessi tra contromisure costose e minacce potenziali

lasciate scoperte per risparmiare tempi e risorse.

Sull’argomento della sicurezza dei servizi ICT (Cfr. i riferimenti) e delle loro tecnologie abilitanti, i Criteri Comuni ISO offrono una metodologia di approccio




Pag. 7 di 8

consolidata e pregnante. Basta solo volerli applicare in termini accorti, malgrado gli oneri che ciò comporta.

Carta Servizi e Carta elettronica d’identità

Quando si analizzano le procedure amministrative e l’erogazione dei servizi dalle pubbliche amministrazioni ad imprese e cittadini, si può constatare come, nella

stragrande maggioranza dei casi, si tratta di servizi telematici strutturalmente

affini a quelli offerti, ad esempio, dagli sportelli telematici delle banche. Perché si tratta, nella maggioranza dei casi, di funzioni di sportello telematico.

Con un minimo di fantasia e di ingegnosità progettuale (e normativa), i servizi di

sportello telematico possono essere concepiti e realizzati seguendo l’approccio dell’ordinaria amministrazione, senza scomodare quello massimalista. Come

ulteriore punto critico, appare auspicabile che un’amministrazione che vuole aprire

sportelli telematici non debba sobbarcarsi l’onere della distribuzione sicura delle credenziali di accesso (parole d’accesso o carte di firma) ai suoi utenti. Di qui

l’appetibilità potenziale dell’impiego di carte di firma distribuite da autorità di

certificazione. Purché i costi da pagare non scoraggino in partenza le proposte innovative.

A fronte di un disegno mirato a favorire, nei decenni a venire, la telematizzazione

progressiva delle interazioni tra cittadini, imprese e pubbliche amministrazioni, apparirebbe cosa sensata aggiungere alla carta d’identità elettronica e alla carta

servizi la circuiteria tecnologica necessaria per la firma elettronica. Significherebbe

fornire ad ogni cittadino una sua capacità di firma con cui autenticarsi nelle interazioni telematiche con le pubbliche amministrazioni.

L’integrazione della firma elettronica nella carta servizi nazionale (o nella carta

d’identità elettronica) comporta come sua componente abilitante necessaria, la istituzione, la messa in esercizio ed il finanziamento di autorità di certificazione

presso cui le amministrazioni che erogano servizi ICT ai cittadini e alle imprese

possano verificare la validità dei certificati X.509 che riceveranno dalle loro utenze. A parte le pruderie originate dalla libertà di concorrenza originate dalla

Unione Europea, la realizzazione di autorità di certificazione correlate alla carta

servizi e a quella d’identità elettronica significa dirimere un guazzabuglio di problemi di competenza (governo centrale, regioni, province, comuni, comunità di

comuni, questure, carabinieri,…..). Sempre che tanto lavorare ed impegnarsi, tra

querele molteplici e confuse, valga veramente la candela, nell’interesse dell’efficienza complessiva della macchina pubblica e dei cittadini e delle imprese

cui sarebbero rivolte tante attenzioni.

Conclusioni secondo buon senso

Le attività mirate a sostituire in maniera integrale i documenti cartacei legali con

equipollenti testi digitali firmati in maniera elettronica appaiono come sforzi di

Sisifo inconcludenti. Meglio fare, sull’argomento, un paio di passi in dietro.




Pag. 8 di 8

Le firme elettroniche appaiono adeguate come strumentazioni tecnologiche con cui sottoscrivere, in maniera interimale dichiarazioni o richieste successivamente

validate da documentazioni cartacee. Secondo procedure concordate tra le parti

coinvolte che userebbero la documentazione cartacea per dirimere querele e conflitti in cui si dovesse incorrere.

Le firme elettroniche sono una strumentazione più adeguata di nome utente e

parola d’accesso per realizzare meccanismi di accreditamento da parte di utenze che accedono a servizi telematici offerti da organizzazioni pubbliche o private.

Il ricorso alle autorità di certificazione può aiutare le organizzazioni che erogano i

servizi in questione a ridurre i costi associati alla distribuzione delle credenziali alle loro utenze potenziali. La significatività delle medesime autorità è di tipo

economico: dipende dai costi che chiedono di imporre per i servizi che intendono

erogare. Allo stato delle conoscenze attuali, potrebbero avere successo; forse; se non sono obbligate ad adeguarsi a normative inutilmente onerose.

L’introduzione delle capacità di firma nelle carte d’identità elettronica e nella carta

servizi regionali ha senso ed appare auspicabile se:

¡ le autorità competenti riescono a dirimere in termini puntuali e tempestivi chi

debba accudire le associate autorità di certificazione;

¡ non si entra in conflitto con le direttive dell’Unione Europea;

¡ i costi dei servizi erogati dalle medesime autorità di certificazione sono tali da

stimolarne l’impiego da parte delle corrispettive utenze naturali.

Riferimenti bibliografici

Giuseppe FANTAUZZI – Impiego universale delle Firme elettroniche: dati di fatto,

vincoli, possibilità.- Quaderni Consiel N. 16 – Maggio 1999

Giuseppe FANTAUZZI – La sicurezza dei servizi ICT e delle loro tecnologie abilitanti – In corso di pubblicazione

Giuseppe FANTAUZZI, Fabio LAZZINI – Lo spessore dei Criteri Comuni ISO per

la sicurezza informatica – In corso di pubblicazione

Amministrazioni orientate al cittadino. Strategie di multicanalità...

Documents

Transcript of Amministrazioni orientate al cittadino. Strategie di multicanalità...