Nei mesi scorsi abbiamo attivamente partecipato ad un gruppo di lavoro creato da Anorc per analizzare le problematiche relative alla spedizione delle impronte degli archivi digitali relativi a documenti fiscalmente rilevanti.

Dai vari incontri è scaturito un documento che ritengo possa essere di aiuto a utenti e responsabili per capire lo stato dell'arte e le difficoltà che si incontreranno nell'assolvimento di tale obbligo .

Il documento è reperibile sul sito Anorc e nella pagina dei Documenti sezione Leggi, solo per gli utenti registrati

http://www.multimediait.com/le_leggi.aspx

E' richiesto un parere quindi occorre valutare con attenzione le nuove regole tecniche per la firma digitale, e cercare, nel limite del possibile, di verificare se quanto pensato dal legislatore, può essere poi realisticamente applicato.

Ma risulta alquanto difficile fare una analisi serena quando già dalle definizioni si trovano incongruenze e cose poco comprensibili.

Cominciamo dai tipi di firma elettronica. Nel Mind Map allegato si nota bene come :

1 - L'attuale ordinamento prevede 4 tipi di firma digitale

2 - La disposizione cee prevede 2 tipi di firma digitale

3 - i  milioni di firme digitali distribuite agli utenti Italiani non rientrano in nessuna delle casistiche previste dalla legge , sono una sorta di mix tra firma elettronica avanzata, firma qualificata e firma digitale poichè hanno le caratteristiche di tutte e tre le tipologie.

Non sono il primo a far notare che 4 tipi di firme sono tante e si rischia di fare confusione, lo dice l'Anorc, lo dicono diversi esperti di firma digitale e anche gli archivisti.

E questo è solo il capitolo 1 sezione 1 articolo 1.

Sintesi della incongruenza.

La firma digitale che utilizziamo tutti , è basata sul sitema "a doppia chiave crittografica" e su un "certificato qualificato ". Tali caratteristiche secondo la norma aggiornata, sono quelle di una "firma digitale".

Ma viene rilasciata esclusivamente su dispositivi sicuri, che è una caratteristica della firma Qualificata.

Ovviamente garantisce identificazione e connesione univoca al firmatario e lo stesso ha il pieno controllo sui mezzi visto che il dispositivo sicuro è azionabile solo da chi consoce il pin, carateristiche della firma elettronica avanzata.

Mappa delle diverse tipologie di firme elettroniche http://www.multimediait.com/FILE/00000000/00000147.dpcm_firme_digitali.pdf

http://www.multimediait.com/FILE/00000000/00000145.20110704_DPCM_Firma%20Elettronica.pdf

qui l'ultima versione del CAD

http://www.multimediait.com/FILE/00000000/00000118.CAD_lgs_235_2010.pdf

Non ho trovato in gazzetta ufficiale il maxy emendamento che modifica l'art. 2215 bis, qualcuno sa che fine ha fatto ?

A partire dal 30 giugno software e dispositivi di firma che non supportano l'algoritmo sha 256 devono essere sostituiti.

Lo scorso Aprile, alcuni avvocati specializzati in diritto dell'informatica, hanno aderito ad una Associazione culturale (Iusit.Net). Gli aderenti, hanno deciso (la legge lo permette) di sottoscrivere in maniera digitale l'atto costitutivo lo statuto e tutti i documenti.

Nonostante la correttezza formale degli atti, questi sono stati rifiutati da  alcuni uffici adducendo come giustificazione il fatto che " mancano strumenti idonei al controllo delle sottoscrizioni".

Percorso lungo e difficile

Questo fatto è emblematico, da un lato una valanga di norme che con difficoltà cercano di regolare la produzione e lo scambio di documenti informatici, investimenti cospiqui in digitalizzazione, trasmissione di impronte, firme digitali , marche temporali e poi tutti si blocca perchè un ufficio pubblico non "ha gli strumenti".

Bene lo strumento è un software che può essere reperito anche gratuitamente e alcune ore di formazione e tutto questo è scandaloso.

I deputati radicali su iniziativa di Matteo Mecacci hanno presentato un'interrogazione parlamentare per richiamare l'attenzione su questa stortura del sistema.

Come si può porre rimedio e quanto è importante farlo ?

Temo che il nuovo testo unico non vada in questa direzione, aggiunge parole a parole, complica, rende complesso , tende a regolare ciò che già è regolato .

Occorre invece un piano di azione / formazione delle strutture centrali e periferiche, occorre una ferma volontà di modernizzare a partire dalla amminsitrazione centrale fino alla più remota sede periferica. Occorre creare centri di competenza che possano velocemente supportare le p.a. che si trovano in difficoltà nell'applicare il cambiamento. Occorre il coraggio di SPEGNERE L'ANALOGICO VIETANDO la presentazione di documenti cartacei.

Salvo errori il maxi emendamento appena votato comprende questa modifica

f-quater)

all'articolo 2215-bis del codice civile sono apportate le seguenti modificazioni:

1) i commi terzo e quarto sono sostituiti dai seguenti:

"Gli obblighi di numerazione progressiva e di vidimazione previsti dalle disposizioni di legge

o di regolamento per la tenuta dei libri, repertori e scritture sono assolti, in caso di tenuta con

strumenti informatici, mediante apposizione, almeno una volta all'anno, della marcatura temporale e

della firma digitale dell'imprenditore o di altro soggetto dal medesimo delegato.

Qualora per un anno non siano state eseguite registrazioni, la firma digitale e la marcatura

temporale devono essere apposte all'atto di una nuova registrazione e da tale apposizione decorre il

periodo annuale di cui al terzo comma";

2) è aggiunto, in fine, il seguente comma:

"Per i libri e per i registri la cui tenuta è obbligatoria per disposizione di legge o di regolamento di natura tributaria, il termine di cui al terzo comma opera secondo le norme in materia di conservazione digitale contenute nelle medesime disposizioni";

La tanto attesa modifica dell'articolo 2215 bis è in arrivo. Non si tratta di una revisione, come avevamo auspicato nell'ambito di Agenda digitale per l'Italia, ma di allungamento dei termini di apposizione della marca temporale che diventa almeno annualmente come nella disciplina fiscale.

Se da un lato viene risolto il dubbio sulla validità ai fini civilistici della tenuta digitale dei libri contabili, rimane il dubbio circa i libri sociali. Un libro dei verbali ha senso se formato come documento informatico SENZA UNA DATA CERTA ?

Intanto speriamo di portare a casa questa modifica.

http://www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=ListEmendc&leg=16&id=35536

E alla fine si scoprì che Anima si chiama Tom, ha la barba, sposato con moglie e figli a carico e gli utlimi post li ha trasmessi dalla Turchia dove si trovava in vacanza.

Non si trattava quindi di una blogger lesbica Siriana ma di uno scherzo cosi ben orchestrato che il gruppo su facebook che sostiene Anima (Tom) conta oltre 15000 affiliati.

Dunque il problema dell'identità dell'interlocutore in rete è un problema serio, risolvibile specialmente nei rapporti Business ma certamente non ancora affrontato in maniera organica.

La Sony ormai è sotto tiro e dopo il furto delle identità dei giocatori di play station,  adesso subisce il furto di un'altra serie di dati, si parla di 1 milione di utenti .

Ma gli hacker sono arrivati  anche ai server della Lockeed Martin, società che costruisce armamenti per il Governo Usa; i sistemi di sicurezza hanno rilevato l'infrazione e chiuso i canali prima che questi potessero accedere ai server più importanti.

Ma come avviene tutto questo ? Come è possibile che aziende che investono milioni di euro in sicurezza risultino poi cosi vulnerabili ?

L'attacco alla Lockeed comincia molto tempo fa quando gli hacker sono entrati nei server di RSA  ed hanno rubato importanti informazioni sui token SecureId emessi proprio dalla RSA . Si tratta di quei codici di autenticazione rilasciati su chiavette e utilizzati da Banche e Aziende per l'autenticazione sicura degli utenti.

Rsa non ha mai fornito dati precisi su quali informazioni siano state rubate certo è che tutti i token utilizzati da aziende militari sono stati immediatamente sostituiti.

Curioso è il modo in cui gli hacker sono entrati in RSA. Hanno scelto di sfruttare una vulnerabilità di Adobe Flash Player (ora sanata) e hanno inviato alcune email contenenti allegati maligni ad un ristretto numero di dipendenti di RSA con livelli di sicurezza molto bassi, diciamo utenti di poco conto dal punto di vista dei permessi sulla rete interna ma da uno di questi pc è iniziata l'invasione. Una volta infettati i primi pc, gli autori dell'attacco sono riusciti ad eseguire una applicazione in grado di comandare da remoto il sistema utilizzando una variante del tool "Poison Ivy" e sono riusciti a sottrarre le credenziali per l'accesso ad altri sistemi connessi alla rete di RSA avviando poi una attività di ricerca e copia di dati sensibili.

E' molto probabile che proprio grazie a queste informazioni sia potuto avvenire l'attacco ai server Lockeed.

IL FUTURO SARA' COSI

Questi fatti non possono che farci pensare che il futuro sarà così, dovremo continuamente fare attenzione a tutti gli aspetti della sicurezza, investire e migliorare continuamente poichè "la rete" comporta questi rischi è non ci sono cure che possano in qualche modo eliminarli se non il quotidiano lavoro di controllo e l'adozione di criteri di sicurezza sempre più sofisticati e difficili da superare.

Che faremo noi

Abbiamo già pensato che nelle prossime versioni del software verrà integrata l'autenticazione tramite certificati digitali. L'utente che dispone di un certificato avrà possibilità di "disabilitare" l'accesso con User e password e attivare quello con smart card ma in generale la sicurezza nel futuro non sarà quella che abbiamo adottato fino ad oggi ma qualche cosa di ben più complesso e su cui non potremo lesinare.

,

Sul sito dell'organizzazione sono stati pubblicati tutti i contributi inviati

http://www.agendadigitale.org/contributi/