La
firma digitale è sicura e invulnerabile, purché sia rispettato un corretto comportamento nel suo utilizzo. Questo è il messaggio lanciato da
CompEd Software Design, azienda genovese specializzata nei settori software di gestione documentale, workflow, firma digitale, conservazione sostitutiva, fatturazione elettronica, gestione della posta elettronica certificata, contratti elettronici che ha deciso di rendere nota la propria opinione sul tema firma digitale. Questa scelta è conseguente alla notizia, di qualche tempo fa, relativa alla realizzazione di una
frode telematica tramite falsificazione della firma digitale realizzata allo scopo di
‘scippare' l'azienda a un piccolo imprenditore, che ha portato ancor più alla ribalta il tema della sicurezza e della fiducia nelle nuove tecnologie di autenticazione di identità digitale.
Secondo CompEd, tra le precauzioni più importanti da adottare, per evitare potenziali rischi rientrano:
l'osservazione una meticolosa procedura di rilascio, la conservazione accurata della smartcard e del PIN, una corretta scelta dei software di firma e verifica, una particolare attenzione sui sistemi di firma remota.
[tit: Consigli agli utenti]
Il punto più critico del ‘sistema firma digitale' è il rilascio iniziale della
smartcard: dopo l'identificazione personale, si ha la consegna materiale di smartcard e PIN e la firma di un contratto di servizio che descrive in dettaglio la procedura, da seguire scrupolosamente evitando approssimazioni e semplificazioni.
La smartcard è un oggetto sicuro, che si attiva digitando un
PIN segreto. Occorre evitare di tenere copia del PIN con la carta e, in caso di smarrimento, richiedere immediatamente la revoca.
Sta crescendo l'offerta commerciale di
sistemi di ‘firma remota' (server che centralizzano chiavi private e certificati abolendo il rilascio della smartcard), per alcuni aspetti più flessibili del sistema con smartcard, ma oggettivamente meno sicuri (il titolare affida la propria chiave al gestore). Necessaria, quindi, è prudenza nella scelta del fornitore e nella tipologia di transazioni affidate a questo sistema.
Il software di firma digitale materialmente associa la firma al singolo documento. Un software difettoso o addirittura ‘malintenzionato' potrebbe far firmare all'utente qualunque cosa: importante, quindi, è adoperare software di cui l'utilizzatore si fida.
Talvolta, soprattutto usando la ‘firma remota', si è costretti a ricorrere a una procedura di firma integrata in un'applicazione Web: in questi casi deve essere almeno possibile avere una copia di quanto si firma.
Il
software di verifica delle firme altrui è anche più importante di quello di firma: bisogna usare un prodotto affidabile, capace di rilevare ogni anomalia (in particolare una firma deve essere apposta dal titolare con un certificato qualificato, non scaduto, non sospeso, non revocato al momento della firma).
É importante poter
collocare una firma nel tempo: se il documento ricevuto non è provvisto all'origine di una Marca Temporale il destinatario deve poterla aggiungere, per prevenire la scadenza o la revoca del certificato.
Bisogna diffidare inoltre, quando un sistema di verifica della firma riferisce messaggi come ‘non è possibile accertare l'attendibilità del certificato' o ‘non è possibile accedere alle informazioni di revoca':
la verifica deve essere superata ‘a pieni voti'.