Biometria e Firme Elettroniche
Sono passati oltre dieci anni (era l’1 gennaio 2006) dall’entrata in vigore del Codice per l’amministrazione digitale, comunemente noto come CAD, a seguito del D. Lgs. n. 82 approvato il 7 marzo dell’anno precedente. Con questo ricordo si apre il 2016 delle sottoscrizioni informatiche anche perché il 1 luglio del 2016 è entrato in vigore il Regolamento 910/2014 che cambia completamente lo scenario delle firme e di tanti altri servizi connessi all’agenda digitale.
A cambiare, prima di tutto è il glossario, scompare infatti il certificatore accreditato o il gestore di posta elettronica certificata ai quali dovremo riferirci come prestatori di servizi fiduciari.
Numerose altre modifiche e innovazioni saranno operative come i servizi di recapito certificato qualificato e i sigilli elettronici.
Il CAD vigente è stato significativamente modificato considerato che le regole nazionali in materia di firme sono completamente in linea con la direttiva 1999/93/CE su un quadro comunitario delle firme elettroniche che sarà abrogata il 1 luglio del 2016 in contemporanea con l’entrata in vigore del Regolamento eIDAS.
Per esempio sono state eliminate le definizioni già presenti nel Regolamento in quanto duplicazioni; le procedure di accreditamento dei certificatori lasciano il posto a quelle di qualifica dei prestatori di servizi fiduciari.
Il coordinamento tra la normativa nazionale e quella comunitaria (che essendo Regolamentare è di rango superiore) è stato condotto con l’obiettivo di garantire continuità al mercato nazionale di riferimento, assicurando, contemporaneamente un adeguato equilibrio con i mercati esteri che emergeranno negli altri Stati membri e che avranno pieno titolo, senza barriere di sorta ad operare nel mercato nazionale.
Ma eIDAS introduce anche elementi con primario valore giuridico che, correttamente, non sono stati inseriti nel CAD perché totalmente innovativi e quindi avremmo una duplicazione di elementi opposta a quella descritta per le definizioni. Cioè sarebbe inutile importare nel CAD quanto stabilito nel Regolamento eIDAS.
Al nuovo CAD si dovranno affiancare rapidamente nuove regole tecniche di settore che tengano in conto gli elementi innovativi introdotti dal Regolamento. Quando tali regole saranno diverse da quelle comunitarie quelle nazionali non potranno essere applicate e soprattutto l’emissione delle regole non è più a carico o sotto il controllo diretto degli Stati membri, ma saranno gli organismi di standardizzazione come ETSI e CEN ad emettere regole e poi la Commissione UE, con il parere degli Stati emetterà provvedimenti denominati atti di esecuzione o atti delegati ai quali i medesimi Stati dovranno attenersi.
Negli ultimi due anni abbiamo assistito ad una vertiginosa diffusione della firma elettronica avanzata basata su tecniche biometriche ovvero alla firma grafometrica. Il Regolamento eIDAS non modifica quanto stabilito dal CAD e dalle specifiche regole tecniche sul tema e questo è un vantaggio per lo sviluppo del mercato grafometrico. Questo è ancora molto scarso nella pubblica amministrazione e nel settore privato diverso da quello bancario/finanziario o assicurativo.
Ci occuperemo quindi dello stato dell’arte, di proposte per l’aggiornamento delle regole tecniche della FEA che in alcuni punti sono obsolete o bloccanti. Un altro interessante argomento da affrontare è quello dell’ipotesi di aggiornamento del fondamentale provvedimento prescrittivo del Garante per la protezione dei dati personali in materia di biometria. Infatti oltre alla grafometrica si stanno diffondendo velocemente altri tipi di applicazioni biometriche a partire dal mondo bancario ma anche nella domotica.
Quindi comincia a essere possibile approcciare l’internet banking in chiave totalmente biometrica. Per effettuare un bonifico quindi, già oggi, non sarebbe fantascienza entrare nel sistema bancario con il proprio volto, dare disposizioni tramite voce e confermare le transazioni tramite l’impronta digitale.
E nemmeno operare nella domotica con il riconoscimento vocale o facciale è già nella disponibilità di mercato e avrà la sua diffusione nei prossimi mesi ed anni. Il che significa che i paradigmi e gli approcci alla privacy (e non separatamente alla sicurezza) dovranno essere diversi e con il giusto grado di consapevolezza.
A cura di: Giovanni Manca
Giovanni Manca: laureato in Ingegneria Elettronica, svolge attività di consulenza sulle tematiche di dematerializzazione e sicurezza ICT. Da circa 25 anni si occupa di attività tecnologiche nel settore dell’ICT avendo spaziato nel corso degli anni dal network and system management alle infrastrutture a chiave pubblica (PKI).
Ha partecipato alla creazione della prima firma elettronica nella pubblica amministrazione, alla messa in linea del primo sito internet della fiscalità, al primo progetto pubblico di disaster recovery di dati fiscali, alla progettazione della Carta Nazionale dei Servizi e della Carta d’Identità Elettronica. Ha partecipato alla stesura delle più importanti normative tecniche sui temi dell’e-government. Attualmente è senior advisor sulle tematiche di dematerializzazione e sicurezza ICT per alcune primarie società di settore e Presidente di ANORC.
