lunedì 14 marzo 2011

Nuovo CAD - Relazione convegno 3 marzo Politecnico Milano

Giovedì 3 marzo si è tenuto un appuntamento al Politecnico di Milano sulle
novità introdotte dal Dlgs 235 del 2010 al Codice dell'Amministrazione
Digitale.

Hanno partecipato Giovanni Manca, Pierluigi Perri e Stefano Zanero. Incontro
molto interessante e molto tecnico.


Alcuni elementi emersi sono elencati di seguito.

- Tipologie di firme informatiche: ce ne sono 4. Probabilmente almeno una è
di troppo (quella "digitale", perché si sovrappone a quella "elettronica
qualificata", a sua volta un caso particolare della "elettronica avanzata",
a sua volta caso particolare della "elettronica"... sigh...)


- Firma grafometrica (ossia la firma su una sorta di tavoletta): una delle
tecnologie del futuro potrà essere proprio questa, introdotta all'articolo
25 comma 2 del CAD.
Bisognerà però poi capire come il tutto si intersecherà con la privacy,
visto che la firma grafometrica è anche una caratteristica biometrica


- Certificazione dei prodotti: il DPCM del 10 febbraio 2010 proroga
ulteriormente la possibilità dei certificatori di firma elettronica di
autodichiarare il livello di sicurezza dei propri dispositivi per
l'apposizione di firme elettroniche con procedure automatiche.
Nel corso del dibattito si è ribadito che (i) è comunque auspicabile che
tali prodotti (hardware o appliance come smart card, lettori e HSM) siano
certificati ISO/IEC 15408 (Common Criteria) rispetto a precisi Protection
Profiles e (ii) gli installatori stiano attenti a questo aspetto, di modo
che non si avrà un detrimento del sistema (tra l'altro, su questo punto, il
DPCM del 30 marzo 2009 è ancora in vigore per le altre casistiche)


- Firma remota e firma massiva: argomenti molto delicati, trattati (tra le
righe, per la verità) dall'articolo 35 ai commi 2, 3 e 5. Dovranno comunque
essere emesse delle regole tecniche (Articolo 71)


- Conservatori accreditati: si è discusso di questa nuova interessante
figura riportata dall'articolo 44-bis; i requisiti di sicurezza richiesti
non sembrano semplici da soddisfare per tutte quelle aziende di media
dimensione che potrebbero essere interessate a questo tema.
Si è anche accennato al rischio di avere modalità di accreditamento che non
garantiscono un buon livello di sicurezza (Manca ha fatto il paragone con le
certificazioni ISO 9001 e ISO/IEC 27001 aggiungendo una frase che io riporto
così "non tutti i certificatori sono bravi come il DNV"... io mi sono
sentito onorato di questo riconoscimento anche se molto indiretto)


- Business Continuity: l'articolo 50-bis dice che "le pubbliche
amministrazioni predispongono i piani di emergenza in grado di assicurare la
continuita' delle operazioni indispensabili per il servizio e il ritorno
alla normale operatività".
Manca ha ironizzato sul fatto che anche gli asili nido dovranno avere il
loro BCP.


Io ho fatto notare che questa normativa rischia di riportarci indietro:
l'argomento viene affrontato in una normativa di tipo IT e si rischia che
ritorni diffusa l'equazione Business Continuity = Continuità dei sistemi IT;
proprio quando finalmente questo errore era meno diffuso (insieme a Business
Continuity = Continuità in caso di disastri)


- Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche
amministrazioni: l'articolo 51 prevede che vengano emesse delle regole
tecniche su questi temi. Vedremo come saranno.


- Copie di documenti: molto parlare si è fatto degli articoli 22 (Copie
informatiche di documenti analogici), 23 (Copie analogiche di documenti
informatici), 23-bis (Duplicati e copie informatiche di documenti
informatici).
Gli articoli non sono un esempio da seguire in termini di chiarezza e di
coerenza con la tecnologia attuale.


Aggiungo il link alla pagina pertinente della DigitPA:http://www.digitpa.gov.it/firma-digitale
Aggiungo il link al testo vigente del CAD:http://www.digitpa.gov.it/sites/default/files/CAD_lgs_235_2010.pdf

Nota mia finale.
Non ho avuto il coraggio di fare la domanda: "a fronte di questa normativa,
che valore hanno le e-mail? e i log dei sistemi?".
Fornisco la mia risposta: vale il comma 1-bis dell'articolo 20: "L'idoneita'
del documento informatico a soddisfare il requisito della forma scritta e il
suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto
delle sue caratteristiche oggettive di qualita', sicurezza, integrita' ed
immodificabilita', fermo restando quanto disposto dall'articolo 21."
Mi auguro di ricevere (e pubblicherò) ulteriori pareri.


Ho posto la domanda a Giovanni Manca via mail e mi ha risposto: "La sua
valutazione è corretta!".

Faccio notare che la risposta di Manca è arrivata via Mail, quindi, fino a
prova contraria, ritenetela informale.

Nessun commento:

Posta un commento