Firma digitale in banca, un’altro passo avanti.

Abbiamo gia avuto modo di parlare delle ENORMI possibilità della firma digitale inserita nella stessa plastica della carta di credito. Un’altro passo in questa direzione è stato fatto; sarà presto possibile creare assegni sotto forma di documenti firmati tramite la firma digitale.

Tutto dipende da qual’è il vostro concetto di “presto”.

Molti siti che trattano la firma digitale hanno recentemente riportato la notizia: uno per tutti è il sito di ANORC. Non intendo commentare il dettaglio degli articoli del decreto, io sono un informatico… Preferisco fare delle ipotesi (quasi fantascienza) su quali possano essere la modalità di utilizzo di questo nuovo strumento.

Come al solito partiamo dalla realtà attuale e vediamo di rapportare tutti gli elementi del sistema in essere con quello che potrà diventare.

Prima cosa è necessario definire il documento assegno. Attualmente un assegno è un pezzo di carta che prevede l’impostazione di alcuni campi. In inglese diremmo una form, in italiano un modulo. Alcuni dati sono prestampati sul modulo (il nome della banca, le coordinate bancarie di chi emette l’assegno,etc..), altri devono essere riempiti dall’utente o traente (importo in numeri, importo in lettere, data, luogo, il beneficiairio).

Se non sapete cos’è in dettaglio un assegno vi consiglio di andare da un medico, avete dei seri problemi! In alternativa potete leggervi questa pagina.

L’assegno viene firmato dal traente, il beneficiario (o prenditore) può riscuoterlo direttamente nella propria banca. Per ora fermiamoci qui, non addentriamoci nei concetti di girata, di non trasferibile, di circolare, etc… Tentiamo di ipotizzare come si potrebbe implementare il servizio base.

Per creare un assegno sottoforma di documento informatico ho bisogno di due strumenti : un modulo (form) ed una firma digitale. Entrambi gli strumenti sottintendono la presenza di un dispositivo elettronico “importante”, tipicamente un computer (o *pad).

L’utente che intende creare un “assegno informatico” dovrà :

1. accendere il computer
2. connettere il lettore ed inserire la smartcard (in alternativa usare il token USB)
3. attivare il sw per riempire il modulo
4. se il sw è web, deve avere a disposizione una connessione ad internet
5. riempire il modulo ed applicare la firma digitale al documento (PDF/A?) creato

Bello, abbiamo ottenuto l’assegno informatico, siamo stati proprio bravi! Ma siamo sicuri? Mi sa che ci siamo persi qualcosa per strada… Nel processo descritto vedo diversi punti da approfondire.

Primo punto : sarebbe auspicabile non doversi portare un PC in giro per emettere un assegno. La differenza di peso tra i due strumenti è veramente troppo grande.

Secondo punto : la connessione a internet è necessaria? secondo me sarà indispensabile. Uno dei problemi più grandi dell’attuale sistema riguarda i dati dell’assegno.

Un utente può emettere assegni scoperti (di importo superiore alla disponibilità in conto) oppure postdatati o senza data. Entrambi i casi sono reati punibili dalla legge. C’è da aspettarsi che le regole tecniche che definiranno le caratteristiche di questo strumento impongano dei vincoli a riguardo.

Ma come? Sul tema importo, non è difficile; basta verificare la disponibilità in conto del denaro. Per quanto riguarda la data il discorso si complica. Lo strumento che oggi garantisce la data certa è la marca temporale. Questo strumento costa però 30 centesimi (a marca).

E’ impensabile che un utente debba portarsi dietro 2kg di computer e spendere 30 centesimi per emettere un assegno!

E’ plausibile che le banche potranno (rispettando determinate regole) diventare delle TSA (TimeStamp Authority) abilitate a garantire la data di emissione di un assegno.

Ultimo punto di attenzione… dove metto il documento che ho creato? Sicuramente lo consegno al beneficiario: tramite mail, facendolo scaricare da un sito web, copiandolo sulla chiavetta USB… e poi?

Il beneficiario porta il documento informatico in filiale e lo riscuote. Ma la filiale come conserverà questo documento? Quali sono le regole da applicare per la conservazione sostitutiva di questa tipologia di documenti informatici?

I vantaggi di un sistema del genere sarebbero molti, soprattutto se la Banca d’Italia (che definirà le regole) imporrà dei vincoli sui formati da utilizzare per il documento assegno.

Potremo riscuotere gli assegni tramite il nostro Internet Banking, senza uscire di casa. Potremo accettare assegni serenamente, senza la paura che siano scoperti.

Certo è che un assegno informatico non è molto diverso da un bonifico, molto dipenderà dai costi del servizio.

Vi spiego il segreto della semplicità di sinekarta

In questo periodo faccio molte demo di sinekarta, tutti gli utenti restano stupiti dalla semplicità e dalla velocità con la quale è possibile applicare la firma digitale con sinekarta.

Non so cosa fanno gli altri software, sinceramente non mi interessa; conosco bene sinekarta, so cosa fa e come lo fa, vorrei provare a spiegarlo nel modo più elemetare di cui sono capace.

Prima di tutto, tentiamo di capire quali sono le componenti del sistema :

Questo schema descrive bene l’architettura di un sistema basato su sinekarta. Dal lato server (a destra) è necessario avere installato Alfresco e sinekarta. Il server non necessita di hardware particolare, può anche essere un server Linux.

Il server deve essere connesso alla rete (intranet o internet) per permettere ad un PC di connettersi tramite Browser. E’ possibile utilizzare qualsiasi browser di desideri, non ci sono vincoli a riguardo.

NON è necessario avere un PC super-potente, basta che abbia un browser e sul quale ci sia installato l’Adobe Acrobat Reader per leggere i PDF.

La persona che intende firmare il documento deve possedere la smartcard con la firma digitale oppure l’analogo token USB. Nel disegno è indicata l’immagine della smartcard di infocamere, in realtà questo NON è un vincolo. Possono essere utilizzate tutte le smartcard (o token) fornite da qualsiasi CA accreditata DigitPA.

Per eseguire la firma digitale il documento viene prima di tutto convertito in PDF/A, un formato che NON può contenere macroistruzioni ne codici eseguibili.

La firma viene applicata SEMPRE lato server, il documento non deve essere scaricato sul PC per potere essere firmato.

sinekarta applica la firma nel formato PAdES, ovvero la applica al documento PDF/A senza alterarne la possibilità di essere visualizzato. Il documento firmato con sinekarta rimane quindi un PDF/A il cui originale risiede nel server Alfresco. Dal server può essere scaricato e copiato a piacere.

La verifica che la firma sia stata apposta correttamente può essere fatta tramite qualsiasi Adobe Acrobat Reader; non è necessario avere installato software particolari. Qualsiasi persona che riceve il documento PDF/A firmato può verificare la validità della firma.

Il documento così prodotto da sinekarta è quello che la normativa definisce documento informatico. La conservazione sostitutiva va applicata in base alla normativa specifica relativa al tipo di documento.

Softare escrow vs open source

Ultimamente si sente parlare spesso del softare escrow: il deposito dei sorgenti presso un notaio come garanzia per l’acquirente.

Per capire bene in cosa consiste questa procedura è necessario avere chiara la differenza (informatica) tra sorgente ed eseguibile.

L’eseguibile è il prodotto finito. Riuscire a capire cosa fa un software (ma soprattutto COME lo fa) dagli eseguibili è (quasi) impossibile. Un sorgente è qualcosa di “facilmente” legibile per una persona; dal sorgente si produce l’eseguibile.

Voglio banalizzare facendo un esempio che sia chiaro anche a chi non mastica software a colazione. Il sorgente è lo stampo, l’eseguibile è la torta a forma di ciambella. Il sorgente è il progetto, l’eseguibile è la casa costruita.

Non è impossibile capire cosa fa un eseguibile, ma senza il sorgente è molto difficile percepire i dettagli di come viene fatto.

Perchè le software house sono restie a rilasciare i sorgenti al di fuori della propria azienda? Perchè se un’azienda concorrente dovesse venire in possesso di questi sorgenti potrebbe facilmente replicare le funzionalità del sofwtare. Spendendo pochi soldi (e tempo) il concorrente si approprierebbe del know-how e dell’esperienza della concorrenza, arricchendo la propria offerta.

Dall’altra parte i clienti grandi che comperano software di nicchia del valore di svariate centinaia di migliaia di euro, hanno bisogno di tutelarsi da eventuali problemi.

E se il produttore fallisse? E se i rapporti con il produttore si deteriorassero? Come può il cliente tutelare la (gorssa) spesa sostenuta?

Se commissiono ad un architetto il progetto per la realizzazione della mia nuova casa, il progetto alla fine resta in mano mia. In caso l’architetto morisse, potrei assumerne un’altro per seguire eventuali evoluzioni.

Per ovviare a questo problema nel software, qualcuno si è inventato la procedura del software escrow, se volete conoscere i dettagli potete leggere questo documento.

Ora : che differenza c’è tra l’informatica e l’edilizia? Le differenze sono mooooltissime, ma quella più importante, in questo caso, è la velocità con cui evolve la materia. Nell’informatica 5 anni sono un tempo incredibilmente lungo! Il software evolve in modo molto veloce. Più il software è grande e di nicchia, più evolve velocemente ed è difficilmente controllabile. Questi tipi di software, inoltre, sono MALE documentati, i cambiamenti NON sono tracciati e l’analisi NON corrisponde al prodotto installato.

Cosa ne penso? Chi ha avuto l’idea di vendere questo servizio ai propri clienti è un GENIO!!! Certo, perchè chi credete che paghi i costi del notaio, delle procedure di deposito, etc.? Ovviamente è il cliente che paga. Per cosa paga il cliente? Per una chimera! Per la sensazione di avere, in caso di problemi, una scappatoia. Ma se i problemi ci fossero realmente?

Secondo me il cliente, dopo un po’ di conti e di analisi (richiesta ad un’altra software house), si lascerà convincere a sostituire il software obsoleto con un migliore e più nuovo.

Quindi avrà pagato per il servizio di escrow, per i conti e l’analisi e, infine, per il nuovo software. Che fregatura!!!

L’open source è un’alternativa all’escrow? Certo che si, i sorgenti sono pubblici e chiunque può gestirlo e contribuire all’evoluzione. Il sw non è proprietario di un società ma della comunità.

Unica falla nel mio ragionamento? Se siete una grande società che necessita di un software di nicchia molto probabilmente non ne troverete uno open source che faccia al caso vostro.

Ovviamente il software di gestione documentale e conservazione sostitutiva non è un qualcosa di nicchia e ne esistono di open source. Se proprio dovete COMPERARE una soluzione, almeno rifiutatevi di pagare per questo servizio!