Primo tentativo (ore 09:00)

Ci eravamo preparati a lungo per questo momento. Giornate di studio intenso, frequenti riunioni del gruppo di lavoro multidisciplinare, costanti contatti con altre amministrazioni, notai, agenzia delle entrate, test dei vari strumenti informatici. Ma ora tutto era pronto per il nostro primo contratto pubblico firmato digitalmente.

Eravamo lì, tutti attorno ad un tavolo ovale, ognuno dotato della propria chiavetta USB di firma digitale, un po' come i cavalieri con le loro spade attorno alla tavola rotonda. In mezzo campeggiava il frutto del nostro duro lavoro: un manuale di 15 pagine contenente la procedura guidata dettagliatissima con i 26 passi da seguire per portare a compimento senza sorprese l'ardua impresa.

L'aria era tesa, si percepiva l'importanza quasi storica di questo momento.

Quando tutti misero sul tavolo le proprie chiavi di firma tirai un sospiro di sollievo, erano tutte note (Aruba, Infocert, Poste Italiane...) e i sw. per la loro gestione tutti presenti nel sistema e testati a fondo nei giorni precedenti. Le cose sembravano mettersi bene.

Mancava solo il rappresentante di una delle aziende e avremmo potuto finalmente procedere. Quando finalmente entró nella stanza ero giá alle prese con il Laptop e non prestai attenzione a cosa estrasse dalla tasca, ma il silenzio che ne seguì mi allarmò. Mi voltai e vidi gli astanti impietriti fissare un punto del tavolo davanti all'ultimo arrivato. Al posto della chiave di firma campeggiava leggermente riflettente, con aria vagamente minacciosa un oggetto piano e rettangolare: una smart card !

Panico. Ma porca vacca, pensai, chi cavolo usa ancora la smart card ? Ma il driver installato per le chiavette era compatibile con le smart, esultai, manca solo un lettore....come se fosse facile da trovare...

Fortunatamente di fronte all'ufficio c'é una nota catena di articoli elettronici, lì ne troverò certamente uno. Ci aggiorniamo alle 10:00, il tempo di bere un caffè e per me di comprare un lettore.

Secondo tentativo (ore 10:30)

Laptop collegato al lettore smart card, software operativo, si iniziano le operazioni di firma.

Uno alla volta ognuno con la sua chiavetta (o smart card) ci alterniamo al Laptop, sembriamo un'equipe di chirurghi che si alternano, ognuno per quanto di propria competenza, sul corpo del paziente. In effetti di pazienza ce ne vuole, ogni firma richiede qualche minuto e i documenti da firmare sono tanti.

Ore 11:06, tutte le firme sono apposte, non ci resta che procedere alla loro verifica tramite l'apposito software. Un atto formale, in teoria. Ma dalla teoria alla pratica, come si sa, c'è spesso una bella differenza. Infatti il software riporta, a fianco ad ogni firma un bel bollo rosso di errore con uno strano messaggio che ci informa che l'algoritmo di hash SHA-1 non è più valido e che quindi le firme apposte non lo sono a loro volta.

I presenti mi guardano basiti: cosa diavolo è un algoritmo di hash SHA-1 ??

Sfortunatamente lo so, e so anche dov'é il problema ! Siamo capitati proprio a cavallo di quelle giornate in cui periodicamente vengono cambiati, per motivi di sicurezza, gli algoritmi crittografici. Il software, installato alcuni giorni prima, usa il vecchio SHA-1, mentre da oggi é in vigore il nuovo SHA-256.

L'é tutto sbagliato, l'é tutto da rifare...ci riaggiorniamo alle 12:15, mi serve tempo per aggiornare il software all'ultima versione.

Terzo tentativo (ore 12:30)
 

L'aria è tesa, molti dei presenti nervosi, sono saltati tutti gli impegni. Il software è aggiornato, ripetiamo le firme, che, ahimé, per via del nuovo algoritmo SHA-256, più sicuro ma più complesso, sono più lente di prima. Finiamo 40 minuti più tardi. Inizia ora la fase della verifica: tutti bollini verdi, un solo bollino giallo, relativo alla firma apposta con la smart card. Non significa che la firma non sia valida ma solo che il software non riesce a raggiungere il server dell'ente certificatore che ha rilasciato la firma contenuta nella smart card. Andrebbe configurato il software indicando l'indirizzo del server del certificatore, ma, penso, non credo sia necessario, d'altronde la smart card é nuova, difficile che il certificato possa essere scaduto (nota: le firme ogni 3 anni scadono...)

Ma qui i giuristi sono irremovibili, la verifica è assolutamente necessaria, pena nullità dell'atto.

Ennesima sospensione per capire qual'é l'indirizzo dell'autorità certificatrice e conseguentemente istruire il software di verifica. Giuristi meledetti azzeccagarbugli !!

Si passa a dopo pranzo, ma ormai siamo quasi alla fine.

Quarto tentativo (ore 14:30)

Ci siamo, si riparte. Verifica delle firme ok. Ci resta solo da aggiungere la marca temporale, che serve ad avere certezza che la firma é apposta effettivamente oggi e quindi per ultimo gestire gli allegati del contratto.

La marca temporale non è altro che una specie di firma digitale che al posto dei dati del firmatario contiene una data e un'ora “certi”, ottenuti da uno speciale server di uno speciale ente certificatore.

Anche se il documento contiene una data, che tutti sottoscrivono, il caro legislatore ha voluto tutelarci ancora di più e ci ha “regalato” questa ulteriore delizia. Per marcare temporalmente i documenti si usa lo stesso software di firma. A parte la lentezza ancora maggiore della firma é un'operazione banale, basta cliccare sull'apposito pulsante e....ERRORE: “impossibile contattare il server”.

I presenti sono ormai alla disperazione, io un po' confuso. Riprovo, ancora errore. Chiamo i sistemisti, cerchiamo di capire. Dopo un po' uno dei sistemisti mi richiama e mi spiega: è il Proxy, si é impallato, ci vorrà qualche minuto per riavviarlo.

Avrei dovuto pensarci, cavolo! Il Proxy ! La fonte di molti problemi, uno dei tanti orpelli impostoci dal Garante per la Privacy, che Dio l'abbia in gloria...

Per questo peró non serve la sospensione, due minuti e via, anche la marca é apposta !

Siamo in dirittura finale, non ci resta che “graffettare” gli allegati, parti integranti del contratto, al contratto stesso. Sulla carta si procede con una rilegatura fisica, ora si deve creare un “legame informatico” fra i vari file. Qui, dopo un lungo studio si é deciso che il legame informatico si ottiene creando un ulteriore file contenente le “impronte” dei singoli file e quindi marcare anche questo temporalmente. Concetto assolutamente oscuro per i non addetti ai lavori, ma effettivamente funzionale. Per automatizzare questa fase abbiamo realizzato assieme ai nostri sviluppatori un'apposito programmino. Visto le odierne sfighe apocalittiche lo lancio toccandomi ben stretto quello che di più prezioso mi ha dotato mamma, per la tensione stringo anche un pochino troppo ma alla fine miracolosamente il tutto funziona al primo colpo !

Finalmente abbiamo concluso, mi sento molto sollevato.

I presenti, ormai sfatti, iniziano mestamente a lasciare la stanza quanto il solito giurista di … aggrotta le sopracciglia e chiede: “abbiamo verificato la firma del progettista sul progetto esecutivo ?”. La collega collega risponde che sì, era stato fatto, quando il progettista aveva presentato l'elaborato. Ma il giurista l'incalza: “hai il verbale di verifica della firma ?” La collega sbianca, non sa nemmeno cosa sia il verbale di verifica.

“È da verificare la firma sul progetto” sentenzia il maledetto.

Dietrofront generale, mi riapproprio del laptop e procedo alla verifica della firma del progetto. Quando compare la scritta: CERTIFICATO REVOCATO, vorrei uccidermi portando con me all'inferno quel dannatissimo avvocato.

La collega urla:”L'ho controllata un mese fa, era valida, lo giuro!!”. “Proprio a questo serve il verbale di verifica” afferma tronfio il giurista, “a certificare che al momento dell'apposizione della firma questa era valida, cosí imparate a non usare sempre le marche temporali !”

E ora che si fa ? Si chiama il progettista. Fortunatamente lo si trova subito, gli si chiede di rifirmare il progetto e reinviarcelo, magari anche via email. Il professionista ci racconta che sí, il vecchio certificato era stato revocato perchè aveva perso la chiave di firma e quindi il certificato contenuto in questa è stato revocato dalla società che lo aveva rilasciato, per impedire che altri lo usassero.

Dopo qualche minuto il progettista ci chiama, non riesce ad inviare il file, é troppo grosso e il nostro server di posta lo rifiuta.

Maledetti anche i sistemisti e la loro innata tirchieria ! Ma non posso mollare ora che siamo alla fine , intimo al progettista di usare DropBox, Google Doc, il piccione viaggiatore ma ci faccia arrivare questo cavolo di file al più presto. Fortunatamente a fianco del poverello c'é suo figlio quindicenne che in due secondi usando SkypeDrive, ci manda il file.

Rimpacchetto tutto con il nostro mitico quanto affidabile programmino e voilà, FINITO !!

Sono le 16:45, ci abbiamo messo tutta la giornata, i presenti sono fra l'incazzato, l'incredulo e il rassegnato. Immagino che pensino: “se questo è il digitale....meglio ritornare alla pietra!!”. E come dargli torto ?

Ma sono ottimista, la prossima volta andrà meglio, sicuramente !

Epilogo

Il giorno successivo mi chiama il Segretario Generale chiedendomi come fare a spedire il contratto. Gli dico di mandarlo via email, al massimo di usare la PEC. Ma questo mi blocca e mi apostrofa : “non sono mica cretino sa ? Intendevo dire, come la mettiamo con la Legge Notarile ?”

“Lei lo sa, immagino” continua, “che secondo questa norma gli originali dei contratti devono rimanere depositati presso lo studio del Notaio o dell'Ufficiale Rogante ?”

Eh già, la copia di un file firmato digitalmente é essa stessa originale in quanto da questo indistinguibile e quindi NON PUÒ essere trasmessa.

Per trasmetterla é necessario creare una cosiddetta “copia conforme digitale di originale digitale”, un'orrore tutto italiano che ancora oggi mi tormenta.

Inizio a pensare anch'io sia meglio tornare alla pietra...