Allo stesso tempo, la definizione a livello giuridico dei requisiti minimi di sicurezza che devono essere garantiti dalle parti coinvolte (CA e Utenti) è un elemento di chiarezza e robustezza indispensabile.

La normativa italiana in materia di firma digitale e certificazione è tra le più avanzate ed aggiornate a livello mondiale, ed è corredata da una buona documentazione tecnica circa le norme di attuazione effettive.

La presenza di “allegati tecnici” alle leggi proposte ha ridotto notevolmente il rischio di interpretazioni non compatibili delle leggi; la qualità delle specifiche tecniche fornite consente inoltre l’implementazione di sistemi aggiornati e non obsoleti.

Il maggior merito delle proposte è comunque nell’accettazione esplicita dei più importanti standard, commerciali e “de facto”, presenti sul mercato, e nella prescrizione di requisiti minimi di sicurezza in linea con le più recenti ricerche internazionali.

Buona parte del successo di queste proposte si deve all’AIPA, ed al suo tempestivo e continuo lavoro di analisi e aggiornamento.

Molte delle proposte e dei suggerimenti formulati sono divenuti la base per i testi di legge poi approvati. L’AIPA svolge inoltre un fondamentale ruolo di armonizzazione e certificazione delle proposte e delle implementazioni in corso.

L’introduzione del concetto di firma elettronica in ambito legislativo consente una vera e propria rivoluzione nel trattamento dei documenti informatici. Infatti le procedure di firma elettronica conferiscono al documento elettronico la stessa dignità dei documenti cartacei firmati in originale.

Ciò è reso possibile dal fatto che ad ogni documento informatico al quale è apposta la firma digitale è riconosciuta l’efficacia probatoria prevista dall’articolo 2712 del codice civile, poiché esso costituisce informazione originale e primaria.

Perché sia riconosciuta la validità della firma elettronica apposta al documento è però necessario che il procedimento di firma sia svolto nel pieno rispetto delle regole tecniche dettate dal decreto del Presidente del Consiglio dell’8 febbraio 1999.

Dal momento in cui è riconosciuta ai documenti elettronici la stessa validità dei documenti cartacei firmati in originale, il concetto di copia di un documento va ridefinito. Infatti mentre la (foto)copia di un documento cartaceo originale non può avere la stessa validità legale dell’originale da cui proviene, la copia di un documento elettronico firmato e giudicato valido ha esattamente le stesse caratteristiche dell’originale. Più che di copie, dunque, in futuro si parlerà di duplicati, ossia di copie informatiche di documenti elettronici firmati ed in tutto identici all’originale.

Le trasformazioni o “copie informatiche” di documenti in origine cartacei daranno vita dunque a molte nuove applicazioni.

I documenti informatici sono destinati a sostituire, ad ogni effetto di legge, i documenti cartacei e gli originali da cui sono tratti in tutti gli uffici pubblici.

L’utilizzo di database per la memorizzazione e il reperimento dei documenti informatici consentirà il trattamento automatico delle informazioni e lo scambio dei documenti o duplicati informatici attraverso la Rete Unitaria della Pubblica Amministrazione (RUPA) della quale si occupa l’AIPA.

Per accelerare il processo di adozione di queste nuove tecnologie nell’ambito della Pubblica Amministrazione si è proceduto alla nomina di alcune Certification Authority ufficialmente autorizzate e riconosciute legalmente. L’intento è quello di avviare una prima fase di testing e allo stesso tempo di disciplinare la fornitura dei servizi e garantire elevati standard di sicurezza complessivi.

L’AIPA ha provveduto nel corso degli ultimi mesi alla valutazione delle proposte degli enti interessati a ricevere la qualifica di CA autorizzate a livello nazionale.

La valutazione delle candidature è stata fatta sulla base del testo di legge “DPR 10 novembre 1997” e sui requisiti di sicurezza garantiti. Ed è stato pubblicato un elenco degli enti certificatori autorizzati a livello nazionale.

Nonostante l’impegno profuso per prescrivere e far rispettare dei rigidi criteri di interoperabilità, nel corso di questa prima fase di avviamento sono stati riscontrati dei problemi di compatibilità tra le diverse CA autorizzate.

Per ovviare a questi problemi sono stati effettuati numerosi incontri tra i rappresentanti tecnici di tutte le CA certificate, e sono stati coordinati molti test di interoperabilità.

Di comune accordo sono state definite delle linee guida di interoperabilità che forniscono delle indicazioni aggiuntive circa le procedure di certificazione e gli attributi da assegnare ai certificati emessi. Tali linee guida sono state raccolte in un documento dall’AIPA, non sono obbligatorie in termini di leggi, ma il loro uso è fortemente raccomandato.