I più giovani non possono ricordare l’origine del bollino blu. Era (ed è) il tratto distintivo di una nota società di importazione di frutta esotica che decise, nel 1963, di certificare la qualità della propria merce attraverso l’applicazione di un bollino adesivo.
È un po’ quello che auspica l’ENISA (l’Agenzia Europea per la Sicurezza delle Reti e dell’Informazione) nell’ultimo rapporto pubblicato il 15 gennaio scorso. Il rapporto si occupa di uno specifico ambito del Reg. UE 910/2014, noto come regolamento eIDAS, che disciplina le modalità di identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nell’Unione Europea. In particolare, il rapporto affronta la fiducia che i navigatori devono avere in un sito web. Questo aspetto è disciplinato dall’art. 45 del regolamento eIDAS che stabilisce che i certificati qualificati di autenticazione dei siti web debbano essere conformi all’allegato IV dello stesso regolamento.
Ma, per il navigatore comune, che significa? Significa che, durante la navigazione, il browser dell’utente ed il sito web si scambiano informazioni utilizzando un particolare insieme di regole (protocollo SSL/TLS) attraverso il quale lo stesso sito web presenta una carta d’identità rilasciata da un particolare ente di certificazione. Il problema è che gli enti di certificazione non sono autorità pubbliche e, quindi, quale credito dare alle carte d’identità che rilasciano? Come possiamo essere sicuri che non rilascino false carte d’identità?
In questo momento, questa assicurazione è fornita dai browser (Internet Explorer, Mozilla Firefox, Google Chrome, ecc.) che hanno una lista di enti di certificazione che considerano affidabili. Questo, per l’ENISA non basta: serve un meccanismo che sottoponga gli enti di certificazione a verifiche puntuali secondo requisiti stabiliti da appositi istituti di standardizzazione: nel caso specifico dall’European Telecommunications Standards Institute (ETSI). Ma non basta: l’utente deve poter avere evidenza del fatto che le carte d’identità siano effettivamente state rilasciate da enti certificati secondo gli standard previsti.
Quindi, bollino blu non solo sulle banane: anche sui siti web.