Certificato digitale revocato: cosa significa e come evitarlo

Sono le 9 del mattino. Il tuo cliente ti chiama: deve depositare un atto al registro imprese entro oggi, ma la firma digitale non funziona. Il certificato non è scaduto — ha ancora sei mesi di validità. Ma il portale restituisce un errore: "certificato revocato". Il processo di restituzione della firma richiede diversi giorni lavorativi. Il deposito salta.

La revoca è il problema che la maggior parte degli studi non monitora, perché non è prevista nei promemoria di calendario come la scadenza. Questo articolo spiega esattamente cos'è, perché succede e come intercettarla prima che diventi un'emergenza.

Scadenza vs. revoca: la differenza fondamentale

La scadenza è prevedibile: sai in anticipo quando arriva. Puoi pianificare il rinnovo con settimane di anticipo. Un buon sistema di allerte la rende quasi impossibile da mancare.

La revoca è imprevedibile: la CA invalida il certificato prima della sua scadenza naturale, in qualsiasi momento, senza inviare un avviso al titolare. Il certificato passa da valido a non valido nel giro di ore, senza nessun segnale visibile per il commercialista o il cliente.

Perché una CA revoca un certificato digitale

Smarrimento o furto del dispositivo

Se il titolare smarrisce la smart card o il token USB e lo denuncia alla CA, questa revoca immediatamente il certificato per impedire che venga usato da terzi. È la causa più comune di revoca volontaria.

Compromissione della chiave privata

Se il PIN del dispositivo viene condiviso involontariamente, se il computer è stato compromesso da malware o se c'è qualsiasi ragione di ritenere che la chiave privata possa essere in mani non autorizzate, la CA revoca il certificato su richiesta del titolare.

Variazioni nei dati del titolare

Cambi di rappresentante legale, fusioni aziendali, modifiche alla ragione sociale — in tutti questi casi il certificato precedente viene revocato e ne viene emesso uno nuovo con i dati aggiornati.

Revoca d'ufficio dalla CA

In casi rari ma non infrequenti, la CA revoca il certificato d'ufficio: se rileva che i dati forniti al momento dell'emissione erano falsi, se il titolare non rispetta i termini di utilizzo, o se la CA stessa è oggetto di un incidente di sicurezza che compromette un gruppo di certificati.

Come verificare se un certificato è stato revocato

Metodo 1 — Controllo OCSP (il più affidabile)

L'Online Certificate Status Protocol (OCSP) è il meccanismo standard per verificare in tempo reale lo stato di un certificato. Inviando una richiesta all'OCSP Responder della CA (il cui indirizzo è sempre incluso nel certificato stesso), si ottiene una risposta immediata: good (valido), revoked (revocato) o unknown (non trovato).

Metodo 2 — CRL (Certificate Revocation List)

Le CA pubblicano periodicamente una lista dei certificati revocati (CRL). È meno tempestiva dell'OCSP perché viene aggiornata a intervalli (tipicamente ogni ora o ogni giorno). Non è la soluzione ideale per il monitoraggio in tempo reale.

Metodo 3 — Software della CA

I software di firma qualificata (ArubaSign, DigitalSign, FirmaOK!) effettuano automaticamente una verifica OCSP ogni volta che si firma un documento. Se il certificato è revocato, il software mostra un errore. Il problema è che lo scopri solo al momento della firma.

Come AlertaCert monitora le revoche automaticamente

Cosa fare se il certificato di un cliente è stato revocato

• Verifica la causa: contatta il cliente e la CA per capire perché è stato revocato. Le cause influenzano la procedura di restituzione.
• Verifica i documenti firmati dopo la data di revoca: questi documenti potrebbero non avere valore legale e potrebbero dover essere rifirmati.
• Avvia l'emissione di un nuovo certificato: se la causa è la perdita del dispositivo, il cliente dovrà procurarsi un nuovo dispositivo e richiedere un nuovo certificato. I tempi variano da poche ore (firma remota) a qualche giorno (smart card spedita per posta).
• Aggiorna AlertaCert: carica il nuovo certificato e rimuovi quello revocato.

Prevenzione: come ridurre il rischio di revoche impreviste

• Forma i clienti sulla sicurezza del dispositivo: il PIN non deve essere scritto sul token. Il token non deve essere prestato a terzi. In caso di smarrimento, devono contattare immediatamente la CA.
• Monitora i cambi societari: quando un cliente notifica un cambio di rappresentante legale o una fusione, verifica proattivamente se il certificato deve essere rinnovato.
• Usa AlertaCert per la verifica OCSP quotidiana: non aspettare che sia il cliente a scoprire il problema. La verifica notturna automatica ti avvisa prima.

Domande frequenti sulla revoca dei certificati digitali

Posso riattivare un certificato revocato?

No. La revoca è irreversibile. Una volta revocato, il certificato non può essere riattivato. È necessario richiedere l'emissione di un nuovo certificato alla CA.

Chi mi avvisa quando un certificato viene revocato?

In teoria, la CA dovrebbe notificare il titolare, ma nella pratica non tutti i provider lo fanno in modo sistematico. AlertaCert esegue la verifica OCSP ogni notte e notifica lo studio se un certificato cambia stato. Senza monitoraggio automatico, spesso la revoca viene scoperta solo al momento dell'utilizzo.

La revoca vale anche per le marche temporali già apposte?

Le marche temporali già apposte prima della data di revoca mantengono la loro validità, in quanto attestano che il documento esisteva in quel momento e che il certificato era valido a quella data. I documenti firmati dopo la revoca sono invece invalidi.

Quanto ci vuole per ottenere un nuovo certificato dopo una revoca?

Dipende dal tipo di dispositivo. Per la firma remota (OTP su smartphone): alcune ore, completamente online. Per smart card o token USB con spedizione: 2-5 giorni lavorativi. Per il ritiro in presenza presso una RA della CA: solitamente il giorno stesso o il giorno successivo, con appuntamento.