Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale
La verifica si può fare una volta sola
di Massimiliano Farris - 13.12.01

Spett.le Redazione di InterLex,

vi scrivo in riferimento all'articolo La validazione della firma digitale: una verifica cartacea? di Giorgio Rognetta.

Nel suddetto articolo si sostiene che, nell'azione di verifica di una firma digitale eseguita a norma AIPA, il controllo di chiusura relativo alla ROOT, cioè al certificato del Centro Tecnico dell'AIPA, dovrebbe ogni volta essere eseguito a mano, verificando visivamente l'impronta del certificato stesso, pubblicata dall'AIPA sul sito web.

Volevo far notare che tale verifica a mano può essere eseguita una unica volta, all'atto dello scaricamento del certificato del Centro Tecnico AIPA. Una volta che tale certificato è stato scaricato e si è proceduto a tale verifica dell'impronta, il certificato può essere installato sulla macchina del cliente, nella modalità che il suo programma di verifica prevede. Tale programma deve ovviamente provvedere alla gestione di un archivio dei certificati che sia trusted, fidato, per il cliente. Per la verifica è sufficiente avere nell'archivio suddetto tutti i certificati di CA (AIPA) di cui il cliente si fida.

La verifica dei certificati delle CA viene ogni volta eseguita dal codice della verifica, sulla base del certificato del Centro Tecnico dell'AIPA la cui verifica principale (cioè che sia proprio quel certificato...) è stata eseguita all'atto della sua installazione.

Distinti saluti, Massimiliano Farris

Massimiliano Farris Fst - Research and Development
massimiliano.farris@fst.it - tel. +39 70 2466 3523

 

La replica

Nel ringraziare per l'attenzione prestata al mio articolo, vorrei tuttavia precisare di aver fatto riferimento solo alla necessità di una verifica di confronto dell'impronta pubblicata sulla Gazzetta ufficiale (e, quindi, su cartaceo), una volta esaurito l'automatismo della verifica del software. Ciò soprattutto da parte dell'utente che ritenga violabile e/o fallibile il sistema "immateriale" di verifica.

Mi preme replicare anche su un tema accennato dal nostro cortese interlocutore: la fiducia spontaneamente accordata dall'utente ai certificati non si colloca armonicamente nel nostro sistema di firma digitale, ove gli effetti giuridici di cui all'art. 8 del DPR 445/2000 derivano da una rigida procedura di certificazione curata esclusivamente da soggetti espressamente abilitati.
L'archivio trusted in senso relativo (ovvero per la fiducia accordata dall'utente) dovrebbe essere collocato preferibilmente in un sistema di certificazione non autorizzata; altrimenti si potrebbe indurre l'utente a ritenere che dalla fiducia da lui accordata ai certificati possano conseguire determinati effetti giuridici nei confronti dei terzi.

(Avv. Giorgio Rognetta)