[ztopmcr.htm]
Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Introduzione alla firma digitale

12. Domande e risposte sulla firma digitale - parte II
(FAQ, ovvero Frequently Asked Questions)
di Manlio Cammarata e Enrico Maccarone - aggiornamento 04.05.2000

Domande e risposte precedenti

Per inviare un quesito basta fare clic sull'icona della busta:  

Attenzione: giungono molte domande su temi che sono già stati trattati in questa serie o in altri articoli di InterLex. Per esempio: "E' possibile o sarà possibile inviare atti giudiziari alle cancellerie dei vari tribunali via posta elettronica con la firma digitale?" L'argomento è stato affrontato diverse volte (vedi l'indice della sezione) e quindi non sarà trattato nuovamente in queste FAQ.

Le domande

31. Una domanda banale: la firma digitale è già operativa? Si possono già avere le chiavi pubbliche e private?
30. Per l'archiviazione legale di grossi volumi di documenti informatici (fatturazioni, estratti conto etc.), piuttosto che l'uso della smart card sarebbe più idoneo l'uso di dispositivi crittografici definiti in schede per computer o addirittura inseriti a livello della CPU di grandi macchine. Ammesso che i requisiti di sicurezza verifichino i criteri E3 e robustezza High dell'ITSEC previsti dalla normativa, è prevista una soluzione del genere?
29. Ci sono differenze e/o le somiglianze tra i sistemi crittografici, quindi anche della firma digitale, utilizzati negli Stati europei e nel Nord America e Canada?
28. La direttiva europea 93/99 CE vieta di subordinare i certificatori a qualsiasi forma di accreditamento. Questa norma non è in contrasto con la normativa italiana, che pone regole molto restrittive per l'iscrizione dei certificatori nell'albo dell'AIPA?
27. Una precisazione sulla domanda n. 23
26. L'art. 34 - Sospensione su iniziativa del certificatore - delle Regole tecniche prevede:
1. Il certificatore che intende sospendere un certificato deve darne preventiva comunicazione al titolare, specificando i motivi della sospensione e la sua durata.
2. L'avvenuta sospensione del certificato deve essere notificata al titolare specificando la data e l'ora a partire dalla quale il certificato risulta sospeso.
3. Se la sospensione è causata da una richiesta di revoca motivata dalla possibile compromissione della chiave, il certificatore deve procedere immediatamente alla pubblicazione della sospensione.
Si riscontrano le seguenti problematiche:
a) Sembra evidente uno "scollamento" tra il primo e il secondo comma laddove si prefigura l'instaurazione di un "contraddittorio" tra certificatore e titolare incentrato sulla comunicazione "preventiva" contenente i motivi ecc. Il secondo comma "parte in quarta" disciplinando l'intervenuta "sospensione" senza preoccuparsi delle problematiche relative alla valutazione di eventuali "controdeduzioni" proposte dal titolare al certificatore; per quale motivo - a differenza della revoca (art. 30) - è prevista una comunicazione "preventiva" in cui deve essere indicata anche la durata (quasi fosse una decisione già presa da parte del certificatore) se poi non viene disciplinata la (eventuale) fase "interlocutoria" titolare/certificatore ?
b) Viene utilizzata una diversa terminologia che non può essere valutata dal giurista come mero sinonimo. Nel primo comma si parla di "comunicazione" nel secondo di "notificazione". Qual'é la differenza ? Può ritenersi comunicazione l'e-mail ... forse questa può ritenersi anche "notificazione"? (mi auguro che non si debba ritornare (anzi restare ancorati) alla raccomandata A.R. o peggio all'ufficiale giudiziario)

Le risposte

31. Una domanda banale: la firma digitale è già operativa? Si possono già avere le chiavi pubbliche e private?

I certificatori sono nella fase di test, l'AIPA sta attivando il registro. Le chiavi pubbliche e private possono già aversi (con procedure differenti a seconda dei certificatori), ma non il certificato di firma, che ciascun certificatore potrà validamente rilasciare solo al raggiungimento della piena operatività.

30. Per l'archiviazione legale di grossi volumi di documenti informatici (fatturazioni, estratti conto etc.), piuttosto della smart card sarebbe più idoneo l'uso di dispositivi crittografici definiti in schede per computer o addirittura inseriti a livello della CPU di grandi macchine. Ammesso che i requisiti di sicurezza verifichino i criteri E3 e robustezza High dell'ITSEC previsti dalla normativa, è prevista una soluzione del genere?

L'archiviazione dei documenti informatici è regolata dalla deliberazione AIPA 24/98 del 30 luglio 1998, che prevede una lunga serie di operazioni e di adempimenti, fra i quali l'apposizione di firme digitali ai sensi della normativa in materia. L'uso di dispositivi crittografici "fissi" per la generazione delle firme non è in contrasto con la normativa italiana (ma, rispetto all'uso delle "smart cards" è certamente più costoso). Per esempio, sono tutti "fissi" i dispositivi di firma utilizzati dai certificatori per la generazione dei certificati e delle marche temporali. E' ovvio che in tal caso l'hardware utilizzato deve possedere i prescritti requisiti di sicurezza ed affidabilità..

29. Ci sono differenze e/o le somiglianze tra i sistemi crittografici, quindi anche della firma digitale, utilizzati negli Stati europei e nel Nord America e Canada?

Per quanto riguarda la crittografia, sono in uso molti sistemi, e la scelta dell'uno o dell'altro è legata al particolare tipo di applicazione e non a questioni geografiche. Qualche problema può derivare dalle restrizioni americane sull'esportazione dei sistemi di crittografia "forte", ma la sostanza degli algoritmi è comune a tutto il mondo. Esistono molti sistemi crittografici, nell'insieme appartenenti a due grandi famiglie, rispettivamente caratterizzate dalla simmetria o dalla asimmetria dei metodi di codifica e decodifica. Le firme digitali sono sempre il risultato di applicazioni di crittografia asimmetrica (a chiave pubblica - basata sui principii dettati nel 1976 da Diffie e Hellmann), e la loro generazione è implementata in prodotti commerciali differenti, i più importanti dei quali sono diffusi in tutto il mondo.

28. La direttiva europea 93/99 CE vieta di subordinare i certificatori a qualsiasi forma di accreditamento. Questa norma non è in contrasto con la normativa italiana, che pone regole molto restrittive per l'iscrizione dei certificatori nell'albo dell'AIPA?

La direttiva prevede due diverse specie di firma "elettronica": quella semplice e quella "sicura", basata sull'uso di un "dispositivo per la generazione di una firma sicura" e dell'accreditamento dei certificatori. La firma digitale che l'Italia ha introdotto per la sottoscrizione di documenti informatici "validi e rilevanti a tutti gli effetti di legge" corrisponde alla seconda definizione e, in linea di massima, a tutte le prescrizioni relative alla "firma elettronica sicura". Nessuna disposizione del nostro ordinamento sembra in contrasto con le previsioni sulla firma "semplice", mentre, al contrario, esiste un evidente contrasto tra i due sistemi giuridici presenti in Europa (l'anglosassone Common Law ed il latino Civil Law) in tema di valutazione della prova e di importanza dello scritto. E' comunque necessario un approfondimento sulla firma "sicura" e sulle norme relative al suo uso in ambito pubblico, oltre che sugli effetti legali della firma "semplice": dedicheremo presto un articolo a questo argomento.

27. Questa non è una domanda, ma una precisazione alla domanda 23 delle FAQ inerente l'identità del mittente con il protocollo SSL. Un server SSL può richiedere un certificato digitale al client. In questo caso per attivare la connessione un qualunque utente deve trasmettere il proprio certificato digitale rilasciato da una autorità di certificazione ritenuta attendibile dal server. In questa maniera è possibile risalire all'identità del mittente.

L'osservazione è corretta: il server SSL "può" richiedere il certificato del client. In genere però il protocollo SSL viene usato solo ai fini della sicurezza della transazione, per la quale non è necessaria la certificazione del client. In ogni caso il problema rimane quello dell'identificazione "certa" della persona che risulta titolare del certificato. Dunque, sulla base della normativa sul documento informatico, se il certificato non è stato rilasciato da un certificatore con i requisiti e secondo le procedure del DPR 513/97, non si ha un'identificazione valida a tutti gli effetti di legge.

26. L'art. 34 - Sospensione su iniziativa del certificatore - delle Regole tecniche prevede:
1. Il certificatore che intende sospendere un certificato deve darne preventiva comunicazione al titolare, specificando i motivi della sospensione e la sua durata.
2. L'avvenuta sospensione del certificato deve essere notificata al titolare specificando la data e l'ora a partire dalla quale il certificato risulta sospeso.
3. Se la sospensione è causata da una richiesta di revoca motivata dalla possibile compromissione della chiave, il certificatore deve procedere immediatamente alla pubblicazione della sospensione.
Si riscontrano le seguenti problematiche:
a) Sembra evidente uno "scollamento" tra il primo e il secondo comma laddove si prefigura l'instaurazione di un "contraddittorio" tra certificatore e titolare incentrato sulla comunicazione "preventiva" contenente i motivi ecc. Il secondo comma "parte in quarta" disciplinando l'intervenuta "sospensione" senza preoccuparsi delle problematiche relative alla valutazione di eventuali "controdeduzioni" proposte dal titolare al certificatore; per quale motivo - a differenza della revoca (art. 30) - è prevista una comunicazione "preventiva" in cui deve essere indicata anche la durata (quasi fosse una decisione già presa da parte del certificatore) se poi non viene disciplinata la (eventuale) fase "interlocutoria" titolare/certificatore?
b) Viene utilizzata una diversa terminologia che non può essere valutata dal giurista come mero sinonimo. Nel primo comma si parla di "comunicazione" nel secondo di "notificazione". Qual è la differenza ? Può ritenersi comunicazione l'e-mail ... forse questa può ritenersi anche "notificazione"? (mi auguro che non si debba ritornare (anzi restare ancorati)alla raccomanda A.R. o peggio all'ufficiale giudiziario)

Non è detto che la sospensione debba conseguire necessariamente a fatti omissivi o genericamente pericolosi: essa può rendersi necessaria - anche se per breve periodo - in ipotesi di manutenzione hardware e consimili. E' ovvio, in tal caso, che l'utente venga preavvisato, ed è questa la prima ipotesi nella quale la sospensione viene vista come necessità tecnica o conseguenza di un fatto lecito già a conoscenza dell'utente. Non vi è contendere.
Nel secondo caso -ed è ipotesi distinta dalla prima- il certificatore esercita un proprio diritto o, addirittura, un diritto-dovere (es. la sospensione richiesta dal terzo avente diritto, come nelle ipotesi di rappresentanza organica o di firme qualificate per conto di enti pubblici): la sospensione è sempre a tutela di fatti leciti, ma sconosciuti all'utente. Da ciò la necessità della notifica e non di una semplice comunicazione. Che poi la notifica avvenga via e-mail (come previsto dal DPR 513) o messo comunale, è cosa secondaria. Vi è possibilità di contenzioso, per cui si parla di comunicazione qualificata, alias notifica.
Il terzo caso parla da sé: dov'e' il problema? La legge disciplina tre ipotesi distinte, e non i tre volti di una medesima fattispecie.