7.1. La firma digitale "libera"

Nei primi sei articoli di questa serie abbiamo considerato gli elementi essenziali del documento informatico, per capire, in estrema sintesi, come funziona la firma digitale.
A questo punto possiamo allargare l'orizzonte e vedere quali sono le applicazioni possibili e, soprattutto, quelle realmente utili, della normativa italiana che discende dall'articolo 15, comma 2, della legge 59/97.
Ma prima è opportuna una ricognizione sulla firma digitale "libera", quella che chiunque può usare per le sue attività telematiche, ricorrendo ai software e alle Certification Authority che si trovano in gran numero sulla rete.

Le applicazioni della crittografia a chiave asimmetrica e dei "certificati digitali" non comprendono solo la cifratura e la sottoscrizione dei documenti. Ci sono, pressoché invisibili all'utente, soluzioni "automatiche" che proteggono le transazioni commerciali: sono tali i protocolli SET e SSL, ormai di uso comune perché incorporati nei programmi di navigazione, ci sono diversi sistemi "proprietari" che sono abitualmente impiegati nelle reti chiuse, come quelle delle organizzazioni finanziarie.

Un'applicazione molto importante riguarda la creazione dei cosiddetti "server sicuri", essenziali sia per la certificazione delle chiavi e l'applicazione del time stamping, sia nel commercio elettronico. Infatti il sistema più semplice per compiere transazioni telematiche fraudolente è la "sostituzione di server", paragonabile alla sostituzione di persona che è alla base di tante truffe tradizionali: chi compie la transazione è convinto di essere collegato con la propria banca o con un fornitore di fiducia, invece all'altro capo del filo c'è il computer di un mascalzone...
Il riconoscimento certo del sistema informatico non è la sola precauzione necessaria per avere un server sicuro: ci sono anche le procedure di riconoscimento degli utenti autorizzati all'accesso, i controlli di integrità delle informazioni, per finire con la cifratura vera e propria di documenti contenuti in determinate aree del sistema.

Ma tutto questo non riguarda la firma digitale "all'italiana". Prima di rispondere alla domanda iniziale, se la firma digitale ai sensi del DPR 513/97 serva anche per il commercio elettronico, è bene considerare le applicazioni per cui è stata introdotta e che ne hanno determinato le caratteristiche particolari, che abbiamo visto nei precedenti articoli.

7.2. Nata per la pubblica amministrazione

Il sistema del documento informatico disegnato dal DPR 513/97 trae origine dalla necessità di assicurare l'efficacia giuridica degli atti della pubblica amministrazione scambiati tra gli uffici, e tra gli uffici e i cittadini, attraverso la rete unitaria della pubblica amministrazione (RUPA). Non a caso tutta la normativa è opera di un'apposita commissione in seno all'AIPA e l'intero progetto ha la RUPA come riferimento primario.
"Efficacia giuridica" significa anche operare con riferimento a certezze giuridiche che, per definizione, devono essere assolute. Invece le certezze normalmente accettate nel commercio, anche elettronico, sono relative, perché si ammette un margine di incertezza collegato al rischio di impresa.

Accolto il concetto della firma digitale, fondata sulla crittografia a chiave pubblica, per certificare l'origine e l'integrità degli atti amministrativi, l'Autorità per l'informatica ebbe l'intuizione che gli stessi principi avrebbero avuto riflessi positivi anche nei rapporti tra Stato e cittadini e tra gli stessi cittadini. Quindi invitò gli estensori del primo testo (fra i quali anche uno degli autori di queste pagine), a prevedere sin dall'inizio l'efficacia della firma digitale anche per gli atti tra privati.
Mentre il testo, pubblicato sull'internet per raccogliere critiche e suggerimenti, veniva perfezionato, la prima "legge Bassanini" per la riforma della pubblica amministrazione accoglieva il principio proposto dall'AIPA e stabiliva che "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge". Il meccanismo applicativo veniva demandato al Governo e l'originario disegno di legge dell'AIPA si trasformava in uno schema di regolamento, che sarebbe poi diventato il DPR 513/97.

Questo provvedimento ribadisce la rilevanza e la validità del documento informatico sia nel settore pubblico, sia in quello privato, ma opera una distinzione abbastanza precisa tra i due campi di applicazione.
Per il settore privato equipara il documento informatico a diversi tipi di scritture contemplati dal codice civile, mentre per quello pubblico stabilisce che "Gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge". La distinzione è sottile, ma non casuale: mentre per i rapporti privati diviene indifferente, in linea di principio, la natura cartacea o informatica del documento, nella pubblica amministrazione la scrittura digitale diviene "il" documento, applicando e portando alle estreme conseguenze il principio introdotto dall'articolo 3, comma 1, del decreto legislativo 38/97 (istitutivo dell'Autorità per l'informatica nella pubblica amministrazione): "Gli atti amministrativi adottati da tutte le pubbliche amministrazioni sono di norma predisposti tramite i sistemi informativi automatizzati".

Il sistema appare ormai completamente delineato: al centro c'è la RUPA, sulla quale passeranno i documenti informatici, per la cui adozione generalizzata occorrono altre norme. Alcune sono già pronte, come quelle sull'archiviazione ottica e il protocollo informatico, altre sono in preparazione, fino ad arrivare alla carta d'identità elettronica (si veda l'indice della normativa connessa alla firma digitale).

E i rapporti tra i privati? Questi, risponde l'AIPA, non sono di nostra competenza. Le norme fondamentali ci sono, quelle che mancano devono essere scritte dal Parlamento o dal Governo. Di fatto la firma digitale sarà in un primo tempo adottata soprattutto dal sistema bancario e, tra le categorie professionali, dai notai. Infatti la intranet dei notai appartiene alla RUPA, è già collegata a molti archivi pubblici e sarà sempre più interoperante con gli altri soggetti collegati, consentendo le visure, il deposito telematico degli atti e altri adempimenti che fino a oggi richiedono carta e sigilli.

7.3. Firma digitale e commercio elettronico

Il binomio firma digitale-commercio elettronico è sempre all'ordine del giorno, oggetto di libri, convegni e articoli giornalistici, ma l'accostamento è improprio sotto diversi punti di vista, se parliamo della firma digitale ai sensi della normativa italiana.
L'equivoco - perché in fondo si tratta di un equivoco - è nato subito dopo l'emanazione della legge 59/97, quando sembrava che in Italia che il commercio elettronico non sarebbe mai decollato. Allora si pensava che l'adozione della firma digitale per i rapporti tra i cittadini e la pubblica amministrazione avrebbe stimolato anche le transazioni in rete (vedi Una sola firma per il pubblico e per il privato: la carta vincente?). Ma un'attenta lettura del DPR 513/97 e soprattutto l'esame delle Regole tecniche hanno portato a escludere l'utilità della firma digitale "all'italiana" per il commercio elettronico (vedi Pubblica amministrazione e commercio elettronico, il futuro non è dietro l'angolo).

Le esigenze di sicurezza del commercio elettronico - nel business to consumer - si riassumono in due aspetti: dalla parte del venditore è necessaria la certezza del pagamento, dalla parte dell'acquirente nell'identificazione del venditore e quindi nella fiducia sulla sorte delle somme pagate attraverso la carta di credito o le varie forme di "denaro elettronico".
Per il primo aspetto sono più che sufficienti le normali procedure di accredito/addebito delle transazioni compiute con la carta: verifica della validità della carta e dell'esistenza dei fondi, cosa che avviene anche nelle vendite in negozio. L'appartenenza della carta a un certo soggetto è verificata in partenza dalla banca che la rilascia e gli acquisti con carte rubate o con numeri ottenuti fraudolentemente sono percentualmente rari. In ogni caso, se il venditore compie i dovuti controlli o se si appoggia a un centro di servizi delegato a compierli, è sicuro dell'incasso.

Dalla parte dell'acquirente la certezza è meno immediata, perché deve in qualche modo verificare che il venditore esista veramente. In molti casi è sufficiente il marchio di una ditta nota, in altri si deve controllare l'esistenza del "server certificato" e quindi verificare la validità del certificato stesso. Il solo fatto che il venditore dichiari di adottare un protocollo come SET o SSL tranquillizza l'utente anche per quanto riguarda l'ipotetica, difficilissima - e mai accertata, fino a questo momento - intercettazione del numero della carta da parte di un malintenzionato.
Che tutto questo funzioni perfettamente è dimostrato dallo sviluppo attuale del commercio elettronico anche in Italia, partito con un certo ritardo nei confronti di altri paesi, ma che sembra intenzionato a recuperare lo svantaggio. E prima ancora che esista un solo certificatore operante secondo il DPR 513/97.

D'altra parte, anche quando il sistema sarà a regime, usare la firma digitale per fare acquisti in rete sarà alquanto oneroso, in termini di tempo e denaro. Bisognerà infatti andare da un certificatore, dare la certezza della propria identità, procurarsi il dispositivo di firma, installare il software, generare la coppia di chiavi, spedire la chiave pubblica al certificatore, attendere il certificato. Tutto questo per ordinare qualche prodotto o qualche servizio con un documento che ha il valore di "scrittura privata" ai sensi dell'articolo 2702 del codice civile.
Avete mai conferito a un ortolano un ordine scritto e firmato per la fornitura di una dozzina di carciofi?