La firma "scannerizzata" non è una firma elettronica

(M. C.) - 12.01.06

Ho appena terminato la lettura del libro di Cammarata "Firme elettroniche - Problemi normativi del documento informatico". È forse superfluo commentare dicendo che in un'analisi di 100 pagine, ho trovato quella sintesi che in anni di legislazione era di fondamentale importanza ai fini della chiarezza.
Alcuni dubbi mi sono tuttavia rimasti insoluti ed altri sorti a seguito della lettura.
1. Quando si parla di "electronic segnature" s'intende quello strumento che serve esclusivamente alla validazione dei dati. È possibile avere qualche esempio concreto di una simile segnatura?

Ce ne sono moltissimi. Per esempio, i codici alfanumerici che devono essere inseriti per "attivare" un prodotto software rientrano nella categoria, così come è definita nella direttiva 1999/93/CE. Ancora, i watermark (filigrane digitali visibili o non visibili) che possono essere inseriti in un'immagine o le diverse chesksum (codici di controllo) che servono a verificare la correttezza di certi dati.

2. L'accesso ad un sistema tramite username e password consente l'identificazione del soggetto ma non la validazione dei dati. Posto che l'electronic segnature rientra nella validazione dei dati e non nella validazione dell'identità e che la mera entity authentication non rientra nel concetto di firma, a cosa può essere ricondotta una "semplice" tecnologia di identificazione quali login, CIE, CNS?

Attenzione, qui sono state messe insieme cose diverse. L'identificazione attraverso nome utente e parola-chiave è appunto "semplice", poco affidabile, e non può dare luogo ad alcuna presunzione di certezza. All'opposto, le procedure di riconoscimento on line tipiche della carta d'identità elettronica e della carta nazionale dei servizi sono sistemi di strong authentication (validazione "forte", basata su tecniche di firma digitale) e quindi danno la certezza (legale) dell'identità del soggetto che accede a un sistema informatico.

3. In occasione di un corso frequentato nel 2002, l'art. 1 comma 1 1999/93/CE era stato commentato sostenendo che l'immagine digitale (bmp, gif, jpeg, ecc.) recante la firma autografa (scanning della firma autografa) di un soggetto, incollata su un documento winword, era da considerarsi firma elettronica. Alla luce di quanto letto mi sento di escludere che si tratti di firma, ma di electronic segnature. La mia considerazione è corretta?

Né l'una né l'altra. La riproduzione digitale di un segno grafico può essere presa da un documento e (appunto) incollata su un altro da chiunque, quindi non può validare né i dati né l'identità.

4. Un domanda sulla PEC. Sono perfettamente consapevole che l'allegato e la mail recapitati al destinatario possano essere diversi da quelli originariamente inviati, se non firmati dal mittente. Senza firma all'atto dell'invio, il gestore PEC potrebbe modificarne l'integrità alternandone il testo. Tuttavia per i presupposti tecnologici e di garanzia legislativa a cui devono rispondere i gestori della PEC, possiamo ritenere che una mail inviata con tale strumento garantisca i requisiti di data e entity authentication così che si possa attribuire la paternità della stessa al soggetto mittente compresi gli eventuali allegati?
Fabio Tirapelle

La segnatura elettronica e il riferimento temporale, generati automaticamente dal server del gestore di invio, validano l'intero "pacchetto" (messaggio + indicazioni di servizio (header) + eventuali allegati). Quindi è impossibile modificarne un componente senza ottenere un risultato di falso dalla verifica della segnatura e del riferimento temporale (a meno di immaginare che il gestore alteri fraudolentemente il contenuto prima della validazione, cosa piuttosto improbabile).
Ma, attenzione: con la PEC si ha solo la possibilità di validare il momento della partenza (ed eventualmente del deposito nella casella del destinatario, se è una casella PEC), oltre all'integrità del contenuto. La validazione dell'identità si ha solo se il messaggio è provvisto della firma digitale del soggetto che se ne attribuisce la paternità. Per dimostrare di aver spedito un messaggio, il mittente deve esibire la ricevuta di spedizione, come per la raccomandata tradizionale.