Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

La validazione della firma digitale: una verifica cartacea? - 2
di Giorgio Rognetta* - 13.12.01

L'utente del sistema italiano di firma digitale deve essere consapevole che anche su di lui gravano non trascurabili obblighi: l'art. 28, comma 1, del DPR 445/2000, infatti, pone a carico di chiunque (e quindi a carico sia degli utenti sia dei certificatori) l'adozione di misure organizzative e tecniche idonee ad evitare danno ad altri. La formulazione di tale comma richiama l'art. 2050 del codice civile, che prevede una responsabilità aggravata per l'esercizio di attività pericolose: la pericolosità, in effetti, è insita non soltanto nelle attività dei certificatori, ma anche nelle attività del semplice utente del sistema di firma digitale.

E' importante, però, che tale pericolosità non scoraggi l'utente, il quale deve essere, nel contempo, fiducioso e diffidente: fiducioso nell'affidarsi a un sistema di documentazione che gli consentirà di liberarsi da vetuste incrostazioni cartacee nei rapporti con i privati e le pubbliche amministrazioni; diffidente perché tra gli utilizzatori di detto sistema potranno figurare persone mosse da nociva mala fede (come avviene, peraltro, anche nei rapporti giuridici tradizionali), oppure perché nell'iniziale periodo di rodaggio potranno verificarsi comprensibili problemi tecnici.
Le conseguenti cautele, da parte dell'utente, devono sussistere non solo nella procedura di apposizione delle firme digitali, ma anche in quella di verifica, ove dovranno tradursi in uno scrupoloso accertamento della verifica piramidale che abbiamo tratteggiato nel precedente articolo.

Mettiamoci nei panni, dunque, dell'utente verificatore: come misura tecnica primaria egli dovrà dotarsi di un software di verifica rispondente ai requisiti previsti dall'art. 10 reg. tec. che, al primo comma, prevede che gli strumenti e le procedure utilizzate per la generazione, apposizione e verifica delle firme digitali debbono presentare, chiaramente e senza ambiguità, i dati a cui la firma si riferisce, nonché richiedere conferma della volontà di generare la firma. Da questa disposizione bisogna derivare due distinte ma complementari necessità, che costituiscono la ratio della prescrizione delle inedite solennità formali di cui si rivestono le firme digitali: da un lato il consenso responsabile all'apposizione della firma digitale da parte del sottoscrittore, dall'altro la verifica consapevole da parte del destinatario del documento informatico così sottoscritto.

Una verifica consapevole, tuttavia, può essere realizzata solo se l'utente è in grado di padroneggiare, sia pur teoricamente, la catena delle verifiche, in modo da non abbandonarsi completamente al software di verifica, senza alcuna possibilità di riscontri e di dominio della procedura.
Un buon software di verifica, dunque, è quello che favorisce nell'utente un'adeguata consapevolezza della verifica, senza con ciò rendere difficoltose le operazioni da svolgere. In concreto è necessario che il software consenta all'utente di percorrere, con indolore automatismo, la catena di certificazione, sino ad arrivare a un certificato root e, in particolare, al certificato supremo delle chiavi dell'AIPA. La chiarezza e non equivocità della procedura dovrebbe essere garantita con una soddisfacente visualizzazione della gerarchia di certificazione verificata automaticamente, nonché delle relative informazioni.

Per quanto concerne i pochi software oggi disponibili, i cui produttori sono da apprezzare per aver tracciato, prima di altri, una strada difficile, rileviamo come sia importante un "Help" in grado di illuminare l'utente nel primo ed eventualmente traumatico approccio al sistema. L'utente verificatore, infatti, dovrebbe essere educato alla verifica e responsabilizzato, anche in ossequio all'art. 10 reg. tec. Sarebbe opportuna, a tal fine, un'impostazione di default con l'aggiornamento automatico delle liste di sospensione e di revoca, in modo che l'utente sia spronato ad effettuare le verifiche su liste sempre aggiornate.
Occorre anche prestare attenzione all'aggiornamento del software: si può verificare, ad esempio, che il software utilizzi una lista dei certificati delle chiavi di certificazione dei certificatori inserita in un file non firmato dall'AIPA (perché all'epoca della distribuzione del software la lista non era ancora stata pubblicata e firmata dall'AIPA): di tale o di altre anomalie l'utente deve essere cosciente.

D'altro canto, se si esaminano con la dovuta attenzione le condizioni generali di licenza d'uso dei software di verifica, si ha un'ulteriore conferma della necessità della massima cautela, da parte dell'utente, nel procedimento di verifica, e di come sia preferibile l'assimilazione della cultura della verifica rispetto alla tentazione di abbandonarsi unicamente agli automatismi di un software. Infatti, in merito alla conformità del software alle norme vigenti, il produttore precisa che modifiche legislative o regolamentari, oppure mutamenti interpretativi, potrebbero rendere il software non conforme alla legge, per cui si riversa sul malcapitato utente l'obbligo di accertare, di volta in volta, se l'utilizzo che intende effettuare del software sia ancora legittimo, astenendosi dall'utilizzo in caso di dubbio circa la conformità a legge; con preghiera, in quest'ultimo caso, di avvisare sollecitamente il produttore, nell'ottica di una originale collaborazione.

In conclusione, per il nostro utente diffidente, che ritiene violabile tutto ciò che nella sua verifica è stato consacrato in un documento informatico, rimane un'ancora di salvezza: la romantica verifica sulla Gazzetta ufficiale, ove potrà agevolmente confrontare l'impronta del certificato della chiave pubblica dell'AIPA, visualizzata dal software all'esito della verifica, con quella incisa, mediante la più tradizionale delle scritture, sulla Gazzetta cartacea.