Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Quando si coniugano diritto e tecnologia
di Andrea Monti - 08.10.98

Prendete una tecnologia, lasciate - nell’indifferenza di tutto e tutti - che si diffonda dappertutto fino a diventare uno standard di fatto. Ad un certo punto inserite un legislatore "distratto" che intende creare delle regole ad hoc per questo "moderno e sofisticatissimo" ritrovato e, poco dopo, una serie di imprese che cominciano a pensare ad applicazioni commerciali e quindi a propagandare allarmismo e disinformazione. Aggiungete una nutrita schiera di tuttologi e avrete lo schema di ciò che quasi sempre accade quando si coniugano diritto e tecnologia. Anche le vicende che caratterizzano la vita della firma digitale - seppur con significative variazioni - sono l’esatta riproduzione di un pattern applicato al software, alla Rete e Dio sa a cos’altro.

Accennavo prima ad alcune significative variazioni sul tema: bene, la più rilevante è quella che - a mio modo di vedere - questa volta si sta cercando di vederci chiaro prima di compiere anche solo un piccolo passo: è accaduto in sede di emanazione del DPR 513/97, sta accadendo ora con l’articolato tecnico espressamente richiamato dal regolamento sulla firma digitale. Il gruppo di lavoro che se ne sta occupando ha compiuto - per la seconda volta - un gesto di grande coscienza rendendo pubblica la bozza ed invitando gli interessati ad esprimere valutazioni e suggerimenti; non c’è dubbio che parlare dopo la predisposizione del testo definitivo non avendo sfruttato la possibilità di farlo prima, qualche dubbio pure lo fa sorgere...

Ciò detto, e ribadito l’apprezzamento per il metodo seguito e il rigore dimostrato, non posso nascondere più di una perplessità sulla bozza in questione.

La prima - e di ordine generale - riguarda la presenza di elementi (direttamente o indirettamente) normativi in un testo che dovrebbe avere un esclusivo contenuto tecnico, e quindi escludere qualsiasi valutazione di matrice normativa.

Rinvio ad altra sede considerazioni maggiormente analitiche - conscio peraltro che stiamo parlando di una bozza e come tale soggetta a revisioni anche profonde - per affrontare questioni di respiro più ampio.

Ci sono alcune questioni sulle quali è di capitale importanza fare delle scelte chiare.

Una di queste riguarda il mutuo riconoscimento delle certificazioni rilasciate dall’apposito ente (pubblico o privato): sarebbe poco ragionevole trasformare i cittadini in novelli emuli di San Pietro, dotandoli di un portachiavi elettronico (poco importa se fosse una smart-card) da utilizzare a seconda delle necessità o dei desiderata di questa o quella branca della Pubblica Amministrazione. In altri termini dovrebbe essere sancito il principio dell’obbligatorietà del mutuo riconoscimento del chiavi (senza differenziazioni di costi fra la chiave certificata da un soggetto e quella certificata da più entità).

Un altro punto da non trascurare è quello relativo all’inserimento - già a livello di testo normativo - di criteri valutativi all’insegna della "ragionevole sicurezza" o "di "impossibilità probabilistica". Sicuramente il mondo delle regole, ferreamente dominato da una logica aristotelica mal si concilia con questo tipo di concetti, ma proprio per questo sarebbe opportuno lasciarli al prudente apprezzamento del giudice piuttosto che alla fissità delle parole.

Certo, nessuno si nasconde i problemi derivanti dall’applicazione concreta di questo modello, ma l’esperienza insegna che ogni legge viene sistematicamente applicata in misura estremamente ridotta (o disapplicata per anni, vedi la vicenda dell’autocertificazione), quindi nel concepirla è opportuno mirare agli obiettivi finali e non a tappe intermedie, perché altrimenti passando dal testo della Gazzetta Ufficiale all’attuazione concreta si rischia di avere risultati ancora inferiori alle aspettative.

Il problema serio è che - come già mi è capitato di scrivere in altre occasioni - l’eccessiva complessità (vorrei dire farraginosità) del meccanismo ipotizzato potrebbe orientare la stragrande maggioranza degli operatori privati verso forme alternative di sistemi di certificazione. Se infatti il documento firmato nei modi previsti dal DPR 513/97 è equiparato ex lege all’equivalente cartaceo, questo non significa che gli altri - firmati ad esempio con un normale PGP - siano privi di valore giuridico. In caso di contenzioso sarebbe, si, necessario dimostrare tutta una serie di cose (ad esempio, l’univocità fra chiave pubblica e sedicente titolare) che l’utilizzo del sistema previsto dal DPR 513/97 consente di non discutere nemmeno, ma ciò a tutto vantaggio dell’economicità e della rapidità di gestione delle transazioni.

In altri termini, ciò significa che se un merchant - poniamo un internet provider - avendo identificato personalmente i propri clienti, si facesse garante delle loro firme PGP e attribuisse per contratto valore ai messaggi firmati con quelle chiavi, potrebbe organizzare un sistema commerciale efficace anche sotto il profilo giuridico.

Quando poi verranno finalmente resi noti dei dati ufficiali sull’incidenza delle transazioni internet based sulle frodi con carta di credito delle quali, come l’Araba Fenice, si parla senza averle mai viste, forse verrà esorcizzato anche l’ennesimo luogo comune che molto gioco fa ad interessi "chiaramente" super partes.