Due novità mantengono alta l'attenzione sugli sviluppi della firma digitale. La prima riguarda il regolamento previsto dall'art. 13 del famigerato decreto legislativo 10/02, che dovrebbe modificare il testo unico sulla documentazione amministrativa per adeguarlo alle disposizioni europee sulle firme elettroniche.
La seconda (che non è una novità assoluta per la ristretta cerchia degli addetti ai lavori) riguarda un problema del software di firma digitale DiKe, del certificatore InfoCamere: in alcune situazioni il programma accerta la validità di una firma apposta a un documento che appare diverso da quello effettivamente sottoscritto. Il fatto è grave, anche perché di DiKe sono state distribuite centinaia di migliaia di copie, grazie alla posizione che la società consortile delle Camere di commercio occupa sul mercato.

La bozza del regolamento

Il testo che pubblichiamo dovrebbe essere quello approvato dal Consiglio dei ministri il 2 agosto scorso. "Dovrebbe", perché non è certo che sia esattamente quello inviato a diverse amministrazioni per acquisirne i pareri, né che non abbia subito modifiche dopo il varo formale, annunciato da un comunicato ministeriale e ripreso dalla stampa come se fosse una straordinaria innovazione (vedi Strane notizie sul documento informatico).
Se il Governo o i ministeri competenti (in senso burocratico) pubblicassero sull'internet questo tipo di documenti, potrebbero sfruttare i consigli della comunità degli esperti della materia, come fece a suo tempo l'AIPA per i primi regolamenti sulla firma digitale, evitando cattive figure e la possibile diffusione di testi non aggiornati, se non addirittura "apocrifi".

Evidentemente lo schema di DPR è ancora allo stato di bozza, tante sono le incongruenze e le imprecisioni. Vale però la pena di scorrerlo,  per capire quali possano essere gli sviluppi a breve termine in un settore di tale importanza: senza la firma digitale non possono decollare gli scambi in rete di documenti con valore legale, e quindi rendere operativi i progetti di riforma della pubblica amministrazione. L'incertezza danneggia ancora di più il settore privato, che sta scoprendo i vantaggi del lavoro in rete, ma brancola nel buio delle incertezze normative.

Da una prima lettura dell'articolato si ha la sensazione che gli esperti del Ministero dell'innovazione abbiano cercato di "mettere una pezza" più ampia possibile sui buchi aperti dal decreto 10/02 (vedi Troppa confusione sulle firme "elettroniche"). Ma non tutto fila liscio. Vediamo qualche esempio.
Nelle definizioni del nuovo art. 1 si legge che per "firma digitale" si intende la firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici. A prima vista sembra finalmente chiarita la corrispondenza tra normativa italiana sulla firma sicura e le previsioni comunitarie.

Ma leggendo più avanti, tra le varie definizioni elencate in disordine sparso, troviamo che la firma elettronica qualificata è la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma e la firma elettronica avanzata è la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati". Cioè la firma elettronica avanzata, la firma elettronica qualificata e la firma digitale sono la stessa cosa. E allora perché tutte queste complicate perifrasi?

E per quanto riguarda la firma elettronica semplice, si dice che essa è "l'insieme dei dati... utilizzati come metodo di autenticazione informatica": ci risiamo con l'errore del decreto 10/02. Non si tratta di "autenticazione", ma di "validazione", come correttamente recitava il rimpianto DPR 513/97 (vedi Il Governo cancella un vanto dell'Italia)

Anche per quanto riguarda i dubbi suscitati dal  decreto legislativo 10/02 su quante categorie di certificatori siano previste, la bozza chiarisce e non chiarisce. Ancora nelle definizioni si legge che il certificatore è Il soggetto che presta servizi di certificazione per le firme elettroniche", il certificatore qualificato è quello che rilascia al pubblico certificati elettronici conformi ai requisiti indicati nel presente Testo unico e nelle regole tecniche di cui all'articolo 8, comma 2 (cioè che corrispondono ai certificati sicuri della vecchia normativa) e infine che il certificatore accreditato è " il certificatore qualificato accreditato in Italia ovvero in altri stati membri dell'Unione europea ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/Ce".

Sembrano tre, ma probabilmente sono due, perché leggendo con attenzione si evince il certificatore qualificato altri non è che un certificatore che rilascia certificati con i noti requisiti, accreditato in Italia invece che in altri Paesi europei.
Ora dovremmo ripetere la ricerca per capire quanti e quali siano i livelli dei certificati, dei dispositivi di firma e via discorrendo. Ma la pazienza del lettore non è infinita e forse è meglio passare a qualche valutazione di carattere più generale, rimandando l'esame dei dettagli al testo definitivo.

Con un duro lavoro di taglia e cuci si ottiene una versione del testo unico che sembra un notevole passo indietro rispetto alla lungimiranza delle innovazioni introdotte con il regolamento del '97. Colpisce soprattutto la scomparsa di alcuni passaggi:
- L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo (art. 10 DPR 513/97).
- Il titolare della coppia di chiavi asimmetriche può ottenere il deposito in forma segreta della chiave privata presso un notaio o altro pubblico depositario autorizzato (art. 7 DPR 513/97).
- Gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge (art. 18 DPR 513/97, scomparso già nella prima versione del testo unico).

Si dirà che l'assenza di queste disposizioni non altera nella sostanza il complesso della normativa (con qualche riserva per la prima norma citata). Invece queste tre semplici formulazioni, e in particolare l'ultima, avevano un forte valore di principio perché mettevano in luce la vera intenzione del legislatore: attribuire al documento informatico la stessa efficacia del documento tradizionale. Anzi, per la pubblica amministrazione il documento informatico appariva come favorito rispetto a quello cartaceo. La specifica disposizione sull'equivalenza della firma digitale alla sottoscrizione autografa e la previsione del deposito della chiave privata con le stesse formalità del testamento segreto indicavano il valore che veniva attribuito al nuovo strumento.

Un altro punto importante era nella certificazione delle chiavi pubbliche dei pubblici ufficiali non appartenenti alla pubblica amministrazione degli ordini e albi professionali legalmente riconosciuti (art. 17). Anche queste disposizioni sembrano sparite nel confuso rimescolamento degli articoli previsto dallo schema di DPR.
Non c'è più nulla di tutto questo. E' solo un caso?

Il problema di DiKe

Il bug del programma per firma digitale qualificata distribuito dal certificatore qualificato InfoCamere (per usare le nuove presumibili definizioni) è una faccenda molto seria, come dimostra Andrea Gelpi nell'articolo La firma è sicura, il documento no).
La sicurezza, lo sanno tutti, non è mai assoluta, ma il sistema della firma digitale avanzata è costruito per dare un livello di affidabilità molto elevato. Il nuovo strumento può costituire un importante stimolo per lo sviluppo delle attività in rete, pubbliche e private, ma solo a condizione che non ci siano dubbi sul livello di sicurezza che può fornire. Il sistema italiano, nato nel '97, è teso a garantire il massimo livello di certezze che oggi la tecnologia consente. E sembra che DiKe non rispetti in pieno le norme, perché l'art. 10 delle regole tecniche (DPCM 8 febbraio 1999) stabilisce al comma 1 che "Gli strumenti e le procedure utilizzate per la generazione, l'apposizione e la verifica delle firme digitali debbono presentare al sottoscrittore, chiaramente e senza ambiguità, i dati a cui la firma si riferisce".

Ora l'ambiguità dei dati, nelle situazioni descritte, è più che evidente. Il certificatore afferma che il difetto è di scarso rilievo, perché MS Word non può essere usato nella pubblica amministrazione, in forza delle previsioni dell'art. 4 della deliberazione AIPA 51/2000. Questa norma prescrive che i formati dei documenti della pubblica amministrazione "devono possedere almeno i seguenti requisiti: [...] b) la non alterabilità del documento durante le fasi di accesso e conservazione; [...] d) l'immutabilità nel tempo del contenuto e della sua struttura. A tale fine i documenti informatici non devono contenere macroistruzioni o codice eseguibile, tali da attivare funzionalità che possano modificarne la struttura o il contenuto". Tali indicazioni escludono la liceità dell'uso di Word o di Excel nella pubblica amministrazione.

Anche ammettendo che queste disposizioni sempre siano rispettate, e che quindi Word ed Excel siano banditi da tutti gli uffici pubblici, rimane il fatto che nelle loro categorie sono i software più diffusi in ambito privato. E la firma digitale qualificata serve per dare piena efficacia legale a tutti i documenti, quelli delle delle pubbliche amministrazioni e quelli dei privati. Questi ultimi con DiKe hanno a disposizione uno strumento che non è conforme alla normativa e, soprattutto, che non è abbastanza sicuro. Infatti non si può escludere che un abile malfattore possa sfruttare il "baco" per far sottoscrivere dolosamente a qualcuno un documento che può poi essere alterato, mandando all'aria tutto il castello di certezze della firma digitale qualificata.

Resta ancora un dubbio. Il difetto di DiKe potrebbe non essere un caso isolato. In questo o in altri software per la firma digitale qualificata potrebbero nascondersi altre pericolose vulnerabilità. Spetta alle autorità competenti (anche in senso tecnico) compiere controlli approfonditi.
E magari rivedere anche le norme regolamentari e tecniche per rendere la firma digitale uno strumento più fruibile di quanto sia oggi, stabilendo prima di tutto regole minime di interoperabilità tra i certificatori. Infatti solo con i controlli incrociati si può avere una maggiore certezza dell'affidabilità dei sistemi.
Infine, ma non ultimo, si deve favorire la diffusione dei programmi open source, con i quali non esiste questo tipo di problemi. Forse è un buon motivo non per favorirli, ma per renderli obbligatori.