Finalmente sono chiari molti aspetti del "baco" della firma digitale che abbiamo affrontato una settimana fa (vedi Tra i "bachi" delle norme e quelli dei programmi). Molti, ma non tutti, perché dobbiamo mettere meglio a fuoco il problema della rispondenza dei software di firma digitale attualmente in circolazione con le disposizioni del testo unico sulla documentazione amministrativa e con le regole tecniche. Non è una questione di poco conto, perché se non sono soddisfatti tutti i requisiti della firma digitale non si possono avere documenti "validi e rilevanti a tutti gli effetti di legge", come afferma la norma originaria dell'art. 15, comma 2, della L. 59/97.

E' bene sottolineare che il problema non è solo di DiKe: con ogni probabilità, tutti i programmi per la firma digitale qualificata oggi in circolazione si comportano nello stesso modo. Lo abbiamo direttamente verificato su PosteCert del certificatore Postecom (le Poste Italiane) e su DigitalSign di CompEd, una software house di Genova. E sono emersi altri aspetti critici, come vedremo tra poco.

La puntuale risposta che InfoCamere ha dato alle nostre osservazioni aiuta a inquadrare la questione, sia perché rivela che il problema era noto sia perché contiene alcune affermazioni non condivisibili, che costituiscono appunto il nucleo del "difetto".
Il DiKe - scrive InfoCamere - si comporta correttamente fornendo un esito positivo della verifica di firma in quanto non vi è stata alcuna rottura dell'integrità del documento (unica evenienza che potrebbe far supporre una modifica, tanto che le poche norme in materia si riferiscono sempre alla "integrità" del documento, e non alla immodificabilità dello stesso).
In questo fondamentale passaggio ci sono due equivoci sui termini: il primo è che il software funziona perfettamente verificando non l'integrità del documento in senso giuridico, ma solo quella del file ("evidenza informatica", secondo le definizioni delle regole tecniche) sul quale è stato calcolato l'hash e quindi generata la firma stessa.

Insomma, si afferma che il software funziona perché verifica l'integrità dell'evidenza informatica, che non ha alcun valore legale ed è cosa diversa dal documento informatico, legalmente valido se ricorrono le condizioni previste dalla normativa.

Come spiega Corrado Giustozzi (Funziona o non funziona? L'aspetto tecnico) e come abbiamo dimostrato praticamente una settimana fa (La firma è sicura, il documento no di Andrea Gelpi), un file firmato digitalmente non cambia anche se ci sono contenuti dinamici (e quindi la verifica dà esito positivo), ma può cambiare il documento che viene presentato all'utente.
Il documento informatico, dice la definizione dell'art. 1 del TU sulla documentazione amministrativa, è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. "Rappresentazione", appunto, ciò che si vede: per la legge non rileva "quello c'è dietro", ma solo ciò che viene rappresentato. Non a caso la parola "documento" viene dal latino docere (mostrare, indicare).

Il secondo equivoco terminologico è questo: "integrità" e "immodificabilità" del documento non sono qualità indipendenti, perché se c'è una modificabilità non ci può essere la sicurezza dell'integrità della rappresentazione. Se la firma digitale deve consentire di verificare la provenienza e l'integrità di un documento informatico (ancora l'art. 1 del TU), è evidente che il documento non deve essere modificabile senza che la procedura di verifica se ne accorga.
In sostanza, se la firma digitale non consente di verificare l'integrità di un documento informatico, così come viene rappresentato all'utente, non risponde ai requisiti della normativa sui documenti informatici "validi e rilevanti a tutti gli effetti di legge".
La firma digitale apposta a un documento con contenuti dinamici può essere paragonata alla (impossibile) apposizione del sigillo, da parte di un notaio, di un atto scritto a matita o con righe in bianco.

InfoCamere sa che in alcuni casi la verifica della firma digitale dà un risultato di "falso positivo" e per questo ha indicato con precisione i formati di documenti che possono essere usati per il deposito degli atti presso le Camere di commercio.
Ma DiKe non viene presentato come un programma di validazione di uso circoscritto all'ambiente camerale (cioè previsto per generare firme "elettroniche" ai sensi della nuova normativa), ma come un programma per la firma digitale qualificata ai sensi del TU sulla documentazione amministrativa e delle altre norme sulla materia. Purtroppo ormai sappiamo con certezza che i documenti firmati con DiKe (e con i programmi di altri certificatori) non possono essere "validi e rilevanti a tutti gli effetti di legge" in una serie di casi molto ampia e purtroppo non facile da definire con precisione.

C'è una altro aspetto da considerare, emerso durante le nostre prove di DiKe, PosteCert e DigitalSign.
L' art. 10, comma 1 delle regole tecniche stabilisce che Gli strumenti e le procedure utilizzate per la generazione, l'apposizione e la verifica delle firme digitali debbono presentare al sottoscrittore, chiaramente e senza ambiguità, i dati a cui la firma si riferisce e richiedere conferma della volontà di generare la firma.
Solo DigitalSign rispetta la disposizione alla lettera, almeno per i formati più diffusi (.doc, .xls, .txt, .pdf, htm), mostrando il documento nella finestra del programma di firma e verifica. DiKe apre spesso un visualizzatore esterno, e questo può comportare "ambiguità" nel caso in cui l'utente abbia diversi documenti aperti contemporaneamente. PosteCert sembra completamente fuori norma, perché chiede se deve aprire o no il documento e, in caso di risposta negativa, presenta solo una finestra in cui chiede la conferma della volontà di apporre la firma su un certo file. E quando si apre la procedura di verifica, dà soltanto il risultato, senza visualizzare un bel nulla!

Tutto questo è molto grave. La firma digitale è sicura solo se tutti i passaggi previsti dalla normativa sono rispettati, uno per uno. L'autorità di vigilanza (ancora l'AIPA, fino a quando resterà in vita) dovrebbe verificare e assumere i necessari provvedimenti, perché le conseguenze di queste anomalie potrebbero essere devastanti. Si pensi al caso in cui la parte che predispone un contratto, in buona fede, si veda poi produrre clausole differenti da quelle scritte originariamente. O, al contrario, che due contraenti sottoscrivano (sempre in buona fede) un atto nel quale alcuni dati siano sostituiti da altri e non si riesca a ricostruire le informazioni originali. Né si deve trascurare l'ipotesi che qualcuno sfrutti la variabilità del documento sottoscritto come "artifizio" per commettere una truffa.

In tutti questi casi si prospettano conseguenze molto serie sul piano civilistico: sul prossimo numero pubblicheremo un autorevole intervento in materia di responsabilità civile per i danni derivanti da effetti impropri dell'uso della firma digitale.

Per concludere questa puntata di una storia molto ingarbugliata è opportuna una considerazione di ordine generale.
La normativa sulla firma digitale introdotta in Italia nel '97 resta un capolavoro di lungimiranza: anche i difetti che ora vengono alla luce, e che non era facile immaginare sei anni fa, quando fu presentata la prima bozza, sono in qualche modo superabili sul piano tecnico senza ricorrere a nuove formulazioni legislative (che appaiono, comunque, opportune e urgenti, anche per risolvere le questioni aperte dal recepimento della direttiva europea).
Nel dettare le prime regole sulla materia il legislatore aveva come unico punto di riferimento la dottrina sul documento cartaceo. Proprio su questa base ha formulato la definizione del documento informatico nel DPR 513/97, diversa da quella della evidenza informatica introdotta con le regole tecniche. Così oggi possiamo capire perché l'immutabilità della seconda non comporta necessariamente, sul piano giuridico, che il primo sia valido e rilevante a tutti gli effetti di legge.

Quali sono i rimedi possibili? Come spiegano Corrado Giustozzi nell'articolo già citato e Andrea Gelpi in Non spetta all'utente risolvere il problema, è un rebus di ardua soluzione.