A quasi tre anni dall'entrata in vigore delle prime regole tecniche che delineavano, finalmente con una certa precisione, i contorni operativi della firma digitale in Italia, gli addetti ai lavori sono ancora mestamente in attesa della killer application che ne faccia realmente decollare l'utilizzo.
Molti sono convinti che l'obbligo - effettivo, pare, dalla prossima estate - di comunicare con il Registro delle imprese solo per mezzo di documenti informatici firmati digitalmente, costringendo inevitabilmente tutte le aziende italiane a dotarsi di una smart card di firma e ad usarla almeno qualche volta con l'aiuto del proprio commercialista, dovrebbe smuovere questa stagnazione.

A nessuno sfugge che una delle condizioni per l'effettiva diffusione della firma digitale è l'ampia interoperabilità. In altri contesti l'interoperabilità è stata raggiunta, in modo "evoluzionistico", per mezzo della semplificazione o grazie alla schiacciante vittoria di un competitor che ha potuto imporre le proprie scelte.

In questo settore, tuttavia, non può essere così semplice: l'adozione della firma digitale in un ampio spettro di applicazioni ha come pre-condizione il "valore legale" delle transazioni, ma questo obiettivo, in paesi di civil law come il nostro, non può che essere pesantemente condizionato dal legislatore che, per concedere tale dignità alla firma digitale, deve assicurarsi della "qualità" dello strumento e dei modi in cui esso viene impiegato.
Da qui l'apparente complessità della normativa e i conseguenti freni alla diffusione.

Sbaglia però chi attribuisce all'italico gusto per la complicazione un presunto eccesso di prudenza a cui sarebbe dovuta la difficoltà di decollo di questa tecnologia. È sufficiente seguire il processo di EESSI (European Electronic Signature Standardization Initiative) per capire come l'Unione europea, a partire dalla direttiva 1999/93/CE, abbia ritenuto essenziale predisporre un bagaglio di standard completo ed articolato, al fine di garantire a un tempo sia l'interoperabilità che i livelli di sicurezza: molti dei requisiti "europei" di sicurezza fanno apparire addirittura come superficiali le prescrizioni delle nostre regole tecniche, tanto che si fatica ad adottare direttamente EESSI proprio per la resistenza di molti operatori (leggi certificatori) ancora non in grado di uniformarsi.

Non v'è da dubitare, tuttavia, che il processo di armonizzazione sia solo agli inizi e che - presto o tardi - i concetti di armonizzazione di EESSI verranno affinati, ampliati e recepiti in tutti gli stati dell'Unione.
Peraltro il nostro paese sta facendo la sua parte con la commissione UNINFO/STT, un gruppo aperto di operatori (certificatori, produttori, autorità, grandi utenti, liberi osservatori) che sta analizzando le proposte di standard EESSI e proponendo una serie di emendamenti, in vista della progressiva adozione di tali standard da parte di organismi come UNI.

In questa sede vorrei portare l'attenzione sul problema, a mio avviso finora sottovalutato, della verifica delle firme digitali e, più in generale, del mantenimento del valore legale dei documenti informatici nel tempo.
Fino ad oggi l'attenzione del grosso degli utenti - o aspiranti tali - della firma digitale è stata concentrata soprattutto sul problema della creazione della firma: come scegliere il certificatore, come risolvere il problema dell'identificazione degli appartenenti ad un'organizzazione, come distribuire i dispositivi (smart card), come integrare la funzione di firma nei sistemi informativi e documentali.

Una volta risolto (almeno a livello di pianificazione e progettazione, perché ben pochi - ad oggi - sono i sistemi di gestione documentale già operativi con la firma digitale) il problema dell'apposizione della firma, molti tendono ad emettere un gran sospiro di sollievo: il fatidico .p7m viene dimenticato in qualche angolino del database, considerandolo ormai stabile ed attendibile come le Tavole di Mosè.
Eppure occorre fare un ulteriore sforzo e rendersi conto di quanto illusoria sia la convinzione di aver con questo esaurito il problema del valore legale dei documenti informatici.

Dovrebbe essere abbastanza chiaro per tutti che esaminando un documento firmato digitalmente dovremmo poter rispondere ad alcune domande:
1. Chi è l'autore di una firma?
2. Quando è stata apposta la firma?
3. La firma era valida quando il documento è stato firmato?
4. Il documento ha tuttora valore legale?

È chiaro che tutte queste domande sono connesse con il problema della verifica delle firme digitali.
Proprio nell'ambito del lavoro EESSI è stato prodotto un documento, il CWA 14171 (Procedures For Electronic Signature Verification), la cui lettura è senz'altro raccomandata a chi desideri approfondire la comprensione dei problemi connessi con la verifica delle firme digitali.
Ma torniamo ai nostri quesiti.

1 - Chi è l'autore di una firma?
Rispondere alla prima domanda sembrerebbe banale: basta leggere il contenuto del certificato che accompagna la firma, verificare che il certificato sia stato emesso da un certificatore "AIPA" e il gioco è fatto.
Ma siamo certi che sa così semplice? Chi ci dice che il certificato sia veramente "qualificato" e che sia stato emesso veramente da un Certificatore "accreditato"?
Sappiamo che oggi AIPA pubblica su un sito web un elenco (firmato) di certificati root da usare come tabella di riferimento, ma come facciamo ad essere certi che il nostro sottosistema di verifica usi veramente una copia di tali certificati e non venga invece ingannato, per esempio con l'aggiunta di un falso certificato root nella tabella di riferimento locale?

Molti prodotti di verifica di firma digitale usano come fonte di certificati attendibili l'omonima area di Internet Explorer. Qualcuno ha mai provato a vedere cosa contiene quell'area, nel proprio PC, oltre ai certificati dell'elenco AIPA? Siamo certi che il nostro software di verifica non tratti alla stessa stregua, in termini di attendibilità, i certificati emessi dal Centro tecnico della RUPA e quelli emessi da Verisign?
Siamo sicuri che in nessun caso abbiamo mai risposto "Sì" quando il sistema ci avrà proposto di caricare un nuovo certificato e di considerarlo "fonte attendibile"?
Siamo certi che il nostro particolare software non sia ancora più "fiducioso" e addirittura conservi i certificati di riferimento in qualche cartella del file system, dove anche un bambino potrebbe introdurre certificati taroccati?

Quindi ecco un primo punto da curare: il sistema di verifica deve gestire in modo accurato i trust anchors, ossia i punti di riferimento attendibile, in modo da proteggerli da alterazione, da consentirne un aggiornamento in caso di entrata in servizio di nuove CA, da poterne verificare l'autenticità.

2 - Quando è stata apposta la firma?
Questa è la domanda più difficile a cui rispondere.
Il sottoscrittore potrebbe essere così gentile da scrivere in chiaro la data nel testo, ma non è detto che tale indicazione sia affidabile, il documento potrebbe essere stato dolosamente retrodatato.
Se il sottoscrittore tiene a datare il proprio documento in modo certo può provvedere egli stesso a marcarlo temporalmente ed a farcelo pervenire completo del timestamp.
Anche in questo caso, tuttavia, non si dispone di una chiara indicazione dell'istante in cui la firma è stata apposta, ma quanto meno si sa per certo che la firma non è posteriore ad un istante ben definito.
Più probabilmente l'autore del messaggio non ci farà questa cortesia, inviandoci semplicemente il documento firmato. Noi riceveremo il documento ad un dato istante successivo alla firma e, presumibilmente, ci sarà utile consultarlo anche in futuro.

Quindi diventa importante che la validità del documento venga valutata più presto possibile e che tale validità sia "fotografata" all'istante, al fine di poter utilizzare tale validazione anche in tempi successivi.
Resta il fatto che in fase di generazione della firma il modo più rigoroso di procedere sarebbe quello di indicare nel testo una data, di firmare il documento, di apporre alla firma stessa una marca temporale la cui data coincida con quella dichiarata nel documento.

(Continua sul prossimo numero)