Kinsale, Irlanda meridionale. La mattina del 9 agosto la prima pagina dell'Irish Times scuote le mie sonnacchiose vacanze nella terra di James Joyce e Sinead O'Connor: la Gateway di Dublino chiude per mancanza di commesse. Non è una fabbrica qualunque: qui Bill Clinton, allora presidente degli Stati Uniti, e Bertie Ahern, Taoiseach d'Irlanda (titolo gaelico che equivale grossomodo a premier) per la prima volta nella storia firmarono digitalmente un trattato internazionale, utilizzando i prodotti di una softwarehouse locale, la dublinese Baltimore. Era il 4 settembre 1998.

Nei quotidiani irlandesi dei giorni successivi serpeggia una certa inquietudine: l'epopea della Tigre Celtica ha subìto il primo serio scossone. Anni di successi economici, celebratissimi anche da Silvio Berlusconi, sono al capolinea? Probabilmente no: troppo evidenti i vantaggi strategici che l'isola può vantare, a cominciare da quello linguistico, che consente al personale irlandese di integrarsi in modo molto immediato nel tessuto produttivo delle multinazionali basate negli USA. Senza poi considerare la poderosa "riserva naturale" rappresentata dai lavoratori qualificati irlandesi emigrati nel Regno Unito, spesso disponibili ad accettare posti di lavoro meno retribuiti purché in patria. Resta il fatto che troppi degli insediamenti attirati in Irlanda dalle favorevoli condizioni fiscali e normative non sono strategici per le case madri, né dal punto di vista tecnologico né da quello industriale e quindi, come nel caso Gateway, rischiano di scomparire alla prima congiuntura sfavorevole senza lasciare dietro di sé tracce significative. Gli irlandesi lo sanno perfettamente, e da tempo cercano di privilegiare lo sviluppo di tecnologia locale rispetto al proliferare di "fabbriche cacciavite". Comunque sia di ciò, l'euforia di quel 4 settembre 1998 è evaporata per sempre.

La storica cerimonia, a dire il vero, aveva avuto un epilogo curioso, che col senno di poi potrebbe dirsi di cattivo auspicio. A firma apposta, i due leader si alzarono e con convinzione si scambiarono le smart card (l'episodio è documentato sul sito di Irish Times da una foto di Frank Miller). La prima sensazione è che i due uomini, a dispetto dei briefing che la NSA non avrà certo fatto loro mancare, non avessero troppo ben presente cosa stavano maneggiando, e che quindi si siano scambiati i token come fossero protocolli cartacei. Ma ammettiamo pure che abbiano voluto solo compiere un generico gesto di cortesia ad uso e consumo dei fotografi, od uno scambio di souvenir: quelle smart card, in fondo, non erano certo destinate ad essere riutilizzate. Si tratta pur sempre di una Waterloo sul piano simbolico. Non si vede a cosa possa servire una firma digitale se non a creare documenti la cui sicurezza prescinde dal fisico contatto (ed anche dalla reciproca conoscenza) delle parti. Quello scambio di smart card, culturalmente, fu appropriato quanto mandare una compagnia di ballerine in topless ad accogliere il Papa. Rese evidente che la firma digitale che i due leader stavano officiando in realtà non serviva affatto, neppure come componente liturgica. E nei tre anni trascorsi, la domanda "a cosa serve la firma digitale?" è in effetti progressivamente divenuto un quesito sempre più ingombrante.

La legislazione italiana, la cui prima incarnazione appartiene all'anno precedente, il 1997 (DPR 513), è frutto di un'impostazione monistica. Vi si trova disciplinato un solo tipo di firma digitale, diciamo pure "la" firma digitale, che fornisce ogni possibile garanzia (certezza della provenienza, inviolabilità del contenuto) ad ogni possibile utente, su scala potenzialmente planetaria, senza che occorra alcun preventivo accordo tra firmante e verificante. Una sorta di arma totale, a validità giuridica erga omnes, con piena equiparazione alla firma cartacea. Ma a chi serve tutto questo?

L'e-commerce, ad esempio, sembra poterne fare magnificamente a meno. Sistemi come l'SSL forniscono livelli di sicurezza assolutamente risibili se paragonati a quella della vera firma digitale: quando il lucchettino si chiude in un angolo del nostro browser, tutto ciò che sappiamo, in fondo, è che i dati che stiamo inoltrando sono agevolmente leggibili solo dal server da noi prescelto. Se compro un biglietto aereo in Rete, l'unica cosa che SSL fa è assicurare (più o meno) che solo la compagnia potrà accedere al numero della mia carta di credito. Ma in fondo è tutto quel che occorre all'utente medio. Tecnologicamente parlando è ben misera cosa: non c'è alcuna pratica possibilità di provare su basi obiettiva quali dati siano stati trasmessi; manca un'identificazione certa (sempre su basi obiettive) del soggetto operante sul lato client; la sicurezza sul piano strettamente crittografico è tutt'altro che allo stato dell'arte. Ma sono tutti aspetti che al consumatore interessano assai poco: se molti restano diffidenti, io credo, non è perché non basti loro ciò che la tecnologia SSL offre, ma perché non sono convinti che il marchingegno mantenga ciò che promette. Analoghe considerazioni potrebbero ripetersi anche in materia di home banking e per altri servizi, che possono perfettamente basarsi su sistemi di variabile configurazione, il cui valore giuridico si basa sull'adesione convenzionale delle parti, e non su una previsione legislativa di portata generale.

Nella produzione normativa più recente è non a caso prevalso un modello diverso ed indiscutibilmente più realistico, che tra l'altro riguarda direttamente il nostro orizzonte giuridico in quanto fatto proprio dalla direttiva 1999/93/CE dell'Unione, il cui termine d'attuazione è scaduto il 19 luglio scorso. Viene ricondotta alla nozione di firma elettronica una gamma indefinita di strumenti. L'estremo superiore, almeno allo stato della tecnologia, coincide approssimativamente con la figura (sinora unica) nota alla legislazione italiana e ne viene sancita l'equivalenza alla firma cartacea; all'estremo inferiore dell'arco possono collocarsi modelli enormemente meno sicuri e completi, di più limitata efficacia giuridica. Un'impostazione, se vogliamo, à la carte, non dissimile da quella della legge californiana del 1995, il cui stringatissimo testo si limita a stabilire quali siano i requisiti (molto simili a quelli europei) perché la firma digitale sia equiparata a quella cartacea, lasciando campo aperto su quasi tutto il resto con speciale enfasi, in perfetto stile a stelle e strisce, sui liberi accordi preventivi tra le parti interessate.

Requiem per la firma elettronica "a tutto tondo"? Nient'affatto. Se l'esperienza ha dimostrato che non si tratta di una soluzione buona a tutti gli usi, ciò non vuol dire che non esistano applicazioni ove le sue caratteristiche sono e restano indispensabili. Mi sia perdonata la goffaggine di un riferimento alla mia professione. In ambito notarile, occorre che i documenti siano validi erga omnes, da chiunque verificabili ed a prova di alterazione: un set di esigenze che non permette sconto alcuno rispetto alle più rigorose tecniche disponibili, ed anzi impone un'implementazione assai cauta ed approfondita. Se qualunque manuale insegna come accertarsi che è proprio Alice la mittente del messaggio giunto a Bob, con ciò si è risolto solo una parte del problema. Applicazioni critiche che coinvolgano l'esercizio di pubbliche funzioni impongono frequentemente che sia disponibile una verifica in tempo reale della qualifica, oltre che dell'identità. Se Tizio esibisce a Caio la procura con firma di Sempronio autenticata digitalmente dal notaro Romolo Romani, non si vede come fare a meno di un sistema che consenta a Caio di accertare che Romolo Romani è (od almeno era, al momento in cui ha operato) un notaro in regolare esercizio.

Si obietta frequentemente che così ragionando si pretende immotivatamente dalla firma elettronica l'obbedienza a parametri di sicurezza superiori a quello offerti dalla carta. Chi mai esegue nel mondo cartaceo una verifica del tipo appena descritto?

Vero, ma non immotivato. Non bisogna dimenticare che nella firma digitale una sequenza di bit deve rimpiazzare, da sola, una pluralità di elementi,  che nel supporto cartaceo concorrono a formare un quadro di certezza affinato e sperimentato nel corso dei secoli. Come è stato scritto: "I documenti cartacei sottoscritti posseggono attributi intrinseci di sicurezza che sono assenti nelle documentazioni informatiche. Tra questi l'ineliminabilità dell'inchiostro assorbito dalle fibre della carta, l'inimitabilità di ogni procedimento di stampa (ad esempio per la carta intestata), le filigrane, i parametri biometrici della firma (pressione, forma, direzione della penna sono caratteristici dell'autore della firma) la disponibilità di timestamp (come i timbri postali), e la visibilità di modifiche, interlinee e cancellature".

No, non è il frutto della penna d'oca di un notaio vecchio stile: il brano è tratto dalla seconda edizione (2001) di Secure Electronic Commerce, Prentice Hall (Upper Saddle River, New Jersey), pagina 5. Autori Warwick Ford e Michael S. Baum: proprio loro, i due vicepresidenti di VeriSign.