Il messaggio che abbiamo pubblicato la settimana scorsa, Ha la firma digitale, ma non lo sa..., coglie un aspetto critico del sistema di certezze sul quale è fondato il valore del documento informatico "a tutti gli effetti di legge". Non a caso il compito di "identificare con certezza la persona che fa richiesta di certificazione" è al primo punto degli obblighi del certificatore elencati dall'art. 28 del testo unico sulla documentazione amministrativa ed è stato oggetto di approfondimenti anche su queste pagine (vedi Norme antiriciclaggio e identificazione del contraente,  Ancora sulla "certezza dell'identificazione" di P. Ricchiuto e Che significa "identificare con certezza"? di Enrico Maccarone).

L'importanza dell'identificazione di chi richiede la certificazione delle chiavi appare chiara se si riflette un solo istante sui disastri che può provocare la pubblicazione di un certificato "falso", cioè rilasciato a un soggetto che, in un modo o nell'altro, è riuscito a farsi passare per un altro. Ma anche la certificazione "per interposta persona" può avere effetti molto gravi, se l'intermediario non consegna al titolare la smart cart e il PIN iniziale nella busta chiusa, ma trattiene il tutto. In buona o in mala fede.
Infatti, mentre è quasi sempre possibile individuare la falsificazione di una firma autografa, e quindi il soggetto al quale è attribuita può provare che non è sua, una firma digitale "falsa" è indistinguibile da una "vera". L'eventuale querela di falso può quindi basarsi solo sulla prova del mancato possesso della smart card al momento in cui la firma è stata generata, prova che può essere molto difficile, se non impossibile.

Per questo scrivevamo, due anni fa, che  "identificare con certezza" è un concetto che storicamente nasce dall'esperienza notarile e costituisce il sistema più responsabile ed impegnativo che possa ipotizzarsi. Ciò che rileva non è il processo dell'accertamento dell'identità, ma il fatto di avere raggiunto tal certezza con forza tale da poterla trasmettere e certificare ai terzi. Le pronunce giurisprudenziali in materia sono molte, e tutte concordi nel senso esposto.

I certificatori hanno dato interpretazioni diverse di questo concetto. Tra quelli di cui si conoscono le procedure effettive (che abbiamo verificato direttamente), PosteCom e BNL Multiservizi affidano solo a personale proprio il riconoscimento dei richiedenti, Finital chiede una certificazione ai sensi della normativa antiriciclaggio, affidando l'identificazione agli sportelli bancari, mentre Actalis e InfoCamere si servono anche di incaricati esterni (commessi di negozi per Actalis e commercialisti per InfoCamere). Proprio sulla procedura di InfoCamere nascono i dubbi sollevati dal messaggio pubblicato la settimana scorsa, in cui si parla di certificati ritirati, trattenuti e usati dal commercialista addirittura all'insaputa dei titolari. E non è la prima segnalazione giunta su questo problema.

Cerchiamo di approfondire la questione, partendo dal manuale operativo del certificatore. E qui incontriamo una situazione... imbarazzante.
Il manuale firmato e pubblicato dall'AIPA (ai sensi dell'art. 15 delle regole tecniche) è la versione 2.2 del 5 aprile 2001, mentre sul sito di InfoCamere c'è la versione 2.4 del 27 settembre 2002. Tra le due versioni non ci sono differenze rilevanti per l'aspetto che ci interessa, ma è naturale la curiosità di sapere se il certificatore si è dimenticato di inviare all'AIPA le versioni successive a quella validata, o se l'Autorità è in grave ritardo nell'aggiornamento del sito. Prendiamo comunque la versione 2.2, quella firmata dall'AIPA. Vi si legge:

2.2.2 Uffici di Registrazione
Il Certificatore si avvale sul territorio di Uffici di Registrazione, per svolgere principalmente le funzioni di:
- identificazione e registrazione degli utenti titolari,
- validazione della richiesta del certificato,
- distribuzione ed inizializzazione del dispositivo di firma,
- attivazione della procedura di certificazione della chiave pubblica del titolare,
- supporto al titolare e al Certificatore nel rinnovo/revoca dei certificati.
L'Ufficio di Registrazione, anche tramite suoi incaricati, svolge in sostanza tutte le attività di interfaccia tra il Certificatore e l'utente titolare della firma.
Gli Uffici di Registrazione sono attivati dal Certificatore a seguito di un adeguato addestramento del personale impiegato, che potrà svolgere le funzioni previste anche presso il cliente/titolare.
Il Certificatore verifica la rispondenza delle procedure utilizzate dall'Ufficio di Registrazione a quanto stabilito da questo manuale.

Il punto critico, evidentemente, è quello relativo agli "incaricati", dei quali non si dice se possono essere "esterni". In ogni caso, i commercialisti incaricati della registrazione (I.R.) devono sottoscrivere una convenzione con la Camera di Commercio competente per territorio. Questa è indicata nel documento come "Ufficio di Registrazione", nella persona del Conservatore del Registro delle imprese, sulla base di un'apposita convenzione con InfoCamere.
Nella convenzione con l'incaricato si legge che la Camera di commercio provvederà ad addestrare ed aggiornare l'I.R. mediante opportuni corsi di formazione specifica con modalità da convenire e che l'incaricato dovrà svolgere le attività previste dalla presente Convenzione con la diligenza del mandatario di cui all'art. 1710 del codice civile.

Prendiamo dunque il codice civile e vediamo che l'art. 1710 (Diligenza del mandatario) dice: Il mandatario è tenuto a eseguire il mandato con la diligenza del buon padre di famiglia [...] Il mandatario è tenuto a rendere note al mandante le circostanze sopravvenute che possono determinare la revoca o la modificazione del mandato.

Ma quello che più importa è che, secondo la convenzione, l'incaricato deve provvedere al ritiro presso l'Ufficio di registrazione dei dispositivi di firma degli Utenti Titolari che sua tramite hanno inoltrato la richiesta, rendendosi custode degli stessi dispositivi fino alla consegna agli Utenti, che si impegna ad effettuare entro trenta giorni da ritiro, e rispondendo direttamente della loro sottrazione, perdita o deterioramento per qualsiasi causa, con l'obbligo di comunicare senza ritardo tali eventi all'Ufficio di Registrazione ed a InfoCamere.

Dunque, in astratto, c'è una catena di controllo che non sembra contraria alla lettera delle norme. Ma si tratta, ancora una volta, di quella che A. Monti ha definito sicurezza di carta. La situazione di fatto (piuttosto diffusa, per quanto ci risulta) appare decisamente contraria ai principi ispiratori della normativa e molto lontana dalla sicurezza reale. Occorre dunque rivedere la normativa stessa, anche con la previsione di sanzioni penali, come abbiamo scritto più volte, oltre che con disposizioni più stringenti in materia di certificazione.
Altrimenti (e anche questo è un ritornello troppo sentito, ma che si deve ripetere) la firma digitale non riscuoterà la fiducia dei potenziali utilizzatori e la sua adozione su vasta scala sarà sempre più lontana.