Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Firma digitale

La firma digitale da Bruxelles a Londra - 2

di Andrea Chiloiro - 10.02.05

 

Articolo precedente

(Vedi anche La firma digitale nel Regno Unito di Roberto Manno)

Aspetti pratici del digital signing nel sistema inglese

L'esame delle disposizioni contenute nell'Electronic Communication Act 2000 costituisce soltanto un primo passo nell'analisi della disciplina inglese della firma digitale. In verità, l'atto detta delle regole a maglie molto larghe sulla digital signature, fissando più che altro una serie di principi generali, sicuramente molto importanti. Per esempio, quando si definiscono alcuni concetti chiave o fissano alcuni (pochi) standard minimi, ma che restano solo principi, suscettibili, quindi, delle più varie applicazioni concrete.

Per un certo verso, sembra quasi un riproposizione in chiave anglosassone della stessa direttiva 1999/93/CE, che avrebbe dovuto, invece, "implementare". Per altro verso, ai fini di una comparazione un minimo avveduta, non ci si dovrebbe mai dimenticare che il concetto stesso di implementation significa flessibilità, significa far aderire un minimo di regole valide per tutti i paesi membri ad un singolo sistema giuridico nazionale. E, riflettendoci, è proprio quello che fa l' Act: l'assenza di qualunque cosa vagamente assimilabile alle nostre regole tecniche e la vaghezza della formulazione servono proprio a far aderire una certa impostazione giuridica in materia di firma digitale ad un sistema di common law, affidando perciò solo una piccola parte del lavoro alla legge scritta, e il resto a fonti di tipo contrattuale o consuetudinario e, eventualmente, al controllo giudiziale. Ecco quindi che il passo successivo nell'analisi della disciplina inglese della firma digitale è sicuramente esaminare come essa funziona nella prassi, al di là delle disposizioni contenute nell'Electronic Communication Act.

Il principio guida al quale sono informate tutte le procedure in materia sembra quello della fiducia, o meglio quello del trust (a parere di chi scrive il significato dell'inglese trust non corrisponde esattamente a quello dell'italiano "fiducia"). La legge scritta, nel Regno Unito, non si preoccupa di fissare continuamente standard minimi di sicurezza per la validità della firma digitale e quindi del documento elettronico: procedure standardizzate sono state create ad hoc per gli atti della pubblica amministrazione, ma per ciò che concerne il commercio tra privati, ove non si sia diversamente stabilito in sede contrattuale, è sostanzialmente il destinatario che decide, di volta in volta se fidarsi o meno del documento firmato dal mittente, ferme restando sanzioni gravissime, molto spesso penali, per i comportamenti illeciti. Tutto ciò è strettamente collegato con le forme di certificazione di cui parleremo tra un attimo.

Il primo passo per ottenere una firma digitale (così come riconosciuta dall'atto) è quello di generarsi (o farsi generare) una coppia di chiavi. Si può infatti optare per i kit ready to use, oppure farsi da sé la coppia di chiavi con apposito software e custodire la chiave privata su un qualunque tipo di supporto: la soluzione più sicura resta quella di memorizzarla su una smart card vergine, in libero commercio al costo di 5 sterline, e proteggerla con apposito pin.

Il bello inizia qui, poiché ci si potrebbe benissimo fermare a questo primo passo: se infatti John Smith dà a John Brown la propria chiave pubblica, di persona ed il primo si fida, esprimendo un qualunque tipo di consenso, le comunicazioni tra i due saranno ritenute perfettamente valide da qualunque giudice inglese. Ovviamente però, se il giro di affari di John Smith sarà di dimensioni considerevoli per volume e per valore patrimoniale delle transazioni, sarà prevedibile che chi commercia con lui non presti il consenso di cui sopra, e che, per fidarsi, pretenda un qualche tipo di assicurazione sull'identità di John Smith da parte di un soggetto terzo del quale già si fida.

Ed ecco che entrano in gioco le Trusted Third Parties (TTPs), che danno vita al sistema inglese delle certificazione, che poi è quello tradizionale dell'internet. Anche qui siamo subito davanti ad un problema di fiducia: dal punto di vista tecnico e tecnico-giuridico, teoricamente chiunque dotato di una coppia di chiavi può certificare qualcun'altro (posto che nel nostro ambito di studio l'autocertificazione pura e semplice non avrebbe alcun senso). Il problema è dunque, ancora una volta fidarsi del certificato. E, ovviamente, non essendo legalmente richiesto alcuno standard procedurale, il bisogno di fiducia (e quindi di sicurezza) sarà direttamente commisurato all'interesse economico della transazione commerciale.

Ecco perché, ad esempio, VeriSign, colosso inglese della certificazione e della sicurezza telematica, ha approntato tutta una serie di soluzioni che implicano crescenti livelli di sicurezza, a seconda del bisogno del singolo utente. Con 10 dollari, ad esempio, VeriSign chiede delle informazioni al server di posta elettronica dell'utente (il gestore magari ha già provveduto in qualche modo ad acquisire informazioni sull'identità del suo cliente in sede di stipula del contratto) e rilascia un certificato che dice che John Smith che scrive dall'indirizzo john@smith.com è il reale titolare di quel contratto e che ha dichiarato, sotto la sua responsabilità, di mantenere segreta la password relativa a quell'indirizzo. È un primo livello di sicurezza, salva in ogni caso la facoltà dei privati di richiedere un affidamento maggiore, proporzionato con il valore economico del negozio da effettuare telematicamente. Per cui la stessa VeriSign ha approntato una serie di soluzioni, con livelli di sicurezza sempre più alti e costi per l'utente sempre maggiori, fino ad arrivare al "classico" certificato rilasciato dopo il riconoscimento personale.

Se, tranne che in pochi casi, non è la legge che determina procedure e standard di sicurezza, bensì la volontà dei privati e poi, semmai, il giudice, non deve stupire che diversi enti certificatori abbiano adottato soluzioni tra loro molto differenti. Peculiare a questo proposito è il caso di Thawte società per la sicurezza telematica, nata nel 1995 ed entrata nel 2000 nel gruppo VeriSign. Una volta ottenuta in qualche modo una coppia di chiavi, è possibile chiedere a Thawte un certificato, anche soltanto spedendo o faxando copia di un proprio documento di identità, consapevoli della responsabilità penale in caso di falso (reato per il quale è prevista in alcuni casi anche la pena detentiva).

Così è già possibile ottenere un certificato conforme ai principi dell'Act, e cioè che dimostri in qualche modo l'identità e l'appartenenza della coppia di chiavi. Ma c'è di più: questa corporate ha ideato una soluzione geniale per rilasciare certificati fully trusted, che prevedono quindi, come in Italia, la presenza fisica del richiedente per accertare la sua identità. Partendo dal presupposto che chiunque abbia una coppia di chiavi può certificare qualcun altro, Thawte sta promuovendo la community del web of trust, per cui se John Smith ottiene un fully trusted certificate, presentandosi di persona con un documento ad uno dei Thawte notarysparsi per il mondo, può a sua volta diventare un notary e a sua volta potrà rilasciare, controllando personalmente ed informalmente l'identità del richiedente (che dovrà presentarsi al notary di persona, esibendo un documento di identità), altri fully trusted certificate, e magari essere anche pagato, e così potranno fare altri dopo di lui. Ben si comprende quindi come il motto della società sia: "it's a trust thing"(si badi che i notary non sono notai istituzionali, come nel diritto latino, ma semplici privati che collaborano con la società sotto la loro piena responsabilità)..

Proprio perché è una questione di fiducia, chiunque dovesse entrare in contatto con John Smith, il cui certificato è stato rilasciato da un soggetto molto lontano nella catena dalla primaria certificazione di Thawte, sarà liberissimo di richiedere, per fidarsi, un certificato rilasciato dalla società o anche solo da un notary più in alto nella catena, poiché, ovviamente, più ci si allontana dalla primaria certificazione, più ci si accolla il rischio di inesattezze nelle certificazioni successive. In ogni caso, giova ripeterlo, questo sistema molto flessibile è bilanciato dalle pesanti sanzioni previste per chiunque ponga in essere comportamenti illeciti.

Un altro particolare da non sottovalutare è che non solo la legge o la volontà privata fissano gli standard, ma un'altra fonte è rappresentata dalla prassi, alla quale gli enti, le società e le organizzazioni si adeguano, per garantire un servizio efficiente, in un regime di libera concorrenza. È il caso delle marche temporali, realizzate tutte, da tutti i certificatori d'oltre Manica, con lo standard X509, così come definito dalla CCITT (Comité Consultatif International Téléphonique et Télégraphique). Viene in tal modo garantita una certa interoperabilità tra gli stessi enti certificatoriÈ. Le time stamps così formate hanno una validità che va da uno a dieci anni, attestandosi in media sui 4,7 anni.

Come accennato in precedenza, se le peculiarità del recepimento inglese della direttiva 1999/93/CE derivano in grande parte dalla natura dell'intero sistema giuridico britannico, anche le peculiarità della disciplina della certificazione derivano in gran parte dallo strano rapporto che gli inglesi hanno con la loro "identità burocratica". Se in Italia abbiamo il codice fiscale ed in Danimarca ogni cittadino viene numerato alla nascita (e tali procedure vengono utilizzate nei sistemi di certificazione), nel Regno Unito c'è soltanto il numero del Social Security Service, che però possiede solo chi ha un lavoro, il numero del National Health Service, che hanno solo i maggiorenni, la driving license e, al massimo, il passaporto.

In ogni caso non esiste alcun sistema informativo che colleghi, in qualche modo, i dati raccolti per tali documentazioni. Lontanissima dalla cultura inglese è poi la carta di identità: introdotta durante l'ultima guerra mondiale, venne abolita negli anni cinquanta, dopo che, a Londra, un bobby, chiese di vedere quella di un addetto alle pulizie di colore. L'uomo, suddito di Sua Maestà in piena regola, si rifiutò; dalla questione nacque un caso giudiziario, al termine del quale i giudici sentenziarono che è diritto di ogni cittadino nel Regno Unito circolare senza documenti.

Il dibattito sulla carta di identità è tornato alla ribalta in questi ultimi mesi, quando, a causa dell'emergenza terrorismo sorta dopo l'11 settembre 2001, molti progetti per la sua reintroduzione sono stati presentati alla Camera dei Lord. Attualmente, nella sola Londra, è partita una sperimentazione per cui qualche migliaio di volontari è stato dotato di una nuova carta di identità elettronica e i volontari hanno l'obbligo di circolare con il documento e di esibirlo su richiesta della polizia.
Insomma, è facile capire come ci si trovi davanti ad un sistema agli antipodi di quello italiano e come questo influisca sulla disciplina relativa alla firma digitale. Attenzione però: regole non scritte non significa niente regole, anzi...

 

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2005 Informazioni sul copyright