|
Articolo precedente
(Vedi anche La firma digitale nel Regno
Unito
di Roberto Manno)
Aspetti pratici del digital signing nel sistema
inglese
L'esame delle disposizioni contenute nell'Electronic Communication Act 2000 costituisce soltanto un primo
passo nell'analisi della disciplina inglese della firma digitale. In verità,
l'atto detta delle regole a maglie molto larghe sulla digital signature,
fissando più che altro una serie di principi generali, sicuramente molto
importanti. Per esempio, quando si definiscono alcuni concetti chiave o fissano
alcuni (pochi) standard minimi, ma che restano solo principi, suscettibili,
quindi, delle più varie applicazioni concrete.
Per un certo verso, sembra quasi un riproposizione in chiave anglosassone
della stessa direttiva 1999/93/CE, che avrebbe dovuto, invece, "implementare".
Per altro verso, ai fini di una comparazione un minimo avveduta, non ci si
dovrebbe mai dimenticare che il concetto stesso di implementation
significa flessibilità, significa far aderire un minimo di regole valide per
tutti i paesi membri ad un singolo sistema giuridico nazionale. E,
riflettendoci, è proprio quello che fa l' Act: l'assenza di qualunque
cosa vagamente assimilabile alle nostre regole tecniche e la vaghezza della
formulazione servono proprio a far aderire una certa impostazione giuridica in
materia di firma digitale ad un sistema di common law, affidando perciò
solo una piccola parte del lavoro alla legge scritta, e il resto a fonti di tipo
contrattuale o consuetudinario e, eventualmente, al controllo giudiziale. Ecco
quindi che il passo successivo nell'analisi della disciplina inglese della firma
digitale è sicuramente esaminare come essa funziona nella prassi, al di là
delle disposizioni contenute nell'Electronic Communication Act.
Il principio guida al quale sono informate tutte le procedure in materia
sembra quello della fiducia, o meglio quello del trust (a parere di chi scrive il significato dell'inglese trust
non corrisponde esattamente a quello dell'italiano "fiducia"). La legge scritta, nel Regno Unito, non si
preoccupa di fissare continuamente standard minimi di sicurezza per la validità
della firma digitale e quindi del documento elettronico: procedure
standardizzate sono state create ad hoc per gli atti della pubblica
amministrazione, ma per ciò che concerne il commercio tra privati, ove non si
sia diversamente stabilito in sede contrattuale, è sostanzialmente il
destinatario che decide, di volta in volta se fidarsi o meno del documento
firmato dal mittente, ferme restando sanzioni gravissime, molto spesso penali,
per i comportamenti illeciti. Tutto ciò è strettamente collegato con le forme
di certificazione di cui parleremo tra un attimo.
Il primo passo per ottenere una firma digitale (così come riconosciuta
dall'atto) è quello di generarsi (o farsi generare) una coppia di chiavi. Si
può infatti optare per i kit ready to use, oppure farsi da sé la coppia
di chiavi con apposito software e custodire la chiave privata su un qualunque
tipo di supporto: la soluzione più sicura resta quella di memorizzarla su una smart
card vergine, in libero commercio al costo di 5 sterline, e proteggerla con
apposito pin.
Il bello inizia qui, poiché ci si potrebbe benissimo fermare a questo primo
passo: se infatti John Smith dà a John Brown la propria chiave pubblica, di
persona ed il primo si fida, esprimendo un qualunque tipo di consenso, le
comunicazioni tra i due saranno ritenute perfettamente valide da qualunque
giudice inglese. Ovviamente però, se il giro di affari di John Smith sarà di
dimensioni considerevoli per volume e per valore patrimoniale delle transazioni,
sarà prevedibile che chi commercia con lui non presti il consenso di cui sopra,
e che, per fidarsi, pretenda un qualche tipo di assicurazione sull'identità di
John Smith da parte di un soggetto terzo del quale già si fida.
Ed ecco che entrano in gioco le Trusted Third Parties (TTPs), che
danno vita al sistema inglese delle certificazione, che poi è quello
tradizionale dell'internet. Anche qui siamo
subito davanti ad un problema di fiducia: dal punto di vista tecnico e
tecnico-giuridico, teoricamente chiunque dotato di una coppia di chiavi può
certificare qualcun'altro (posto che nel nostro ambito di studio
l'autocertificazione pura e semplice non avrebbe alcun senso). Il problema è
dunque, ancora una volta fidarsi del certificato. E, ovviamente, non essendo
legalmente richiesto alcuno standard procedurale, il bisogno di fiducia (e
quindi di sicurezza) sarà direttamente commisurato all'interesse economico
della transazione commerciale.
Ecco perché, ad esempio, VeriSign, colosso inglese
della certificazione e della sicurezza telematica, ha approntato tutta una serie
di soluzioni che implicano crescenti livelli di sicurezza, a seconda del bisogno
del singolo utente. Con 10 dollari, ad esempio, VeriSign chiede delle
informazioni al server di posta elettronica dell'utente (il gestore magari ha già
provveduto in qualche modo ad acquisire informazioni sull'identità del suo
cliente in sede di stipula del contratto) e rilascia un certificato che dice che
John Smith che scrive dall'indirizzo john@smith.com è il reale titolare di quel
contratto e che ha dichiarato, sotto la sua responsabilità, di mantenere
segreta la password relativa a quell'indirizzo. È un primo livello di sicurezza,
salva in ogni caso la facoltà dei privati di richiedere un affidamento
maggiore, proporzionato con il valore economico del negozio da effettuare
telematicamente. Per cui la stessa VeriSign ha approntato una serie di
soluzioni, con livelli di sicurezza sempre più alti e costi per l'utente sempre
maggiori, fino ad arrivare al "classico" certificato rilasciato dopo
il riconoscimento personale.
Se, tranne che in pochi casi, non è la legge che determina procedure e
standard di sicurezza, bensì la volontà dei privati e poi, semmai, il giudice,
non deve stupire che diversi enti certificatori abbiano adottato soluzioni tra
loro molto differenti. Peculiare a questo proposito è il caso di Thawte società per la sicurezza telematica, nata nel
1995 ed entrata nel 2000 nel gruppo VeriSign. Una volta ottenuta in qualche modo
una coppia di chiavi, è possibile chiedere a Thawte un certificato, anche
soltanto spedendo o faxando copia di un proprio documento di identità,
consapevoli della responsabilità penale in caso di falso (reato per il quale è
prevista in alcuni casi anche la pena detentiva).
Così è già possibile ottenere un certificato conforme ai principi dell'Act,
e cioè che dimostri in qualche modo l'identità e l'appartenenza della coppia
di chiavi. Ma c'è di più: questa corporate ha ideato una soluzione
geniale per rilasciare certificati fully trusted, che prevedono quindi,
come in Italia, la presenza fisica del richiedente per accertare la sua
identità. Partendo dal presupposto che chiunque abbia una coppia di chiavi può
certificare qualcun altro, Thawte sta promuovendo la community del web
of trust, per cui se John Smith ottiene un fully trusted certificate,
presentandosi di persona con un documento ad uno dei Thawte notarysparsi
per il mondo, può a sua volta diventare un notary e a sua volta potrà
rilasciare, controllando personalmente ed informalmente l'identità del
richiedente (che dovrà presentarsi al notary di persona, esibendo un
documento di identità), altri fully trusted certificate, e magari essere
anche pagato, e così potranno fare altri dopo di lui. Ben si comprende quindi
come il motto della società sia: "it's a trust thing"(si badi che i notary
non sono notai istituzionali, come nel diritto latino, ma semplici privati che
collaborano con la società sotto la loro piena responsabilità)..
Proprio perché è una questione di fiducia, chiunque dovesse entrare in
contatto con John Smith, il cui certificato è stato rilasciato da un soggetto
molto lontano nella catena dalla primaria certificazione di Thawte, sarà
liberissimo di richiedere, per fidarsi, un certificato rilasciato dalla società
o anche solo da un notary più in alto nella catena, poiché, ovviamente,
più ci si allontana dalla primaria certificazione, più ci si accolla il
rischio di inesattezze nelle certificazioni successive. In ogni caso, giova
ripeterlo, questo sistema molto flessibile è bilanciato dalle pesanti sanzioni
previste per chiunque ponga in essere comportamenti illeciti.
Un altro particolare da non sottovalutare è che non solo la legge o la volontà
privata fissano gli standard, ma un'altra fonte è rappresentata dalla prassi,
alla quale gli enti, le società e le organizzazioni si adeguano, per garantire
un servizio efficiente, in un regime di libera concorrenza. È il caso delle
marche temporali, realizzate tutte, da tutti i certificatori d'oltre Manica, con
lo standard X509, così come definito dalla CCITT (Comité Consultatif
International Téléphonique et Télégraphique). Viene in tal modo
garantita una certa interoperabilità tra gli stessi enti certificatoriÈ. Le time
stamps così formate hanno una validità che va da uno a dieci anni,
attestandosi in media sui 4,7 anni.
Come accennato in precedenza, se le peculiarità del recepimento inglese
della direttiva 1999/93/CE derivano in grande parte dalla natura dell'intero
sistema giuridico britannico, anche le peculiarità della disciplina della
certificazione derivano in gran parte dallo strano rapporto che gli inglesi
hanno con la loro "identità burocratica". Se in Italia abbiamo il
codice fiscale ed in Danimarca ogni cittadino viene numerato alla nascita (e
tali procedure vengono utilizzate nei sistemi di certificazione), nel Regno
Unito c'è soltanto il numero del Social Security Service, che però
possiede solo chi ha un lavoro, il numero del National Health Service,
che hanno solo i maggiorenni, la driving license e, al massimo, il
passaporto.
In ogni caso non esiste alcun sistema informativo che colleghi, in qualche
modo, i dati raccolti per tali documentazioni. Lontanissima dalla cultura
inglese è poi la carta di identità: introdotta durante l'ultima guerra
mondiale, venne abolita negli anni cinquanta, dopo che, a Londra, un bobby,
chiese di vedere quella di un addetto alle pulizie di colore. L'uomo, suddito di
Sua Maestà in piena regola, si rifiutò; dalla questione nacque un caso
giudiziario, al termine del quale i giudici sentenziarono che è diritto di ogni
cittadino nel Regno Unito circolare senza documenti.
Il dibattito sulla carta di identità è tornato alla ribalta in questi
ultimi mesi, quando, a causa dell'emergenza terrorismo sorta dopo l'11
settembre 2001, molti progetti per la sua reintroduzione sono stati presentati
alla Camera dei Lord. Attualmente, nella sola Londra, è partita una
sperimentazione per cui qualche migliaio di volontari è stato dotato di una
nuova carta di identità elettronica e i volontari hanno l'obbligo di circolare
con il documento e di esibirlo su richiesta della polizia.
Insomma, è facile capire come ci si trovi davanti ad un sistema agli antipodi
di quello italiano e come questo influisca sulla disciplina relativa alla firma
digitale. Attenzione però: regole non scritte non significa niente regole,
anzi...
|
Pagina stampabile
