La settimana scorsa abbiamo visto in quali problemi si può incorrere firmando digitalmente un file che contiene campi "dinamici" (vedi La firma è sicura, il documento no). Che cosa si può fare per evitare l'inconveniente?

I campi "dinamici" sono implementati tramite codice che viene eseguito una prima volta nel momento in cui il campo viene inserito e successivamente su richiesta dell'utente o all'apertura del documento. Un modo per aggirare il problema è quello di far in modo che tali campi non si aggiornino più dal momento in cui viene apposta la firma digitale.
La prima soluzione può essere adottata dall'utente stesso che può "congelare" tali campi prima di firmare il documento. Tuttavia ritengo tale soluzione non accettabile in quanto non è detto che l'utente sappia che il documento contiene campi "dinamici"; inoltre demandare la immutabilità di un documento alla buona volontà degli utenti non è mai, secondo me, una soluzione valida (e le norme non prevedono un obbligo di questo genere).

La seconda soluzione è radicale: usare formati il cui contenuto non può cambiare in modo "dinamico", cioè formati dove non è possibile inserire campi che possono poi essere eseguiti da del codice. Alcuni formati, come ad esempio il formato "puro testo" - documenti scritti con Notepad (i .txt per capirci) - non può contenere del codice, quindi non incorre nel problema.
E' altresì evidente che non si può pensare di chiedere agli utenti che i documenti da firmare siano scritti con Notepad o comunque in puro testo, al posto di Word, in quanto è innegabile la comodità che quest'ultimo ha nella stesura di qualsiasi documento. Chiunque usi regolarmente Word per rendere più efficiente il proprio lavoro fa uso di modelli che spesso sono infarciti di campi e pensare di togliere uno strumento comodo, anche se non sicuro, è probabilmente pura follia e sicuramente diventerebbe un grosso ostacolo all'affermarsi della firma digitale.

Non si può nemmeno pensare che l'utente finale si faccia carico di decidere prima di iniziare a scrivere quale software usare a seconda che poi lo voglia/debba firmare digitalmente oppure no, nemmeno che usi Word e poi prima di firmare il documento lo converta in un qualche altro formato che lo salvaguarda dai problemi evidenziati la settimana scorsa. Come già detto sopra non si può demandare all'utente finale una simile complessità operativa. Questo se mai è compito del software di firma.
Visto quindi che alcuni formati di documenti pongono seri problemi di certezza del contenuti e quindi non si possono usare per creare documenti informatici validi secondo la legge, che soluzioni alternative ci sono?

Esistono vari progetti che si offrono come valide soluzioni alternative a MS Word. Quelli più avanzati al momento sono di Sun, con StarOffice e OpenOffice, e il progetto Abiword. Sia OpenOffice sia Abiword sono progetti open source, cioè sono distribuiti con il codice sorgente, con tutti i vantaggi che ciò comporta (si ha la completa trasparenza sull'intero prodotto, è possibile farne controllare il comportamento esatto e, se necessario, lo si può pure modificare).
Inoltre tali prodotti sono gratuiti, cosa da non sottovalutare, soprattutto quando i posti di lavoro sono numerosi. Possono rappresentare quindi una valida alternativa, e da prove fatte, sono esenti dal problema in questione. Vediamo perché.

Abbiamo visto sopra che la "dinamicità" dei campi di Word può essere bloccata, cioè i campi possono essere utilizzati e poi "congelati" (come la seconda data dell'esempio usato la settimana scorsa). In word questo comportamento è però opzionale e va attivato appositamente, mentre in StarOffice e OpenOffice è il comportamento "di default".
Se inserisco, ad esempio, un campo "ora", viene inserito un campo con l'ora corrente, ma automaticamente tale ora non si modificherà più, perché è necessario modificare le proprietà del campo stesso per ottenere lo stesso comportamento di Word.

Questa è una differenza importante, che non va sottovalutata. Unita ai vantaggi forniti dall'essere open source e al fatto che questi programmi sono gratuiti, vale la pena di valutarli per le applicazioni del documento informatico, in particolare nella pubblica amministrazione.

Queste sono tre possibilità per ovviare al problema, ma coinvolgono l'utente finale, il cui compito non è fare l'informatico e non deve preoccuparsi dei formati o del comportamento del software che usa. Ritengo sia compito proprio dei software di firma fare in modo che i documenti, una volta firmati, non possano essere modificati durante la visualizzazione.
Va ricordato che all'utente finale non interessa che cosa c'è nel file tal dei tali sul disco del PC, quello che vuole è essere sicuro che quando apre un documento firmato quello che vede, ed eventualmente stampa, sia esattamente ciò che gli è stato spedito, proprio come se avesse ricevuto un documento cartaceo.
Solo così il documento informatico potrà sostituire quello tradizionale, con tutti i vantaggi che ben conosciamo.