Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Proposta di modifiche alla bozza dell'AIPA
 di Manlio Cammarata - 16.12.96

Il testo che segue è una proposta per modificare in alcuni punti la bozza di disegno di legge dell'AIPA "Atti e documenti elettronici". Non è un articolato completo, ma prende in considerazione solo alcuni aspetti, sulla base dei quali si dovrebbe metter mano a una riscrittura, non sostanziale, di una parte del testo rimanente.

La prima osservazione riguarda una questione terminologica: la definizione di "documento elettronico" non è sbagliata, ma sarebbe meglio parlare di "documento digitale", anche se in questo momento il significato della parola "digitale" non è chiaro a tutti gli italiani e, probabilmente, a buona parte dei parlamentari che dovrebbero discutere la proposta. Il punto essenziale non è nell'uso di apparecchiature elettroniche (che possono essere anche non digitali, come un televisore), ma nel fatto che il testo si riferisce a documenti rappresentati da bit, cioè documenti in formato digitale, non "elettronici", che non significa nulla. Un altro aspetto forse secondario (ma, visto che ci siamo, cerchiamo di fare le cose per bene!) riguarda i termini usati per indicare le varie fasi delle procedure. Quindi è bene parlare di "cifratura" piuttosto che di "crittografazione", termine che si riferisce al procedimento per rendere intelligibili le informazioni solo al destinatario, e non all'intero processo di autenticazione; così sarebbe bene parlare di "chiavi di cifratura" e di "contrassegno digitale" invece che di "chiavi di criptazione" o "chiavi di codifica" e di "contrassegno elettronico". E via discorrendo.

Sono particolarmente importanti le modifiche proposte per gli articoli 11 e 12, che riducono al minimo la struttura burocratica prevista nella bozza dell'AIPA. Il meccanismo "autocertificatorio" degli algoritmi a chiave asimmetrica, insieme al principio della "rete come sistema informativo", permette di eliminare le strutture intermedie: la certificazione fa capo ai soggetti certificanti, l'archivio detta le regole.

Passiamo al testo, con un'ultima avvertenza: è stato seguito uno schema più lineare, mettendo prima di tutto le definizioni, quindi la modifica del quadro legislativo e poi i dettagli. Ultima pignoleria: un articolo precedente è, appunto, "precedente", non "superiore", che introduce una fuorviante idea di gerarchia.

Art. 1 - Definizioni
Ai fini di questa legge e di ogni altra disposizioni applicabile, si intende per:
a) forma scritta: qualsiasi rappresentazione della realtà in forma testuale, grafica, sonora, o altra consentita dalla tecnica, registrata su qualsiasi supporto;
b) documento: qualsiasi atto o rappresentazione della realtà ai sensi della precedente lettera a), che abbia requisiti di certezza e immutabilità e possa essere attribuito a un soggetto determinato;
c) documento digitale: qualsiasi atto o documento avente i requisiti descritti alla precedente lettera b), redatto o archiviato o trasmesso con mezzi digitali;
d) cifratura: procedimento attraverso il quale un atto, documento o altra rappresentazione in forma scritta viene resa intelligibile al solo destinatario.
e) algoritmo a chiave asimmetrica: procedura di crittografia o certificazione basata sull'uso di una chiave di cifratura pubblica, alla quale corrisponde una chiave segreta di decifratura;
f) contrassegno digitale: elemento identificativo univoco di un soggetto, realizzato mediante un algoritmo a chiave asimmetrica, certificato da un soggetto abilitato;
g) chiave certificata: la coppia di chiavi assegnate a un utente, generate da un soggetto a ciò autorizzato, con le procedure descritte nel successivo art. 11

Art. 2 - Contesto legislativo
Questo articolo deve modificare l'art. 3 del decreto legislativo 39/93, la legge n. 15 del 4 gennaio 1968 e gli articoli dei codici civile e penale (in particolare quelli introdotti dalla legge 547) e dei codici di procedura civile e penale per tutto quanto riguarda la sottoscrizione e l'efficacia probatoria dei documenti. Devono essere modificati anche i regolamenti fiscali e amministrativi, per arrivare alla completa equiparazione delle scritture cartacee e di quelle digitali..

Art. 3 - Regolamento di attuazione
Rimane il testo originale dell'art. 2.

Artt. 4, 5, 6, 7, 8, 9 , 10 - Chiavi e contrattazione con mezzi digitali
Rimane, nella sostanza, il testo originale, con le modifiche terminologiche indicate nella premessa. È necessario inserire un comma che affermi che chiunque può generare e utilizzare in proprio chiavi di cifratura per rapporti privati, senza alcun obbligo o formalità.

Art. 11 - Chiavi certificate
La validità di un documento digitale è data dall'apposizione di una chiave asimmetrica di cifratura, generata, assegnata e certificata da uno degli soggetti indicati nel successivo art. 12. L'autenticazione delle chiavi garantisce pubblicamente l'unicità e l'autenticità delle chiavi stesse, la loro appartenenza al soggetto o ente indicato, il periodo temporale all'interno del quale esse possono essere validamente e legittimamente utilizzate.
La generazione e la trasmissione delle chiavi devono avvenire con le procedure indicate dal regolamento, in modo che la chiave privata non possa venire a conoscenza di soggetti diversi dall'intestatario, anche all'interno dell'ufficio che genera e autentica le chiavi stesse. (NOTA: questa procedura è normalmente in uso per la generazione dei PIN del Bancomat, e nemmeno l'operatore del sistema può conoscere la chiave privata del titolare della carta).
Le chiavi private non possono essere archiviate, in qualsiasi forma e a qualsiasi scopo, da soggetti diversi dall'assegnatario.
Nell'ambito della pubblica amministrazione le chiavi sono generate e certificate da appositi uffici da costituirsi all'interno di ogni amministrazione centrale o da funzionari abilitati all'interno di enti di particolare rilevanza, secondo i criteri stabiliti dal regolamento di attuazione. Tutte le chiavi pubbliche della pubblica amministrazione devono essere comunicate all'AIPA, presso la quale viene istituito un apposito registro. L'AIPA trasmette le chiavi al registro generale pubblico descritto al successivo art. 13.
Le chiavi da usare nelle trattative private da parte di qualsiasi soggetto possono essere generate, autenticate e comunicate al registro generale pubblico da consorzi di operatori o altre strutture, costituite secondo le direttive emanate dall'Ufficio centrale delle chiavi di cifratura e autenticazione.
Le chiavi per l'autenticazione dei documenti relativi ad atti di straordinaria amministrazione sono generate e autenticate da un notaio, che le comunica all'apposito archivio delle chiavi notarili. Per atti di particolare rilevanza, elencati nel regolamento o indicati dalla sezione notarile dell'Archivio unico delle chiavi di cifratura e codificazione, istituito ai sensi del successivo art. 12, o su richiesta del soggetto interessato, in deroga al divieto indicato dal precedente comma 3, possono essere archiviate anche le chiavi private, generate e certificate espressamente e limitatamente per il documento o il gruppo di documenti relativi al singolo atto.

Art. 12 - Organismi competenti
La generazione e la certificazione delle chiavi di cifratura sono compiute da pubblici ufficiali o da funzionari dello Stato espressamente abilitati, o da enti consortili privati, con i requisiti e le modalità previste nell'emanando regolamento.
Il Governo è delegato per la creazione e regolamentazione dei seguenti organismi, la cui attività si svolgerà nell'ambito e con gli strumenti tecnologici della Rete Unitaria della Pubblica Amministrazione:
1. L'Archivio unico delle chiavi di cifratura e autenticazione, con il compito di gestire il Registro pubblico delle chiavi di cifratura e di coordinare tutte le attività inerenti alla documentazione digitale; nell'ambito dell'Archivio sono costituite la sezione per il coordinamento delle chiavi generate e certificate da uffici privati e la sezione per le chiavi di competenza notarile
2. L'Ufficio centrale delle chiavi di cifratura e autenticazione della pubblica amministrazione, in seno all'Autorità per l'informatica nella pubblica amministrazione, con il compito di generare e certificare le chiavi dei soggetti istituzionali e dei pubblici funzionari abilitati alla generazione e alla certificazione delle chiavi della pubblica amministrazione e dei privati.

Art. 13 - Archivio unico delle chiavi di cifratura e autenticazione
È costituito l'Archivio unico delle chiavi di cifratura e autenticazione...
Nella sostanza vanno mantenute le previsioni dell'attuale art. 13. L'ufficio gestisce il registro pubblico delle chiavi, consultabile da chiunque gratuitamente e anche per via telematica.

Articoli successivi: rimane la sostanza del progetto dell'AIPA, con le modifiche che derivano dagli articoli precedenti.

 
(da MCmicrocomputer n. 169 - dicembre 1996)