Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Non serve una banca per le certificazioni
di Manlio Cammarata - 15.09.97

Il 5 agosto scorso il Consiglio dei Ministri ha approvato il regolamento attuativo del secondo comma dell'articolo 15 della prima "legge Bassanini", la n. 59 del 15 marzo scorso, e lo ha inviato al Consiglio di Stato e alle competenti commissioni parlamentari per il prescritto parere. Il testo modifica in diversi punti la forma del secondo schema preparato dall'Autorità per l'informatica nella pubblica amministrazione e aggiunge alcune disposizioni che elencano i requisiti degli enti privati di certificazione. Su questi requisiti si possono nutrire forti perplessità.

Per mettere bene a fuoco i termini della questione è opportuno riassumere la storia del provvedimento. Il primo schema pubblicato dall'AIPA sul suo sito meno di un anno fa presentava molti aspetti positivi. Infatti accoglieva in pieno l'impostazione dei sistemi di autenticazione e certificazione in uso su Internet e poneva le basi non solo per un efficace sviluppo delle attività economiche in rete (in particolare il commercio elettronico), ma soprattutto per il funzionamento della futura rete unitaria della pubblica amministrazione e quindi per un'effettivo miglioramento dell'attività degli uffici e dei rapporti con i cittadini. Due punti si prestavano a critiche (vedi i diversi interventi nell'indice di questa sezione): il primo era la possibilità del key escrow, cioè dell'affidamento della chiave privata di ogni cittadino a un'autorità, per rendere possibile, in determinati casi, la decodifica dei documenti; il secondo l'istituzione di un'imponente gerarchia di autorità certificatrici, che sovrapponeva un'inutile burocrazia a un meccanismo di per sé molto semplice.

La seconda versione del progetto, resa pubblica e trasmessa al Governo all'inizio dell'estate, accoglieva in pieno le critiche avanzate sulla prima. Non solo escludeva il key escrow, con un riferimento esplicito all'articolo 15 della Costituzione, ma faceva piazza pulita di tutta la burocrazia prevista all'inizio. Un testo chiaro, evidentemente formulato da veri esperti della materia, al quale mancava un solo particolare: la definizione dei requisiti degli enti privati di certificazione. Un aspetto forse non essenziale sul piano tecnico, ma importante per la sicurezza delle transazioni. Perché è vero che la certificazione consiste nella pubblicazione della chiave pubblica dell'interessato, e di conseguenza qualsiasi falsificazione si smaschera da sé, ma un certificatore in mala fede può comunque compiere "inghippi" sulle date o sulle sospensioni della validità della chiave, rendendo possibili raggiri e truffe.

Questa lacuna è stata colmata dal Governo nel testo inviato al Consiglio di Stato e alle Camere, ma con quello che potremmo definire un eccesso di zelo: l'articolo 8, comma 3, prescrive non solo che i soggetti preposti all'amministrazione del soggetto certificatore debbano avere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche, e che i responsabili tecnici abbiano la competenza e l'esperienza necessarie per l'attività di certificazione, ma che i certificatori stessi siano società per azioni con un capitale sociale non inferiore a quello necessario per l'autorizzazione dell'attività bancaria: 12,5 miliardi di lire.

In questo modo si toglie la possibilità di svolgere l'attività di certificazione a quasi tutti gli Internet provider italiani (i soggetti che per competenza tecnica e strutture possono fare meglio questo lavoro), senza una ragione accettabile. E' noto che la cifra necessaria a mettere in piedi un sito Internet efficiente è nell'ordine delle centinaia di milioni, non di miliardi, e che l'onestà e l'affidabilità degli operatori non sono in relazione al capitale sociale.
Non si riesce a capire perché la possibilità di gestire gli archivi di certificazione debba essere riservata ad aziende di grandissime dimensioni. Banche, società di assicurazioni e simili in Italia non hanno la cultura e il know-how richiesti per questo tipo di attività, che potrebbero non avere interesse a gestire un servizio che non sembra possa generare introiti rilevanti. Resterebbero quindi i grandi gestori delle reti di telecomunicazioni: per ora tra questi solo Telecom Italia è un fornitore di servizi Internet, e quindi ha le strutture e l'organizzazione per svolgere il ruolo di certificatore delle firme digitali. Ma questo rafforzerebbe ancora la sua posizione nei confronti degli Internet provider privati, molti dei quali hanno la competenza tecnica e l'affidabilità richieste dallo schema di regolamento (e dal buon senso), ma non la dimensione societaria.

Dunque è necessario rivedere questa norma prima che il regolamento riceva l'imprimatur definitivo.