Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

Le regole tecniche per la firma digitale - 5

Il certificatore non è una Certification Authority
di Manlio Cammarata - 23.04.99

Attenzione!
Con la pubblicazione delle nuove regole tecniche (gennaio 2004), questi articoli non sono più attuali.

Alcuni internet provider, lettori di questa rivista, chiedono: come si fa a diventare certificatori ed essere iscritti nel registro dell'Autorità per l'informatica nella pubblica amministrazione? A parte il fatto che l'AIPA non ha ancora emanato la circolare sulle procedure di registrazione prevista dall'articolo 16 delle regole tecniche , è molto difficile che un provider italiano possa avere i requisiti richiesti dalla legge. Leggiamo il DPR 513/97:

Art. 8 - Certificazione

3. Salvo quanto previsto dall'articolo 17, le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attività, in apposito elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione, e dotati dei seguenti requisiti, specificati nel decreto di cui all'articolo 3:
a) forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti privati;
b) possesso da parte dei rappresentanti legali e dei soggetti preposti all'amministrazione, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche;
c) affidamento che, per competenza ed esperienza, i responsabili tecnici del certificatore e il personale addetto all'attività di certificazione siano in grado di rispettare le norme del presente regolamento e le regole tecniche di cui all'articolo 3;
d) qualità dei processi informatici e dei relativi prodotti, sulla base di standard riconosciuti a livello internazionale.

Dunque al primo punto c'è la "forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria". Qualcuno a questo punto chiederà a quanto ammonta questo capitale. Basta trovare la "legge bancaria", cioè il DLgs 1. settembre 1993, n. 385 per scoprire, all'articolo 14, comma 1, che "La Banca d'Italia autorizza l'attività bancaria quando ricorrano le seguenti condizioni: [...] b) il capitale versato sia di ammontare non inferiore a quello determinato dalla Banca d'Italia". E siamo ancora al punto di partenza, perché la determinazione è contenuta nelle "Istruzioni" pubblicate sulla Gazzetta Ufficiale 21 febbraio 1994, n. 42: 12.500.000.000, dodici miliardi e mezzo! Se la cifra non è un problema, possiamo considerare i requisiti dei rappresentanti legali e degli amministratori, elencati nel decreto del Ministero del tesoro 18 marzo 1998, n. 161...

Ora ci dobbiamo chiedere se è proprio indispensabile che un certificatore debba avere le dimensioni economiche - trascuriamo per il momento gli altri requisiti - proprie di una banca, anche in considerazione del fatto che l'internet offre diverse possibilità di farsi certificare senza troppi problemi una coppia di chiavi e che il commercio telematico si sta sviluppando senza i vincoli e le formalità della normativa italiana sulla firma digitale.
Di fatto chi voglia farsi certificare una coppia di chiavi non ha che l'imbarazzo della scelta: in rete ci sono moltissime Certification Authority, ci sono i sistemi come il Secure Socket Layer (SSL), normalmente disponibile nei programmi di navigazione delle ultime generazioni, oltre a grandi strutture, come
Verisign e la Thawte Digital Certificate Services. Ci anche sono le banche che certificano i propri clienti per le operazioni di home banking, come il Monte dei Paschi di Siena.
Ma ci sono anche strutture più piccole, che si fondano sul principio del web-trust, della fiducia e della certificazione reciproca: "io ti certifico perché un mio amico ti conosce" è il principio normalmente accettato. In molti casi basta inviare per fax la fotocopia di un documento per ottenere il certificato. Ma quanto ci vuole per inviare un documento contraffatto?
Anche per questi motivi i certificati emessi dalle Certification Authority dell'internet non hanno la validità legale ai sensi della normativa italiana, che detta regole molto dettagliate sui requisiti dei certificatori e delle procedure di certificazione, proprio per assicurare un alto livello di protezione da possibili usi illegittimi.

D'altra parte il commercio elettronico sta crescendo senza particolari problemi con un sistema di certificazione ancora più semplice della firma digitale, ma piuttosto efficace: la carta di credito, un documento molto più sicuro di quanto sembra a prima vista. La sua sicurezza deriva dal fatto che la carta di credito è rilasciata dalle banche ai propri clienti, conosciuti non solo perché si recano di persona allo sportello, ma perché la loro affidabilità è stata oggetto di controlli prima dell'apertura del conto corrente.
Certo, c'è il rischio che la carta usata per un acquisto on line sia stata sottratta al legittimo possessore e che questi non se ne sia ancora accorto, o semplicemente che sia stato copiato il numero, ma è un rischio limitato. Infatti la merce deve essere recapitata a qualche indirizzo, un servizio deve essere intestato a qualcuno, c'è sempre la possibilità di risalire almeno al server dal quale è partita la transazione. Insomma, usare fraudolentemente una carta di credito per acquisti telematici è quanto meno imprudente e le statistiche dicono che, di fatto, le frodi di questo tipo sono pochissime o addirittura inesistenti. In ogni caso si tratta di importi modesti, le organizzazioni finanziarie mettono in conto una ragionevole percentuale di perdite dovute a uso illecito delle carte, e il discorso finisce qui.

Ma quando parliamo di documenti "validi e rilevanti a tutti gli effetti di legge" il discorso cambia. Con la firma digitale usata secondo la normativa italiana si possono sottoscrivere atti pubblici, come quelli relativi a costituzioni di società o a compravendite di immobili, o si può fare testamento, per restare nel settore privato. Nella pubblica amministrazione si potrà gestire l'intero flusso documentale, si potranno emanare atti di qualunque tipo, si potranno trasmettere ordini di cattura di presunti malviventi e, soprattutto, semplificare enormemente i rapporti tra gli uffici e con i cittadini, compresi i flussi di denaro.
E' significativo che non ci siano limiti qualitativi o quantitativi alle transazioni che possono essere compiute con la firma digitale: si possono comperare o vendere società, ottenere prestiti per miliardi, certificare bilanci. E tutto questo può avvenire anche tra soggetti che non si conoscono e che non hanno avuto precedenti rapporti, che non fanno parte di "sistemi chiusi", come quello delle transazioni finanziarie, che da tempo opera per via telematica.
E' evidente che tutto questo può funzionare solo con un livello molto elevato di affidabilità dei certificati delle chiavi digitali, perché sul certificato è fondata la sicurezza del documento informatico. Di fatto ci sono solo due modi per compiere atti illeciti con la firma digitale: sottrarre la chiave privata (e il codice di attivazione) al legittimo titolare, o falsificare il certificato.

Si giustifica così il rigore delle regole per la registrazione dei certificatori, compresa la dimensione economica delle società, perché non si deve dimenticare che il certificatore può essere chiamato a risarcire i danni causati da vizi dei certificati, o semplicemente da un ritardo nella pubblicazione della sospensione o della revoca di un certificato (si pensi, per esempio, all'importanza della "marca temporale" nella costituzione di un'ipoteca su un immobile).

Dunque è prevedibile che nel prossimo futuro, almeno per quanto riguarda l'Italia, l'autenticazione delle attività telematiche farà capo a due distinti settori: per le attività commerciali quotidiane quello delle Certification Authority "alla maniera di internet" e per gli atti con uno specifico valore giuridico quello dei certificatori registrati. Ed è bene abituarsi fin d'ora a usare per questi ultimi la definizione di "certificatori" data dalla legge, riservando la pittoresca dizione in inglese ai soggetti più o meno trusted che certificano chiunque senza troppi controlli.
Il che non vuol dire che si tratti di individui o organizzazioni inaffidabili, o che da oggi non ci sia più spazio per una certificazione "libera", alla portata di ben attrezzati e competenti internet provider.

In ogni caso si deve tener presente che nel mondo delle tecnologie dell'informazione tutto cambia a grande velocità e anche le previsioni più accurate possono essere smentite da un giorno all'altro. La prova è su queste pagine: nel settembre del '97 scrivevo "Non serve una banca per le certificazioni" e oggi affermo il contrario; un anno fa la domanda era "Una sola firma per il pubblico e per il privato: la carta vincente?" e solo quattro mesi dopo dovevo constatare "Pubblica amministrazione e commercio elettronico, il futuro non è dietro l'angolo". Ma oggi vediamo che il commercio elettronico si muove da solo, senza firme digitali a norma di legge.

Ancora una volta vince il principio di libertà che è scritto nel codice genetico dell'internet.