|
Il certificatore non è una Certification
Authority
di Manlio Cammarata - 23.04.99
Attenzione!
Con la pubblicazione delle nuove regole tecniche (gennaio 2004), questi articoli
non sono più attuali.
Alcuni internet provider, lettori di
questa rivista, chiedono: come si fa a diventare certificatori ed essere
iscritti nel registro dell'Autorità per l'informatica nella pubblica
amministrazione? A parte il fatto che l'AIPA non ha ancora emanato la circolare
sulle procedure di registrazione prevista dall'articolo
16 delle regole tecniche , è molto
difficile che un provider italiano possa avere i requisiti richiesti dalla
legge. Leggiamo il DPR
513/97:
Art. 8
- Certificazione
3. Salvo quanto previsto dall'articolo 17, le
attività di certificazione sono effettuate da certificatori inclusi, sulla base
di una dichiarazione anteriore all'inizio dell'attività, in apposito elenco
pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura
dell'Autorità per l'informatica nella pubblica amministrazione, e dotati dei
seguenti requisiti, specificati nel decreto di cui all'articolo 3:
a) forma di società per azioni e capitale sociale non inferiore a quello
necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti
privati;
b) possesso da parte dei rappresentanti legali e dei soggetti preposti
all'amministrazione, dei requisiti di onorabilità richiesti ai soggetti che
svolgono funzioni di amministrazione, direzione e controllo presso banche;
c) affidamento che, per competenza ed esperienza, i responsabili tecnici del
certificatore e il personale addetto all'attività di certificazione siano in
grado di rispettare le norme del presente regolamento e le regole tecniche di
cui all'articolo 3;
d) qualità dei processi informatici e dei relativi prodotti, sulla base di
standard riconosciuti a livello internazionale.
Dunque al primo punto c'è la "forma di
società per azioni e capitale sociale non inferiore a quello necessario ai fini
dell'autorizzazione all'attività bancaria". Qualcuno a questo punto
chiederà a quanto ammonta questo capitale. Basta trovare la "legge
bancaria", cioè il DLgs 1. settembre 1993, n. 385 per scoprire,
all'articolo 14, comma 1, che "La Banca d'Italia autorizza l'attività
bancaria quando ricorrano le seguenti condizioni: [...] b) il capitale versato
sia di ammontare non inferiore a quello determinato dalla Banca d'Italia".
E siamo ancora al punto di partenza, perché la determinazione è contenuta
nelle "Istruzioni" pubblicate sulla Gazzetta Ufficiale 21 febbraio
1994, n. 42: 12.500.000.000, dodici miliardi e mezzo! Se la cifra non è un
problema, possiamo considerare i requisiti dei rappresentanti legali e degli
amministratori, elencati nel decreto
del Ministero del tesoro 18 marzo 1998, n. 161...
Ora ci dobbiamo chiedere se è proprio
indispensabile che un certificatore debba avere le dimensioni economiche -
trascuriamo per il momento gli altri requisiti - proprie di una banca, anche in
considerazione del fatto che l'internet offre diverse possibilità di farsi
certificare senza troppi problemi una coppia di chiavi e che il commercio
telematico si sta sviluppando senza i vincoli e le formalità della normativa
italiana sulla firma digitale.
Di fatto chi voglia farsi certificare una coppia di chiavi non ha che
l'imbarazzo della scelta: in rete ci sono moltissime Certification Authority,
ci sono i sistemi come il Secure Socket Layer (SSL), normalmente
disponibile nei programmi di navigazione delle ultime generazioni, oltre a
grandi strutture, come Verisign
e la Thawte
Digital Certificate Services. Ci anche
sono le banche che certificano i propri clienti per le operazioni di home
banking, come il Monte
dei Paschi di Siena.
Ma ci sono anche strutture più piccole, che si fondano sul principio del web-trust,
della fiducia e della certificazione reciproca: "io ti certifico perché un
mio amico ti conosce" è il principio normalmente accettato. In molti casi
basta inviare per fax la fotocopia di un documento per ottenere il certificato.
Ma quanto ci vuole per inviare un documento contraffatto?
Anche per questi motivi i certificati emessi dalle Certification Authority
dell'internet non hanno la validità legale ai sensi della normativa italiana,
che detta regole molto dettagliate sui requisiti dei certificatori e delle
procedure di certificazione, proprio per assicurare un alto livello di
protezione da possibili usi illegittimi.
D'altra parte il commercio elettronico sta
crescendo senza particolari problemi con un sistema di certificazione ancora
più semplice della firma digitale, ma piuttosto efficace: la carta di credito,
un documento molto più sicuro di quanto sembra a prima vista. La sua sicurezza
deriva dal fatto che la carta di credito è rilasciata dalle banche ai propri
clienti, conosciuti non solo perché si recano di persona allo sportello, ma
perché la loro affidabilità è stata oggetto di controlli prima dell'apertura
del conto corrente.
Certo, c'è il rischio che la carta usata per un acquisto on line sia
stata sottratta al legittimo possessore e che questi non se ne sia ancora
accorto, o semplicemente che sia stato copiato il numero, ma è un rischio
limitato. Infatti la merce deve essere recapitata a qualche indirizzo, un
servizio deve essere intestato a qualcuno, c'è sempre la possibilità di
risalire almeno al server dal quale è partita la transazione. Insomma,
usare fraudolentemente una carta di credito per acquisti telematici è quanto
meno imprudente e le statistiche dicono che, di fatto, le frodi di questo tipo
sono pochissime o addirittura inesistenti. In ogni caso si tratta di importi
modesti, le organizzazioni finanziarie mettono in conto una ragionevole
percentuale di perdite dovute a uso illecito delle carte, e il discorso finisce
qui.
Ma quando parliamo di documenti "validi e
rilevanti a tutti gli effetti di legge" il discorso cambia. Con la firma
digitale usata secondo la normativa italiana si possono sottoscrivere atti
pubblici, come quelli relativi a costituzioni di società o a compravendite di
immobili, o si può fare testamento, per restare nel settore privato. Nella
pubblica amministrazione si potrà gestire l'intero flusso documentale, si
potranno emanare atti di qualunque tipo, si potranno trasmettere ordini di
cattura di presunti malviventi e, soprattutto, semplificare enormemente i
rapporti tra gli uffici e con i cittadini, compresi i flussi di denaro.
E' significativo che non ci siano limiti qualitativi o quantitativi alle
transazioni che possono essere compiute con la firma digitale: si possono
comperare o vendere società, ottenere prestiti per miliardi, certificare
bilanci. E tutto questo può avvenire anche tra soggetti che non si conoscono e
che non hanno avuto precedenti rapporti, che non fanno parte di "sistemi
chiusi", come quello delle transazioni finanziarie, che da tempo opera per
via telematica.
E' evidente che tutto questo può funzionare solo con un livello molto elevato
di affidabilità dei certificati delle chiavi digitali, perché sul certificato
è fondata la sicurezza del documento informatico. Di fatto ci sono solo due
modi per compiere atti illeciti con la firma digitale: sottrarre la chiave
privata (e il codice di attivazione) al legittimo titolare, o falsificare il
certificato.
Si giustifica così il rigore delle regole per la
registrazione dei certificatori, compresa la dimensione economica delle
società, perché non si deve dimenticare che il certificatore può essere
chiamato a risarcire i danni causati da vizi dei certificati, o semplicemente da
un ritardo nella pubblicazione della sospensione o della revoca di un
certificato (si pensi, per esempio, all'importanza della "marca
temporale" nella costituzione di un'ipoteca su un immobile).
Dunque è prevedibile che nel prossimo futuro,
almeno per quanto riguarda l'Italia, l'autenticazione delle attività
telematiche farà capo a due distinti settori: per le attività commerciali
quotidiane quello delle Certification Authority "alla maniera di
internet" e per gli atti con uno specifico valore giuridico quello dei
certificatori registrati. Ed è bene abituarsi fin d'ora a usare per questi
ultimi la definizione di "certificatori" data dalla legge, riservando
la pittoresca dizione in inglese ai soggetti più o meno trusted che
certificano chiunque senza troppi controlli.
Il che non vuol dire che si tratti di individui o organizzazioni inaffidabili, o
che da oggi non ci sia più spazio per una certificazione "libera",
alla portata di ben attrezzati e competenti internet provider.
In ogni caso si deve tener presente che nel mondo
delle tecnologie dell'informazione tutto cambia a grande velocità e anche le
previsioni più accurate possono essere smentite da un giorno all'altro. La
prova è su queste pagine: nel settembre del '97 scrivevo "Non
serve una banca per le certificazioni"
e oggi affermo il contrario; un anno fa la domanda era "Una
sola firma per il pubblico e per il privato: la carta vincente?"
e solo quattro mesi dopo dovevo constatare "Pubblica
amministrazione e commercio elettronico, il futuro non è dietro l'angolo".
Ma oggi vediamo che il commercio elettronico si muove da solo, senza firme
digitali a norma di legge.
Ancora una volta vince il principio di libertà
che è scritto nel codice genetico dell'internet.
|
Pagina stampabile
