Le regole tecniche per la firma digitale - 8

Firme digitali, canali sicuri e chiavi biometriche
di Manlio Cammarata - 21.05.99

Attenzione!
Con la pubblicazione delle nuove regole tecniche (gennaio 2004), questi articoli non sono più attuali.

Ritorniamo su un argomento che abbiamo sfiorato diverse volte in queste pagine, perché è fonte di grande confusione e oggetto di uscite a volte strampalate: i rapporti tra la firma digitale e le esigenze di sicurezza del commercio elettronico.

In senso tecnico la firma digitale è il risultato di una particolare procedura di applicazione della chiave segreta di un cifrario asimmetrico al documento da firmare. Il suo valore è legato sostanzialmente alla serietà del certificatore (Certification Authority nel linguaggio dell'internet) che pubblica l'altra chiave della coppia - detta appunto "chiave pubblica" - testimoniando l'identità del soggetto al quale essa è attribuita.

In senso legale, oggi in Italia, la firma digitale è quella che rispetta la normativa in vigore, cioè il DPR 513/97 e le regole tecniche stabilite con il DPCM 8 febbraio 1999. Questa firma serve a rendere un documento informatico "valido e rilevante a tutti gli effetti di legge" e la sua validità deriva dalla pubblicazione del certificato della corrispondente chiave pubblica da parte di un certificatore iscritto in un apposito elenco tenuto dall'Autorità per l'informatica nella pubblica amministrazione. Dal punto di vista sostanziale è una firma digitale esattamente come quella descritta prima, ma è generata e certificata secondo procedure molto severe che offrono un livello di sicurezza estremamente elevato contro possibili contraffazioni.
Solo questa firma conferisce validità legale al documento informatico, nel senso che sostituisce tutto l'armamentario di firme, timbri, filigrane e quant'altro è stato inventato nei secoli per testimoniare l'autenticità di un documento. Inoltre offre una serie di indicazioni certe sull'autore del medesimo, come si legge nell'articolo 10 delle regole tecniche:

Art. 10 - Firma digitale

2. L'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo.

6. L'apposizione di firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere.

7. Attraverso la firma digitale devono potersi rilevare, nei modi e con le tecniche definiti con il decreto di cui all'articolo 3, gli elementi identificativi del soggetto titolare della firma, del soggetto che l'ha certificata e del registro su cui essa è pubblicata per la consultazione.

La firma digitale in senso tecnico, cioè quella generata senza il rispetto delle procedure prescritte dalla normativa, ha il valore che di volta in volta le viene riconosciuto da chi riceve il documento. Tanto per fare un esempio, Telecom Italia ha iniziato a distribuire, a scopo dimostrativo, certificati che non valgono assolutamente nulla. Nei giorni scorsi, al Forum della pubblica amministrazione, chiunque si presentasse allo stand di Telecom poteva ottenere un certificato dichiarando di chiamarsi Donald Duck e inventando sul momento un codice fiscale (nemmeno questo veniva controllato). Ora, se mi arriva un documento con firma digitale certificata "Village Trust" (questa l'etichetta del certificatore), per me vale meno di un documento senza firma, perché subito sospetto un imbroglio.

E' chiaro, ho fatto un esempio al limite, perché in sostanza quello di Telecom è un gioco (molto pericoloso, però, perché qualche sprovveduto potrebbe crederlo una cosa seria), mentre sulla rete ci sono certificatori validi, anche se i loro certificati non avranno efficacia legale fino a quando non sarà in funzione il registro dell'AIPA e non vi si iscriveranno.

A questo punto ci chiediamo: serve la firma digitale ai sensi di legge per il commercio elettronico? La risposta è un "no" secco e senza riserve. Tutto le transazioni che si svolgono in rete, in tutto il mondo, con piena soddisfazioni di venditori, acquirenti e banche, fanno a meno della firma ditale "legale" (cioè non sono basate su documenti informatici validi e rilevanti a tutti gli effetti di legge), per il semplice motivo che l'Italia è stato il primo paese al mondo a darsi queste regole, per di più ancora non operanti.
Eppure tutto funziona bene e le operazione fraudolente sono inesistenti. Perché?
Perché il commercio elettronico, ameno quello più serio, si svolge attraverso l'uso di "canali sicuri". Un "canale sicuro" di fatto è un parente stretto della firma digitale, perché funziona con gli stessi principi di crittografia, ma ha solo lo scopo di evitare che qualcuno possa intercettare le informazioni che passano sulla rete (in particolare il numero della carta di credito) o di alterare il contenuto dell'ordine.
Dell'identificazione certa del compratore non importa nulla a nessuno. Al venditore interessa solo incassare il corrispettivo, e questo gli è garantito dalla banca alla quale si appoggia (o, più esattamente, dall'emittente della carta di credito). Al compratore interessa che nessuno possa intercettare il numero della sua carta, e questo è garantito appunto dal "canale sicuro". Solo all'emittente della carta interessa l'identità di chi la usa, e questa è testimoniata dalla banca attraverso la quale la carta è stata rilasciata.

Resta un punto critico: che la carta sia stata sottratta al legittimo possessore, o che ne sia stato abusivamente copiato il numero, e che la transazione avvenga prima che la carta sia stata invalidata con l'iscrizione nella "lista nera". Qui entra in ballo una sicurezza intrinseca del commercio elettronico: il bene o il servizio venduti attraverso l'internet devono essere consegnati a qualcuno, o qualcuno si deve presentare per usufruire del servizio acquistato. Ma se questo qualcuno ha fatto la spesa con la carta di un altro, c'è il forte rischio che si veda davanti, invece che un fattorino o una hostess, un paio di poliziotti...
Questo è il motivo per il quale nel commercio elettronico il numero delle transazioni fraudolente, fino a questo momento, è insignificante.
Invece nel commercio "fisico" la frode è più facile: chiunque può pagare il conto di un ristorante con una carta di credito rubata e poi sparire, se riesce a farlo prima che il derubato denunci il furto.

Resta il fatto che in questo periodo si associa spesso la firma digitale al commercio elettronico, sui mezzi di informazione e anche in convegni e comunicazioni commerciali, da parte di organizzazioni interessate al nuovo mercato. In molti casi può trattarsi di scarsa conoscenza del problema, in altri di pura speculazione. In prospettiva, firma digitale (legale) e commercio elettronico potranno incontrarsi per transazioni di valore elevato, come l'acquisto di un'automobile o di una casa, ma è difficile che questo possa verificassi in tempi brevi, almeno in Italia.
Naturalmente un acquirente "certificato" è un cliente più sicuro e più disponibile per il commercio telematico, ed è comprensibile che qualcuno cerchi di allargare la base dei potenziali clienti anche con l'offerta della certificazione della firma digitale. Ma non sembra questo il sistema più semplice e veloce per far decollare il mercato sull'internet.

Il problema, come ho già scritto, è che le procedure della firma digitale con valore legale sono troppo complesse - e, probabilmente, costose - per diventare prassi comune nel commercio elettronico. Con le procedure "libere", molto più semplici da realizzare, si ottiene l'effetto del "canale sicuro", che è il requisito essenziale delle transazioni telematiche.

Resta ancora un punto da chiarire: in diverse occasioni, quando si parla di forma digitale, vengono presentati dispositivi per il riconoscimento biometrico, cioè apparecchi che identificano l'utente analizzando l'impronta digitale o quella della retina o dell'iride, oppure il timbro della voce.
Qualcuno ipotizza addirittura l'introduzione di firme digitali basate su chiavi biometriche, ma gli standard attuali escludono questa possibilità: la chiave biometrica non ha nulla a che fare con il documento informatico e con la firma digitale. Si tratta di un sistema di sicurezza, la cui introduzione è prevista dall'articolo 1 del DPR 523/97:

Art. 1 - Definizioni

1. Ai fini del presente decreto si intende:

g) per chiave biometrica, la sequenza di codici informatici utilizzati nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell'utente.

Dunque si tratta di meccanismi di sicurezza che servono a verificare l'identità personale. Non è da escludere che, in futuro, la chiave biometrica possa far parte delle procedure di identificazione del titolare adottate dai certificatori. Ma, per ora, la chiave biometrica è entrata nella normativa sul documento informatico perché può essere adottata nell'ambito delle procedure si sicurezza interne dei certificatori.