Riprendiamo la lettura delle nuove regole tecniche, iniziato sul numero scorso con la positiva constatazione che ora il documento informatico non "scade" più. Ricordiamo che il testo che stiamo esaminando non è ufficiale, ma viene indicato da fonti qualificate come "definitivo".
Alla ricerca di novità significative rispetto al DPCM 8 febbraio 1999 ci imbattiamo subito, all'art. 3, in una disposizione di grande interesse:

3. Il documento informatico sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata mediante un dispositivo sicuro per la creazione di una firma non produce gli effetti di cui all'articolo 10, comma 3, del testo unico se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.

Si tratta della "risposta" del legislatore regolamentare a due problemi che furono segnalati l'anno scorso e nel marzo di quest'anno (vedi Tra i bachi delle norme e quelli dei programmi, Una notizia ai limiti dell'incredibile e i molti articoli che seguirono nell'indice di questa sezione).
Il primo "difetto", che si rivelò comune a tutte le applicazioni di firma digitale distribuite dai certificatori, era legato ai "campi dinamici" presenti in Word e in molti altri programmi, che provocavano il pericoloso effetto di far apparire come inalterato un documento diverso da quello che era stato effettivamente sottoscritto. Il secondo, invece, era presente in una sola applicazione e consisteva in una inaccettabile vulnerabilità dell'archivio dei certificati "sicuri".

Nelle polemiche sollevate dai primi articoli molti tecnici contestarono le nostre osservazioni, sostenendo che non si trattava di "bachi" dei programmi; altri arrivarono addirittura a minacciare querele e ad accusarci di favorire interessi particolari... In realtà, come cercavamo invano di spiegare, si trattava di una disattenta lettura delle norme da parte di chi aveva predisposto quelle applicazioni: in sostanza, e in particolare per il problema dei campi dinamici, il "baco" non era tecnico, ma giuridico: non era rispettata la disposizione del primo comma dell'art. 10 delle regole tecniche Gli strumenti e le procedure utilizzate per la generazione, l'apposizione e la verifica delle firme digitali debbono presentare al sottoscrittore, chiaramente e senza ambiguità, i dati a cui la firma si riferisce...

A conferma delle nostre preoccupazioni, già con il DPR 137/03 il legislatore ha "promosso" la disposizione, inserendola nell'articolo 29-sexies del testo unico sulla documentazione amministrativa. E con le nuove regole tecniche si precisa, in pratica, che se nel documento c'è qualcosa che può cambiare, esso non è "valido e rilevante a tutti gli effetti di legge", per riprendere la felice definizione che introdusse nel 1997 il documento informatico nel nostro ordinamento..
Ma non basta. L'art. 42 "Rappresentazione del documento informatico" stabilisce:

1. Il certificatore deve indicare nel manuale operativo i formati del documento informatico e le modalità operative a cui il titolare deve attenersi per ottemperare a quanto prescritto dall'articolo 3, comma 3.

Così il problema è risolto, anche se in una forma non del tutto soddisfacente. Infatti le nuove regole tecniche contengono una disposizione sulla validità del documento che, dal punto di vista della gerarchia delle fonti normative, troverebbe una più corretta collocazione al livello superiore, cioè nel testo unico. In ogni caso, il combinato disposto dell'articolo 29-sexies del TUDA con il terzo comma dell'art. 3 delle nuove regole tecniche suona così:
"Gli strumenti e le procedure utilizzate per la generazione, l'apposizione e la verifica delle firme digitali debbono presentare al sottoscrittore, chiaramente e senza ambiguità, i dati a cui la firma si riferisce. Il documento informatico sottoscritto con firma digitale [...] non produce gli effetti di cui all'articolo 10, comma 3, del testo unico se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati".

Perfetto. Nella sostanza nulla cambia rispetto alle norme originarie, che risalgono al DPR 513/97, ma ora nessuno può dire che le disposizioni non sono chiare. E di conseguenza chi scrive e chi distribuisce le applicazioni di firma digitale deve provvedere alle necessarie modifiche. E' vero che il citato art. 42 delle nuove regole sembra imporre ai certificatori solo l'obbligo di indicare all'utente i formati "sicuri" e le modalità operative per accertarsi dell'assenza di macroistruzioni o codici eseguibili che possono modificare il contenuto del documento, ma la disposizione dell'art. 29-sexies del TUDA non può essere ignorata. Le applicazioni di generazione e verifica delle firme digitali devono presentare i dati "chiaramente e senza ambiguità": la norma non è rispettata se nel documento ci sono funzionalità che possono alterarne la rappresentazione e il programma non ne tiene conto.

Rimandiamo ai prossimi articoli l'analisi di altri interessanti passaggi delle nuove regole tecniche. Qui, visto che stiamo parlando di "bachi", riprendiamo un argomento che è ancora oggetto di preoccupate e-mail di diversi lettori: la cosiddetta "falsificabilità della firma digitale", che ha avuto un'eco esagerata anche sulla stampa. Una ricerca svolta  sotto la direzione del professor Bruschi dal Laboratorio di sicurezza e reti del Dipartimento di informatica e comunicazione dell' Università degli studi di Milano, ha dimostrato una realtà ben nota a chiunque segua anche superficialmente le questioni della sicurezza dei sistemi operativi, in particolare di quelli Microsoft: un "cavallo di Troia" ben congegnato può far compiere al software qualsiasi operazione all'insaputa dell'utente, compresa la generazione di una firma digitale (vedi anche Cavalli di Troia e vulnerabilità di sistema di D. Picca).

Ma non si tratta di un problema della firma digitale. E' una questione di portata molto più vasta, che coinvolge la struttura dei sistemi operativi ed è praticamente impossibile risolvere al livello dei software di generazione delle firme. La soluzione, sia pure non definitiva, passa necessariamente per l'uso sistematico di qualcuno dei molti programmi che scandagliano il computer alla ricerca di virus e altri elementi pericolosi per la sicurezza dei dati (e un'indicazione in questo senso dovrebbe essere presente nelle istruzioni rilasciate dai certificatori, prima ancora che nel manuale operativo).

Comunque, per sfruttare le vulnerabilità legate ai campi dinamici nei documenti o a un archivio dei certificati sicuri non protetto non serve una particolare abilità: ci riesce qualsiasi "utente evoluto" di personal computer. Invece per realizzare un "inghippo" come quello sperimentato all'Università di Milano occorrono veri specialisti dell'intrusione informatica da una parte e utenti di media sprovvedutezza dall'altra: se questi ultimi sono una specie molto diffusa, i primi sono abbastanza rari e di solito hanno altro da fare.
Che si compia qualche truffa con questo sistema appare dunque alquanto improbabile e non deve quindi costituire motivo di specifiche previsioni normative: basta l'art. 615-ter del codice penale, che prevede pene fino a otto anni di reclusione per l'accesso abusivo a sistemi informatici.

(M. C.)