Secondo l'art. 22, lett. a), del DPR 445/2000, per sistema di validazione s'intende un sistema informatico e crittografico in grado non soltanto di generare e apporre la firma digitale, ma anche di verificarne la validità. La completa verifica di una firma digitale, in effetti, si basa su una catena di verifiche della correlazione di chiavi asimmetriche e di accesso alle informazioni contenute nei registri dei certificati e nell'elenco pubblico tenuto dall'AIPA. Tutto ciò dovrebbe rientrare, secondo la suddetta definizione, in un "sistema informatico e crittografico".

Proviamo, quindi, a seguire le tappe della verifica di una firma digitale, per scoprire se rientrino tutte in tale sistema. La prima indagine riguarda il certificato allegato alla firma digitale, da cui si traggono le necessarie informazioni previste dall'art. 11 del DPCM 8.2.1999 (regole tecniche). Con tali informazioni si può verificare la firma digitale applicando la chiave pubblica di sottoscrizione corrispondente a quella privata utilizzata per apporre la firma, ma occorre verificare anche l'autenticità e la validità del certificato, perché questo potrebbe essere falso, oppure potrebbe aver perso la sua validità, nelle eventualità di scadenza, revoca o sospensione. Una esaustiva ricerca di tali informazioni si effettua nel registro dei certificati, dove il certificatore pubblica i certificati emessi, nonché quelli revocati e sospesi (art. 43).

Poiché il certificato è firmato con la chiave privata di certificazione del certificatore, la verifica si effettua applicando la corrispondente chiave pubblica (di certificazione). Se l'esito è positivo, bisogna verificare l'autenticità del relativo certificato. A tal proposito si dovrà consultare la lista dei certificati delle chiavi pubbliche di certificazione, ma come si può avere la certezza che tale lista, anch'essa contenuta in un documento informatico, sia autentica?
Innanzi tutto occorre accedere alle informazioni contenute nella lista, alle quali si può giungere per più vie: la lista dei certificati delle chiavi di certificazione, infatti, è pubblicata nella prima unità informativa dell'elenco pubblico tenuto dall'AIPA (art. 15.1) e deve essere resa accessibile anche dai certificatori, naturalmente sempre telematicamente (art. 17.4). I certificati delle chiavi di certificazione, inoltre, sono registrati nel dispositivo di firma durante la sua personalizzazione (art. 26.1).

Se le informazioni trovate nella lista sono soddisfacenti, occorre verificarne l'autenticità: a ciò è preposta la firma digitale dell'AIPA. E' necessaria, dunque, anche una verifica di quest'ultima firma, applicando la chiave pubblica corrispondente a quella privata utilizzata dal presidente dell'AIPA per sottoscrivere la suddetta lista.
Se l'esito di tale verifica è positivo, si deve accertare l'autenticità del relativo certificato: le chiavi dell'AIPA, secondo quanto dispone l'art. 17.3, sono certificate da tutti i certificatori mediante propri certificati pubblicati nel registro. Ma poiché si potrebbe dubitare anche di questi, è prevista una verifica di chiusura: i codici identificativi di ciascuna coppia di chiavi dell'AIPA che, com'è noto, sono stati pubblicati con la circolare dell'AIPA n. 29 del 18.5.2001 (in G.U. n. 120 del 25.5.2001). Tali codici identificativi corrispondono all'impronta del certificato della chiave del Presidente dell'AIPA, emesso dal Centro Tecnico (art. 14 reg. tec.).

Pertanto, la verifica suprema della firma digitale dell'AIPA, se da un lato può essere effettuata nell'ambito di un "sistema informatico e crittografico" con l'apposito software fornito dal centro tecnico, dall'altro non consente di chiudere la catena delle verifiche, dovendosi far riferimento alla Gazzetta ufficiale per controllare i codici identificativi delle chiavi dell'AIPA, in modo che questo ultimissimo riscontro elimini qualsiasi dubbio nel destinatario del documento (il quale, per inciso, ha l'onere di una verifica scrupolosa).

A questo punto, però, il sistema di validazione, per quanto concerne la verifica delle firme, non può essere più ritenuto soltanto "un sistema informatico e crittografico": l'accesso alle informazioni contenute nella Gazzetta ufficiale cartacea, infatti, mal si presta ad essere inquadrato in tale definizione, così come suscita curiosità scoprire che il processo di verifica delle firme digitali, fulmineo nei riscontri on line dei dati rinvenibili nei registri dei certificatori e nell'elenco dell'AIPA, sia fondato, in ultima analisi, su un tradizionalissimo supporto cartaceo, sia pur solenne come quello della Gazzetta ufficiale.
Bisogna domandarsi, infine, come possano essere effettuate le verifiche sopra accennate, con i software oggi disponibili. Ne parleremo sul prossimo numero.

Articolo successivo