La questione del "baco di PosteCom" sta suscitando polemiche forse ancora più accese di quello dei documenti con contenuti dinamici, emerso nello scorso autunno e che riguardava la generalità delle applicazioni di firma digitale "sicura". Sono arrivate molte e-mail su questo argomento, ma preferisco passare dalle critiche ad argomenti più costruttivi. Anche perché quello che  c'era da dire è stato detto, il certificatore ha posto una prima "toppa" e l'incidente in sé può considerarsi chiuso.

Ma non è chiuso, anzi si apre ora, un discorso più generale sulle prospettive di sviluppo della firma digitale.
Ritorniamo sull'argomento dell'articolo del 4 marzo L'anno zero del documento informatico: un periodo di "beta test" della normativa e delle applicazioni era prevedibile e necessario. Sono emersi i primi problemi, sia sul piano tecnico sia su quello normativo, è facilmente prevedibile che altri ne emergeranno, ma l'importante è trarne le necessarie conseguenze e farne tesoro per il futuro.
C'è un elemento comune che caratterizza i diversi "incidenti" che si sono verificati fino a oggi. E considero  "incidenti" anche le complicazioni e gli errori giuridici del decreto di recepimento della direttiva europea sulle firme "elettroniche" e le inevitabili conseguenze sul regolamento approvato dal Governo il 31 gennaio scorso.

L'elemento comune è l'insufficiente dialogo tra il dominio della tecnologia e quello del diritto. I tecnici vanno avanti per la loro strada, interpretando "a orecchio" la normativa o ignorandola del tutto, i giuristi fanno altrettanto con la tecnologia. Naturalmente c'è qualche eccezione, ma serve solo, come sempre, a confermare la regola.
Ma per scrivere le norme è necessario conoscere i presupposti tecnologici, i punti di forza e i limiti della materia che si va a regolare. Per esempio, non si può affermare, come fa la direttiva, che la firma digitale (o elettronica avanzata che dir si voglia) deve "essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati", per il semplice motivo che questa possibilità non esiste sul piano tecnico.

La conseguenza degli errori della direttiva si è riversata sulla normativa nazionale, dove è addirittura "avanzata" una firma, che però non è la firma "avanzata", ma quella "qualificata": una firma che non esiste e che potrebbe tranquillamente essere prevista, in una prospettiva futura, con una più attenta definizione delle firme sicure.

Ma c'è un punto ancora più importante. Per molto tempo i tecnici ci hanno detto che la firma digitale presenta un grado di sicurezza altissimo, che è praticamente inviolabile. I giuristi ne hanno dedotto che la firma digitale può avere un'efficacia probatoria superiore a quella della sottoscrizione autografa, prendendo per oro colato un'affermazione esatta, ma parziale. E sono arrivati persino a decretare l'impossibile equivalenza (sul piano dell'ordinamento giuridico) tra la firma digitale e la sottoscrizione autografa autenticata da un pubblico ufficiale. Peccato che i tecnici si siano dimenticati di avvertire che l'ambiente tecnologico in cui operano i software di firma e di verifica non sempre è altrettanto sicuro, come hanno rivelato i primi "bachi".

Però il legislatore della prima ora aveva previsto, anche se con eccessivo ottimismo, la necessità di proteggere il "contorno", introducendo una serie di prescrizioni ad hoc. Per esempio aveva scritto che le applicazioni "devono presentare, chiaramente e senza ambiguità, i dati a cui la firma si riferisce". Il "baco dei campi dinamici" ha mostrato che i tecnici hanno tranquillamente ignorato la disposizione. Il legislatore aveva imposto alcuni standard di sicurezza, ma poi, accortosi della mancanza di organismi di certificazione di quegli standard, ha deciso di accontentarsi di un'autocertificazione da parte degli stessi certificatori. I quali, naturalmente, hanno autocertificato il tutto, ma poi se ne sono dimenticati. Fino a dire, come nel caso di FirmaeCifra, che la mancata protezione dell'archivio dei certificati era voluta.

Dunque la prima lezione che dobbiamo ricavare da quanto è accaduto fino a oggi è che non si possono lasciare le soluzioni di firma digitale sotto l'esclusivo controllo dei tecnici, per bravi che siano. E' necessario che tutto il ciclo di vita delle applicazioni sia sotto il controllo combinato dell'esperto di diritto e di quello dell'esperto di informatica, in un confronto continuo che richiede un difficile quanto indispensabile incrocio di competenze. E lo stesso discorso va fatto per la produzione normativa.

Parlando di produzione normativa ci imbattiamo in un'altra serie di problemi. Il più evidente emerge con grande chiarezza dalle risposte di Enrico Maccarone a Orlando Urru: oggi Maccarone ci ricorda che il buon funzionamento della società è fondato sul diritto; qualche giorno fa osservava che non si possono imporre obblighi che non siano previsti dalla normativa in vigore, mentre si deve tener conto di quelli già esistenti (nella fattispecie la diligenza dell'utente), con un ragionamento giuridicamente ineccepibile (Il "baco" di PosteCom e le funzioni di vigilanza).
Però la realtà indica una situazione diversa da quella immaginata dal legislatore: per i controlli sui prodotti e sulle procedure dei certificatori le norme sono ancora in fieri, mentre la diligenza dell'utente può non essere sufficiente per il semplice fatto che non ha la competenza necessaria a svolgere certi controlli. Anzi, ignora addirittura che ci sia qualcosa da controllare.

E allora, se da una parte è necessario accelerare l'emanazione delle disposizioni già in fase di elaborazione, dall'altra si deve pensare a nuove disposizioni che consentano di superare l'ostacolo costituito dall'impreparazione degli utenti. Realisticamente non si può immaginare di "alfabetizzare" milioni di utenti all'uso della firma digitale, al punto di renderli consapevoli di tutti i trabocchetti che essa può nascondere. Allora è necessaria una normativa che imponga di distribuire applicazioni "a prova di idiota", dove la parola "idiota" è usata nel suo significato etimologico di qualcuno che è "privo" di qualcosa, nella fattispecie delle competenze tecniche necessarie all'impiego sicuro degli strumenti tecnologici.

In un convegno di pochi anni fa, Maccarone poneva una domanda imbarazzante: "Che se ne fa lo zio Totò della firma digitale"?
Ora abbiamo una risposta: sappiamo che lo zio Totò, e la sua amata consorte zia Clotilde, dovranno prima o poi fare uso della firma digitale, o della carta d'identità elettronica, o della carta dei servizi, o di tutte e tre. In un modo o nell'altro dovranno confrontarsi con le tecnologie, almeno nei momenti in cui si presenteranno come cittadini di fronte alla pubblica amministrazione.

L'altra sera cercavo di spiegare un po' di queste cose alla zia Clotilde. Che è una signora sveglia, ma assai diffidente verso i gadget tecnologici. Afferrata la funzione della smart card, la zia ha detto: ma allora la consegno all'impiegato e poi ci pensa lui. Sì, ho risposto, ma se incontri un mascalzone che si fa passare per l'impiegato, quello può fregarti la pensione. E non una sola volta, perché può firmare al tuo posto una delega a ritirarla sempre.
La zia Clotilde continua a diffidare delle tecnologie.