|
Che i giuristi e gli informatici facciano fatica a dialogare
e spesso anche a comprendersi è cosa nota, nonché fonte di tanti mali. Si dice
solitamente che queste due categorie "parlano lingue diverse", il che in
buona sostanza è vero. Certamente il problema non si ferma al piano meramente
linguistico ma è anche concettuale, ossia ha radici culturali profonde:
tuttavia anche rimanendo sul semplice piano del lessico è evidente a tutti
come, di solito, ciascuna delle due categorie indulga in un uso smodato dei "termini
tecnici" della propria disciplina, i quali risultano tanto sconosciuti ed
ostici all'altra da annullare ogni possibilità di comprensione reciproca
(anche ammesso che a monte vi sia la volontà di comprendersi.). E, per par
condicio, non sono solo i giuristi ad avere il loro gergo esoterico col
quale escludere i tecnici dai misteri del diritto: anche gli informatici
posseggono un proprio linguaggio iniziatico fatto di sigle, neologismi ed
anglicismi, che fa ai giuristi lo stesso effetto che il "latinorum" dell'Azzeccagarbugli
faceva a Renzo Tramaglino.
Tuttavia le cose si complicano davvero quando gli insiemi
linguistici delle due discipline, solitamente disgiunti, tendono a contaminarsi:
ossia quando capita che un medesimo termine appartenga alla sfera lessicale di
entrambe, e naturalmente assumendo semantiche diverse. Questa malaugurata
circostanza, che in passato era fortunatamente piuttosto rara, tende purtroppo a
diventare sempre più frequente da quando informatica e diritto si occupano dei
medesimi soggetti, e rischia di complicare ancor di più il già difficile
rapporto tra informatici e giuristi. Il fatto è che solitamente ciascuna
categoria pretende di possedere la verità, ossia di essere l'esclusiva
depositaria del significato corretto del termine conteso: e sostiene le proprie
ragioni a spada tratta, per lo più ignorando le rimostranze dell'altra ed
alimentando così una frattura che tende ad allargarsi sempre più.
Un esempio dei risultati di questa incomunicabilità è nel
"tormentone" che da due mesi Manlio Cammarata ci infligge nella prima pagina
di InterLex con la citazione della definizione di "firma elettronica", come
risulta nel nuovo Codice dell'amministrazione digitale.
I casi più semplici da dirimere, almeno sulla carta, sono
quelli in cui una delle due discipline ha effettuato un indebito excursus
in profondità nei temi dell'altra senza tuttavia conoscerli a fondo: il
linguaggio appreso in modo superficiale ed affrettato si riverbera allora, quasi
immancabilmente, in un utilizzo improprio ed impreciso dei termini da essa
mutuati. È tale, ad esempio, l'appropriazione dei termini "elettronico" e
"digitale" fatta dal legislatore europeo, il quale ha semplicemente preso
fischi per fiaschi producendo un testo il cui significato letterale risulta
praticamente in totale antitesi con la filosofia che lo ha ispirato (si veda Firme digitali e... analogie
elettroniche).
I casi più sfortunati sono invece quelli in cui il termine
conteso è ampiamente consolidato in ciascuna delle due discipline, avendo un
significato ben specifico e preciso in ciascuna: ma tale significato assume
valenze differenti nell'ambito dell'una e dell'altra. In questo caso il
rischio che si corre è quello dell'ambiguità, ossia che gli
appartenenti all'una ed all'altra categoria associno al termine in questione
solo il significato per essi usuale, finendo così per parlare letteralmente due
lingue diverse e rimanendo condannati a non comprendersi mai a fondo.
In tali situazioni la cosa peggiore da fare, una volta
accortisi del problema, è litigare per stabilire chi abbia ragione: è invece
molto più logico cercare di sostituire il termine conteso con due sinonimi
differenti tra loro, uno per ciascuna categoria, in modo che risulti chiaro a
tutti che si tratta di concetti diversi; o, se da uno dei lati il termine
incriminato è così storicamente radicato da essere oramai inamovibile, cercare
almeno di sostituirlo con un sinonimo dall'altro lato per ottenere il medesimo
risultato. Purtroppo tutto ciò è facile a dirsi ma molto meno a farsi.
Il problema dell'autenticazione
Recentemente, soprattutto sulla spinta del Testo unico in
materia di protezione dei dati personali e del più recente Codice dell'amministrazione
digitale, tra giuristi ed informatici è nata proprio una disputa del peggior
tipo per quanto riguarda l'uso del termine "autenticazione". Attorno a
questa parola, apparentemente semplice ed innocua, sono sorte asperrime guerre
di religione tra i rappresentanti delle due categorie, che le assegnano
sfumature semantiche profondamente diverse: per gli informatici, infatti, si
tratta del processo tramite il quale un computer, un software o un utente
destinatario, verificano che il computer, il software o l'utente dal quale hanno
ricevuto una certa comunicazione sia il mittente esatto; per i giuristi invece
si tratta un istituto tipico dei pubblici ufficiali tramite il quale si attesta
l'autenticità di un documento.
Da un punto di vista strettamente linguistico hanno
probabilmente ragione entrambe le categorie: per il dizionario infatti "autenticazione"
è "l'autenticare", ed "autenticare" significa proprio queste cose (De
Mauro):
1a: attestare l'autenticità con atto pubblico; esempio: "autenticare una
firma, uno stato di famiglia, il certificato di laurea".
1b: dichiarare originale sulla base di conoscenze specialistiche; esempio: "autenticare
una ceramica cinese", "autenticare un van Gogh".
2 (basso uso, estensivo): confermare, convalidare, specialmente apportando
prove; esempio: "autenticare lo svolgimento di un fatto", "autenticare l'esposizione
di un racconto".
Tuttavia dovendo scegliere il significato più forte, e tralasciando
ovviamente quello di basso uso al punto 2, non c'è dubbio che dovrebbe
prevalere il primo, ossia quello di estrazione giuridica: l'altro significato
riportato riguarda infatti l'azione di stima tipicamente svolta da un perito
su un'opera d'arte, che è atto certamente molto diverso da quello di un
computer che chiede la password a un utente per accertarsi della sua identità.
Va notato che tutto il problema nasce dal fatto che, ancora una volta, l'uso
informatico del termine "autenticazione" altro non è che una brutta
traduzione, diretta ed acritica, dell'inglese authentication, che però non ha
esattamente lo stesso significato. In italiano corretto, infatti, l'azione di
chi accerta l'identità di un soggetto non è l'"autenticazione" ma l'"identificazione"
oppure il "riconoscimento", termini che in questo caso sono perfetti
sinonimi tra loro. Dunque anche nel caso di una procedura informatica
sembrerebbe più corretto parlare di "processo di identificazione" o "di
riconoscimento", utilizzando così termini non solo corretti ma anche precisi
e soprattutto non ambigui in alcun contesto.
(Per inciso vorrei approfittare dell'occasione per stigmatizzare la
generalizzata pigrizia mentale con cui molti tendono a portare nella nostra
lingua termini inglesi "per assonanza", ignorando la traduzione corretta
anche quando essa esiste ed è di uso comune. Oramai, ad esempio, i nostri
manager rampanti parlano tutti di "risultati del quarto", adattando
maccheronicamente l'inglese quarter che però da noi si dice "trimestre"!
È vero che, soprattutto quando si parla di termini tecnici, spesso non esiste
una traduzione italiana semplice e diretta del corrispondente termine inglese:
ma quando si tratta di parole comuni si dovrebbe fare almeno un piccolo sforzo
per usare quelle della nostra lingua.)
Tornando al tema del discorso, purtroppo l'uso informatico di parlare di
"autenticazione" quando si intende invece "identificazione" è ormai
consolidato e con tutta probabilità sarà assai difficile rimuoverlo dal
linguaggio comune. Esso infatti si è molto radicato soprattutto per via dell'assonanza
che lo lega al secondo anello della catena della sicurezza logica, ossia l'"autorizzazione",
che è quel meccanismo con cui si stabilisce quali attività possa svolgere, o a
quali risorse abbia diritto di accedere, un soggetto già positivamente
identificato. Il terzo anello, per la cronaca, è l'accounting (ma
secondo altri è l'auditing), ossia quel meccanismo con cui si tiene traccia
delle azioni svolte e delle risorse utilizzate da ciascun soggetto autorizzato.
Queste "tre A" vanno sempre di pari passo, tanto che si parla comunemente di
"sistemi AAA" per indicare appunto l'insieme dei meccanismi di "authentication,
authorization, accounting" che rappresentano la base di ogni sistema di
gestione degli utenti di un sistema informatico.
Autenticazione: una proposta
Vale comunque la pena di provare a lanciare ufficialmente una proposta per la revisione del linguaggio legislativo, almeno laddove la vicinanza degli
ambiti di riferimento possa ingenerare imprecisioni ed ambiguità di
significato: lasciamo dunque ai giuristi la piena potestà sulla "autenticazione"
degli atti e delle firme, e chiamiamo "identificazione" l'azione di
accertamento dell'identità degli utenti di un sistema informatico, così come
da sempre si chiama "identificazione" quella di un qualsiasi soggetto nel
mondo fisico. D'altronde il portiere di uno stabile "identifica" o "riconosce"
i visitatori prima di farli passare, mica li "autentica"!
Volendo fare i pignoli potremmo fare una utile distinzione tra "identificazione"
e "riconoscimento", considerando "identificazione" in termini generali
quella che avviene mediante presentazione di opportune credenziali (ad esempio
un ID utente ed una password) e riservando invece il termine "riconoscimento"
al caso specifico dell'identificazione effettuata mediante l'analisi di
determinate caratteristiche biometriche. Appare infatti più corretto parlare,
ad esempio, di "riconoscimento dell'iride" piuttosto che di "identificazione
dell'iride"; e d'altronde anche nella vita di tutti i giorni si "identifica"
un soggetto guardandogli i documenti d'identità ma lo si "riconosce"
guardandogli i lineamenti del volto. Gli ultrapignoli potrebbero a questo punto
parlare di "identificazione mediante riconoscimento dell'iride", che ha il
solo difetto di essere un po' troppo lunga come espressione ma è certamente
precisa e corretta in ogni sua possibile accezione.
Il termine usato
per il passo successivo, ossia "autorizzazione", potrebbe benissimo rimanere
così com'è: si tratta infatti di un termine assolutamente corretto, che
identifica il rilascio del consenso a che un soggetto, preventivamente
identificato, goda di un diritto a lui precedentemente assegnato se le
condizioni lo consentono. Attenzione quindi a non confonderla con la "abilitazione",
che è atto concettualmente diverso e logicamente precedente all'"autorizzazione":
i due termini non sono affatto sinonimi! L'"abilitazione" è infatti l'atto
di volontà espresso "una tantum" con cui si concedono al soggetto i diritti
o privilegi di cui potrà godere in seguito, quando verrà approvata una sua
specifica richiesta in tal senso; l'"autorizzazione" invece è proprio
tale approvazione.
Complicato? No, ma vediamo comunque un semplice esempio che chiarirà
definitivamente il concetto. Il possesso della tessera Bancomat "abilita" il
suo possessore al prelievo di contante dagli sportelli automatici, nel senso che
gli dà il diritto di recarsi presso uno sportello per effettuare una richiesta
di prelevamento; ma solo dopo che lo sportello ha "identificato" il
richiedente, e soprattutto dopo che ha successivamente verificato il suo
effettivo diritto a svolgere l'operazione richiesta (controllando ad esempio
che la sua carta non sia stata bloccata, che essa non abbia superato il tetto
massimo di operazioni consentite, che il conto cui si riferisce disponga di
sufficiente liquidità, .) allora il sistema lo "autorizza" a prelevare la
somma richiesta. Ora è tutto più chiaro, no?
Per concludere e riassumere, dunque, quando l'informatico parla di
"autenticazione", il giurista (e in primo luogo il legislatore)
dovrebbe scrivere "identificazione" se il processo di verifica
dell'identità avviene mediante il controllo di una apposita credenziale
(password, smart card, .) e "riconoscimento" se avviene invece
mediante il controllo di una caratteristica biometrica (impronta digitale,
iride, geometria della mano.). Quando si parla di "abilitazione" si
intende l'assegnazione ad un soggetto di un determinato diritto o privilegio da
parte di chi ha la facoltà di concederlo; mentre quando si parla di
"autorizzazione" si intende l'approvazione di una specifica richiesta
di servizio a fronte della preventiva verifica dell'identità del richiedente,
della precedente presenza di una opportuna abilitazione al servizio richiesto e
della sussistenza delle condizioni necessarie alla specifica erogazione del
servizio richiesto.
|
Pagina stampabile
