(Questo intervento è tratto dall'articolo pubblicato in "Informatica e Società" su MCmicrocomputer n 169, gennaio 1997)
Il testo che segue è una proposta per modificare in alcuni punti la bozza di disegno di legge dell'AIPA "Atti e documenti elettronici". Non è un articolato completo, ma prende in considerazione solo alcuni aspetti, sulla base dei quali si dovrebbe metter mano a una riscrittura, non sostanziale, di una parte del testo rimanente.
La prima osservazione riguarda una questione terminologica: la definizione di "documento elettronico" non è sbagliata, ma sarebbe meglio parlare di "documento digitale", anche se in questo momento il significato della parola "digitale" non è chiaro a tutti gli italiani e, probabilmente, a buona parte dei parlamentari che dovrebbero discutere la proposta. Il punto essenziale non è nell'uso di apparecchiature elettroniche (che possono essere anche non digitali, come un televisore), ma nel fatto che il testo si riferisce a documenti rappresentati da bit, cioè documenti in formato digitale, non "elettronici", che non significa nulla. Un altro aspetto forse secondario (ma, visto che ci siamo, cerchiamo di fare le cose per bene!) riguarda i termini usati per indicare le varie fasi delle procedure. Quindi è bene parlare di "cifratura" piuttosto che di "crittografazione", termine che si riferisce al procedimento per rendere intelligibili le informazioni solo al destinatario, e non all'intero processo di autenticazione; così sarebbe bene parlare di "chiavi di cifratura" e di "contrassegno digitale" invece che di "chiavi di criptazione" o "chiavi di codifica" e di "contrassegno elettronico". E via discorrendo.
Sono particolarmente importanti le modifiche proposte per gli articoli 11 e 12, che riducono al minimo la struttura burocratica prevista nella bozza dell'AIPA. Il meccanismo "autocertificatorio" degli algoritmi a chiave asimmetrica, insieme al principio della "rete come sistema informativo", permette di eliminare le strutture intermedie: la certificazione fa capo ai soggetti certificanti, l'archivio detta le regole.
Passiamo al testo, con un'ultima avvertenza: è stato seguito uno schema più lineare, mettendo prima di tutto le definizioni, quindi la modifica del quadro legislativo e poi i dettagli. Ultima pignoleria: un articolo precedente è, appunto, "precedente", non "superiore", che introduce una fuorviante idea di gerarchia.
Art. 1 - Definizioni
Ai fini di questa legge e di ogni altra disposizioni applicabile, si intende
per:
a) forma scritta: qualsiasi rappresentazione della realtà in forma testuale,
grafica, sonora, o altra consentita dalla tecnica, registrata su qualsiasi
supporto;
b) documento: qualsiasi atto o rappresentazione della realtà ai sensi della
precedente lettera a), che abbia requisiti di certezza e immutabilità e possa
essere attribuito a un soggetto determinato;
c) documento digitale: qualsiasi atto o documento avente i requisiti descritti
alla precedente lettera b), redatto o archiviato o trasmesso con mezzi digitali;
d) cifratura: procedimento attraverso il quale un atto, documento o altra
rappresentazione in forma scritta viene resa intelligibile al solo destinatario.
e) algoritmo a chiave asimmetrica: procedura di crittografia o certificazione
basata sull'uso di una chiave di cifratura pubblica, alla quale corrisponde una
chiave segreta di decifratura;
f) contrassegno digitale: elemento identificativo univoco di un soggetto,
realizzato mediante un algoritmo a chiave asimmetrica, certificato da un
soggetto abilitato;
g) chiave certificata: la coppia di chiavi assegnate a un utente, generate da un
soggetto a ciò autorizzato, con le procedure descritte nel successivo art. 11
Art. 2 - Contesto legislativo
Questo articolo deve modificare l'art. 3 del decreto legislativo 39/93, la
legge n. 15 del 4 gennaio 1968 e gli articoli dei codici civile e penale (in
particolare quelli introdotti dalla legge 547) e dei codici di procedura civile
e penale per tutto quanto riguarda la sottoscrizione e l'efficacia probatoria
dei documenti. Devono essere modificati anche i regolamenti fiscali e
amministrativi, per arrivare alla completa equiparazione delle scritture
cartacee e di quelle digitali..
Art. 3 - Regolamento di attuazione
Rimane il testo originale dell'art. 2.
Artt. 4, 5, 6, 7, 8, 9 , 10 - Chiavi e contrattazione con mezzi
digitali
Rimane, nella sostanza, il testo originale, con le modifiche terminologiche
indicate nella premessa. È necessario inserire un comma che affermi che
chiunque può generare e utilizzare in proprio chiavi di cifratura per rapporti
privati, senza alcun obbligo o formalità.
Art. 11 - Chiavi certificate
La validità di un documento digitale è data dall'apposizione di una chiave
asimmetrica di cifratura, generata, assegnata e certificata da uno degli
soggetti indicati nel successivo art. 12. L'autenticazione delle chiavi
garantisce pubblicamente l'unicità e l'autenticità delle chiavi stesse, la
loro appartenenza al soggetto o ente indicato, il periodo temporale all'interno
del quale esse possono essere validamente e legittimamente utilizzate.
La generazione e la trasmissione delle chiavi devono avvenire con le procedure
indicate dal regolamento, in modo che la chiave privata non possa venire a
conoscenza di soggetti diversi dall'intestatario, anche all'interno dell'ufficio
che genera e autentica le chiavi stesse. (NOTA: questa procedura è normalmente
in uso per la generazione dei PIN del Bancomat, e nemmeno l'operatore del
sistema può conoscere la chiave privata del titolare della carta).
Le chiavi private non possono essere archiviate, in qualsiasi forma e a
qualsiasi scopo, da soggetti diversi dall'assegnatario.
Nell'ambito della pubblica amministrazione le chiavi sono generate e certificate
da appositi uffici da costituirsi all'interno di ogni amministrazione centrale o
da funzionari abilitati all'interno di enti di particolare rilevanza, secondo i
criteri stabiliti dal regolamento di attuazione. Tutte le chiavi pubbliche della
pubblica amministrazione devono essere comunicate all'AIPA, presso la quale
viene istituito un apposito registro. L'AIPA trasmette le chiavi al registro
generale pubblico descritto al successivo art. 13.
Le chiavi da usare nelle trattative private da parte di qualsiasi soggetto
possono essere generate, autenticate e comunicate al registro generale pubblico
da consorzi di operatori o altre strutture, costituite secondo le direttive
emanate dall'Ufficio centrale delle chiavi di cifratura e autenticazione.
Le chiavi per l'autenticazione dei documenti relativi ad atti di straordinaria
amministrazione sono generate e autenticate da un notaio, che le comunica
all'apposito archivio delle chiavi notarili. Per atti di particolare rilevanza,
elencati nel regolamento o indicati dalla sezione notarile dell'Archivio unico
delle chiavi di cifratura e codificazione, istituito ai sensi del successivo
art. 12, o su richiesta del soggetto interessato, in deroga al divieto indicato
dal precedente comma 3, possono essere archiviate anche le chiavi private,
generate e certificate espressamente e limitatamente per il documento o il
gruppo di documenti relativi al singolo atto.
Art. 12 - Organismi competenti
La generazione e la certificazione delle chiavi di cifratura sono compiute da
pubblici ufficiali o da funzionari dello Stato espressamente abilitati, o da
enti consortili privati, con i requisiti e le modalità previste nell'emanando
regolamento.
Il Governo è delegato per la creazione e regolamentazione dei seguenti
organismi, la cui attività si svolgerà nell'ambito e con gli strumenti
tecnologici della Rete Unitaria della Pubblica Amministrazione:
1. L'Archivio unico delle chiavi di cifratura e autenticazione, con il compito
di gestire il Registro pubblico delle chiavi di cifratura e di coordinare tutte
le attività inerenti alla documentazione digitale; nell'ambito dell'Archivio
sono costituite la sezione per il coordinamento delle chiavi generate e
certificate da uffici privati e la sezione per le chiavi di competenza notarile
2. L'Ufficio centrale delle chiavi di cifratura e autenticazione della pubblica
amministrazione, in seno all'Autorità per l'informatica nella pubblica
amministrazione, con il compito di generare e certificare le chiavi dei soggetti
istituzionali e dei pubblici funzionari abilitati alla generazione e alla
certificazione delle chiavi della pubblica amministrazione e dei privati.
Art. 13 - Archivio unico delle chiavi di cifratura e autenticazione
È costituito l'Archivio unico delle chiavi di cifratura e autenticazione...
Nella sostanza vanno mantenute le previsioni dell'attuale art. 13. L'ufficio
gestisce il registro pubblico delle chiavi, consultabile da chiunque
gratuitamente e anche per via telematica.
Articoli successivi: rimane la sostanza del progetto dell'AIPA, con le modifiche che derivano dagli articoli precedenti.
(da MCmicrocomputer n. 169, gennaio 1997)
Pagina precedente
Sommario
attualità
FORUM MULTIMEDIALE LA SOCIETÀ DELL'INFORMAZIONE