| Home / Indice sezione | www.icosaedro.it | |
Crittografia - Aspetti giuridici
La materia che ora tenterò di affrontare ha complesse
implicazioni giuridiche e tecniche, è in rapida evoluzione,
e ha già suscitato accese polemiche.
Il sito di InterLex
(www.interlex.it)
raccoglie una serie di interventi qualificati e che costituiscono anche
un prezioso archivio storico sulla questione della crittografia e del
suo riconoscimento giuridico a livello italiano ed europeo. Il sito
dell'AIPA (www.aipa.it)
raccoglie le normative tecniche e riassume la situazione riguardo alle
implementazioni disponibili e conformi alla normativa italiana.
In considerazione di queste difficoltà, ogni errore od omissione eventualmente presente in questa sezione è da imputare alla mia esclusiva responsabilità. Le fonti citate sono senz'altro più autorevoli e complete.
Diciamo subito che a livello legislativo ci si è concentrati esclusivamente sulle funzionalità della firma digitale, e per nulla sulla crittazione e sulla riservatezza delle comunicazioni: forse è giusto così perché si tratta di questioni molto diverse tra di loro.
Questo DPR è stato abrogato e sostituito dal TU sulla documentazione amministrativa, pubblicato sulla G.U. del 20 febbraio 2001.
Questa legge, in attuazione del decreto 15 marzo 1997 n. 15 (``legge Bassanini''), ha costituito il fulcro delle attività dell'AIPA, e perciò la vediamo in un certo dettaglio. Essenzialmente, stabilisce le nozioni fondamentali di documento informatico, di sistema crittografico a chiavi pubbliche, di firma digitale, di autorità di certificazione, e stabilisce la nozione di firma "leggera" e di firma "pesante" (sia pur in modo implicito).
Purtroppo quest'ultimo elemento della firma leggera o pesante è quello lasciato più nel vago. L'articolo 5 comma 1 parla in generale della firma digitale, senza specificare che essa debba necessariamente seguire uno specifico iter di certificazione, e che comunque avrebbe validità di scrittura privata equivalente ad un convenzionale foglio scritto e con firma autografa: chiamerò questa nozione firma digitale leggera, sebbene il testo di legge non la nomini esplicitamente.
Il comma 2 dell'articolo 5 descrive invece un tipo di firma digitale che rispetta una serie di requisiti di legge e di requisiti tecnici, e che l'AIPA concretizzerà nella istituzione delle CA e nella adozione di carte a microprocessore e rispettivi lettori e interfacce: chiamerò questa nozione firma digitale pesante, sebbene il testo di legge non la nomini esplicitamente. Questo secondo tipo di firma ha una validità giuridica superiore, e viene talvolta indicata anche come ``firma digitale sicura''.
CAPO I
PRINCIPI GENERALI.Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'art. 15, comma 2, della legge 15 marzo 1997, n. 59.
1. Definizioni.
(definisce le nozioni di firma digitale, sistema di validazione, chiave privata e pubblica, validazione temporale, indirizzo elettronico, certificatore, revoca e sospensione del certificato e altri termini tecnici).2. Documento informatico.
1. Il documento informatico da chiunque formato, l'archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge se conformi al presente regolamento.3. Requisiti del documento informatico.
1. Con decreto del Presidente del Consiglio dei Ministri, da emanare entro centottanta giorni dalla data di entrata in vigore del presente regolamento, sentita llAutorità per l'informatica nella pubblica amministrazione (cioè l'AIPA [NdA]) sono fissate le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici. [...]5. Efficacia probatoria del documento informatico.
1. Il documento informatico, sottoscritto con firma digitale ai sensi dell'art. 10, ha efficacia di scrittura privata ai sensi dell'art. 2702 del codice civile.
2. Il documento informatico munito dei requisiti previsti dal presente regolamento ha l'efficacia probatoria prevista dall'art. 2712 del codice civile e soddisfa l'obbligo previsto dagli artt. 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.7. Deposito della chiave privata.
1. Il titolare della coppia di chiavi asimmetriche può ottenere il deposito in forma segreta della chiave privata presso un notaio o altro pubblico depositario autorizzato.
2. La chiave privata di cui si chiede il deposito può essere registrata su qualsiasi tipo di supporto idoneo a cura del depositante e dev'essere consegnata racchiusa in un involucro sigillato in modo che le informazioni non possano essere lette, conosciute o estratte senza rotture od alterazioni. [...]8. Certificazione.
1. Chiunque intenda utilizzare un sistema di chiavi asimmetriche di cifratura con gli effetti di cui all'art. 2 deve munirsi di una idonea coppia di chiavi e rendere pubblica una di esse (chi pubblica la sua chiave segreta è squalificato! [NdA]) mediante la procedura di certificazione.
2. Le chiavi pubbliche di cifratura sono custodite per un periodo non inferiore a dieci anni a cura del certificatore e, dal momento iniziale della loro validità, sono consultabili in forma telematica.
3. Salvo quanto previsto dall'art. 17, le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attività, in apposito elenco pubblico, consultabile in via telematica, predisposto tenuto ed aggiornato a cura dell'autorità per l'informatica nella pubblica amministrazione (cioè l'AIPA [NdA]) [...]9. Obblighi dell'utente e del certificatore.
(si chiarisce esplicitamente che una CA custodisce le chiavi pubbliche, ma non può custodire le chiavi segrete - bene [NdA])CAPO II
FIRMA DIGITALE.10. Firma digitale.
[...]
6. L'apposizione di firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere.
7. Attraverso la firma digitale devono potersi rilevare, nei modi e con le tecniche definiti con il decreto di cui all'art. 3, gli elementi identificativi del soggetto titolare della firma, del soggetto che l'ha certificata e del registro su cui essa è pubblicata per la consultazione. (questo vuol dire una cosa sola: ITU X.509 [NdA]).11. Contratti stipulati con strumenti informatici o per via telematica.
1. I contratti stipulato con strumenti informatici o per via telematica mediante l'uso della firma digitale secondo le disposizioni del presente regolamento sono validi e rilevanti a tutti gli effetti di legge.
2. Ai contratti indicati al comma 1 si applicano le disposizioni previste dal d. lg. 15 gennaio 1992, n. 50 (la famosa legge che regola ad esempio il rapporto consumatore/produttore riguardo al diritto di recesso, le televendite, ecc., che potrebbe essere proprio l'ambito di applicabilità della firma digitale [NdA]).12. Trasmissione del documento.
(sulle modalità di trasmissione del documento informatico e sulla attestazione della data e dell'ora di emissione - a quando la raccomandata elettronica? [NdA]).CAPO III
NORME DI ATTUAZIONE.20. Sviluppo dei sistemi informativi delle pubbliche amministrazioni.
(entro il 2002 le PA si devono dotare degli strumenti informatici necessari alla gestione completamente elettronica del loro funzionamento - mancano pochi mesi, ma temo che siamo molto lontani dall'obiettivo [NdA]).
La normativa attuale richiede, in estrema sintesi, che le CA debbano avere forma di società per azioni con capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria (circa 6,5 milioni di Euro). Alla data in cui scrivo (30 gennaio 2002) risultano 13 CA registrate, ma i sistemi hardware/software che esse propongono sembrano al momento incompatibili tra di loro, costringendo gli utilizzatori pubblici e privati a dotarsi di tutte e 13 le soluzioni per essere in grado di gestire documenti provenienti da fonti diverse. Tutte le soluzioni hanno un costo non indifferente, dovrebbero essere installate contemporaneamente sulla stessa macchina, e i rispettivi programmi sono disponibili esclusivamente per sistema operativo Windows di Microsoft; nessuna di queste soluzioni è a sorgente aperto e utilizzano hardware proprietario, sicché non è possibile valutarne la reale robustezza.
La direttiva europea, che i paesi membri avrebbero dovuto recepire entro lo scorso luglio 2001, è meno restrittiva sui requisiti tecnici della firma digitale, sugli strumenti da utilizzare, e sui requisiti delle CA. Eccone gli articoli principali:
2. Definizioni.
Ai fini della presente direttiva, valgono le seguenti definizioni:
1) ``firma elettronica'', dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione;
2) ``firma elettronica avanzata'': una firma elettronica che soddisfi i seguenti requisiti:
a. essere connessa in maniera unica al firmatario;
b. essere idonea ad identificare il firmatario;
c. essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;
d. essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati;3. Accesso al mercato.
1. Gli stati membri non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione.
2. (gli stati membri possono istituire forme di certificazione più sicure).
3. (gli stati membri istituiscono un elenco di certificatori operanti sul territorio).
4. (gli stati membri definiscono le norme per designare le CA).5. Effetti giuridici delle firme elettroniche.
1. Gli stati membri provvedono a che le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione della firma sicura:
a) posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per dati cartacei; e
b) siano ammesse come prova in giudizio.
2. Gli stati membri provvedono affinché una firma elettronica non sia considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che è
- in forma elettronica, o
- non basata su un certificato qualificato, o
- non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero
- non creata da un dispositivo per la creazione di una firma sicura.
L'articolo 2 definisce (sommariamente) due forme di firma digitale. Nel primo tipo, denominato ``firma elettronica'' tout-court, pare di riconoscere la firma digitale leggera nel senso che abbiamo descritto nel paragrafo precedente. Nel secondo tipo, denominato ``firma elettronica avanzata'', parrebbe di riconoscere qualcosa di analogo alla firma digitale pesante nel senso che abbiamo descritto nel paragrafo precedente.
L'articolo 5 sancisce che la firma digitale è legalmente valida anche senza il coinvolgimento di una CA e senza che essa sia stata prodotta avvalendosi di specifici apparati di ``firma sicura'' (questo articolo fa una certa confusione di termini, ma il senso è comunque chiaro).
Nel complesso, la direttiva europea è più liberale e delega agli stati membri una funzione di supervisori, e riconosce allo strumento della firma elettronica una sua validità comunque essa sia stata prodotta.
Inutile dire che la direttiva europea si scontra con la situazione italiana, più centralistica ma che comunque non ha saputo coordinare lo sviluppo di sistemi di firma elettronica realmente interoperanti, lasciando gli operatori del settore, e i potenziali loro clienti, piuttosto confusi.
Il recepimento di questa direttiva da parte del governo italiano sembra debba portare, nella sostanza, all'annullamento o comunque ad una profonda revisione del lavoro (scarso) fin qua svolto dall'AIPA, con buona pace di delle 13 CA che, ciascuna coltivando il proprio orticello, rischiano di rimanere stritolate dai soliti noti dell'informatica mondiale.
Un simpatico e sarcastico articolo di Nicoletta Zingarelli dal titolo ``Alla ricerca della firma perduta'' e pubblicato su InterLex del 2001-12-13, racconta di una mini inchiesta condotta dall'autrice desiderosa di dotarsi anche lei del suo bel kit di firma digitale pesante. Sfortunatamente, la ricerca di informazioni presso tutte le CA disponibili ha dato un esito finale scoraggiante: siti WEB irraggiungibili, incomprensibili e confusi; indicazioni contradditorie; sostanziale scarsa disponibilità reale delle CA nel promuovere lo strumento (incerte anche loro sul futuro normativo della materia? troppo occupate nel curare il proprio parco di ricchi clienti per dare ascolto a professionisti e comuni cittadini? entrambe le cose? NdA).
Il mio modesto parere è che:
Staremo a vedere come le cose evolveranno a livello italiano ed europeo. Da parte mia, cercherò di rendere più completa questa sezione, aggiornandola con gli sviluppi che si avranno nelle prossime settimane e nei prossimi mesi.
2002-02-03 Aggiornamento fresco fresco: il ministro per l'Innovazione e le Tecnologie, Lucio Stanca, ha dato l'atteso annuncio della chiusura dell'AIPA e dell'incorporamento delle sue funzioni all'interno del ministero stesso.
www.aipa.it.
www.interlex.it.
| Umberto Salsi | Commenti | Contatto | Mappa | Home / Indice sezione |
Still no comments to this page. Use the Comments link above to add your contribute.