Firma elettronica vittima del software

di Diego Zanga - Cosa succederà quando certi strumenti finiranno in mano ad ignari cittadini di ogni età, magari senza alcuna competenza informatica e, quindi, incapaci di distinguere tra firma elettronica e digitale?

Roma – L’avvocatura ha già affrontato i temi di firma digitale/elettronica, in quanto per un avvocato sono importanti norme e regolamenti, mentre l’interesse per l’aspetto tecnico è inesistente pur rappresentando questo un tema del Processo Civile Telematico; nell’ICT, invece, la firma digitale è conosciuta ed applicata da tempo negli ambiti della fatturazione elettronica e della conservazione sostitutiva.

Cos’è la Firma Digitale a valore legale?
La firma digitale a valore legale è un mezzo per sostituire la firma su carta e consiste nell’ apporre una serie di byte su un file che ne attestano l’avvenuta firma o, meglio, che attestano che viene apposta una firma su un documento e che questa è valida per il documento stesso salvo ulteriori modifiche successive.
La firma digitale si realizza tramite un certificato che deve trovarsi su una smartcard e, quindi, non parliamo della firma che molti conoscono e che è fatta con PGP o strumenti similari attraverso i quali un utente crea dei certificati di firma per conto proprio.

I certificati
In questo ambito il CNIPA ha l’elenco delle Certification Authorities(CA), ovvero, l’elenco delle aziende abilitate a produrre certificati validi per la firma digitale.
Queste aziende non si limitano a produrre certificati di firma: rivendono hw, ossia smartcard e token, che devono essere “certificati” quali hw sicuri oltre che adeguati alle normative italiane e vendono, poi, certificati di autenticazione per l’identificazione sicura su un sito web, eventualmente, anche per comunicazione sicura via SSL3.

Il CNIPA ha richiesto, inoltre, alle CA di fornire un applicativo per la creazione/verifica della Firma Digitale, perché, se per firmare su carta basta una penna, in questo ambito, senza un programma adatto e specifico, non si può far nulla: sembra ovvio, ma, purtroppo, non è così.

Partiamo da un fatto banale: i certificati si vendono.
Il problema sta nel fatto che i clienti chiedono una smartcard ad uso firma, ma gli vengono venduti una smartcard e due certificati, il primo per la FIRMA ed il secondo per l’AUTENTICAZIONE e, quindi, due certificati a fronte della richiesta di uno: questa non è una prassi obbligatoria, ma solo una questione di comodità, in attesa dell’imminente prevista diffusione dell’autenticazione, pero’ è da notare che poi l’utente paga per rinnovare due certificati al posto di uno.

La cosa diventa rilevante, quando, analizzando i due certificati si scopre che il certificato di firma, a parte un paio di bit, è pressoché identico al certificato di autenticazione e che la differenza tra i due sta solo nel fatto che con il primo si realizza la firma DIGITALE mentre con il secondo quella ELETTRONICA.
La firma digitale ha valore legale, mentre, la firma elettronica non ha alcuna applicazione: se, ad esempio, un contratto per vendere una casa riporta la firma digitale questo è valido, ma, se riporta la firma elettronica questo è solo “carta straccia”…
Tutto ciò non fa solo che offrire spazio ad errori nell’ambito della firma “digital-elettronica”.

Come puo’ capitare un errore di firma?
Varie CA pubblicano sw per la firma che non informano gli utenti su cosa stanno facendo: questo perché il sw era stato realizzato, inizialmente, per il mercato americano per poi essere adattato a quello italiano che, però, richiede requisiti diversi; dal momento che i certificati sono praticamente identici è possibile che un qualsiasi utente, non informato correttamente, apponga su un documento una firma utilizzando il certificato errato, cioè quello di autenticazione, rendendo il documento non a valore legale.

Alcuni di questi sw, peraltro, non effettuando le opportune verifiche a posteriori (dopo la firma) non segnalano nemmeno il tipo di firma apposta su un file in verifica.
Il problema per ora è limitato, in quanto, il sw più diffuso presso gli utenti è Dike (il sw di Info-Cert) che è uno strumento per firma/verifica che rispetta i requisiti di legge e norme italiane.

Nel corso del tempo, però, i problemi aumenteranno perché, oltre a quelli già presenti, si andranno ad aggiungere quelli causati dalle varie Regioni che stanno producendo sw per la firma elettronica: a cosa mai potranno servire visto che non servono a produrre documenti con valore legale? E poi cosa succederà quando questi strumenti inutili finiranno in mano ad ignari cittadini di ogni età e, magari, senza alcuna competenza informatica e, quindi, incapaci di distinguere tra firma elettronica e digitale?

Ho provato a chiedere ad alcune amministrazioni pubbliche perché paghino lo sviluppo di sw per la firma elettronica, ma, a distanza di 60 giorni nessuno ha ancora saputo darmi una risposta.. forse, semplicemente, non sanno proprio cosa dire né hanno idea di cosa stanno facendo.

In attesa che le CA, che rilasciano tool per la firma digitale, facciano chiarezza e si adeguino eliminando la firma elettronica o segnalando le differenze con quella digitale mi chiedo se quanto sopra citato non sia fatto con l’intento di dare spazio ad una nuova professione: quella del perito calligrafo digitale – tecnico del settore della Computer Forensics che verifica per conto di un avvocato se un file ha una firma digitale vera o falsa.

Diego Zanga
eLawOffice.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • sodoro tamara scrive:
    cnos-fap
    ho letto l'annuncio e sarei interessataa questo corso.se vi ineterssa contatatemi su qusto numero 3339906546;aspetto una vostra risposta a risentici
Chiudi i commenti