Intervista/ Firma digitale all'italiana

Come funziona e funzionerà la firma digitale nel nostro paese. Quali tecnologie sono coinvolte? Quali garanzie di sicurezza offre? Potremo fare a meno dei notai? Cos'ha fatto l'AIPA. Ecco le risposte di Bruno Crispo, boss di Cryptomathic
Come funziona e funzionerà la firma digitale nel nostro paese. Quali tecnologie sono coinvolte? Quali garanzie di sicurezza offre? Potremo fare a meno dei notai? Cos'ha fatto l'AIPA. Ecco le risposte di Bruno Crispo, boss di Cryptomathic


Roma – di F. Bordino – A che punto siamo con la firma digitale in Italia?

Lo abbiamo chiesto a Bruno Crispo, PhD in cryptography and data security dell’Università di Cambridge (Gran Bretagna) e managing director della sezione italiana di Cryptomathic, azienda danese leader in sistemi di sicurezza e crittografia.

L’Italia è stato il primo paese europeo a introdurre una legge sulla firma digitale. Il 19 luglio prossimo scadrà il termine per recepire una direttiva europea che potrebbe cambiare in gran parte l’assetto attuale, per armonizzarlo al contesto comunitario. Quali problemi incontrerà il legislatore?

Grazie al framework legislativo degli ultimi anni la pubblica amministrazione ha fatto passi da gigante, bisogna darne atto principalmente all’Aipa. Ci sono molti aspetti positivi, poi si può obiettare su alcuni aspetti tecnici. L’Aipa in realtà ha formulato una legge che dovrebbe considerare la firma digitale all’interno della pubblica amministrazione. Alcune delle richieste tecniche fatte dalla legge non hanno molto senso se traslate nel mondo privato. E mi riferisco alla certificazione ITSEC e alla privatezza delle chiavi. Ha senso se sono fatte, ad esempio, per la legge ad uso personale, per un privato cittadino, ma non hanno molto senso all’interno di una azienda, dove è spesso necessario il backup delle chiavi per un recovery. L’Italia, inoltre, ha introdotto un albo dei certificatori obbligatorio, mentre per la direttiva europea è facoltativo.

Insomma, possiamo dire che i troppi vincoli della legge italiana abbiano ucciso un mercato prima ancora che nascesse; ma bisogna ricordare che è la prima volta che si da luce a una legge prima che la tecnologia sia pronta. Molte di queste regole vanno rivista alla luce dell’esperienza sul campo. Il merito italiano comunque è di aver accelerato l’informatizzazione della pubblica amministrazione.

Anche sugli standard ci sono dei problemi. Sono in commercio almeno 5 smart card con 5 lettori diversi. Un problema non indifferente per l’utente finale, che dovrà andare in giro con un computer portatile e diversi lettori per smart card appesi al collo…

Un paio di anni fa si è molto parlato della possibilità di avere più applicazioni diverse sulla stessa smart card, perché dal punto di vista commerciale è molto attraente. Il problema è chi possiede di fatto la smart card. Ci sono problemi di giurisdizione e di responsabilità se mettiamo insieme, ad esempio, applicazioni bancarie e di sanità. Il possessore della carta controlla i dati che ci sono sulla stessa. È possibile avere moltiplicazioni applicative solo all’interno dello stesso dominio, quindi ha un senso che la banca inserisca all’interno della sua carta diverse applicazioni, però non si possono sommare domini incompatibili. La carta non è di nostra proprietà, la carta è di chi l’ha emessa.

Va bene, ci porteremo dietro diverse carte di plastica. Ma almeno un lettore solo?

Certo, a questo bisogna arrivare. Il fatto è che ogni produttore di smart card tende ad imporre il suo standard.
Vorrei far notare che la legge non parla mai di smart card, parla solo di dispositivi sicuri. La smart card è solo uno dei possibili device, ci sono situazioni dove i token USB possono essere una buona alternativa, che richiede anche un aggiornamento dell’hardware minore.
La legislazione in Italia ha creato un mercato, ma il costo di ogni singola firma è molto alto, e in questo senso ha ucciso il mercato, perché ha messo il costo di entrata di ogni singola azienda troppo alto. Nella P.A. siamo noi tutti a pagare questi costi, per i singoli privati è troppo. Tenere delle chiavi crittografiche in un floppy ha evidentemente dei limiti, ma ci sono delle situazioni, delle realtà, in cui quella potrebbe essere una soluzione adeguata. Costringere tutti ai lettori di smart card è stata una forzatura non necessaria.


Perché l’Europa non prova a dare regole tecniche più dettagliate?

Perché il mercato non è maturo; tutte queste infrastrutture che sono alla base della firma digitale hanno un anno o due di vita. Sono tecnologie il cui uso di massa si sta diffondendo solo adesso.

Potremo dimenticare i notai?

No, la firma digitale non porterà all’eliminazione della figura dei notai. Dovranno anche loro evolversi dal punto di vista tecnico, aggiungendo dei servizi a quelli che già danno. La soluzione del time stamping, la marcatura temporale, è la soluzione tipica che viene fatta da un notaio. Il notaio dovrà semplicemente aggiungere questo e altri servizi.

Dov’è che, già ora, la firma digitale opera quotidianamente?

La applicazioni più comuni ora sono quelle che riguardano la posta elettronica, e quindi la sicurezza nelle comunicazioni, soprattutto aziendali. Echelon non si è scoperto ieri. Echelon c’è da molti anni, c’è un forte sensibilizzazione ad avere mail protette, cifrate e di provenienza certa. Altre soluzioni operative possono essere quelle del VPN (Virtual Private Network), su cui Cryptomathic sta lavorando molto. Se ad esempio ho una rete distribuita su 50 siti e 50 router, non voglio i costi di una linea dedicata ma vorrei utilizzare Internet senza che i miei dati vengano visti da chi gestisce la backbone, noi permettiamo ai ruoter di cifrare i dati in uscita. Il tutto senza dover inserire la stessa chiave manualmente su tutti i router, con un certificato digitale IPsec.

Si parla spesso di sistemi di riconoscimento biometrici. Ci sono state sperimentazioni, soprattutto da parte delle banche, sull’iride e sulle impronte digitali. C’è chi vorrebbe spingersi addirittura al dna. Il garante italiano per la privacy ha espresso preoccupazione al riguardo. I sostenitori dei sistemi di riconoscimento biometrici affermano che è l’unica maniera per avere la certezza dell’identità della persona. Questo perché è teoricamente possibile che una persona presti la sua smart card e la sua password a qualcun altro.

Il problema dell’univocità tra l’identità della persone e il sistema tecnico è reale. Il biometrico dà un valore aggiunto alla soluzione, ma dal punto di vista della sicurezza non è detto che lo dia. Dal punto di vista dell’usabilità probabilmente sì. E ‘ una questione di equilibrio tra usabilità e violazione della privacy. Bisogna distinguere tra tecnologie che servono ed hanno un valore aggiunto e tecnologie che sono una moda. Le soluzioni tecnologiche che risolvono un problema sono quelle che hanno un successo, quelle che sono solo una moda generalmente recano un danno a tutti gli altri che producono una soluzione e comunque evaporano nel giro di poco. La firma digitale, per intenderci, non è una moda.


Negli ultimi anni Torino sta attraendo diverse imprese straniere del mondo dell’Information Tecnology. Perché Cryptomathic ha scelto di venire in Italia, e perché a Torino?

Torino per qualità e competenza. L’idea non era quella di aprire un negozio, ma di aprire un centro di competenza per supportare i clienti italiani e del sud Europa anche a livello tecnico. E’ più facile, almeno in parte, reperire personale qualificato. L’Italia perché la normativa ha accelerato il mercato.

Cosa fa esattamente Cryptomathic?

Realizziamo prodotti di crittografia e sicurezza. Produciamo tecnologie, non servizi. Implementiamo i vari algoritmi di sicurezza. In Belgio Vincent Rijmen, uno degli inventori dell’ultimo standard di crittografia, l’AES, lavora con noi. Lavoriamo generalmente con istituzioni medio-grandi come banche o softwarevendor come IBM o Alcatel.
Siamo uno dei pochi centri al mondo a generare curve ellittiche con un metodo proprio, utile per ridurre le chiavi per tecnologie a memoria limitata, come smart card, telefonini, PDA.
Come centro di ricerca, nella crittografia e sicurezza, siamo uno dei più grandi in Europa. Abbiamo una infrastruttura di chiave pubblica con un’autorità di time stamping. Poi piattaforme di sicurezza per home banking, o mobile banking. Nel settore finanziario abbiamo sviluppato una infrastruttura digitale che implementa il circuito dei bonifici o degli assegni bancari circolari.

Quali saranno i nuovi spazi di espansione per le imprese di questo tipo?

Sicuramente la migrazione dalle bande magnetiche alle smart card nel settore bancario. Ormai è un dato di fatto che l’ammontare delle frodi annuali è maggiore dei costi per aggiornare il sistema e passare ad una tecnologia di livello superiore. L’analisi dei rischi delle banche stesse lo rivela, la sicurezza ha sempre senso se quello che proteggo vale di più di quello che spendo per proteggerlo. Quest’anno 70 entità europee hanno aggiornato l’infrastruttura in questa direzione. Qui in Italia le banche emettono ancora le carte con banda magnetica, ma per esempio in Inghilterra e in Francia sono già passate ai chip. Siamo gli unici con un progetto attivo di questo tipo in Italia.

Perché la nuova carta d’identità italiana ha due supporti: uno ottico e l’altro digitale?

Perché si è voluto mettere all’interno dello stesso supporto la firma digitale, per questo il chip, e i dati della scheda sanitaria, nella banda ottica. In un chip possono stare al massimo 256 kb, sulla scheda ottica 4 mega. L’idea è di avere l’intera storia clinica personale su supporto ottico.

Bene, così davvero elimineremo tutte le montagne di carta?

Tutti i vantaggi di questa enorme migrazione verso il digitale distolgono spesso l’attenzione degli operatori dalla delicatezza del ruolo del backup. I dati che non sono riproducibili e importanti, ad esempio una cartella clinica, quelli almeno inizialmente è sempre bene averli in cartaceo. Cioè in un supporto a cui posso fruire indipendentemente dalla tecnologia. Non si costruiscono grattacieli con tanti ascensori ma senza le scale. Allo stesso modo non ci possiamo affidare totalmente alle tecnologie quando queste dimostrano tanta mutevolezza. Bisogna calcolare se davvero i costi di mantenimento di vecchi dispositivi di lettura non superi il costo del cartaceo. C’è scarsissima attenzione a questo problema. Guardandomi intorno vedo che si sta tentando di costruire molti grattacieli senza badare al problema delle scale.

Intervista a cura di Francesco Bordino

Link copiato negli appunti

Ti potrebbe interessare

10 06 2001
Link copiato negli appunti