Licenze free e licenze proprietarie

di Manuel M. Buccarella - Pubblichiamo un approfondimento giuridico su free software e software proprietario tenuto nel corso del recente convegno milanese: Condividi la conoscenza


Roma – Le principali differenze tra software cosiddetto proprietario e software libero si giocano in prevalenza sul fronte del copyright e della disciplina normativa apprestata nei confronti dello stesso, con particolare riferimento alla tutela del diritto d’autore sui programmi per elaboratore.

Il software secondo la definizione data dall’OMPI nel 1984 è “l’espressione di un insieme organizzato e strutturato di istruzioni(o simboli) contenuti in qualsiasi forma o supporto (nastro, disco, film, circuito), capace direttamente o indirettamente di far eseguire o far ottenere una funzione, un compito o un risultato particolare per mezzo di un sistema di elaborazione elettronica dell’informazione”.

Il primo ordinamento che ha giuridicamente qualificato il software come opera dell’ingegno è quello statunitense tramite il Computer Software Amendment Act del 1980. Successivamente pari riconoscimento è giunto dalla Direttiva CEE 91/250 recepita nel nostro ordinamento giuridico con il D. Lgs. 518 del 1992 che ha introdotto delle modifiche ed integrazioni alla Legge 633 del 1941 sul diritto d’autore.

Nel nostro ordinamento il software viene tutelato come opera di ingegno se ed in quanto esso abbia i requisiti tecnici per rientrare nella definizione di cui all’art. 2, comma 1, n. 8 della Legge 633/1941 (la legge sul diritto d’autore) che recita:
“In particolare sono comprese nella protezione (…) i programmi per elaboratori, in qualsiasi forma espressi purché originali quale risultato di creazione intellettuale dell’autore. Restano esclusi dalla tutela accordata dalla presente legge le idee e i principi che stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue interfacce. Il termine programma comprende anche il materiale preparatorio per la progettazione del programma stesso”.

1. Le due facce del diritto d’autore
La creazione di una qualsiasi opera dell’ingegno implica l’acquisizione, in capo all’autore, dei diritti allo sfruttamento economico dell’opera e dei diritti morali. I diritti morali e patrimoniali vengono a costituirsi direttamente in capo alla persona fisica che ha “creato” l’opera.
Il diritto morale d’autore costituisce un diritto indisponibile della persona e si sostanzia, principalmente, nel diritto al riconoscimento della paternità dell’opera ed all’integrità della stessa.

La Legge sul diritto d’autore (agli artt. 20 e seguenti) riconosce all’autore, anche dopo la cessione dei diritti patrimoniali, un altro diritto morale quale quello all’integrità dell’opera.

Il diritto all’integrità si sostanzia nella possibilità di opporsi a qualsiasi deformazione, mutilazione o altra modificazione dell’opera nonché a qualsiasi atto che possa recare pregiudizio al suo onore o alla sua reputazione. Tutti questi diritti sono imprescrittibili, irrinunciabili ed inalienabili e possono essere fatti valere, in caso di morte dell’autore, dagli eredi senza limiti di tempo.

Il riconoscimento dei diritti morali d’autore da parte del legislatore italiano non trova riscontro nella legislazione americana che riconosce all’autore, con il Copyright Act, esclusivamente i diritti di utilizzazione economica dell’opera.

I diritti patrimoniali consistono nella possibilità di utilizzare l’opera in ogni forma o modo, originale o derivato. In particolare, esso consiste nella possibilità di riprodurre, trascrivere, eseguire, rappresentare o recitare, diffondere, trasformare, elaborare nonché di tradurre, dare in prestito, noleggiare o vendere l’opera di ingegno (v. art. 12 e ss. LDA).
I diritti patrimoniali possono costituire oggetto di cessione totale o parziale: la cessione parziale costituisce una forma di espressione del principio generale secondo cui debbono considerarsi ceduti esclusivamente i diritti espressamente menzionati nel contratto.
La cessione dei diritti di utilizzazione economica, al pari delle altre forme di sfruttamento dell’opera di ingegno, deve avvenire mediante la stipula di contratti la cui forma scritta è richiesta dal legislatore per mere finalità probatorie (v. art. 110 LDA).

Per quanto concerne i diritti patrimoniali scaturenti dalla creazione di un software va rilevato che l’art. 64 bis della Legge sul diritto d’autore, introdotto con il decreto lgs. 518 del 1992, ha specificamente individuato i diritti esclusivi concernenti i programmi per elaboratore.

I diritti patrimoniali sul software consistono nel diritto di effettuare o di autorizzare la riproduzione, permanente o temporanea, totale o parziale, del programma per elaboratore con qualsiasi mezzo o con qualsiasi forma, la traduzione, l’adattamento, la trasformazione e ogni altra modificazione del programma per elaboratore, nonché la riproduzione dell’opera che ne risulti, senza pregiudizio dei diritti di chi modifica il programma ed ancora qualsiasi forma di distribuzione al pubblico, compresa la locazione del programma per elaboratore originale o di copie dello stesso.

Chi ha la possibilità di utilizzare una copia del programma per elaboratore può, anche in presenza di clausola contrattuale con contenuto contrario, effettuare una copia di riserva ed osservare, studiare o sottoporre a prova il funzionamento del programma.
L’attività di analisi deve essere preordinata alla determinazione delle idee e dei principi su cui è basato ogni elemento del programma stesso, qualora egli compia tali atti durante operazioni di caricamento, visualizzazione, esecuzione, trasmissione o memorizzazione del programma che egli ha il diritto di eseguire (v. art. 64 ter LDA).

Il licenziatario o gli altri soggetti che hanno il diritto di usare una copia del programma possono, pur in assenza dell’autorizzazione del titolare dei diritti patrimoniali sul software, effettuare la riproduzione del codice o la traduzione della sua forma al fine di conseguire l’interoperabilità con altri programmi.

Le informazioni ottenute non potranno essere comunicate a terzi né utilizzate per il conseguimento di fini diversi dall’interoperabilità quali lo sviluppo, la produzione e la vendita di programmi simili.
L’esercizio di queste attività, difatti, costituirebbe una forma di disposizione dei diritti patrimoniali non autorizzata né da parte del titolare né da parte del legislatore.

Vi è di più, il legislatore, con il decreto legislativo n. 205 del 15 marzo del 1996 intervenuto a modificare le statuizioni del d.lgs. 518 del 1992, ha stabilito che le clausole contrattuali pattuite in violazione di quanto sopra detto debbono considerarsi nulle.

La riproduzione o il caricamento di un programma per elaboratore su un numero di elaboratori maggiore rispetto a quello autorizzato con una licenza configura sia un illecito extracontrattuale che contrattuale. La giurisprudenza di merito ha evidenziato che a titolo extracontrattuale al produttore del software spetta, in caso di indebita duplicazione, una somma pari a quanto avrebbe potuto ricavare dalla vendita o dalla licenza dei programmi duplicati, detratti i costi da sostenere per i supporti, i manuali e la distribuzione.


Le principali differenze si esprimono, in particolare, nelle spesso numerose restrizioni a carico dell’utilizzatore contenute nei comuni contratti di concessione in licenza d’uso, restrizioni che non è dato diversamente riscontrare nella Gpl.

Il contratto di licenza d’uso “proprietaria” indica generalmente con estrema precisione cosa deve intendersi come “uso consentito” del programma. Tolte le possibili operazioni ammesse espressamente dalla legge n. 518/1992 (copie di sicurezza, interoperabilità, ecc.) la licenza prevede, spesso:
a) l’ambito territoriale del legittimo impiego;
b) un numero massimo di installazioni possibili;
c) individuazione dei computer sui quali è possibile l’installazione del programma;
d) un numero massimo di copie di sicurezza.
A tal proposito, a norma dell’art. 64 ter comma 2 della Legge Italiana sul Diritto d’Autore, “Non può essere impedito per contratto, a chi ha il diritto di usare una copia del programma per elaboratore di effettuare una copia di riserva del programma, qualora tale copia sia necessaria per l’uso” ;
e) la possibilità di trasferimento della licenza da un computer ad un altro (di proprietà dell’utente) in particolari ipotesi;
f) possibilità di modificazione del programma per personalizzarlo.

Di particolare significato, anche e soprattutto ai fini della comparazione tra le licenze d’uso proprietarie e la Gpl, le previsioni contenute nei contratti di licenza d’uso relative alla proprietà intellettuale. Le norme di protezione della proprietà intellettuale della software house accompagnano, secondo la normativa italiana sul diritto d’autore, sia il programma che i manuali d’uso per cui, salve le eccezioni previste, non è consentita la riproduzione del programma al di fuori di quanto previsto dalla licenza nè quella dei manuali d’istruzione e d’uso che lo accompagnano (per la tutela dei manuali d’istruzione cfr. Pret. Milano, 2 febbraio 1990, in Foro it., 1990, I, c. 2669 ss.).

Particolari norme tutelano anche il marchio, ma in questo caso tale argomento non verrà affrontato. Per la tutela dei diritti di proprietà industriale ed intellettuale del produttore, il licenziatario è tenuto alla riservatezza nei confronti di tutte le informazioni fornite dal produttore del software e si impegna ad adottare tutte le cautele necessarie per far sì che dette informazioni non vengano divulgate a terzi non autorizzati.

Tra i soggetti legittimati vi sono anche i dipendenti del licenziatario, limitatamente a quelle parti necessarie per l’uso del programma, quale risultante dalla licenza.
Con riferimento alle informazioni tecniche sul programma, considerato che il produttore fornisce il software in formato eseguibile (o in formato oggetto) e quindi senza mettere a disposizione il codice sorgente (“formato sorgente”), nè i diagrammi o il progetto logico – informatico del medesimo, si pone il problema delle informazioni indispensabili per conseguire l’interoperabilità del programma licenziato con altro programma creato in autonomia dal licenziatario.

La messa a disposizione di tali informazioni non è obbligatoria per il produttore che anzi spesso – quando le fornisce – richiede la prestazione di un compenso. Le informazioni utili a conseguire l’interoperabilità sono ricavabili, a spese del licenziatario, attraverso un procedimento di decompilazione.

Alcuni modelli contrattuali standard, tra cui quello predisposto da Anasin – Associazione Nazionale delle Aziende di Servizi di Informatica e Telematica – fanno espresso divieto di procedere alla decompilazione, salvo autorizzazione da parte della software house.
Il divieto tassativo di effettuare la decompilazione del programma trova tuttavia la sanzione della nullità espressamente sancita dall’art. 64 quater comma 3 della Legge sul diritto d’Autore.
Perchè la decompilazione sia illecita, dunque, la legge richiede che le informazioni necessarie al licenziatario “siano già facilmente e rapidamente accessibili”.
E’ quanto meno dubbio che la semplice manifestazione di disponibilità del produttore a dischiudere le informazioni necessarie renda le stesse “facilmente e rapidamente accessibili”.

La licenza Gpl e le altre licenze che assistono free software, mettendo a disposizione il codice sorgente del programma, consentono per definizione l’interoperabilità tra programmi. La decompilazione o reverse engineering è dunque superflua per l’utilizzatore. Il programma è conosciuto nella sua genesi come anche nella sua essenza e nelle sue modalità di funzionamento.

A proposito di interoperabilità va rammentato quanto disposto dal richiamato art. 64 quater della legge sul diritto d’autore:

“L’autorizzazione del titolare dei diritti non è richiesta qualora la riproduzione del codice del programma di elaboratore e la traduzione della sua forma ai sensi dell’art. 64-bis, lettere a) e b), compiute al fine di modificare la forma del codice, siano indispensabili per ottenere le informazioni necessarie per conseguire l’interoperabilità, con altri programmi, di un programma per elaboratore creato autonomamente purchè siano soddisfatte le seguenti condizioni:
a) le predette attività siano eseguite dal licenziatario o da altri che abbia il diritto di usare una copia del programma oppure, per loro conto, da chi è autorizzato a tal fine;
b) le informazioni necessarie per conseguire l’interoperabilità non siano già facilmente e rapidamente accessibili ai soggetti indicati alla lettere a);
c) le predette attività siano limitate alle parti del programma originale necessarie per conseguire l’interoperabilità.

Le disposizioni di cui al comma 1 non consentono che le informazioni ottenute in virtù della loro applicazione:

a) siano utilizzate a fini diversi dal conseguimento dell’interoperabilità del programma creato autonomamente;
b) siano comunicate a terzi, fatta salva la necessità di consentire l’interoperabilità del programma creato autonomamente;
c) siano utilizzate per lo sviluppo, la produzione o la commercializzazione di un programma per elaboratore sostanzialmente simile nella sua forma espressiva, o per ogni altra attività che violi il diritto d’autore”.

Quanto significativamente disposto dall’art. 64 quater della Legge sul diritto d’autore dimostra come la disponibilità del codice sorgente ovvero la sua discoverta ad opera del licenziatario (o di suoi dipendenti) a seguito di procedimenti di decompilazione sia esclusivamente finalizzata all’interoperabilità del programma di tipo “proprietario” con altri programmi per elaboratore. Per tale motivo la richiamata disposizione non consente un uso delle informazioni ottenute per fini diversi dal conseguimento dell’interoperabilità; le stesse non possono essere comunicate a terzi, “fatta salva la necessità di consentire l’interoperabilità del programma creato autonomamente” e non possono essere utilizzate per lo sviluppo, la produzione o la commercializzazione di un programma sostanzialmente simile.

Una siffatta disposizione, essendo totalmente “protezionistica” verso le software house, di fatto inibisce qualsiasi sforzo o tentativo di riproduzione e di progresso tecnico nell’ambito della produzione di software. Tale assetto normativo, se letto congiuntamente alla disposizione che consente una sola copia di back up (e che sino a ieri sanzionava penalmente chi riproduceva senza autorizzazione ed a solo uso personale) è di stampo protezionistico. Non promuove la ricerca e l’innovazione nel campo del software. Ecco perchè sono necessarie, anzi indispensabili, le licenze “libere” ed in particolare la licenza “Gnu Gpl”.


Il software libero, assistito da licenza Gpl ovvero da altre similari licenze (quali ad esempio la Bsd ovvero la Mozilla License), benchè la legge sul diritto d’autore preveda in capo al titolare dei diritti di sfruttamento economico dell’opera una serie di diritti esclusivi, non si pone in contrasto con la disciplina sulla proprietà intellettuale.

In particolare, a norma dell’art. 1 dei Termini e Condizioni della Licenza Pubblica Generica Gnu “è lecito copiare e distribuire copie letterali del codice sorgente del Programma così come viene ricevuto, con qualsiasi mezzo, a condizione che venga riprodotta chiaramente su ogni copia una appropriata nota di copyright e di assenza di garanzia; che si mantengano intatti tutti i riferimenti a questa Licenza e all’assenza di ogni garanzia; che si dia a ogni altro destinatario del Programma una copia di questa Licenza insieme al Programma. È possibile richiedere un pagamento per il trasferimento fisico di una copia del Programma, è anche possibile a propria discrezione richiedere un pagamento in cambio di una copertura assicurativa”.

L’art. 3, in particolare, dispone che “è lecito copiare e distribuire il Programma (o un lavoro basato su di esso, come espresso al punto 2) sotto forma di codice oggetto o eseguibile sotto i termini dei precedenti punti 1 e 2, a patto che si applichi una delle seguenti condizioni:
a) Il Programma sia corredato dal codice sorgente completo, in una forma leggibile dal calcolatore e tale sorgente deve essere fornito secondo le regole dei precedenti punti 1 e 2 su di un mezzo comunemente usato per lo scambio di programmi.
b) Il Programma sia accompagnato da un’offerta scritta, valida per almeno tre anni, di fornire a chiunque ne faccia richiesta una copia completa del codice sorgente, in una forma leggibile dal calcolatore, in cambio di un compenso non superiore al costo del trasferimento fisico di tale copia, che deve essere fornita secondo le regole dei precedenti punti 1 e 2 su di un mezzo comunemente usato per lo scambio di programmi.
c) Il Programma sia accompagnato dalle informazioni che sono state ricevute riguardo alla possibilità di avere il codice sorgente.

Questa alternativa è permessa solo in caso di distribuzioni non commerciali e solo se il programma è stato ricevuto sotto forma di codice oggetto o eseguibile in accordo al precedente punto B.

Per “codice sorgente completo” di un lavoro si intende la forma preferenziale usata per modificare un lavoro. Per un programma eseguibile, “codice sorgente completo” significa tutto il codice sorgente di tutti i moduli in esso contenuti, più ogni file associato che definisca le interfacce esterne del programma, più gli script usati per controllare la compilazione e l’installazione dell’eseguibile.

In ogni caso non è necessario che il codice sorgente fornito includa nulla che sia normalmente distribuito (in forma sorgente o in formato binario) con i principali componenti del sistema operativo sotto cui viene eseguito il Programma (compilatore, kernel, e così via), a meno che tali componenti accompagnino l’eseguibile.

Se la distribuzione dell’eseguibile o del codice oggetto è effettuata indicando un luogo dal quale sia possibile copiarlo, permettere la copia del codice sorgente dallo stesso luogo è considerata una valida forma di distribuzione del codice sorgente, anche se copiare il sorgente è facoltativo per l’acquirente”.

In particolare, con riferimento alla decompilazione inversa, che la legge italiana sul diritto d’autore autorizza solo purchè finalizzata al conseguimento dell’interoperabilità tra programmi, chi adotta una Gpl concede all’utilizzatore la conoscenza del codice sorgente, la sua condivisione e dunque la possibilità di intervenire sullo stesso per modificarlo, adattarlo alle proprie esigenze, creare un nuovo programma.

La disclosure del sorgente in questo caso consente non solo l’interoperabilità, ma anche la possibilità di sviluppare nuovo software. Anche la facoltà di copiare e distribuire copie del programma, copie del codice sorgente rappresenta una concessione fatta dall’autore di diritti patrimoniali propri del diritto d’autore.

Manuel M. Buccarella
Buccarella è abilitato all’esercizio della professione di avvocato, fa parte della Federazione Nazionale dei Verdi, è socio ordinario Aigi (Ass. It. Giuristi d’Impresa) e come giornalista pubblicista collabora con numerose testate di settore.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Ma i Certificatori sono incompetenti?
    Questa dovrebbe essere la posizione ufficiale dell'Associazione dei Certificatori di Firma Digitale. Ma allora com'è che prendono così sottogamba il problema tecnico?(Per i dettagli tecnici relativi al problema, consultate: www.puntosicuro.it/language,1/page,1.php/articolo_3092/)E ora vediamo nel dettaglio le affermazioni del sig. Soru:
    Relativamente ai problemi di sicurezza, tutti noi sappiamo
    che non esiste una serratura che possa resistere ad uno
    scassinatore esperto."Però qui stiamo parlando di un borseggiatore alle prime armi, non di uno scassinatore esperto.(n.b.: esiste di sicuro una serratura che magari non resiste ad uno scassinatore esperto, ma che si veda che è stata scassinata ...)
    Secondo le più recenti ricerche, il più semplice punto di
    attacco è quello basato sulle debolezze umane: conservare
    il proprio PIN assieme alla carta Bancomat consente
    facilmente ad un malintenzionato di prelevare i nostri soldi
    dal nostro conto corrente. Questo non significa che il sistema
    Bancomat sia poco sicuro."Sorvoliamo sulla sicurezza del Bancomat (password di sole 5 cifre, da digitare in mezzo alla strada o in coda al supermarket; e se la voglio cambiare, perchè ho paura che qualcuno l'abbia vista, devo spendere i soldi di una nuova tessera e aspettare almeno una settimana perchè arrivi il nuovo PIN).Qui il sig. Soru sembra voler insinuare che, se il sistema di firma consente a un programma malevolo di firmare digitalmente qualunque documento senza che l'utente sia avvertito, la colpa è dell'utente che ha messo la smart card nel PC sbagliato. Ma allora, a che cosa serve la smart card? non si poteva usare un economico floppy con dentro chiave pubblica e chiave privata? perchè la legge ha voluto che l'unico modo per firmare un documento fosse inserire la smart card nel lettore?
    Nello stesso modo, disponendo di capacità e di strumenti, è
    possibile pensare ad un attacco portato ai computer utilizzati
    per apporre le firme digitali, specialmente se si fa riferimento
    a "sistemi operativi configurati senza opportuni accorgimenti
    di protezione" e si ipotizza che la vittima designata possa
    ricevere programmi allegati a messaggi di posta, cosa
    impedita dalla gran parte dei sistemi aziendali, e li esegua,
    contravvenendo alle più elementari norme di sicurezza."Qui si confonde l'esempio con il caso generale. Nell'esempio, l'equipe di ricerca dell'Università di Milano ha costruito un virus che ha inviato via e-mail; poi il virus ha installato un programma che, interfacciandosi con il sistema di firma, consentiva di firmare un documento all'insaputa dell'utente, quando quest'ultimo ne firmava un altro.Ma il problema non è il modo con cui il programma sia stato messo nel PC, ma quello che il programma è stato poi in grado di fare: far firmare ad un utente un documento SENZA CHE L'UTENTE SE NE ACCORGESSE!Che poi in alcune aziende occorra entrare nottetempo nell'ufficio e installare il programma da una chiave USB è secondario (nella mia, ad esempio, non occorre); quello che conta è che nessuno si accorge di quello che è successo, quindi nessuno revocherà la chiave.
    Secondo Assocertificatori, pur non volendo evidenziare i
    reati previsti dal nostro codice penale, chi opera simili
    attacchi non compie attività goliardiche né tantomeno offre
    un contributo alla sicurezza di tutti gli utenti.Wow! Allora se la serratura si apre con una forcina, la colpa non è di chi costruisce la serratura, ma di chi mette le forcine tra i capelli! (Mai fidarsi delle donne ...)
    ... è sicuramente utile pubblicizzare tutte le misure
    organizzative e gli strumenti di protezione necessari a
    garantire agli utenti un livello di protezione adeguato. Per
    questo tipo di indicazioni il Paese si attende anche delle
    regole dal "Comitato Tecnico Nazionale Sicurezza
    Informatica nella Pubblica Amministrazione" più che
    l'annuncio di attività di pirateria informatica.Traduciamo: non ce ne frega niente se i nostri sistemi di firma sono assolutamente inaffidabili e anche un gruppetto di universitari goliardi è in grado di sputtanarli; speriamo solo che il "Comitato Tecnico Nazionale Sicurezza Informatica nella Pubblica Amministrazione" faccia presto delle regole, perchè - fatta la legge trovato l'inganno - noi si possa trovare il modo di adeguare i nostri sistemi alle richieste minime delle regole, secondo la famosa legge "qualsiasi valore minimo stabilito per legge sarà il valore massimo applicato nella realtà".Sono sempre più convinto che la via italiana alla certificazione digitale sia semper più impraticabile ...
  • Anonimo scrive:
    "intendono garantire[...] la diffusione"
    come intendono diffondere tale strumento?con un programma che gira solo per windows e per mac os xfigata, no?La firma in alcuni casi sarà obbligatoria... ebbene, i programmi con cui apporla girano su Windows o su Mac OsXCosì io sono COSTRETTO a fornire determinati materiali in formati proprietari che devo aver comprato.cito la frase alla quale mi riferisco:"AssoCertificatori, in linea con le proprie finalità, è disponibile a collaborare con tutte quelle istituzioni che intendono contribuire ad innalzare i livelli di sicurezza e la diffusione di uno strumento, non solo utile ma indispensabile, per il decollo dei sistemi di e-goverment e dell'economia "digitale" come le firme elettroniche."
    • Anonimo scrive:
      integrazione
      e per tutti i furboni che adesso mi verranno a dire "ma che dici? la firma digitale esiste anche per ... - eccetera - "ATTENZIONEqui si parla della firma digitale ammessa dallo stato italiano, cari amici ... mica quella gratuita di Thawte ... oppure il classico Verisign ... nein!"FIRMA FORTE" la chiamano: firma a pagamento, la chiamo io.Si tratta della smart card, quella blu.
    • Anonimo scrive:
      Re: "intendono garantire[...] la diffusi

      La firma in alcuni casi sarà obbligatoria...
      ebbene, i programmi con cui apporla girano
      su Windows o su Mac OsX
      Così io sono COSTRETTO a fornire determinati
      materiali in formati proprietari che devo
      aver comprato.Se e quando diventerà obbligatoria, verranno rilasciati i software anche per Mac OS, Linux ecc. ecc.Non sentiamoci perseguitati prima ancora che le cose diventino definitive.
  • Anonimo scrive:
    Sicura?
    date un 'occhiata qui:http://www.puntosicuro.it/language,1/page,1.php/articolo_3092/Il Laboratorio di Sicurezza e Reti del Dipartimento di informatica e comunicazione dell'Universita' degli Studi di Milano ha condotto la prima realizzazione pratica a livello mondiale di attacco riuscito a un dispositivo di firma digitale....beppe
    • Anonimo scrive:
      Re: Sicura?
      Conoscevo già quel documento, ma il test non è valido perché condotto su una macchina non patchata con i vari service pack di siscurezza che evitano l'ingresso e l'esecuzione dei worm...Infatti il test ha solo dimostrato che quel sistema non Era sicuro, e non la FirmaSicura!!! Perché non hanno condotto lo stesso Test su un Sistema BLINDATO?!?majo75- Scritto da: Anonimo
      date un 'occhiata qui:
      http://www.puntosicuro.it/language,1/page,1.p
      Il Laboratorio di Sicurezza e Reti del
      Dipartimento di informatica e comunicazione
      dell'Universita' degli Studi di Milano ha
      condotto la prima realizzazione pratica a
      livello mondiale di attacco riuscito a un
      dispositivo di firma digitale....
      beppe
      • Anonimo scrive:
        Re: Sicura?
        - Scritto da: Anonimo
        Conoscevo già quel documento, ma il test non
        è valido perché condotto su una macchina non
        patchata con i vari service pack di
        siscurezza che evitano l'ingresso e
        l'esecuzione dei worm...A differenza di te non conoscevo quel documento e,nonostante le mie ricerche (infruttuose), continuo anon conoscerlo.Ti dispiacerebbe indicarmi dove potrei avere maggioriinformazioni circa le modalità adottate per condurre iltest ?
        Infatti il test ha solo dimostrato che quel
        sistema non Era sicuro, e non la
        FirmaSicura!!! Perché non hanno condotto lo
        stesso Test su un Sistema BLINDATO?!?Esistono disposizioni di legge per cui la firma peressere riconosciuta sicura debba essere appostausando PC particolari o rispettando particolarirequisiti di sicurezza fisica ?Se si (e non mi sembra) potresti indicarmi i riferimentinormativi ?
        majo75
        - Scritto da: AnonimoCiaoPrince258
    • Anonimo scrive:
      Re: Sicura?
      | "L'attacco ha consentito a un intruso di ottenere documenti digitalmente firmati da| un utente, all'insaputa dello stesso". ....| ogni volta che un utente sottoponeva un documento al processo di| firma, il codice maligno poteva sottoporne altri...| Quindi si suppone che:| 1. l'utente usi esattamente quel programma da loro attaccatoIl chè è di solito garantito dal fatto che si vuole attaccare una firma emessa da una specifica Certification Authority italiana; se hai quella smart card, DEVI usare quel lettore e quel programma ...
      2. usi la stessa macchina per certificare i documenti e accedere ad internetNon necessariamente. Qui si dice solamente che è stato possibile firmare digitalmente dei documenti all'insaputa dell'utente, senza rubare la smart card e senza avere il PIN.Il fatto che questo sia stato ottenuto mediante un virus attaccato da Internet, piuttosto che introdotto nottetempo nel PC da uno scassinatore, o da un floppy disk infetto, o copiato da un collega durante la pausa pranzo è ininfluente ... Quello che conta è sempre il fatto che non occorre avere smart card e pin per firmare un documento all'insaputa del firmatario.
      3. questa macchina sia configurata male dal punto di vista della sicurezza(ad esempio che non sia stata chiusa in una cassaforte quando il proprietario non era nelle vicinanze?)
      4. il "virus" sia in grado di farsi mandare indietro il documento maligno firmato
      dall'utente (e di questo non si parla nell'articolo quanto meno non specifica la
      tecnica utilizzata per farlo)Anche questo è ininfluente. Lo scassinatore di prima è tornato il giorno dopo durante la pausa pranzo e ha copiato su di un floppy la firma del documento; va bene? La vulnerabilità sta tutta nel fatto che la firma sia stata apposta SENZA CHE CHI FIRMAVA FOSSE AVVERTITO DI QUELLO CHE STAVA FIRMANDO!
Chiudi i commenti