L'e-commerce ha bisogno di certezze. La firma digitale autentica la
provenienza dei documenti e può contribuire allo sviluppo della società dell'informazione. Con una
legislazione all'avanguardia.
Più aumentano i processi di e-business in generale, più aumenta il bisogno di garanzie sulle transazioni e
gli atti commerciali. La firma digitale corrisponde a questo bisogno fornendo una risposta certa sulla provenienza dei
documenti elettronici. Contratti di compravendita, impegni di spesa e qualsiasi altro documento ufficiale può
trovare così una solida base di certezza.
Il problema
La questione di una garanzia sulla provenienza di un documento elettronico è elementare: quando ci si trasmette
una lettera o una proposta di contratto digitale, siamo di fronte a un insieme di bit che necessitano di un certo
programma per essere visualizzati. Ma allo stesso modo questi documenti possono essere modificati. Se per la carta esiste
la certezza dello scritto (a un ragionevole grado di sicurezza), per i documenti elettronici non è così. A
meno che non si ricorra alla crittografia.
Cifratura, vantaggi e problemi
La crittografia è una tecnica di codificazione di messaggi basata su codici, tali da rendere ogni messaggio
illeggibile se non da chi possiede la cosiddetta chiave del codice. Chi ha la chiave può cifrare e decifrare il
messaggio. Applicato ai documenti elettronici, questo sistema permette una trasmissione di documenti "segreta". Tutto
ciò fa nascere due problemi, uno di ordine pubblico e uno di natura commerciale. Infatti, alcuni Paesi, Stati
Uniti in testa, vedono la crittografia come un pericolo perché in grado di veicolare messaggi segreti, magari da
parte di terroristi. Inoltre, i problemi di tipo commerciale non si risolvono: in una transazione non è importante
coprire il messaggio e renderlo visibile (e modificabile) soltanto al lettore. Al contrario, il messaggio può
essere visibile da tutti, ma non deve essere modificabile da nessuno, ricevente compreso.
La doppia chiave
Per questo il modello vincente è rappresentato dalla crittografia a doppia chiave: semplificando, chi scrive il
documento ha una propria chiave di codifica privata e nota soltanto a lui con la quale può intervenire sul
documento. Poi esiste una seconda chiave, pubblica, mantenuta dalle autorità di certificazione e complementare
alla chiave privata, che consente a chiunque la lettura (ma non la modifica) del documento. Il sistema a doppia chiave
asimmetrica garantisce la ragionevole certezza che il documento non possa essere modificato. Una firma elettronica
apposta su documenti di tal genere definisce in maniera certa la paternità dello scritto. In questo modo il
documento elettronico è parificato, dal punto di vista legale, a qualsiasi altro documento cartaceo sottoscritto
dal mittente.
La legislazione italiana
Ciò è possibile perché il nostro legislatore si è mosso d'anticipo rispetto anche agli altri
Paesi europei, e ha definito una normativa apposita per la firma digitale fin dal 1997 (DPR 513/97). Nel tempo la
normativa
si è arricchita di vari contributi, fino all'ultimo
DPCM del 13 gennaio 2004,
pubblicato sulla G.U. del 27 aprile 2004, con il quale si definiscono le nuove "Regole Tecniche per la formazione, la
trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti
informatici".
I certificatori
Tutto il ragionamento sulla firma digitale si basa su certificati elettronici rilasciati da certificatori autorizzati,
che devono dare garanzie di efficacia alla procedura. In particolare:
-
garantire l'associazione firma digitale - titolare
-
pubblicare l'elenco dei certificati delle chiavi pubbliche dei titolari che si
sono avvalsi dei loro servizi di certificazione
-
mantenere aggiornato l'elenco pubblico dei certificati sospesi o revocati
In Italia, l'organo di vigilanza dei certificatori è il Dipartimento per l'Innovazione e le Tecnologie. I
certificatori possono essere di due tipi, quelli che offrono servizi di base e quelli che offrono servizi avanzati.
Questi ultimi hanno bisogno dal Dipartimento di un permesso che viene rilasciato soltanto dopo i controlli del caso
sulle procedure organizzative e di sicurezza utilizzate internamente.
Due firme per l'Italia
Infatti, con il decreto legislativo 10/2002, sono state introdotte in Italia due forme di firma digitale, per così
dire una avanzata e una base. La prima è la cosiddetta firma digitale avanzata o forte, basata su certificati
qualificati e creata con dispositivi sicuri. Si tratta di una firma valida per legge a tutti gli effetti soltanto per il
fatto di essere stata apposta. Per disconoscerla, il titolare deve attivare il complesso procedimento della querela di
falso.
La seconda, invece, è la firma elettronica debole, redatta senza rispettare requisiti tecnici e
organizzativi di sicurezza previsti per le forti. Il documento redatto con questa firma è equiparato
all'equivalente cartaceo, ma ai fini giuridici la sua efficacia probatoria sarà liberamente valutata dal giudice.
