F. Pappalardo, Roma – Sono passati diversi anni, ormai, dall’emanazione del d.p.r. 513/1997 che regolamentava la cosiddetta “firma digitale”. Da allora gli operatori del diritto, e non solo, hanno intravisto un radioso futuro per questo strumento.
Siamo nel 2003 ed e’ ancora lontano il momento della sua consacrazione definitiva. In campo informatico e’ un inedito assoluto. Qualsiasi tipo di hardware o software con sei anni di vita e’ generalmente considerato obsoleto.
E’ giunto il momento di ricercare un punto di partenza per far affermare la “firma digitale”.

L’art. 1 lett n) del d.p.r. 445/2000 (che ha ripreso l’art. 1 lett. b) del d.p.r. 513/1997) riporta la seguente definizione: Firma digitale, il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrita’ di un documento informatico o di un insieme di documenti informatici.

Da questa definizione e’ facile individuare i punti chiave per considerare tale procedura informatica valida a tutti gli effetti di legge, e quindi in grado di imputare la dichiarazione espressa nel documento a chi vi ha apposto la firma.
Lo scopo e’ quello di “…rendere manifesta e di verificare la provenienza e l’integrita’ di un documento informatico“.
La provenienza dovrebbe essere garantita dalla dichiarazione del certificatore sull’identita’ del firmatario, e dalla relativa sicurezza di non poter forzare l’algoritmo della chiave privata utilizzata per la firma. A patto di non impegnarsi in un enorme dispendio di risorse e di tempo che pero’ renderebbero vano il tentativo stesso.
L’integrita’ del contenuto di un documento dovrebbe essere garantita dalla funzione di hash, ovvero da quella sequenza alfanumerica che identifica il file e che se modificata restituisce un messaggio di errore.

Un breve accenno all’iter legislativo successivo:
“Il decreto legislativo 10/2002, attuativo della direttiva 1999/93/CE, ha introdotto nel nostro ordinamento disposizioni in materia di firma elettronica.
Il suddetto decreto legislativo andava a complicare decisamente il panorama normativo ed applicativo in tema di firma digitale, a causa di alcune disposizioni non particolarmente chiare. Recentemente e’ stato approvato uno schema di d.p.r. con lo scopo di chiarire meglio gli aspetti oscuri e di completare l’attuazione della normativa europea, ma purtroppo si e’ ancora lontani dalla perfezione. Innanzitutto all’art. 1 si identificano ben quattro tipi di firme differenti, ossia la firma digitale, la firma elettronica, la firma elettronica avanzata e la firma elettronica qualificata, con buona pace di chi aspramente critico’ la normativa europea che individuava tre differenti tipi di firme, gia’ sufficienti a crear confusione in quanto spesso un tipo di firma incorpora, nella pratica, le caratteristiche di un altro tipo.” (P. PERRI).

Al momento la firma digitale non viene utilizzata.
E’ previsto, comunque, che dal 30 giugno 2003 “le domande, le denunce e gli atti che le accompagnano presentate all’ufficio del registro delle imprese, ad esclusione di quelle presentate dagli imprenditori individuali e dai soggetti iscritti nel repertorio delle notizie economiche e amministrative sono inviate per via telematica ovvero presentate su supporto informatico ai sensi dell’art. 15, comma 2, della legge 15 marzo 1997, n. 59” (Legge n. 284 del 27 dicembre 2002, in G.U. n. 303 del 28/12/2002).

E’ da considerare marginale, e assolutamente insufficiente, l’utilizzo cosi’ limitato di uno strumento della portata della firma digitale. Uno strumento che sarebbe in grado di rivoluzionare i rapporti cittadino – P.A. e che permetterebbe un’agevole conclusione di contratti a distanza.

A prescindere dagli aspetti legali, ampiamente dibattuti, la vera sfida e’ quella di diffondere tale strumento e metterlo alla portata del cittadino medio. Di pari passo con la semplificazione delle norme, con particolare riguardo all’esplicazione della differenza tra firma digitale e firma elettronica di matrice europea, bisogna insistere sull’apprendimento dell’informatica di base e sull’introduzione dei sistemi open source.

Qualsiasi strumento che si reputa affidabile deve essere conosciuto,  anche per quanto riguarda, a grandi linee, il funzionamento, e soprattutto deve essere sicuro. Per poter essere utilizzato da una massa consistente di utenti altri requisiti fondamentali sono la semplicita’ di utilizzo e la facilita’ di reperimento.

La firma digitale e’ uno strumento informatico. Presuppone dunque l’utilizzo di un computer.Purtroppo la realta’ e’ che l’utente medio e’ ancora molto lontano da una vera e concreta informatizzazione. A parte le generazioni piu’ anziane non interessate o che rifiutano la tecnologia, vi e’ anche una consistente parte di persone piu’ giovani che affermano di saper utilizzare il computer.
Spesso queste persone sanno veramente come utilizzare il computer ma non come funziona.
L’esperienza generale e’ quella del soggetto che ha sempre utilizzato strumenti informatici per gioco, oppure quella dei dipendenti pubblici o privati che non sanno andare oltre le funzioni del software necessario per i compiti loro assegnati.
Nella mia breve esperienza come collaboratore con l’Universita’ degli Studi di Milano con il corso di “Informatica Giuridica” ho notato evidenti lacune in studenti in una eta’ che i luoghi comuni suggeriscono foriera di veri geni dell’informatica.
Manca, decisamente, una vera e solida cultura informatica.

La firma digitale opera, oggi, in questo contesto. O meglio operera’ a breve, come abbiamo visto, per quanto riguarda le comunicazioni al Registro delle Imprese.
L’ignoranza informatica del cittadino-utente medio porta lo stesso a non comprendere appieno le potenzialita’ dello strumento a lui affidato. Un cliente che affida la propria firma digitale al commercialista non immagina nemmeno il potere che sta dando a quest’ultimo. Tutto perche’ non conosce la struttura informatica della firma digitale, prima ancora del quadro legislativo.
Lo stesso commercialista puo’ trovarsi in difficolta’ come emerge da un’autorevole articolo pubblicato sulla rivista informatica “Interlex“.

Una volta appurato che l’utente medio e’ in grado di utilizzare e comprendere il funzionamento del computer. Un altro problema si pone all’attenzione.
Il problema piu’ importante: la sicurezza. Senza una presa di coscienza del cittadino-utente medio della pressoche’ totale sicurezza di uno strumento, questo non sara’ considerato affidabile.
Inaffidabilita’ vuol dire mancanza di fiducia e di conseguenza mancato utilizzo.
Questo aspetto e’ gia’ stato preso in considerazione ma sempre dal punto di vista del sistema informatico deputato alla sicurezza della firma digitale, ovvero per quanto riguarda il metodo crittografico utilizzato, la lunghezza della chiave in termini di bit, il luogo di conservazione ecc.

E’ sempre passato in secondo piano il tema della sicurezza del supporto informatico sul quale lavoriamo.
Utilizzare un sistema proprietario, dunque, non open source comporta una serie di problemi proprio relativi alla sicurezza del computer.
Un incrollabile sistema crittografico che ci garantisce una sicura firma digitale puo’ essere facilmente bypassato accendendo direttamente al sistema operativo che stiamo utilizzando.
Basta consultare un qualsiasi sito che si occupa di sicurezza informatica per trovare ogni giorno un potenziale pericolo di questo tipo.
Per tutti: “A rischio i dati personali di 200 milioni di utenti – Scoperta una coppia di gravi falle nel .Net Passport“, “Windows XP, vulnerabilita’ critica“.

Open source vuol dire letteralmente “sorgente aperta”. Il termine sorgente e’ riferito al codice. Il codice sorgente e’ la struttura logica con la quale e’ costruito un software. Questo codice non viene reso pubblico da chi produce software proprietario, e’ a disposizione dei soli programmatori dell’azienda. E’ pubblico, invece, per i contratti di licenza open source.
I vantaggi sono essenzialmente due:
Chiunque ne abbia le capacita’ puo’ contribuire al miglioramento del software, sviluppandolo efficacemente.
La sicurezza non e’ garantita in assoluto, ma e’ garantito che si possa, attraverso il codice sorgente, risalire ai bug (“errori” letteralmente “bachi”) del programma e porvi rimedio. Non solo, cio’ e’ alla portata di tutti e non solo di chi ha realizzato il software.
Ipoteticamente il programmatore, utente e utilizzatore della firma digitale potrebbe, leggendo il codice sorgente del software mediante il quale viene creata la sua firma digitale, creare una patch (“pezza”) per ovviare a un inconveniente relativo alla sicurezza che ha scoperto e porvi rimedio. Potrebbe, successivamente, divulgare questa scoperta e condividerla con la comunita’. Avra’ contribuito al miglioramento delle prestazioni e della sicurezza del software.
In un sistema proprietario questo lavoro spetterebbe al dipendente programmatore e solo a questo, con un evidente svantaggio in termini di tempo e di condivisione delle esperienze.
Un sistema operativo, un software in generale, non puo’ dirsi sicuro quando non e’ possibile verificare il suo codice sorgente. E’ l’unica garanzia della sua trasparenza assoluta.

A titolo di esempio:

“…notizia che si sta diffondendo in questi giorni, relativa alla vulnerabilita’ nel software di un certificatore riscontrata in una ricerca del Laboratorio di sicurezza e reti del Dipartimento di informatica e comunicazione dell’ Universita’ degli studi di Milano (vedi, fra gli altri, PuntoSicuro). Si tratta della possibilita’ di “firmare documenti all’insaputa del firmatario” attraverso un trojan horse inserito ad arte nel sistema attraverso un messaggio di posta elettronica.” (Interlex).

“La notizia, che ha allarmato i piu’, per gli addetti ai lavori non e’ una novita’. Il problema, infatti, non risiede nella scarsa sicurezza della firma digitale, bensi’ nelle caratteristiche dei sistemi informativi utilizzati: la natura del problema trascende quindi il campo della firma digitale e riguarda, piu’ in generale, i sistemi di validazione informatica.
Questa volta non sono la firma digitale o i certificatori ad essere sotto accusa, ma i sistemi informativi, come ad esempio i sistemi operativi installati sui computer utilizzati per svolgere le operazioni di sottoscrizione.

1. Per sottoscrivere un documento informatico con la firma digitale di qualcuno all’insaputa dello stesso, e’ necessario sottrargli il PIN. Senza correre con la fantasia, questa operazione puo’ essere realizzata, almeno nei sistemi Windows, in modo molto semplice. Utilizzando infatti funzioni messe a disposizione con il sistema operativo, e’ possibile leggere il PIN durante l’inserimento tramite tastiera da parte del titolare. Alcune funzioni consentono, infatti, di leggere il nome della finestra nella quale l’utente inserisce dei dati (ad esempio getwindowtext), nonche’ leggere i singoli caratteri digitati sulla tastiera (ad esempio getkeynametext). Nel sito della Microsoft sono disponibili dettagliate descrizioni di queste funzioni.
E’ sufficiente, quindi, un “cavallo di Troia” per ricavare il PIN.
A titolo esemplificativo, utilizzando un diffuso software di firma digitale, nel caso di inserimento del PIN segreto 123456, il sistema operativo fornisce le seguenti informazioni:
Nome della finestra: Identificazione del Titolare
Testo inserito: 123456
Questa criticita’ e’ ormai nota da tempo e risulta che anche l’AIPA ne sia a conoscenza.

2. E’ necessario cifrare l’impronta di un documento utilizzando il dispositivo di firma senza sottrarlo al legittimo titolare, che altrimenti potrebbe chiedere la revoca del certificato.
Ancora una volta, pero’, il virus che ha letto il PIN puo’ fare questo lavoro. Infatti le librerie per comunicare con la smart card e cifrare con la chiave privata presente nel dispositivo di firma, sono descritte nel sito della Microsoft ed in quello dei vari produttori. Ancora una volta, quindi, un buon programmatore puo’ ottenere questo risultato utilizzando librerie pubbliche. E’ sufficiente che il titolare del dispositivo di firma lasci la smart card inserita nel lettore qualche secondo di troppo.
La firma del documento informatico cosi’ prodotta puo’ quindi essere trasferita dal virus la prima volta che il computer viene connesso alla rete.
Non e’ superfluo sottolineare che la firma cosi’ prodotta e’ indistinguibile, sul piano informatico, da quella che avrebbe apposto il legittimo titolare.” (D. PICCA).

Per questo è necessario sostenere e seguire l’iter del DDL (S. 1188) relativo all’introduzione dell’open source nella P.A.
Cultura informatica e sicurezza, grazie all’adozione di sistemi open source, possono essere le vere e definitive rampe di lancio per la diffusione su larga scala della firma digitale.

Scritto da