La firma diventa digitale

Gli atti societari ormai si possono inviare solo per via telematica e anche la firma si adegua

15 maggio 2003 A fine giugno è scattato per le aziende
l'obbligo di inviare solo per via telematica gli atti societari al Registro
delle imprese delle Camere di commercio. Un primo passo sancito per legge volto
a diffondere l'utilizzo della firma digitale. Introdotta nel 1997 con la legge
Bassanini la firma digitale ha dal punto di vista legale lo stesso valore della
firma autografa.


 


La firma digitale consiste in un sistema di crittografia a
doppia chiave asimmetrica, composta da una chiave pubblica e una privata che è
in grado di garantire l'integrità e la provenienza dei documenti. La prima
chiave si trova nei registri della certification authority che garantisce la
corrispondenza tra questa e l'identità del titolare a sua volta proprietario
della seconda. I programmi di posta elettronica provvedono poi alla
verifica automatica
della firma. Abilitati a rilasciare la firma
digitale, fino ad oggi, sono solo i certificatori accreditati (Ca) presso l'Aipa
(Autorità per l'Informatica nella Pubblica Amministrazione) il cui elenco è
pubblico e recuperabile all'indirizzo www.aipa.it (cliccare su elenco
certificatori). Acquistabile presso gli enti certificatori, banche, uffici
postali, camere di commercio, negozi Buffetti e altri punti vendita, il kit
della firma digitale ha un costo fra i 70 e i 100 euro.


A breve la firma digitale diventerà europea. Lo scorso
febbraio il consiglio dei ministri ha approvato il regolamento di attuazione
della direttiva europea relativa al quadro comunitario per le firme
elettroniche. Il provvedimento dopo l'esame della Corte dei conti diventerà
definitivo con la pubblicazione sulla Gazzetta Ufficiale, dove si troveranno
anche le "regole tecniche" (gli standard) sui documenti informatici che
il ministero dell'Innovazione sta ultimando. Cosa cambia rispetto al passato?
"Per gli utenti non cambierà nulla" risponde Giovanni
Manca, responsabile funzione certificazione Aipa "Il cittadino che avesse
acquistato la firma digitale in passato presso uno dei certificatori accreditati
potrà continuare a utilizzarla. Quello che cambia è il rapporto tra
certificatori e istituzioni e che viene data una normazione ufficiale anche a
quelle che gli addetti ai lavori hanno definito 'firme deboli'"
. La
direttiva distingue la firma elettronica generica, strumento di
autenticazione di dati elettronici che può essere realizzata con qualsiasi
strumento (password, Pin, digitalizzazione delle firma
autografa
, tecniche biometriche e così via), da una firma elettronica
avanzata più sofisticata, che consente di identificare in modo univoco il
firmatario permettendo anche la scoperta di modifiche all'oggetto firmato
apportate dopo la sottoscrizione. Queste caratteristiche sono garantite dal
certificatore. "In realtà" prosegue Giovanni Manca "le firme
europee saranno quattro: una firma elettronica generica, una avanzata (basata su
un sistema a chiavi asimmetriche), una firma 'forte' con chiavi certificate da
un certificatore non accreditato, una firma 'forte' con chiavi certificate da un
certificatore accreditato. Di queste, solo le ultime due avranno lo stesso
valore della firma autografa e quindi saranno in grado di sostenere la prova in
giudizio"
. La scelta di utilizzare un tipo o l'altro di firma
dipenderà esclusivamente dalle esigenze degli utenti. Se, ad
esempio, un'azienda dovrà presentare atti societari al Registro delle Imprese
della Camera di Commercio, necessiterà di un a firma digitale "forte",
nel caso in cui, invece,si vorrà mandare una mail, certificando proprio
l'identità del mittente si potrà utilizzare una firma "debole".


Punto critico del sistema è ovviamente la sicurezza. La
firma digitale può considerarsi completamente sicura? Difficile dare una
risposta certa. Secondo Raoul Chiesa, fondatore della società @Mediaservice.net,
che si occupa di web e sicurezza informatica, il sistema a chiave pubblica è uno
degli accorgimenti più sicuri ad oggi esistenti. Certo, molti sono i fattori di
"contorno" che possono diminuire o innalzare questo "livello di
sicurezza". In primo luogo, va da sé che, da qualche parte, le "chiavi
private"
devono essere custodite. Da chi? Sicuramente dalla Certification
authority, l'ente super partes che si fa in qualche modo "garante" dell'identità
degli attori chiamati in causa. Risulta ovvio come - nel caso di Ca non
sufficientemente protette - questo elenco possa essere trafugato da persone non
autorizzate, con le ovvie conseguenze del caso: impersonificazione di terzi
nelle transazioni, possibilità di non ripudio, e così via. Diciamo che
tutti i punti di forza della Firma Digitale si potrebbero
ritorcere proprio contro l'utilizzatore finale, l'utente, nel caso di abuso in
seguito ad intrusione informatica. Quindi, un primo aspetto riguarda proprio la
sicurezza intrinseca della Ca: è opportuno sceglierne una che si sottoponga a
security test (in gergo, Penetration Testings) di alto livello, simulando in
tutto e per tutto le attività di attacco ed abuso che persone non autorizzate
potrebbero lanciare contro. Il consiglio è quindi di affidarsi a Ca note e con
una storia alle spalle. Il problema non è di poco conto. Qualche tempo fa
il Dipartimento di informatica dell'Università degli Studi di
Milano è riuscito a superare la protezione di un dispositivo di firma digitale
proposto da un ente certificatore. Il team guidato da Danilo Bruschi, docente al
Dipartimento di scienze dell'informazione, dopo otto mesi di lavoro con
un virus informatico è riuscito a ottenere documenti con firma
digitale di un utente a sua insaputa. Il possessore della firma ha aperto un
file infetto ricevuto via mail che mentre lui siglava documenti via Internet
replicava la sua firma su altre carte. Bruschi, spina nel fianco
dell'Assocertificatori, non alza però i toni. "Non è un fatto
particolarmente grave, abbiamo solo voluto dare un segnale"
. Per ricordare
a tutti che la sicurezza assoluta su Internet non esiste e che forse sarebbe il
caso di studiare contromisure più dal punto di vista della normativa che della
tecnologia. Secondo Bruschi infatti, per quanto riguarda la parte tecnologica si
assisterà a una continua rincorsa fra l'evolversi degli
attacchi e delle protezioni. Per questo sarebbe più opportuno studiare
meccanismi da lato della normativa simili a quelli studiati per le carte di
credito. Le spese fantasma si annullano, sarà così anche per i contratti?

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here