InterLex/ I nemici della firma digitale

di Manlio Cammarata. Dallo speciale dedicato alla firma digitale pubblicato da InterLex il commento del responsabile del sito dedicato a internet e diritto: "La confusione è grande e il futuro è in ritardo"

InterLex - Pochi giorni fa, il 9 dicembre, è entrata in vigore la disposizione del secondo comma dell'articolo 31 della legge 340/2000: basta con l'invio di documenti cartacei dalle imprese alle Camere di commercio. Ora sono ammessi solo documenti informatici, muniti di firma digitale ai sensi del DPR 445/2000. È il primo passo formale e sostanziale verso l'abolizione della carta e l'affermazione del documento informatico come "informazione primaria e originale", almeno nell'ambito della pubblica amministrazione (art. 9 DPR 445/2000).

Ma è prematuro alzare i calici e brindare all'inizio di una nuova era.
Sono ancora troppi gli ostacoli che si oppongono alla diffusione della firma digitale e al suo utilizzo su vasta scala, con tutti i vantaggi conseguenti. Il documento informatico ha molti "nemici", alcuni mossi da qualche interesse, altri da ignoranza, preconcetti o "tecnofobia". Da tutto questo nasce una grande confusione, nella quale cerchiamo di mettere un po' d'ordine. Per quanto è possibile.

La confusione delle pubbliche autorità
Come tutti ormai dovrebbero sapere, il "documento informatico valido e rilevante a tutti gli effetti di legge" è stato introdotto con l'art. 15, c. 2 della 57/97, la prima "legge di semplificazione". Lo scopo principale era l'attribuzione del pieno valore legale ai documenti scambiati tra le pubbliche amministrazioni e tra queste e i cittadini; con straordinaria lungimiranza il legislatore estendeva la validità e l'efficacia del documento informatico anche ai rapporti tra privati.
Successivamente, nel 1999, è stato progettato e messo in cantiere un secondo strumento di dialogo tra i cittadini e gli uffici: la carta d'identità elettronica (CIE), che in parte si sovrappone all'impiego della firma digitale.

Il progetto della CIE fa acqua da tutte le parti. È frutto di una distorta visione della tecnologia, perché accoppia alla carta a microprocessore (standard di fatto e di diritto) una banda ottica (standard solo in teoria, perché non è stata adottata praticamente da nessuno). La banda ottica dovrebbe costituire una sorta di banca dati "portatile", che di fatto duplica il contenuto di altre banche dati, alle quali è possibile accedere on line con la "autenticazione forte" garantita dal microprocessore.
Tutto questo comporta difficoltà costruttive e costi spaventosamente alti: un apparecchiatura per la scrittura in parallelo della memoria della carta e della banda ottica, attualmente inesistente sul mercato, costa dalle dieci alle venti volte più di un semplice lettore/scrittore di smart card. Inoltre il processo richiede tempi lunghi ed è quindi necessario che le amministrazioni acquistino un numero più alto di apparecchi per rendere il servizio in tempi accettabili.

Di tutto questo si è certamente reso conto il Ministro dell'innovazione e delle tecnologie, competente per la materia secondo il DPCM 27 settembre 2001, quando il 18 ottobre scorso ha annunciato un più efficiente strumento di dialogo tra i cittadini e pubblica amministrazione, una "carta dei servizi" assolutamente standard (vedi Innovazione, le sfide del Ministro). Dunque una terza ipotesi, che avrebbe comunque allontanato quella risolutiva della firma digitale, ormai pronta sul piano normativo.
Ma, poche settimane dopo, lo stesso ministro Stanca ha fatto marcia indietro, e ha annunciato in un programma televisivo l'imminente diffusione della carta d'identità elettronica come mezzo di dialogo tra uffici pubblici e cittadini (e si è ben guardato dal fare previsioni sui tempi dell'operazione).

Non è finita, perché c'è un'altra novità in vista: circola una bozza del "collegato" alla legge finanziaria 2002-2005, che all'art. 6, comma 2, prevede che "in aggiunta alle modalità di invio e sottoscrizione delle istanze di cui all'art. 38 del testo unico sulla documentazione amministrativa le pubbliche amministrazioni e i gestori dei servizi pubblici possono "riconoscere la validità delle istanze e delle dichiarazioni inviate per via telematica con l'utilizzo da parte dell'interessato di un codice personale segreto o altro idoneo sistema di identificazione personale".
Un sistema basato su semplici password è quanto di più insicuro si possa immaginare. Inoltre sarebbe fonte di grande confusione, perché ogni cittadino dovrebbe procurarsi e disporre di tanti codici per quanti saranno gli uffici con i quali dovrà essere in contatto. Mentre con la firma digitale tutto sarebbe più facile e, soprattutto, molto più sicuro.

Ancora. Si continuano a impostare nuovi servizi e nuove banche dati con procedure cartacee, anche nei casi in cui la firma digitale - almeno in alternativa alle procedure tradizionali - consentirebbe una ben più alta efficienza. È il caso del nuovo Registro degli operatori di comunicazione o, per fare un esempio recentissimo, della Camera arbitrale on line varata in questi giorni a Milano.

La confusione dei certificatori

I certificatori commerciali iscritti nell'elenco dell'AIPA sono dodici: forse troppi. Ma il fatto è che a quasi tre anni dall'emanazione delle regole tecniche (DPCM 8 febbraio 1999), e anche tenendo conto delle oggettive difficoltà di impianto del sistema, i certificatori non sembrano pronti a far decollare l'offerta. Ottenere un certificato funzionante è ancora un'impresa quasi impossibile, come ci racconta Nicoletta Zingarelli in Alla ricerca della firma perduta.
Sembra addirittura che qualcuno dei certificatori non veda chiaro nemmeno nel proprio ruolo, facendo confusione tra l'attività relativa alla firma digitale "a norma" e quella di Certification Authority. Per non parlare della confusione tecnica: dall'esame dei primi software e dei primi dispositivi di firma in circolazione sembra che ci siano seri problemi di interoperabilità tra i programmi, i lettori di smart card e le stesse smart card, delle quali sembra esistere un numero indefinito di standard.

La confusione degli utenti

Questo punto è forse il più critico, perché le leggi più innovative e le applicazioni più avanzate non servono a nulla se mancano gli utenti, se "non c'è il mercato". In questo caso il mercato sarebbe costituito da milioni di soggetti (imprese e professionisti, prima ancora dei "semplici" cittadini), ma quasi nessuno ha capito che cosa è e a che serve la firma digitale.
È utile leggere l'articolo, firmato da tre professionisti, Firma digitale obbligatoria: fermate quella legge!, perché riassume con straordinaria efficacia la situazione. Meriterebbe un lungo e dettagliato commento, ma qui ci limitiamo a qualche rapida osservazione.

1. Una considerazione preliminare: l'obbligatorietà della firma digitale per determinati adempimenti è indispensabile per l'efficienza e del sistema: basta un solo "pezzo di carta" per rendere inefficaci le procedure automatizzate. I processi misti, manuali e automatici per gli stessi adempimenti, sono uno spreco di risorse umane ed economiche. Non c'è possibilità di scelta. O si decide di rendere efficiente la pubblica amministrazione con procedure automatiche obbligatorie, o si va avanti nel marasma attuale.

2. Lo scritto dimostra che gli estensori sono digiuni e smarriti di fronte alle tecnologie ("cinque software non coordinati" - e non è vero - la smart card che si "smagnetizza" - ma non è una carta magnetica - e via elencando). Per chi ha un minimo di pratica col PC, l'installazione del software di firma e verifica (e non del software di "crittografazione" - rectius "cifratura" - che non c'entra nulla) e l'apprendimento del suo uso sono una questione che si risolve in meno di mezz'ora. Invece per chi è ancora legato ai "faldoni", alla penna e alle file davanti agli sportelli, è un passo lunghissimo e inquietante.

3. I "problemi pratici" che sarebbero determinati dalla firma digitale sono in parte gli stessi delle procedure tradizionali. Chi è abituato a concludere le pratiche all'ultimo momento, a pochi minuti dalla scadenza, deve in ogni caso fare i conti con gli imprevisti: un incidente stradale, che impedisce di arrivare in tempo utile allo sportello, ha lo stesso identico effetto di una smart card che si guasta.
Invece la sicurezza delle procedure digitali impedisce le pratiche "all'italiana": le firme in bianco, le segnature di protocollo "di favore", i consueti "firma tu al posto mio" diventano impossibili. Le marche temporali rendono inutile le mance agli uscieri per "mettere la pratica sopra le altre" o farla accettare dopo la scadenza del termine.

4. È vero che c'è il problema, serissimo, della verifica dell'effettiva paternità del documento (in particolare della scrittura privata) e delle relative conseguenze in sede processuale. Ma è venuto il momento di mettere in chiaro che le norme pensate per la carta non sempre potranno applicarsi al documento informatico. I giudizi di verifica della firma non verteranno tanto sulla paternità della scrittura, quanto sul rispetto delle procedure, in particolare per le validazioni temporali e i tempi di pubblicazione e di verifica delle liste di sospensione e revoca.
I truffatori degli anni a venire non potranno falsificare le firme altrui, ma sfrutteranno i ritardi del sistema e soprattutto le negligenze nelle verifiche (si veda anche La validazione della firma digitale: una verifica cartacea? Giorgio Rognetta).

5. Sempre su questo aspetto, si deve ricordare che l'art. 8, comma 4 delle regole sancisce l' obbligo del titolare di:
a) conservare con la massima diligenza la chiave privata e il dispositivo che la contiene al fine di garantirne l'integrità e la massima riservatezza;
b) conservare le informazioni di abilitazione all'uso della chiave privata in luogo diverso dal dispositivo contenente la chiave;
c) richiedere immediatamente la revoca delle certificazioni relative alle chiavi contenute in dispositivi di firma di cui abbia perduto il possesso o difettosi.


Se non segue queste elementari precauzioni e si lascia "fregare" dispositivo e password, è ovvio che ne pagherà le conseguenze.

Molto altro si potrebbe dire su questi argomenti, ma la conclusione è comunque questa: con la firma digitale si pone fine alla superficialità, al pressapochismo, all'improvvisazione, alle "prassi" ai limiti della legge. È per questo che l'innovazione ha molti nemici, è per questo che a quasi cinque anni dalla previsione legislativa il documento informatico non ha il ruolo che i suoi "inventori" avevano immaginato.
Forse con la prima "Bassanini" e con il primo regolamento sono stati anticipati i tempi, ma dopo più di cinque anni dalla pubblicazione della prima bozza dell'AIPA possiamo ben dire che il futuro è in ritardo.

Manlio Cammarata
Commento apparso nell'ambito dello speciale sulla firma digitale pubblicato da InterLex
5 Commenti alla Notizia InterLex/ I nemici della firma digitale
Ordina