Diego Zanga

Firma elettronica vittima del software

di Diego Zanga - Cosa succederà quando certi strumenti finiranno in mano ad ignari cittadini di ogni età, magari senza alcuna competenza informatica e, quindi, incapaci di distinguere tra firma elettronica e digitale?

Roma - L'avvocatura ha già affrontato i temi di firma digitale/elettronica, in quanto per un avvocato sono importanti norme e regolamenti, mentre l'interesse per l'aspetto tecnico è inesistente pur rappresentando questo un tema del Processo Civile Telematico; nell'ICT, invece, la firma digitale è conosciuta ed applicata da tempo negli ambiti della fatturazione elettronica e della conservazione sostitutiva.

Cos'è la Firma Digitale a valore legale?
La firma digitale a valore legale è un mezzo per sostituire la firma su carta e consiste nell' apporre una serie di byte su un file che ne attestano l'avvenuta firma o, meglio, che attestano che viene apposta una firma su un documento e che questa è valida per il documento stesso salvo ulteriori modifiche successive.
La firma digitale si realizza tramite un certificato che deve trovarsi su una smartcard e, quindi, non parliamo della firma che molti conoscono e che è fatta con PGP o strumenti similari attraverso i quali un utente crea dei certificati di firma per conto proprio.

I certificati
In questo ambito il CNIPA ha l'elenco delle Certification Authorities(CA), ovvero, l'elenco delle aziende abilitate a produrre certificati validi per la firma digitale.
Queste aziende non si limitano a produrre certificati di firma: rivendono hw, ossia smartcard e token, che devono essere "certificati" quali hw sicuri oltre che adeguati alle normative italiane e vendono, poi, certificati di autenticazione per l'identificazione sicura su un sito web, eventualmente, anche per comunicazione sicura via SSL3.
Il CNIPA ha richiesto, inoltre, alle CA di fornire un applicativo per la creazione/verifica della Firma Digitale, perché, se per firmare su carta basta una penna, in questo ambito, senza un programma adatto e specifico, non si può far nulla: sembra ovvio, ma, purtroppo, non è così.

Partiamo da un fatto banale: i certificati si vendono.
Il problema sta nel fatto che i clienti chiedono una smartcard ad uso firma, ma gli vengono venduti una smartcard e due certificati, il primo per la FIRMA ed il secondo per l'AUTENTICAZIONE e, quindi, due certificati a fronte della richiesta di uno: questa non è una prassi obbligatoria, ma solo una questione di comodità, in attesa dell'imminente prevista diffusione dell'autenticazione, pero' è da notare che poi l'utente paga per rinnovare due certificati al posto di uno.

La cosa diventa rilevante, quando, analizzando i due certificati si scopre che il certificato di firma, a parte un paio di bit, è pressoché identico al certificato di autenticazione e che la differenza tra i due sta solo nel fatto che con il primo si realizza la firma DIGITALE mentre con il secondo quella ELETTRONICA.
La firma digitale ha valore legale, mentre, la firma elettronica non ha alcuna applicazione: se, ad esempio, un contratto per vendere una casa riporta la firma digitale questo è valido, ma, se riporta la firma elettronica questo è solo "carta straccia"...
Tutto ciò non fa solo che offrire spazio ad errori nell'ambito della firma "digital-elettronica".

Come puo' capitare un errore di firma?
Varie CA pubblicano sw per la firma che non informano gli utenti su cosa stanno facendo: questo perché il sw era stato realizzato, inizialmente, per il mercato americano per poi essere adattato a quello italiano che, però, richiede requisiti diversi; dal momento che i certificati sono praticamente identici è possibile che un qualsiasi utente, non informato correttamente, apponga su un documento una firma utilizzando il certificato errato, cioè quello di autenticazione, rendendo il documento non a valore legale.

Alcuni di questi sw, peraltro, non effettuando le opportune verifiche a posteriori (dopo la firma) non segnalano nemmeno il tipo di firma apposta su un file in verifica.
Il problema per ora è limitato, in quanto, il sw più diffuso presso gli utenti è Dike (il sw di Info-Cert) che è uno strumento per firma/verifica che rispetta i requisiti di legge e norme italiane.

Nel corso del tempo, però, i problemi aumenteranno perché, oltre a quelli già presenti, si andranno ad aggiungere quelli causati dalle varie Regioni che stanno producendo sw per la firma elettronica: a cosa mai potranno servire visto che non servono a produrre documenti con valore legale? E poi cosa succederà quando questi strumenti inutili finiranno in mano ad ignari cittadini di ogni età e, magari, senza alcuna competenza informatica e, quindi, incapaci di distinguere tra firma elettronica e digitale?

Ho provato a chiedere ad alcune amministrazioni pubbliche perché paghino lo sviluppo di sw per la firma elettronica, ma, a distanza di 60 giorni nessuno ha ancora saputo darmi una risposta.. forse, semplicemente, non sanno proprio cosa dire né hanno idea di cosa stanno facendo.

In attesa che le CA, che rilasciano tool per la firma digitale, facciano chiarezza e si adeguino eliminando la firma elettronica o segnalando le differenze con quella digitale mi chiedo se quanto sopra citato non sia fatto con l'intento di dare spazio ad una nuova professione: quella del perito calligrafo digitale - tecnico del settore della Computer Forensics che verifica per conto di un avvocato se un file ha una firma digitale vera o falsa.

Diego Zanga
eLawOffice.it
23 Commenti alla Notizia Firma elettronica vittima del software
Ordina
  • non ho capito molto dalla spiegazione, ma vorrei fare un semplice esempio pratico: nel nostro ospedale di Cremona da qualche anno usiamo le carte elettroniche con firma che viene depositata in un server centrale a Milano...
    Prima di accedere al database inserisco la mia tessera SIS, inserisco il mio codice, poi per firmare inserisco di nuovo il codice ogni volta...
    la mia domanda è questa: perchè dopo tutta questa fatica mi dicono che devo ancora ri-firmare il foglio che esce dalla stampante con la penna!!??
    Insomma queste firme sono valide legalmente si o no?
    Annoiato
    non+autenticato
  • - Scritto da: ugo marini
    > non ho capito molto dalla spiegazione, ma vorrei
    > fare un semplice esempio pratico: nel nostro
    > ospedale di Cremona da qualche anno usiamo le
    > carte elettroniche con firma che viene depositata
    > in un server centrale a Milano...


    eheheh

    a MONTE di quanto si parla nell'articolo, nel FORNIRE una smartcard ad uso FIRMA DIGITALE, DEVONO avervi spiegato se/come funziona



    > Prima di accedere al database inserisco la mia
    > tessera SIS, inserisco il mio codice, poi per
    > firmare inserisco di nuovo il codice ogni
    > volta...

    il fatto che per usi distinti serva piu' volte un codice, e' un fattore di sicurezza, piu' per la sua sicurezza, che non per loro necessita'


    > la mia domanda è questa: perchè dopo tutta questa
    > fatica mi dicono che devo ancora ri-firmare il
    > foglio che esce dalla stampante con la
    > penna!!??
    > Insomma queste firme sono valide legalmente si o
    > no?
    >Annoiato

    se la smartcard e' ad uso FIRMA DIGITALE, il documento elettronico e' valido, in vari casi per la sua conservazione serve in AGGIUNTA anche una marcatura TEMPORALE(che indica "QUANDO" e' stata fatta la firma)

    il problema e' banalmente: come e' possibile che ad un utente non venga spiegato COSA e' lo STRUMENTO in USO e COME funziona?
    putroppo serve un documento firmato da uno qualunque degli utenti del sistema per verificare la cosa a posteriori: un documento che il <perito calligrafo digitale> vada ad analizzare Con la lingua fuori
    non+autenticato
  • > ...
    > putroppo serve un documento firmato da uno
    > qualunque degli utenti del sistema per verificare
    > la cosa a posteriori: un documento che il <perito
    > calligrafo digitale> vada ad analizzare

    Se la firma digitale e' equivalente alla firma autografa, a chi/cosa serve una copia firmata a mano ?
    non+autenticato
  • Per la firma autografa, posso dirti che in molti casi contribuisce un bel vagone di ignoranza (non so se sia il caso della tua azienda).

    Io lavoro per un'azienda che fornisce servizi di assistenza sistemistica ed ha effettuato registrazioni elettroniche di tutti gli interventi e fornito per tanti anni al cliente la reportistica in formato digitale.

    Ora il servizio è stato preso da una delle solite grandi cordate (tanto per fare un nome, c'è dentro anche Telecom) e tutti gli interventi devono essere convalidati con un foglio di carta firmato.

    Parlando di centinaia di migliaia di interventi all'anno, e tenendo conto delle tecnologie disponibili, cosa penseresti tu del fornitore e del cliente?

    Un giorno o l'altro torneranno a chiederci di scolpire i documenti su tavolette di pietra ...
  • Dal dicembre 2005 è entrata in vigore la Delibera CNIPA 4/2005 che ha introdotto la nuova struttura del certificato qualificato (quello dedicato alla firma digitale) che ha introdotto numerose e notevoli differenze tra questo certificato e il certificato ausiliario (quello con cui si può fare una firma elettronica, un'autenticazione ad un sito web che riconosca la nostra CA, o la firma di un messaggio di posta elettronica). In particolare, oltre alle citate differenze sui keyusage (cioè sull'uso del certificato - nb solo nonrepudation per la firma digitale) il certificato riporta dei particolari campi (detti qcStatement) che informano a chi verifica la firma che il certificato è un certificato qualificato a norma italiana ed europea e che è stato generato attraverso uno strumento (smart card o chiave usb) rispondente ai requisiti di sicurezza (il cosiddetto dispositivo sicuro per la creazione della firma o in anglossassone SSCD), inoltre ha ad esempio i campi nome, cognome, codice fiscale posti in campi separati invece che nel campo Common Name nella struttura COGNOME/NOME/CODICEFISCALE/CODICEUNIVOCO come nel certificato ausiliario.
    Effettivamente i certificati qualificati emessi antecedentemente al dicembre 2005 erano del tutto simili eccetto i campi del keyusage, ma considerando che mediamente i certificati durano 2/3 anni essi dovrebbero essere ormai scaduti o in scadenza.

    La questione è quindi da spostare sul software di verifica che deve correttemente guidare il soggetto che deve valutare se accettare o meno una firma. La verifica deve cioè controllare oltre che l'integrità della firma anche se è stata prodotta associata ad un certificato emesso da una CA accreditata (cioè presente nell'elenco mantenuto dal CNIPA), se il certificato non è scaduto o revocato, e infine se il certificato è o non è un certficato qualificato - come farebbe un commerciante in un processo di acquisto con carta di
    credito o bancomat.
    non+autenticato
  • > La questione è quindi da spostare sul software di
    > verifica che deve correttemente guidare il

    la questione non e' solo per la parte della verifica, ma anche per la parte in cui si producono i documenti, a meno di non ritenere che un ragazzo di 18 anni, una pensionata di 76, un politico di 40, una professoressa di matematica di 37, etc, non siano categorie ESCLUSI sia dalla firma che dalla verifica: tutte le indicazioni DOVREBBERO essere chiare perche' CHIUNQUE possa usufruire di uno strumento che per legge non ha una limitazione d'uso(ma rischia di divernire uno strumento per pochi).



    > soggetto che deve valutare se accettare o meno
    > una firma. La verifica deve cioè controllare
    > oltre che l'integrità della firma anche se è
    > stata prodotta associata ad un certificato emesso
    > da una CA accreditata (cioè presente nell'elenco
    > mantenuto dal CNIPA), se il certificato non è
    > scaduto o revocato, e infine se il certificato è
    > o non è un certficato qualificato - come farebbe
    > un commerciante in un processo di acquisto con
    > carta di credito o bancomat.

    se arrivi, giustamente, ad avere queste lecite PRETESE, allora il numero di applicativi che generano <problemi> aumenta di parecchio Sorride
    non+autenticato
  • >> La questione è quindi da spostare sul software di
    >> verifica che deve correttemente guidare il

    >la questione non e' solo per la parte della verifica, ma anche per la >parte in cui si producono i documenti, a meno di non ritenere che un >ragazzo di 18 anni, una pensionata di 76, un politico di 40, una >professoressa di matematica di 37, etc, non siano categorie ESCLUSI >sia dalla firma che dalla verifica: tutte le indicazioni DOVREBBERO >essere chiare perche' CHIUNQUE possa usufruire di uno strumento che >per legge non ha una limitazione d'uso(ma rischia di divernire uno >strumento per pochi).

    condivido in parte. Ogni certificatore accreditato deve almeno indicare un prodotto di verifica che soddisfi i dettami di legge (quindi gestire la catena di verifica, gestire i qcstatement, gestire le firme multiple etc). In effetti il fatto che sia una firma elettronica o una qualificata non è evidenziato con iconone rosse o verdi o gialle e su questo occorre sicuramente lavorare.
    non condivido il discorso dell'esclusione delle varie categorie che citi. Ritengo che siamo nello stesso ordine di idee del dare bancomat o carta di credito a dette categorie, in analogia alle carte prepagate (che limitano i danni) lo stesso si può fare con le limitazioni d'uso o di utilizzo (anche se non sono quasi conosciute). Inoltre il riconoscimento di altri formati es PDF e presto forse verrà seguito da OOXLM (di microsoft) visto la sua recente standardizzazione ISO, semplificheranno di molto la gestione dei documenti perchè il verificatore sarà embedded chiaro e rispondente alle richieste dei molti.
    Condivido comunque con l'opinione espressa in un altro commento che questa è una questione di vigilare il MERCATO e non gli standard tecnologici.

    Infine per quanto riguarda le PRETESE queste già ci sono nella norma (Delibera 4/2005 CNIPA) il problema è vigilare correttamente. L'uso di prodotti non suggeriti dai certificatori (unico settore vigilabile dal CNIPA o da chicchesia) è una scelta (quasi obbligatoria se non si usa windows) che però va fatta con la consapevolezza che ci si sta incaricando personalmente di validare il processo di verifica.
    non+autenticato
  • > non condivido il discorso dell'esclusione delle
    > varie categorie che citi. Ritengo che siamo nello
    > stesso ordine di idee del dare bancomat o carta
    > di credito a dette categorie, in analogia alle
    > carte prepagate (che limitano i danni) lo stesso
    > si può fare con le limitazioni d'uso o di
    > utilizzo (anche se non sono quasi conosciute).

    se si creano troppe barrire d'uso, l'esclusione la si crea in automatico, non e' che io la prospetti come voluta ma come spiacevole risultato



    > Inoltre il riconoscimento di altri formati es PDF
    > e presto forse verrà seguito da OOXLM (di
    > microsoft) visto la sua recente standardizzazione
    > ISO, semplificheranno di molto la gestione dei
    > documenti perchè il verificatore sarà embedded
    > chiaro e rispondente alle richieste dei
    > molti.

    ooxml ha una lunga strada davanti a se : costellata di macro virus, che faranno la differenza...
    al di la di questo condivido il pensiero Sorride


    [..]
    > Infine per quanto riguarda le PRETESE queste già
    > ci sono nella norma (Delibera 4/2005 CNIPA) il
    > problema è vigilare correttamente. L'uso di

    e' una pretesa solo perche' le CA fin qui se ne sono fregate in massa: aspetta che uno tzunami li colga, e passa la voglia a tutti di "cincischiare", poi da una "PRETESA" si passa ad una realta'
    non+autenticato
  • mi dispiace non aver potuto comprendere il testo dell'articolo: l'abbondanza di siglie e acronimi a me del tutto sconosciuti me l'ha impedito. Esiste un glossario che mi spieghi:
    ICT
    CNIPA
    hw
    nw
    token, ecc. ?
  • Scritto da: Linsorella
    > mi dispiace non aver potuto comprendere il testo
    > dell'articolo: l'abbondanza di siglie e acronimi
    > a me del tutto sconosciuti me l'ha impedito.

    pesante colpa mia:
    putroppo temo di non aver dedicato abbastanza tempo alla revisione del testo[beh, magari lunedi' mi faro' perdonare]



    > Esiste un glossario che mi
    > spieghi:

    > ICT

    il settore <dell'informatica> e <"telecominicazioni"> e' descritto dalla sigla Information and Communication Tecnology= ICT


    > CNIPA

    Centro Nazionale per l'Informatica nella Pubblica Amministrazione(la sigla precedente con cui era chiamato in passato era AIPA)

    http://it.wikipedia.org/wiki/Cnipa


    > hw

    hardware: la smartcard, un token, etc
    http://it.wikipedia.org/wiki/Hardware


    > nw

    e' hw: errore di battitura(gia' corretto credo, perche' non lo trovo nel testo).


    > token, ecc. ?

    smartcard/token

    la smartcard e' un pezzo di plastica formato tessera, con un chip che e' un "mini pc" che gestisce le funzioni della firma

    il token e' un dispositivo alternativo in formato USB (assomiglia ad una memoria flash usb portatile per forma e dimensioni), che svolge le stesse funzioni della smartcard.




    NB
    un doppio click sul testo apre una pagina di wikipedia che punta alla parola cliccata: non e' sempre utilissimo, pero' risolve parzialmente gli errori di chi scrive i testi Sorride
    non+autenticato
  • ottimo. grazie
    non+autenticato
  • - Scritto da: Diego Zanga
    > NB
    > un doppio click sul testo apre una pagina di
    > wikipedia che punta alla parola cliccata: non e'
    > sempre utilissimo, pero' risolve parzialmente gli
    > errori di chi scrive i testi
    > Sorride
    Sarebbe comodo anche vedere maggiormente usati tag come "ACRONYM", "ABBR", ecc. su testi HTML.
    Esempio: <ACRONYM title="Information and Communication Tecnology">ICT</ACRONYM>
    Teo_
    2666
  • Le ultime versioni del Dike, e mi sembra pure quelle su Linux, non vanno nemmeno a chiedere all'utente quale dei certificati usare per la firma. Tuttavia qualche tempo fa e in altri software non c'e' questa distinzione, perche' sono piu' universali e prevedono di fare tutto cio' che si vuole.

    Pero' rimane all'utente finale la scelta e nel certificato e' scritto chiaramente se si tratta di certificato di firma o certificato di autenticazione.

    Poi chi firma non solo ha questa scelta, davanti alla quale non puo' andare a caso, ma ha pure il controllo dell'interessato ad essa, che deve ovviamente fare le opportune verifiche di autenticita' e segnalare quanto prima il disguido.
  • in qualita' di BOFH francamente questa <bella roba> mi ha spinto a farmelo da solo il sw
    non+autenticato
  • Come sempre in Italia regna la "caccia al sinonimo". Lo è stato per le "telepromozioni" per sforare i tempi delle pubblicità in TV, lo è stato per le "coalizioni" per aggirare le restrizioni elettorali, e potrei andare avanti per molto...
    Comunque ora è la volta delle "firme elettroniche" non "digitali". Non conta niente la volontà della persona di firmare un documento, o che il certificato sia autentico. Quello che conta oggi è questo o quel "bit". Di questo passo domani ci troveremo con certificati validi soltanto nelle giornate di sole...
    za73
    109
  • - Scritto da: za73
    > Come sempre in Italia regna la "caccia al
    > sinonimo". Lo è stato per le "telepromozioni" per

    temo che la colpa l'abbia anche e in gran parte la UE: la rogna e' passata attraverso le regole della UE, che quanto meno poteva definire regole tecniche complete, gia' che c'era, per dire a tutti come fare la CIE(carta d'identitia' elettronica) e/o la smartcard ad uso firma "digitale", secondo un'unico criterio chiaro e DEFINITIVO.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)