L'avvento della firma elettronica leggera

di Andrea Lisi - Dal CNIPA un po' di chiarezza su firme elettroniche leggere e pesanti: User ID e Password possono essere firma elettronica leggera. Il quadro in cui ci si muove

Roma - Sono state pubblicate recentemente dal CNIPA (Centro Nazionale per l'informatica della Pubblica Amministrazione) delle Linee guida per l'utilizzo della Firma digitale (documento datato maggio 2004), con le quali si è cercato di fare chiarezza circa la spinosa questione aperta più volte sulle pagine di questa Rivista, in merito al valore formale dell'e-mail e, più in generale, alla possibilità di considerare un sistema di autenticazione basato su User Id e Pw come idoneo giuridicamente a generare una firma elettronica "leggera" e, quindi, in grado di attribuire valore di "forma scritta" al documento informatico di riferimento (ai sensi e per gli effetti dell'art. 10 2° comma del TUDA e in base alla normativa comunitaria di recepimento).

Si ricordano (tra i tanti) i nostri articoli relativi a questa problematica: Legittima la registrazione alla Personal Zone? o L'email in giudizio, approfondimento o ancora Dubbi amletici di una email anonima. Questa particolare lettura delle norme era stata anche confermata da altri autori, quali F. Sarzana di Sant'Ippolito con l'articolo Firma elettronica e documenti contabili.

Ebbene il CNIPA conferma questa impostazione dottrinale, garantendo così una maggiore elasticità nella lettura delle norme in materia di documenti informatici e firme elettroniche al fine di facilitare lo sviluppo del commercio elettronico.
Secondo il documento ufficiale del CNIPA (disponibile in formato.pdf), che collima in pieno con quanto ci siamo sforzati di riferire durante questi mesi, "a partire dal 1997, una serie di provvedimenti legislativi hanno conferito valore giuridico al documento informatico e alla firma digitale. La pubblicazione della Direttiva Europea 1999/93/CE (Directive 1999/93/EC of the European Parliament and of the Council on a common framework for electronic signatures), nel gennaio del 2000, ha dato ulteriori impulsi al processo legislativo, imponendo un quadro comune agli Stati dell'Unione Europea. Il processo legislativo ha anche fornito delle indicazioni sulle tecnologie da impiegare per ottenere delle firme digitali che possano ritenersi equivalenti a quelle autografe.

La struttura normativa dettata dal legislatore comunitario ha introdotto differenti sottoscrizioni o, più correttamente, differenti livelli di sottoscrizione. Nel linguaggio corrente, quindi, hanno iniziato a essere utilizzati i termini firma "debole" o "leggera" e firma "forte" o "pesante". (?)

Dal punto di vista tecnico e realizzativo è ben definita la firma "forte", ovvero quella che il legislatore definisce firma digitale. Essa è basata su un sistema a chiavi crittografiche asimmetriche, utilizza un certificato digitale con particolari caratteristiche, rilasciato da un soggetto con specifiche capacità professionali garantite dallo Stato e viene creata mediante un dispositivo con elevate caratteristiche di sicurezza che in genere è una smart card.
L'altra tipologia di firma è la parte complementare. Tutto ciò che non risponde anche in minima parte a quanto appena descritto (?) è una firma "leggera".

Ovviamente l'efficacia giuridica delle due firme è diversa. La firma digitale è equivalente a una sottoscrizione autografa. Le altre potrebbero non esserlo: vengono valutate in fase di giudizio in base a caratteristiche oggettive di qualità e sicurezza (...). Concludendo, possiamo dire che nell'utilizzo del documento informatico, quando si ha la necessità di una sottoscrizione equivalente a quella autografa è indispensabile utilizzare la firma digitale.

Negli altri casi possiamo tranquillamente affermare che più che di un processo di firma si tratta di un processo di autenticazione con minori requisiti di sicurezza e quindi con una minore efficacia probatoria".
Ma soprattutto, successivamente, nel paragrafo intitolato "La firma digitale e la direttiva europea sulle firme elettroniche" (pag. 9), si specifica: "La firma elettronica (generica) può essere realizzata con qualsiasi strumento (password, PIN, digitalizzazione della firma autografa, tecniche biometriche, ecc.) in grado di conferire un certo livello di autenticazione a dati elettronici".

Secondo questa lettura della normativa, indicata ufficialmente dal CNIPA nelle Linee Guida, si potrebbero considerare idonei strumenti di autenticazione in grado di attribuire "forma scritta" ai documenti informatici di riferimento, anche se liberamente valutabili dal giudice dal punto di vista probatorio:
- gli accessi in un'area riservata di un sito web al fine di autenticare tutte le future transazioni da effettuare on line
- le e-mail
- la spedizione telematica delle dichiarazioni dei redditi (ENTRATEL del Ministero dell'Economia);
- l'operazione di attestazione nel progetto CRS-SISS della Regione Lombardia;
- alcune sottoscrizioni che avvengono senza smart card nei processi di e-banking etc. (?)

In verità, le nostre considerazioni erano state già confermate dalle parole dell'Ing. Giovanni Manca, responsabile funzione certificazione CNIPA (Centro Nazionale per l'Informatica nella Pubblica Amministrazione): infatti, nel modulo di e-learning sulla firma digitale presente sul sito del CNIPA, (modulo IX del 27.3.2003 - Minuto 8' - il link è http://applicazioni.cnipa.gov.it/formazione-firmadig/cnipa_corsi.html -), dopo aver dato la definizione di firma elettronica cd. leggera, mutuandola dal D.Lgs. 10/2002, l'Ing. Giovanni Manca aggiunge:... "stiamo parlando anche dello user name e della password che ci consentono di accedere al nostro sistema di posta elettronica. Quindi, INVIARE UNA MAIL AD UN DESTINATARIO E' UNA FIRMA ELETTRONICA, ovviamente relativa ai dati contenuti in quel messaggio di posta elettronica...".

D'altronde che a livello comunitario ci sia un acceso dibattito in merito al valore formale da attribuire anche alle semplici e-mail e soprattutto in merito all'esatto significato da attribuire alla definizione di "electronic signature" è confermato dallo stesso corposo studio commissionato dalla Commissione all'Università di Leuven (e presieduto dal Prof. Dumortier) "The Legal and Market Aspects of Electronic Signatures". Alle pagine 63 e segg. dell'interessante documento sono ben evidenziate le differenti impostazioni legislative dei vari stati europei in merito al recepimento della definizione di "firma elettronica" contenuta nell'art.2.1 della direttiva 1999/93/CE: The Directive defines "electronic signature" as data in electronic form wich are attached to or logically associated with other electronic data and wich serve as a method of authentication.

Insomma, piaccia o non piaccia, uno User Id e una Pw se associati ad altri dati elettronici, ai fini di una autenticazione informatica, possono essere considerati firma elettronica leggera secondo l'attuale normativa vigente in Italia!

avv. Andrea Lisi

Avvocato in Lecce, Studio Legale Lisi. Titolare, con il dr. Davide Diurisi, dello Studio associato D.&L., consulenza ICT&International Trade. Curatore del portale www.scint.it. Autore di numerose pubblicazioni in materia di diritto del commercio internazionale e diritto delle nuove tecnologie. Direttore Scientifico del Corso di Alta Formazione in Diritto & Economia del Commercio Elettronico Internazionale e docente in Master universitari dedicati al diritto delle nuove tecnologie.

dello stesso autore:
Privacy e notificazioni, come fare?
Documento informatico in cerca d'identità
TAG: italia
32 Commenti alla Notizia L'avvento della firma elettronica leggera
Ordina
  • Vorrei capire una cosa.
    Se io ricevo una mail, questa deve essere ritenuta firmata con "firma leggera", ma da chi? Da chi compare nel campo FROM?

    Saluti...
    ...............Enrico Fan Linux
    non+autenticato
  • Come spiegato dall'avv. Lisi in altri articoli e da altri commentatori la firma elettronica leggera associata ad una e-mail va valutata caso per caso. L'e-mail può essere considerato un documento scritto ma dal punto di vista probatorio tutto deve essere verificato soprattutto in merito all'identità di colui che ha apposto la sua "firma meccanica" in calce al testo, se questa corrisponde al "from" dell'e-mail e soprattutto in base agli headers dell'e-mail...
    viene fatto spesso l'esempio del telex del telefax o del telegramma che vengono già considerati dal legislatore "forma scritta"
    ciao
    non+autenticato

  • - Scritto da: Anonimo
    [cut]
    > tutto deve essere verificato soprattutto in
    > merito all'identità di colui che ha
    > apposto la sua "firma meccanica" in calce al
    > testo, se questa corrisponde al "from"
    OK

    > dell'e-mail e soprattutto in base agli
    > headers dell'e-mail...
    Allucinante!Deluso

    > viene fatto spesso l'esempio del telex del
    > telefax o del telegramma che vengono
    > già considerati dal legislatore
    > "forma scritta"
    > ciao

    Mi pare logico che questa formulazione sia possibile fonte di innumerevoli truffe, soprattutto verso i piu' inesperti.
    Gia' succede spesso che virus che si spacciano provenienti da Microsoft superino le diffidenze della gente comune e, ottenuta una finta identita', convincano l'utente ad installarli ed infettarsi, si pensi cosa potra' accadere quando questa interpretazione verra' accettata.
    Potrebbe facilmente accadere che persone che ricevono mail da "conoscenti/colleghi/capi" (campo from falsificato), operino in un certo modo, trovandosi poi giustificati dalla finta mail in moltissimi casi.
    Per quanto riguarda gli header, be' non penso che l'utente medio possa prendersi la briga di controllarli.

    Quello che mi pare evidente e' che questa interpretazione apre una breccia ad una quantita' incredibili di piccole truffe.
    Le autenticazioni devono essere alla portata di tutti, non solo degli esperti paranoici!

    Saluti...
    ...............Enrico Fan Linux
    non+autenticato

  • - Scritto da: Anonimo
    > Mi pare logico che questa formulazione sia
    > possibile fonte di innumerevoli truffe,
    > soprattutto verso i piu' inesperti.
    > Gia' succede spesso che virus che si
    > spacciano provenienti da Microsoft superino
    > le diffidenze della gente comune e, ottenuta
    > una finta identita', convincano l'utente ad
    > installarli ed infettarsi, si pensi cosa
    > potra' accadere quando questa
    > interpretazione verra' accettata.
    > Potrebbe facilmente accadere che persone che
    > ricevono mail da "conoscenti/colleghi/capi"
    > (campo from falsificato), operino in un
    > certo modo, trovandosi poi giustificati
    > dalla finta mail in moltissimi casi.
    > Per quanto riguarda gli header, be' non
    > penso che l'utente medio possa prendersi la
    > briga di controllarli.

    Stiamo parlando di valore legale in un tribunale.
    Ma ci sei o ci fai?
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    [cut]
    >
    > Stiamo parlando di valore legale in un
    > tribunale.
    > Ma ci sei o ci fai?

    Innanzittutto non mi pare di essere stato sgarbato, e speravo che la discussione si potesse mantenere su toni pacatiArrabbiato

    Che il valore legale sia una casa da tribunale e' evidente, come e' evidente che il legislatore debba operare per FACILITARE la vita agli onesti, non ai disonesti. Il tribunale e' il posto dove si giudicano gli atti di una persona, ma se la legge (o il suo regolamento) e' fonte di innumerevoli e facili truffe, vabbe' allora FORSE non e' corretta ne confronti del cittadino onesto (quello che dovrebbe essere tuteleto!)
    Se non capisci questo, ti rispondo: ma ci sei o ci fai?

    Saluti...
    ................Enrico
    Fan Linux
    non+autenticato

  • - Scritto da: Anonimo
    > Che il valore legale sia una casa da
    > tribunale e' evidente, come e' evidente che
    > il legislatore debba operare per FACILITARE
    > la vita agli onesti, non ai disonesti. Il
    > tribunale e' il posto dove si giudicano gli
    > atti di una persona, ma se la legge (o il
    > suo regolamento) e' fonte di innumerevoli e
    > facili truffe, vabbe' allora FORSE non e'

    Annoiato

    Mi sfugge come la legge citata nell'articolo possa essere fonte di truffe.
    Se una persona è talmente stupida (perchè di stupidità si tratta: non c'entra la poca esperienza) da eseguire certi ordini (e.g. "dà cento euro al tizio che passa tra dieci minuti. firmato: il Capo") in base ad una e-mail non c'è niente che possa aiutarlo.
    Questo non deve togliere che se in un dibattimento, un tecnico, tramite analisi degli header, certifica che la ditta tizio ha fatto certe promesse alla ditta Caio (e.g. consegna merce in due settimane) tramite e-mail, allora la ditta Tizio è tenuta a risponderne come se avesse firmato un contratto.


    non+autenticato
  • Ringrazio ancora una volta l'avv. Lisi per avere cosi' bene esposto la sua tesi minoritaria gia' adegutamente confutata dai giuristi non solo on line.
    L'autenticazione richiesta e' quella che si appone direttamente sul documento informatico, non sul protocollo di trasferimento.
    dott. Spataro
    direttore quotidiano giuridico on line.
    non+autenticato
  • Guarda io non ci capisco una fava, lo ammetto, ma se sei il direttore di una cosa online saprai che usare un forum come hai fatto te e' pessimo. Se vuoi contestare devi pubblicare la tua versione dei fatti, altrimenti il tuo e' solo un flame (fatto con cortesia, certo, ma sempre un flame).
    Se non completi la tua risposta con la confutazione fai la figura del troll.
    Ma sono cose che dovresti sapere.
  • - Scritto da: Anonimo
    > Ringrazio ancora una volta l'avv. Lisi per
    > avere cosi' bene esposto la sua tesi
    > minoritaria gia' adegutamente confutata dai
    > giuristi non solo on line.
    > L'autenticazione richiesta e' quella che si
    > appone direttamente sul documento
    > informatico, non sul protocollo di
    > trasferimento.
    > dott. Spataro
    > direttore quotidiano giuridico on line.

    Caro Valentino,
    sono io a ringraziare te per questa brillante dissertazione che non trova riscontro nella normativa italiana. Non ci sono al momento norme in Italia che prevedano espressamente che l'autenticazione debba essere apposta "sul" documento, come già ampiamente detto in varie occasioni (tra le quali le varie discussioni sul Circolo dei Giuristi Telematici al quale anche tu appartieni). Che questa mia opinione sia minoritaria o maggioritaria ha poca importanza sino a quando il legislatore non eliminerà ogni dubbio interpretativo. E per adesso il CNIPA sembra procedere in direzioni diverse rispetto a quelle da te prospettate. Ti leggo sempre con piacere. Andrea Lisi - Direttore del Corso di Alta Formazione Postuniversitaria in Diritto & Economia del Commercio Elettronico Internazionale
    non+autenticato

  • - Scritto da: Anonimo
    > Ringrazio ancora una volta l'avv. Lisi per
    > avere cosi' bene esposto la sua tesi
    > minoritaria gia' adegutamente confutata dai
    > giuristi non solo on line.

    E adeguatamente confermata da giuristi e tecnici (sempre di più), nonchè dai giudici, non solo on line

    > L'autenticazione richiesta e' quella che si
    > appone direttamente sul documento
    > informatico, non sul protocollo di
    > trasferimento.

    ???Per la firma elettronica *normale*?
    E dov'è scritto, che norma lo prevede?
    non+autenticato
  • Beh ragazzi penso che l'avv. Lisi abbia avuto un bel riconoscimento a tutte le cose dette a partire dal decreto ingiuntivo basato sulle e.mail... e tutto è partito dalle pagine di Punto Informatico...
    Giusto o non giusto che sia Punto Informatico viene letto anche dai "piani alti":D!
    non+autenticato


  • > Giusto o non giusto che sia Punto
    > Informatico viene letto anche dai "piani
    > alti":D!

    E te ne accorgi ora??
    non+autenticato
  • l'articolo indicato è utile ma fa riferimento all vecchia normativa...
    non+autenticato
  • "soggetto con specifiche capacità professionali garantite dallo Stato" ???

    Ma stiamo parlando quindi di un key escrow?

    Di una banca dati centrale presso cui depositare tutte le chiavi pubbliche ritenute valide ed in mano allo Stato???

    Sapevo che ci saremmo arrivati...Arrabbiato
    non+autenticato

  • - Scritto da: Anonimo
    > "soggetto con specifiche capacità
    > professionali garantite dallo Stato" ???
    >
    > Ma stiamo parlando quindi di un key escrow?

    no, del fatto che se il certificato di firma di un qualcosa, tipo un plugin per il browser mi risulta rilasciato dalla anonimo.net non mi ispira molta fiducia... sai cos'è una CA (Certification Authority)? a questo si riferisce il testo, a realtà tipo Verisign; anche tu se vuoi puoi diventare un certificatore riconosciuto, ma devi rispettare certi parametri tra cui appunto la comprovata professionalità.......

    ....................oppure.....................

    viva GPG!!SorrideSorride

    > Di una banca dati centrale presso cui
    > depositare tutte le chiavi pubbliche
    > ritenute valide ed in mano allo Stato???
    >
    > Sapevo che ci saremmo arrivati...Arrabbiato

    i certificatori non li hanno inventati ieri, e sono tenuti a rilasciare i certificati e mantenere l'associazione coi rispettivi titolari, e per far questo basta la chiave *pubblica* che non servirebbe a niente se non fosse pubblica... poi se non ti fidi è un altro discorso, ma per ora per realtà come i governi purtroppo l'idea della rete fiduciaria stile PGP/GPG non basta e si sentono tranquilli solo se dietro c'è la Verisign di turno

    KaysiX
    non+autenticato

  • - Scritto da: Anonimo
    > "soggetto con specifiche capacità
    > professionali garantite dallo Stato" ???
    >
    > Ma stiamo parlando quindi di un key escrow?
    >
    > Di una banca dati centrale presso cui
    > depositare tutte le chiavi pubbliche
    > ritenute valide ed in mano allo Stato???
    >
    > Sapevo che ci saremmo arrivati...Arrabbiato

    no.
    stiamo parlando di infocamere, che non conosce la chiave privata, ma che certifica l'autenticità e la correttezza di tutto il processo di autenticazione e di rilascio delle coppie di chiavi.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)