di Andrea Monti – PC Professionale n. 85
Per gli esperti di sicurezza è il nome di un virus, mentre per gli amanti del cinema horror è (se non ricordo male) il titolo di un film, per i giuristi invece questa (13 marzo 1998) è la data di pubblicazione sulla Gazzetta Ufficiale del regolamento sulla firma digitale.
Già, finalmente ci siamo: dopo tante incertezze, attese deluse e rinvii dell’ultim’ora ora la firma digitale è una realtà della quale per molti versi ci si può dichiarare soddisfatti, ma per altri alquanto preoccupati. “Il solito uccello del malaugurio” potrebbe pensare qualcuno, ma è veramente così?
Di cosa si tratta?
Riassumo brevemente i termini della (complessa) questione.
Uno dei problemi fondamentali della digitalizzazione dell’attività giuridicamente rilevante (atti fra privati e pubbliche certificazioni) sta nella difficoltà di attribuire un qualche valore legale ai file che – per loro natura – sono volatili, alterabili e anonimi. In pratica: come si fa ad essere certi che lo stato di famiglia ricevuto via mail (posto che ci fosse un’amministrazione in grado di ottenere il risultato) sia veramente tale?
Il regolamento di cui si parla – emanato a seguito di un articolo della legge Bassanini – risponde a questa domanda tramite la combinazione di un meccanismo tecnico (la crittografia a chiave pubblica) con la creazione di alcuni soggetti giuridici (le autorità di certificazione pubbliche e private). Agitate bene prima dell’uso ed infine servite il cocktail “digital document”.
In due parole il gioco funziona così: chiunque voglia utilizzare il documento digitale si rivolge ad un’autorità di certificazione che “registra” la sola chiave pubblica (in alcuni casi anche quella segreta) inserendola in un registro unico. A questo punto tutti gli atti compiuti per il suo tramite hanno valore legale a tutti gli effetti e sono riferiti automaticamente al titolare, ciò fino a quando non interviene la revoca della chiave (che va sempre indicata nel registro di cui sopra). Il criterio è analogo a quello utilizzato per il bancomat: se lo perdete tutto ciò che accade fino a quando non denunciato lo smarrimento (o il furto) si presume compiuto da voi.
Riflessioni di principio…
In realtà il documento elettronico non è una novità introdotta da questo regolamento, perché già la normativa sull’informatizzazione della Pubblica Amministrazione e il codice penale si sono occupati dell’argomento in un passato recente, anche se bisogna dire che ora – in qualche modo – il cerchio si è chiuso e disponiamo di un sistema normativo che sembra in grado di funzionare.
Una volta tanto, infatti, il fantomatico legislatore ha cercato di fare le cose con un minimo di raziocinio e bisogna dare atto a chi ha scritto il testo di essersi impegnato veramente molto anche e soprattutto sul piano culturale. Se infatti la legge sui reati informatici e quella sui dati personali (volgarmente detta legge sulla privacy) sono portatrici del messaggio “informatica=pericolo” il regolamento sulla firma digitale è ispirato a criteri radicalmente opposti, come dimostra che non sono state previste forme di key recovery (procedure non documentate per decifrare comunque un messaggio criptato) mentre il key escrow – consegna della chiave segreta ad una terza parte – si applica solo in casi limitatissimi. Prova questa di una grande attenzione ai diritti di segretezza e inviolabilità delle comunicazioni, tanto aggrediti in questi ultimi tempi.
Certo non si tratta di una norma perfetta, ma considerando che di mezzo c’è sempre la mediazione politica penso che ci si possa ritenere più che soddisfatti di ciò che è stato fatto, a riprova che molto spesso basta mettere le persone giuste al posto giusto.
… e di sostanza
Le idee sono una bella cosa però bisogna anche tenere presente le esigenze concrete e quindi va da sé domandarsi cosa cambia (anche) per la Rete.
Al momento nulla, perché a questo provvedimento si dovrà aggiungere quello che detta le norme tecniche, a loro volta destinate ad una lenta attuazione, quindi – per ora – “bocce ferme” sul tavolo del commercio elettronico mentre si apre ufficialmente la guerra (sotterranea) degli standard con immaginabili ricadute per utenti e sviluppo tecnologico.
Per quanto riguarda gli aspetti commerciali il regolamento sulle norme tecniche è forse più importante di quello sulla firma digitale perché condizionerà molto pesantemente i mercati dello sviluppo e dell’hardware.
La firma digitale riguarda infatti anche la Pubblica Amministrazione che quindi dovrà riconvertire il proprio arsenale informatico e formare il personale – tutto il personale – per utilizzare questi strumenti secondo le indicazioni tecniche dell’AIPA. Tempo stimato: cinque anni.
Anche ammettendo che – in previsione dei lunghi tempi di attuazione – si decida di acquistare prodotti di una o due generazioni successive rispetto a quella attuale è inevitabile che – dopo qualche tempo – l’obsolescenza produca i soliti danni: mentre il settore privato sarà mediamente (e con i dovuti distinguo) sempre à la page con l’ultimo notebook tetraprocessore e spremiagrumi incorporato, il Comune di Altroquando andrà ancora avanti con un misero Pentium2.
Se a questo si aggiunge la nota incompatibilità e incomunicabilità fra prodotti, software e sistemi operativi, è facile aspettarsi un mondo al cui confronto la Babele di biblica memoria è un cantone della Svizzera Tedesca.
Questa più che probabile divaricazione fra il settore pubblico e quello privato rischia di avere anche un altro effetto: se la Pubblica Amministrazione non aggiornerà periodicamente le proprie infrastrutture (e francamente non mi sembra pensabile, quantomeno per i costi di un’operazione del genere) il mercato dovrà continuare a tenere artificialmente in vita molto più di quanto accade oggi prodotti che nel giro di poco tempo diventano dei rottami tecnologici. Siccome non stiamo parlando di qualche centinaio di PC ma di altri numeri, provate a pensare cosa possa significare.
Per altri versi, mentre il settore dell’information technology in testa – seguito a ruota da quello del credito – spinge fortemente per l’attuazione di queste normative, è ragionevole pensare che la burocrazia amministrativa farà di tutto per frenare l’ingresso della firma digitale nel settore pubblico.
Ancora una volta, a voi le conclusioni.
Di certo non invidio chi ha scritto il regolamento sulla firma digitale, che immagino ora asserragliato in un fortino circondato da nemici di ogni tipo… in bocca al lupo!
Epilogo
Venerdì 13… magari fosse stato solo un virus.
Possibly Related Posts:
- Le cinque sfide della sicurezza nazionale
- Dopo 70 anni, il Centro nazionale di supercalcolo realizza il sogno di Bruno de Finetti
- Big Tech e geopolitica. Il caso Starlink
- Ue e G7, i cavi sottomarini come asset strategico per la sicurezza delle reti
- Dopo SPID è ora di cancellare anche la firma digitale