Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Firma digitale

I mille problemi della firma digitale - 2
di Gianluca Dalla Riva* - 31.01.02

4. La verifica della firma digitale

Un'esigenza fondamentale del documento sottoscritto con firma digitale è che la verifica della sottoscrizione sia accessibile a chiunque, senza troppe complicazioni. Vediamo come questo non è possibile per vari motivi.
Il documento digitale firmato si compone di una "busta elettronica", definita dallo standard PKCS#7, in cui sono presenti vari elementi:
1. il documento informatico;
2. l'impronta del documento (hash) cifrata con la chiave privata del sottoscrittore;
3. il certificato emesso dal certificatore che garantisce la relazione biunivoca tra l'allegata chiave pubblica del sottoscrittore e la sua identità.

Al fine di effettuare una verifica è necessario che il programma sia in grado di aprire la "busta elettronica" e, oltre ad utilizzare la chiave pubblica del sottoscrittore al fine di poter decifrare l'impronta cifrata del documento e confrontare quest'ultima con il documento stesso, dovrà anche verificare la validità del certificato rilasciato dal certificatore.
Questo passaggio è il più delicato perché a differenza di quanto molti pensano, non è sufficiente che il programma verifichi che sia stata utilizzata una chiave pubblica rilasciata da un certificatore abilitato, in quanto inserito nella lista sottoscritta dal presidente dell'AIPA, ma occorre che il certificato non sia stato revocato o sospeso o scaduto, quando il documento è stato sottoscritto. L'art. 23, comma 5, del testo unico sulla documentazione amministrativa è chiaro in proposito: "L'uso della firma apposta o associata mediante una chiave revocata, scaduta o sospesa equivale a mancata sottoscrizione".

Necessita dunque che il programma di verifica, sia in grado di accedere alla lista dei certificati, scaduti, revocati o sospesi (CRL List), in modo da informare subito l'utente che il certificato emesso non è più valido. In tal caso le soluzioni sono almeno due:
a) il documento è stato sottoscritto con certificato che al momento della sottoscrizione era già stato revocato e quindi la firma si ha per non apposta;
b) il documento è stato sottoscritto con certificato valido al momento della sottoscrizione, ma poi successivamente invalidato. In tal caso chi vuol utilizzare il documento ha l'onere di provare che il documento è stato sottoscritto prima dell'evento di scadenza, revoca, sospensione

Il problema della compatibilità dei sistemi di verifica è stato seriamente preso in considerazione dall'AIPA, nella circolare AIPA/CR/24 Linee guida per l'interoperabilità dei certificatori, in cui è sottolineato il problema "Affinché la diffusione della firma digitale possa avvenire in modo efficace occorre che i documenti firmati da un soggetto mittente che utilizza i servizi offerti da un certificatore possano essere letti e gestiti da un soggetto destinatario che invece utilizza i servizi offerti da un altro certificatore. Se ciò non fosse possibile, lo scambio di documenti elettronici potrebbe avvenire solo fra soggetti che utilizzano uno stesso certificatore".

5. Modalità di verifica di un documento sottoscritto

Attualmente per verificare un documento informatico, posso usare due modi.
Posso utilizzare il programma di firma, al cui interno è predisposto un modulo per la verifica del documento da me selezionato, cliccando sul pulsante di verifica e il programma, tra le altre operazioni, si collega on line anche alla lista CRL e controlla che il certificato sia ancora valido. Questa operazione di controllo avviene anche ogni volta che sottoscrivo il documento, in modo che l'utente sa sempre di utilizzare un certificato valido (la cui revoca o sospensione può avvenire anche su istanza di un terzo o del certificatore stesso, art. 30 ss. delle regole tecniche). Questo presuppone che sia sempre attiva la connessione internet all'atto in cui eseguo la verifica, altrimenti non sarà possibile per il programma collegarsi alla CRL.
Altra possibilità è data dalla verifica della firma direttamente sul sito del certificatore, ma fino a oggi solo due certificatori hanno messo a disposizione del pubblico la possibilità di verificare direttamente on-line la firma di un documento informatico.

Questo tipo di soluzione è davvero ottimale, perché consente a tutti di verificare un documento sottoscritto con firma digitale, essendo sufficiente un PC collegato ad internet oltre, naturalmente, al software di verifica della firma.
Problematica sembra invece la verifica off-line, cioè il caso in cui programma di firma consenta di scaricare tutti i dati della lista CRL, affinché si possa poi procedere alla verifica della sottoscrizione direttamente dal programma senza collegarsi in rete, utilizzando i dati scaricati.
E' chiaro che tutto ciò non permette un perfetto allineamento con la lista CRL a disposizione in rete e questo non garantisce una affidabile verifica del documento sottoscritto.

6. Incompatibilità dei sistemi di verifica

Tuttavia in pratica i sistemi di verifica non sono ancora tutti interoperanti, nel senso che per adesso sembra che i software di firma, che vengono rilasciati da alcuni dei certificatori attivi, verifichino solo i documenti sottoscritti con i propri certificati.
E' sufficiente a prova di ciò verificare il file LISTACER_20011213.ZIP pubblicato dall'AIPA, contenente la lista dei certificati delle chiavi di certificazione e firmato dal presidente dell'Autorità. Se si prova ad effettuare la verifica con un programma di altro certificatore diverso da quello rilasciato dal Centro tecnico della RUPA, che si trova sul sito AIPA, il risultato è negativo.
La soluzione non sembra peraltro molto lontana, perché sarebbe sufficiente che ogni sistema di verifica fosse in grado di collegarsi presso la CRL di ogni certificatore, permettendo, almeno nella verifica, una totale compatibilità, perché è impensabile che si possano ipotizzare tanti sistemi di verifica quanti sono i certificatori.
Se i certificatori non provvedono (e l'AIPA potrebbe svolgere un'azione di persuasione in questo senso) la diffusione su vasta scala della firma digitale ritarderà ancora.

7. Accertare con certezza l'identità dell'utente

La verifica della firma digitale presuppone che il certificatore abbia verificato "con certezza" (art. 28 del TU) l'identità dell'utente. Si tratta un problema fondamentale, che dalla mia esperienza non sembra sia stato compreso né dai certificatori né dall'AIPA. Basta leggere i manuali messi in rete e assistere alla propria identificazione, per capire la superficialità con cui tale essenziale problema viene affrontato da alcuni certificatori. Infatti per "accertamento con certezza" viene intesa semplicemente una verifica delle generalità dell'utente sulla base della carta d'identità e della tessera del codice fiscale. Ora, se un truffatore volesse farsi rilasciare una firma digitale fasulla, avrebbe vita fin troppo facile: basterebbe esibire una carta d'identità falsa, dato che nessun controllo specifico viene poi eseguito sull'utente da parte degli operatori incaricati dell'accertamento dell'identità.

Da un punto di vista strettamente giuridico, il significato dell'accertare con certezza è stato oggetto di varie discussioni. Già la prima dottrina (Formazione, archiviazione e trasmissione di documenti con strumenti informatici dpr. 10.11.1997 n. 513, Commentario a cura di C.M. Bianca, in NLCC, 2000, pag. 633, sul punto V. Gagliardi p. 716) ha evidenziato come la locuzione richiami l'art. 49 l. 16.02.1913 n. 89, la cosiddetta "legge notarile": Il notaio deve essere certo dell'identità personale delle parti e può raggiungere tale certezza, anche al momento della attestazione, valutando tutti gli elementi atti a formare il suo convincimento. In caso contrario il notaio può avvalersi di due fidefacienti da lui conosciuti, che possono essere anche i testimoni". Si impone cioè al notaio di accertare con certezza l'identità delle parti, valutando tutti gli elementi atti a formare il suo convincimento.

Ora il certificatore certifica la corrispondenza univoca del certificato dell'utente con la sua identità (e non la paternità della sottoscrizione del documento informatico firmato con tale certificato), con effetto erga omnes (salvo revoca del certificato) e la relazione biunivoca chiave pubblica e identità dell'utente, opponibile anche al titolare della chiave pubblica (art. 22 lett. n del TU). E' indubbio che per questo aspetto il certificatore è un pubblico ufficiale o un incaricato di un pubblico servizio, dato che la legge gli attribuisce poteri che sono tipici della pubblica amministrazione. Ecco allora che la posizione del certificatore si avvicina a quella del notaio, che identifica con certezza una delle parti contraenti, ritenendo proponibile l'opzione interpretativa che individua una volontà del legislatore di voler disciplinare la fase dell'identificazione del certificatore, tenendo presente il rigore dell'attività notarile.

Tale conclusione non sembra inficiata da altra tesi (Ancora sulla "certezza dell'identificazione" di Paolo Ricchiuto), che distingue da una parte la certificazione operata dall'ente, che non può considerarsi esaustiva ai fini dell'accertamento della identità del soggetto che ha sottoscritto il documento informatico (che vale solo ex art. 2702 c.c.), dall'altra il notaio, il cui accertamento dell'identità della parte e della sottoscrizione avviene con pubblica fede. Mi sembra però che si sovrappongano due piani diversi, da una parte l'accertamento dell'identità del soggetto al fine di rendere certo il legame biunivoco con la sua chiave pubblica e dall'altra la certezza della paternità del documento sottoscritto con firma digitale.

Ciò che accomuna certificatore e notaio è il fatto che entrambi compiono una certificazione relativa all'identità di una data persona, con efficacia erga omnes opponibile anche al titolare della chiave (con possibile revoca). Ora tale relazione biunivoca è il presupposto base per poter compiere la verifica di una firma digitale, ma di per sé non basta ai fini di determinare la paternità del documento sottoscritto ex art. 2702 cc. Una cosa è disconoscere la paternità del documento ex art. 2702 cc., altra cosa è mettere in dubbio la corrispondenza biunivoca tra chiave pubblica e sottoscrittore.
Che infine il notaio abbia il potere ulteriore di dare pubblica fede alla paternità della firma apposta su un documento, non rileva ai fini di stabilire se notaio e certificatore compiono delle certificazioni opponibili ai terzi, evidenziando quindi una analogia di fenomeni e quindi di normativa applicabile.