|
I precedenti articoli sulle nuove "Regole tecniche"
E ora il documento informatico non "scade" più
Regole tecniche per
"bachi" legali
Il problema dell'identificazione certa della persona che richiede un
certificato di firma digitale è stato discusso molte volte su queste pagine,
anche a proposito delle procedute adottate da qualche certificatore, che non
offrono sufficienti garanzie sull'identità del titolare della chiave pubblica e
sul suo effettivo possesso del dispositivo di firma (i link sono alla fine di
questo articolo).
Le nuove regole tecniche, che sono sempre "in attesa di
pubblicazione", affrontano anche questo problema con due disposizioni. Da leggere con molta attenzione, tenendo presente
che il TUDA (DPR 445/00) stabilisce semplicemente che il
certificatore è obbligato a "identificare con certezza la persona che fa
richiesta della certificazione"(art. 29-bis).
Vediamo queste norme, in ordine logico:
Art. 14 - Generazione dei certificati qualificati
1. In aggiunta agli obblighi previsti per il certificatore dall'articolo
29-bis del testo unico prima di emettere il certificato qualificato il
certificatore deve:
a) accertarsi dell'autenticità della richiesta;
b) verificare il possesso della chiave privata e il corretto funzionamento della
coppia di chiavi.
Art. 9 - Dispositivi sicuri e procedure per la generazione della firma
7. Il certificatore deve adottare, nel processo di personalizzazione del
dispositivo sicuro per la generazione delle firme, procedure atte ad
identificare il titolare di un dispositivo sicuro di firma e dei certificati in
esso contenuti.
Le due norme, a prima vista, non sono chiarissime e lasciano spazio a...
fantasie interpretative. Come fa il certificatore ad "accertarsi
dell'autenticità della richiesta"? In pratica i manuali operativi (che devono essere
esaminati dal Dipartimento per l'innovazione prima che il certificatore sia
accreditato) conterranno indicazioni specifiche. Certo non sarà più possibile
accontentarsi della fotocopia di un documento presentata da un intermediario. Il
certificatore dovrà esigere almeno la firma autenticata da un pubblico
ufficiale sotto la richiesta di certificazione, o ricorrere direttamente
all'identificazione personale.
Ma la chiave è nella lettera b) del primo comma dell'art. 14: non sembra che
ci sia altro modo di "verificare il possesso della chiave privata" che
accertarsi de visu che la persona che chiede la generazione del
certificato sia proprio il futuro titolare del certificato stesso. Alla luce di
queste due disposizioni, il settimo comma dell'art. 9 non è che un'utile
precisazione: la personalizzazione del dispositivo non può essere fatta senza
l'identificazione del titolare e quindi la presentazione da parte di un terzo
non è accettabile.
Tutto questo comporterà, per qualche certificatore, un aggravio delle
procedure di emissione dei certificati. Ma è uno scotto da pagare senza
obiezioni, considerando che procedure più accurate generano una maggiore
sensazione di affidabilità della firma digitale e quindi contribuiscono alla
sua maggiore diffusione.
(M. C.)
|
Pagina stampabile
