[OT] firma digitale (lungo) era Re: a proposito di official LUG +
Pizzata
Massimo Masson
massimo.masson@libero.it
Mar 2 Set 2003 01:02:26 CEST
Diaolin... wrote:
[...]
>>Mi piace ed è interessante! Ora poi che la firma digitale ha valore
>>legale credo che sia una materia "gustosa" tanto da un punto di vista
[...]
> Ha valore se certificata, e per certificarla devi certificare tutto il
> processo di certificazione(?) cosa che sto affrontando con un mio collega
> di Trento... una cosetta mica da ridere.
PREAMBOLO...
Noi, in Italia, siamo sempre stati abbastanza all'avanguardia per quanto
riguarda il documento elettronico e la firma digitale, sin dai tempi del
dpr 513/97 (certo non l'unica fonte normativa, ma notoriamente una delle
piu' significative), che "indtroduceva" (normativamente, intendo) il
concetto di "firma digitale". Un certo "stravolgimento" si è avuto a
seguito della (ormai relativamente) recente Direttiva Comunitaria per
l'armonizzazione dei sitemi di firma (ora elettronica), che ha ridotto
la firma digitale ad un sottoinsieme della fattispecie di firma,
appunto, "elettronica" avanzata, peraltro recependo un termine IMO (ma
non solo IMO! Ce ne sono anche altri che la pensano come me!!!) non
necessariamente proprio corretto (la firma digitale è "digitale" perchè
si basa su informazioni riconducibili ad un "sistema binario". La firma
"elettronica" invece riguarderebbe il "mezzo" fisico, ovvero
l'elettrone. Ma allora una firma memorizzata su CD non è più elettronica
in quanto ottica? Tralascio la discussione di taglio certamente poco
pratico...).
In sostanza, allo stato attuale, viene giuridicamente riconosciuto il
documento informatico, sottoscritto con firma "elettronica" (di due
tipi, semplice ed avanzato, di cui la firma digitale è una sottospecie).
In realtà, anche il documento informatico non sottoscritto ha in se' la
qualificazione giuridica di documento, solo che non consente di
verificare ne' la provenienza ne' l'integrità. Chi voglia dimostrarne
paternità e veridicità deve quindi fornire adeguate "prove", che non
sono praticamente concretizzabili se non in casi particolari, o qualora
il documento sia stato appositamente firmato. Esistono dunque diversi
"gradi" di firma, in quanto si va dalla firma "semplice" alla firma
"forte", o avanzata di cui la firma digitale è una fattispecie.
L'art. 10 del d.p.r. 455/2000 introduce la firma "debole", stabilendo
che "[...] il documento informatico, sottoscritto con firma elettronica,
soddisfa il requisito legale della forma scritta. Sul piano probatorio
il documento stesso è liberamente valutabile, tenuto conto delle sue
caratteristiche oggettive di qualità e sicurezza. [...]".
In tal senso, un sistema di firma semplice, se avvalorato da apposito
accordo valido di natura privatistica (presumibilmente precedente),
dovrebbe (uso il condizionale per mancanza (a quanto mi consta) di
giurisprudenza, allo stato attuale delle cose) rendere già valido il
sistema, con un relativo grado di sicurezza, in quanto il documento può
far prova in base alla libera valutazione del giudice in caso di non
riconoscimento di una delle parti in causa.
Più "robusto" (sotto un profilo probatorio) invece è il documento
informatico munito di firma elettronica "avanzata" o "forte" (la firma
digitale (GPG e PGP per capirsi...) è al momento peraltro l'unico
esempio di firma elettronica forte che mi venga in mente...) in quanto,
il solito art. 10 già citato stabilisce che: "[...] il documento
informatico, quando è sottoscritto con firma digitale o con un altro
tipo di firma elettronica avanzata, e la firma è basata su di un
certificato qualificato ed è generata mediante un dispositivo per la
creazione di una firma sicura, fa inoltre piena prova, fino a querela di
falso, della provenienza delle dichiarazioni di chi l'ha sottoscritto.".
Qui c'è un inversione dell'onere della prova estremamente forte, fino "a
querela di falso", appunto. Ed inoltre la validità legale è quella del
documento scritto con firma autografa! Vale quindi per stipulare
contratti, tanto per dirne una...
C'è però da tener presente l'"ultimo" passaggio: la firma elettronica
avanzata (ivi firma digitale) è dunque uno strumento molto
significativo, che da solo però non basta, perchè chiunque potrebbe
generare le "chiavi". Nulla da eccepire qualora in via privatistica si
stabilisca di utilizzare un determinato sistema di firma digitale, ma
per garantire l'assoluta "sicurezza" del sistema, oltre ad un
"dispositivo di firma sicuro" entra in gioco il concetto di "ente
certificatore", che consente di associare con certezza una coppia di
chiavi (nel caso della firma digitale classica a chiave pubblica, che è
il caso comune fino ad ora...) al suo legittimo possessore. Esistono 3
diversi tipi di enti certificatori (non qualificato, qualificato ed
accreditato), che danno "forza" diversa al sistema di firma elettronica
avanzata (e/o digitale). I più importanti sono quelli "accreditati" (tra
i più famosi dei quali ci sono ad esempio Infocamere e PosteCom) i cui
dispositivi di firma (ed i documenti con essi sottoscritti) hanno piena
validità giuridica anche nei confronti delle Pubbliche Amministrazioni,
che devono recepire i documenti in tal modo prodotti (dal 2004... ormai
è molto vicino...)
E DOMANDA...
Ok, tutta sta pappardella che ho scritto per arrivare gradualmente alla
definizione di certificatore ed essere sicuro di intenderci sui termini,
di seguito la domanda: stai/statete certificando "qualcuno" per la firma
digitale? che tipo di certificatore diventerebbe? Ritengo la cosa
particolarmente interessante e mi piacerebbe scambiare due chiacchiere
sull'esperienza...
> Comunque interessante. io non posso partecipare al LinuxDay di BL perchè
> già impegnato in quello del LinuxTrent:-)
Quelli impegnati al LD-BL non potranno partecipare al LD-LinuxTrent.
Un "peccato reciproco". Qualche "snapshot" ongi tanto durante la
manifestazione via webcam, banda (se possibile) permettendo?
^_^
Ciao,
Max.
Maggiori informazioni sulla lista
blug