di
Angelo Verzili

IL QUADRO NORMATIVO
Sul piano pratico, anche in assenza di leggi precise, negli anni passati diversi paesi e alcuni importanti circuiti internazionali si sono attivati per definire le regole tecniche utilizzabili per i vari servizi bancari a proposito della firma digitale. Ad esempio la Svizzera ha definito le caratteristiche dei certificatori, la Danimarca e la Francia hanno fissato l'uso della firma elettronica in ambito Edi, la Swift ha deciso di adottare per la firma elettronica uno standard internazionale (Iso 11166) e infine i circuiti EuropayMastercard-Visa hanno stabilito un proprio standard (Emv). In Italia sono stati disciplinati, con il regolamento previsto dall'art. 15 della legge 15 marzo '97 n. 59 (nota anche come legge "Bassanini 1") e pubblicato nella Gazzetta Ufficiale il 13 marzo '98, i criteri e le modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici. Tale regolamento ha previsto l'emanazione di un Dpcm, alla cui redazione ha provveduto un apposito gruppo di lavoro in seno all'Aipa cui ha collaborato anche l'ABI, contenente le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici nonché le misure tecniche, organizzative e gestionali volte a garantire l'integrità, la disponibilità e la riservatezza delle informazioni contenute nei documenti informatici stessi. Il testo definitivo di tale documento risulta articolato in quattro parti: regole tecniche generali; sulla certificazione delle chiavi; sulla validazione temporale e la conservazione; per le pubbliche amministrazioni.

Nella prima parte in particolare vengono trattati gli strumenti tecnici consentiti: algoritmi, caratteristiche e processi di generazione e conservazione delle chiavi, processi di generazione e verifica delle firme. Nella seconda vengono evidenziati essenzialmente compiti e responsabilità dei "certificatori" nonché le regole per la gestione dei certificati. La normativa, oltre a stabilire che possono certificare sia soggetti pubblici, nell'ambito dei propri ordinamenti e per l'erogazione dei servizi ai cittadini, che soggetti privati, prevede la gestione di un elenco pubblico dei certificatori tenuto dall'Aipa. Nella terza parte vengono riportate le norme sia per dare certezza all'esistenza di un documento informatico in uno specificato momento, che per avere un riferimento riconosciuto valido per l'archiviazione. Infine nella quarta parte vengono specificate le regole per la certificazione e per la formazione dei documenti informatici da parte delle pubbliche amministrazioni.

IL RUOLO DELLA BANCA
L'utilizzo della firma digitale in abbinamento a documenti elettronici è una facoltà lasciata ad ogni soggetto che, se lo ritiene opportuno, può continuare ad operare con lo strumento tradizionale cartaceo e la relativa firma autografa. La naturale evoluzione comunque verso la firma digitale, determinata dai vantaggi derivanti in termini di economicità e di efficienza nei processi di lavoro, comporterà una rapida diffusione del loro uso e pertanto farà nascere per le banche l'esigenza di attrezzarsi, pena la perdita di competitività sul mercato. In tale contesto la banca può assumere essenzialmente due ruoli:

a) soggetto che emette e/o riceve documenti elettronici corredati di firma digitale;

b) soggetto che opera come certificatore, fornendo quindi servizi di certificazione, di norma alla propria clientela.

Per quanto riguarda il primo ruolo, la banca dovrà essenzialmente:

• individuare i dipendenti a cui consentire, in base alla struttura aziendale, la possibilità di firmare elettronicamente


• definire i poteri di firma (limiti di importo, firme congiunte, ecc.);


• dotarsi di una infrastruttura di sicurezza per la gestione delle chiavi da attribuire ai dipendenti, in particolare per la protezione delle loro chiavi segrete;


• farsi certificare, ai fini della validità giuridica, le corrispondenti chiavi pubbliche (o le apparecchiature correlate) da un "certificatore" tra quelli previsti nell'apposito elenco dell'Aipa.

Nel ruolo invece di soggetto che verifica le firme apposte sui documenti elettronici firmati in modo digitale, per essere in grado di verificarne la validità la banca dovrà dotarsi di:

• un collegamento telematico con il certificatore della chiave pubblica del soggetto che ha firmato elettronicamente, anche esterno al sistema bancario. Questo comporterà l'esigenza di creare collegamenti telematici con i certificatori esterni al sistema bancario;


• una procedura informatica che le consenta di verificare le firme digitali.

La banca potrebbe anche essere interessata ad assumere il ruolo di certificatore. In prospettiva, infatti, le operazioni commerciali avranno una evoluzione sempre più ampia in termini di transazioni elettroniche, in particolare di commercio elettronico, e pertanto le banche potranno sfruttare la terzietà nei riguardi del binomio compratorevenditore consentendo il completamento dell'operazione con la fase del pagamento. In pratica per gli acquisti elettronici la banca potrà anche decidere di fornire servizi di certificazione, diretti in genere alla propria clientela, assumendo il ruolo di certificatore del pagamento. Al riguardo occorre rilevare che la normativa italiana ingloba le due attività del certificatore che negli standard internazionali sono viste in maniera separata. Ci si riferisce in particolare da un lato alla funzione di identificazione e di registrazione dei soggetti, e dall'altro a quella di gestione dei certificati, funzioni che possono entrambe essere assunte in proprio ovvero venire delegate ad altri soggetti.

Il sistema bancario ha deciso di affrontare questa tematica, e quindi i servizi correlati alla gestione delle strutture a chiavi pubbliche, strutturandosi con un sistema di tipo gerarchico che vede essenzialmente un organo di gestione della policy, deputato a fissare le regole per il sistema, un certificatore di sistema, i certificatori degli utenti e gli enti di registrazione. In pratica la struttura vede il certificatore di sistema certificare i certificatori degli utenti (i quali a loro volta possono far riferimento a uno o più enti di registrazione) che interagiscono con gli utenti per la relativa registrazione. Se si analizzano i ruoli dei vari soggetti indicati, emerge che:

• l'organo di gestione della policy è un organo che emana le regole per il sistema bancario, nel rispetto di tutta la normativa vigente in materia (firma digitale, privacy, ecc.), che controlla l'attuazione di queste norme e che si avvale, per poter operare, della collaborazione del certificatore di sistema;


• il certificatore di sistema, che è in questo caso un soggetto che deve essere iscritto nell'albo dell'Aipa e rispettare tutti i requisiti di legge, ha il compito principale di identificare, registrare e certificare i certificatori degli utenti, avendo preventivamente verificato che questi soggetti rispettino le regole fissate dall'organo di gestione della policy e, quindi, le regole della policy previste dal sistema bancario. Il certificatore di sistema ha inoltre il compito di gestire la cross certification, il mutuo riconoscimento con i domini esterni al sistema bancario costituiti sia da altri settori economici a livello nazionale sia da altri paesi a livello internazionale; il suo ruolo essenziale è quindi quello di consentire la circolarità a livello bancario di tutti i certificati emessi dai soggetti che operano nell'ambito di questo sistema. La funzione di certificatore di sistema, che rappresenta il vertice della piramide, è stata assegnata alla Sia, Società interbancaria per l'automazione;


• i certificatori degli utenti, che dovranno anch'essi essere presenti nell'elenco dell'Aipa e quindi presentare tutti i requisiti di legge, avranno il compito di svolgere attività di certificazione nonché di identificare e registrare gli utenti. Dovranno quindi instaurare un colloquio sicuro con eventuali enti esterni di registrazione cui abbiano delegato i compiti di identificazione e registrazione degli utenti.

In questa struttura fissata dal sistema bancario è stato previsto l'obbligo per ogni certificatore di tenere un regolamento operativo, pubblicato in forma telematica e firmato digitalmente, contenente, oltre alle regole fissate dall'organo di gestione della policy, anche tutti gli elementi che consentano agli utenti di capire la politica seguita dal certificatore e i servizi che lo stesso è in grado di fornire. All'interno di queste regole dovranno essere inoltre esplicitati i ruoli, le responsabilità, le modalità di certificazione, le garanzie dei vari certificati, le tariffe, i criteri di sicurezza fisica e tutti gli aspetti che consentano di conoscere l'operatività e le regole del singolo certificatore.