La firma digitale di (miran@trieste.com http://miran.trieste.com) Molte volte ci lamentiamo dell'arretratezza del nostro Paese rispetto agli altri paesi industrializzati. Ciò può anche essere vero per qualche specifico campo di applicazione, non vale però certamente in un contesto giuridico-informatico. Una volta tanto siamo i primi ad avere una normativa completa sulla firma elettronica. Dopo un anno e mezzo dalla legge Bassanini (10 novembre 1997, legge n° 513), finalmente sono state pubblicate sulla Gazzetta Ufficiale, il 15 aprile scorso, le regole tecniche per l'applicazione della stessa. Con quest'ultimo passo burocratico si possono finalmente avviare progetti in grande scala inerenti l'uso legalizzato di funzioni finora considerate non sicure e non certificate, quali la trasmissione ufficiale di documenti, la sicurezza integrale nella trasmissione di messaggi di posta elettronica (non solo tra la Pubblica Amministrazione, ma anche tra diverse comunità professionali, quali notai, avvocati, studi di commercialisti e, non per ultimo, anche la certificazione sicura di utenti che entrano nei server Web delle banche e delle società finanziarie) e la certificazione ufficiale dei cittadini per la richiesta on line di documenti pubblici o anche solo di informazioni sui server delle Pubbliche Amministrazioni. Ma, basterà questo a incentivare l'uso della rete, a iniziare un rapido sviluppo della cultura internettiana presso il grosso pubblico ? Quali potrebbero essere i futuri scenari che questa legge propone ? Cosa potrebbe cambiare nella nostra vita quotidiana ? Una recente ricerca condotta dall' Information Technology Association of America (ITAA) e da Ernst & Young ha evidenziato che l'autentificazione (sapere chi c'è dall'altra parte del sito) è uno dei più grossi ostacoli all'espansione del commercio elettronico. La ricerca è stata condotta intervistando i cosiddetti "top manager" dell'informatica e il loro clienti. Il 62% di questi ha dichiarato che l'interrogativo maggiore per l'espansione del business sul Web è quello della "fiducia". In particolare, i tre argomenti più citati sono stati la protezione della privacy (60%), l'autentificazione (56%) e la sicurezza (56%). Più le persone hanno a che fare con la rete, più il problema dell'autentificazione diventa importante. "Quando le persone sono online, vogliono sapere con chi stanno operando, vogliono essere sicure che chi sta dialogando è veramente chi dice di essere e che porterà a compimento gli impegni presi su Internet", ha detto il vice presidente dell'ITAA Jon Englund. Fino ad oggi erano molto di moda frasi come ".. non ho ancora investito in Internet, sai, in fondo non è così sicura, ci sono molte frodi …" oppure ".. preferisco vendere i miei prodotti in modo tradizionale, almeno so cosa devo fare nel caso il cliente non mi paghi ..". Bene, con questa legge, firmare sul Web sarà come firmare dal notaio. Nel modo come è stata concepita, oggi è attuale per i pagamenti tramite Internet, ma domani potrà essere facilmente applicabile anche per altre apparecchiature di collegamento alla rete attuale, come per esempio, per i telefonini con browser incluso (la cosiddetta tecnologia WAP), per le agendine elettroniche oppure per i piloti informatici, presto in dotazione anche sulle piccole automobili di serie. Insomma, questa legge ci toccherà molto da vicino, sicuramente molto di più di quello che oggi crediamo. In sostanza la firma elettronica è composta da una coppia di chiavi (sono dei semplici file !) asimmetriche, definite una come "pubblica" in quanto accessibile da tutti ed un'altra "privata" da conservare con la massima cura (come il codice segreto del Bancomat). Come per gli altri strumenti virtuali di pagamento, anche queste hanno una loro validità e necessitano di una procedura iniziale di riconoscimento per poter essere valide a tutti gli effetti. Può essere attivata solo con la propria password. La chiave privata serve per crittografare documenti e file da parte della persona mittente che viene identificata dal destinatario mentre esegue la procedura inversa (la decrittografazione con la relativa chiave pubblica). Se da questa operazione esce il file originale (leggasi leggibile), può essere certo dell'identità di chi gli ha spedito i documenti. E' da rimarcare la massima cura della chiave privata : occorre paragonarla al denaro contante ! Generalmente viene memorizzata su una smart card (una carta di plastica simile alle carte di credito, dotata di una piccola memoria di massa da 8 o da 16 Kb). In assenza del dispositivo di lettura sul proprio PC si può ovviare con degli adattatori particolari o con il salvataggio della stessa su un floppy disk. Da qualche tempo grossi produttori di PC si sono allineati con un'offerta integrata di lettori di floppy e smart card, per cui si può supporre che a breve anche questo ostacolo sarà superato. Vediamo in dettaglio alcuni casi applicabili alle nuove funzionalità. Immaginiamo di avere bisogno di un documento comunale. Generalmente siamo sempre così fortunati che i nostri orari di lavoro coincidono con quelli di apertura al pubblico degli sportelli del nostro Comune. Cosa fare ? Chiedere dei permessi sul lavoro, perdere qualche ora in fila per sentirci poi dire che manca questo o quel documento e poi recuperare le ore sul lavoro, tornando a casa esausti, alle dieci di sera, senza aver combinato niente ? Oggi la soluzione "potrebbe" essere semplice. Di sera mi collego al sito del Comune, mi identifico in modo sicuro con il mio certificato elettronico e stampo il documento direttamente sulla stampante a getto d'inchiostro casalinga. Se ho in corso una pratica comunale (p.es. un progetto edilizio) posso collegarmi al sito, identificarmi e vedere lo stato di avanzamento della pratica stessa, oppure sapere chi l'ha in visione in questo momento. Lo stesso procedimento informatico vale anche per il cliente bancario, sia per vedere gli ultimi movimenti del proprio conto corrente che per dare disposizioni di pagamento, siano esse un piccolo bonifico da cento Euro oppure una grossa transazione azionaria. Un'ulteriore motivo di fidelizzazione della clientela potrebbe essere la funzione di Certification Authority sviluppata direttamente dalla Banca, come soggetto degno della fiducia da parte degli altri certificatori. Non è un servizio prettamente finanziario, ma è sicuramente compatibile in un'ottica di diversificazione dei servizi proposti dalle banche alla propria clientela. D'altra parte, nessuno dei principali attori "colpevoli" dell'attuale disintermediazione finanziaria, si è mai posto queste questioni etiche ... Oltre all'accesso alle aree protette di diversi server con un'unica identificazione logica e fisica, disporre di un documento d'identità digitale potrebbe servire per molte altre applicazioni. Per esempio, da molti anni nel Friuli Venezia-Giulia è in funzione la distribuzione della benzina agevolata tramite smart card. Alla partenza del servizio i giornali locali descrivevano per esteso tutti i servizi possibili, dalla carta sanitaria al borsellino elettronico fino alla firma digitale da usare con le pubbliche amministrazioni. Purtroppo, ad oggi è ancora solo un contenitore digitale di carburante. Tornando alle regole tecniche della legge Bassanini, il decreto si compone di soli tre articoli: l'argomento del decreto (la gestione completa dei documenti elettronici), il richiamo all'allegato tecnico per quanto riguarda tutte le specifiche tecniche e le norme per la conformità e la validità "geografica" delle stesse. Non starò a tediarvi con la spiegazione dei termini tecnici usati o con i requisiti delle Autorità Certificatrici. Molto importanti sono invece i primi campi di applicazione che derivano da questa legge, e precisamente: - gestione informatica e validità legale dei documenti e dei loro flussi; - sicurezza totale della posta elettronica; - identificazione con valore legale degli interlocutori; - accessi sicuri e controllati nei server; - validità legale per lo scambio dati tra aziende e/o varie categorie professionali, quali avvocati, notai, commercialisti, ecc. Da non sottovalutare anche la portata internazionale della legge. Se fosse a conoscenza di questa legge, un compratore svedese che ha stipulato una transazione commerciale con le sicurezze e le funzionalità necessarie, potrebbe rivalersi del mancato impegno del fornitore italiano in modo semplice, richiamandosi alla legge Bassanini stessa. Ciò vale anche per gli Stati extraCEE, con i quali l'Italia abbia stipulato uno specifico accordo di riconoscimento reciproco. Viene spontanea la domanda: se siamo i primi ad aver fatto una legge del genere come su può fare un riconoscimento "reciproco" ? Scherzi a parte, siamo veramente davanti ad una legge di portata storica. Prepariamoci a digerire in fretta le nuove funzionalità informatiche, le pubbliche amministrazioni devono metterle a disposizione del pubblico entro pochi anni. D'altro canto grosse aziende si stanno muovendo in questo campo investendo grosse somme in progetti a breve termine. Evidentemente la ricerca dell'ITAA ha evidenziato ancora una volta (se ce ne fosse stato bisogno) la poca fiducia della gente nella sicurezza nella rete. Con l'introduzione pratica della legge Bassanini sicuramente ci sarà una percezione di una fiducia maggiore verso l'interlocutore sul Web. La vera sfida però sarà sulla disponibilità di applicazioni semplici e user-friendly per il commercio elettronico sicuro via Internet. Con l'arrivo di anelli Java, computer vestiti da forni a microonde (per adesso senza il lettore di smart card) e computer indossabili, viene da chiedersi se tra qualche anno non useremo una specie di smart-visit-card, un biglietto di visita che daremo ai nostri partner commerciali, comprensivo della nostra firma pubblica digitale. Di certo, ne vedremo ancora delle belle ... (Ndr: pubblicato sul CREDITO COOPERATIVO - 7/99 del 31/07/1999) |