Ciao Gianco

Caro Gianco,

a noi piace ricordarti così, sempre sul pezzo.

Ci mancherai.

Q&I Sulla Firma Elettronica e Dintorni

Pubblichiamo una serie di domande e relative risposte tra Gianfranco Tabasso  (GT), Vito Umberto Vavalli (VUV) e Andrea Caccia (AC), rispettivamente Presidente, Chief Executive Officer e Chief Information Officer di Hub2Hub.

Il carteggio costituisce un excursus "gestional-tecnico-normativo" di indubbio interesse per chi affronta questi temi.

GT : La differenza tra firma digitale e elettronica avanzata sta nel fatto che la seconda può essere anche simmetrica?

AC : La firma elettronica avanzata può essere qualsiasi cosa purché abbia le proprietà di cui alla sua definizione:

firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati

Non essendo ancora pubblicate le nuove regole tecniche in pratica l'unico esempio "vivente" di firma elettronica avanzata è la firma asimmetrica posta dai gestori PEC sui messaggi e ricevute.

Esempi pratici di firma elettronica avanzata (posto che riescano a dimostrare la rispondenza con le regole tecniche:

- firma grafometrica

- firma fatta con le CNS nei confronti della PA

- invio di PEC alla PA

Il problema della firma elettronica avanzata è quello che non è regolato e sottoposto a supervisione e c'è l'inversione dell'onere della prova. Se riesco in qualche modo a generare una firma a tuo nome per un servizio che viene dichiarato "firma elettronica avanzata" sei tu ad aver firmato a tutti gli effetti finché non riesci a dimostrare il contrario, esattamente come se fosse una firma digitale apposta con certificato qualificato e smart card

GT: Tutte e due possono/ debbono (?) avere certificati qualificati rilasciati da certificatori riconosciuti ( a livello nazionale ....da chi ? ) oppure, qui c'e una differenza tra le due? 

AC: Solo la firma digitale e la firme elettronica qualificata richiedono certificato qualificato e solo la firma elettronica qualificata richiede il dispositivo sicuro di firma

GT: Nella sciagurata ultima definizione di legge si è perso per la firma digitale il "dispositivo sicuro di firma" , per cui , salvo la correzione della nuova norma tecnica in emandamento , sembrerebbe che il dispositivo  (che per forza deve esserci) potrebbe anche "non essere sicuro" in quanto  cosi non certificato dall'organismo competente ( unico.. Europeo ? ).

AC: Il CAD rimanda alle regole tecniche per definire la cosa. Ciò che dicono le regole tecniche è che OCSI può stabilire per le firme digitali "ulteriori modalità" ma limitatamente alla firma remota. La cosa vale solo per l'Italia al momento.

Per il resto d'Europa, ogni Stato ha un suo organismo per la certificazione common criteria che ha titolo di dire cosa è dispositivo sicuro di firma e cosa non lo è. E quando lo dice vale per tutta l'Europa.

GT: I certificati dei certificatori indicati sono sia digitali che AES? Che significa? Che, come stiamo sceverando, le due fattispecie sono perfettamente uguali o che questi certificatori offrono sia l'uno che l'altro? 

AC: I certificatori accreditati emettono certificati qualificati con validità legale. Chiunque rispetti le regole può offrire servizi di firma elettronica avanzata.

Esistono poi delle fattispecie che in Italia non esistono ma che in alcuni paesi europei cono la norma. Ad esempio se io voglio emettere certificati qualificati, potrei farlo da domani semplicemente comunicandolo a DigitPA: in questo caso sarei sotto supervisione ma non accreditato e le firme non avrebbero valore "erga omnes".

GT: Firme digitali e AES in italia sono equivalenti al fine legale, All'estero , fermo restando (ipotesi) che  la definizione tecnica e la distinzione tra le due sia sempre chiara ed univoca  (la stessa in tutti i paesi... a parte la deviazione temporanea della citata norma italiana), il Diritto di ciascun paese può dare diverso valore legale ai due tipi di firma ( senza parlare di quelle meno forti).

AC: Esistono 4 tipi di firma:

- firma elettronica: ad esempio il mio nome e cognome scritti in calce ad una mail o la firma autografa scannerizzata messa in calce ad un documento elettronico. E' liberamente valutabile dal giudice e l'unica cosa che il giudice non può fare è dire che non è valida per il solo motivo che è in forma elettronica

- Firma elettronica avanzata: ogni Stato membro può di fatto stabilire delle proprie regole in merito alla validità. Ad oggi è identica alla firma elettronica per il nostro ordinamento, quando saranno pubblicate le regole tecniche avrà lo stesso valore della firma elettronica qualificata e della firma digitale. Dalle stalle alle stelle insomma. Non esiste interoperabilità a livello di trust.

- Firma digitale: nel resto del mondo è una firma basata su chiavi asimmetriche, da noi è una firma basata su certificato qualificato che può avere o no il dispositivo sicuro di firma. Se non lo ha, anche se deve aver superato quanto richiesto da procedure OCSI che non sono note e non si sa se mai ci sapranno, in Europa è una firma elettronica, avanzata nel migliore dei casi, e non ha valore erga omnes

- Firma elettronica qualificata: ha tutti i crismi e sempre validità erga omnes

GT: Il "valore" diverso  riguarda soprattutto la possibile o meno valutazione del giudice e a chi spetta l'onere della prova in caso di contestazione del documento firmato?

AC: Firma digitale ed elettronica qualificata: valida a priori a meno che io riesca a dimostrare che avevo una pistola puntata alla tempia mentre digitavo il PIN

firma elettronica avanzata: il giudice deve determinare se il sistema sia effettivamente firma elettronica avanzata (e questa è l'arma migliore nelle mie mani se voglio dimostrare che una firma non è mia: attaccare il service provider dicendo che non opera secondo i crismi). Poi sono nel caso della pistola puntata alla tempia

GT: Esiste il caso che, con una delle due firme non ci sia alcuna possibilità  di valutazione del giudice  e/o di contestazione di parte o c’è sempre la (unica) possibilità della querela di falso?

AC: Con la FEA imposterei la mia difesa accusando il provider di non avere un processo a norma di legge. Se dimostro che non si tratta di FEA rientriamo nella firma elettronica ed il giudice valuterà secondo gli elementi a disposizione

GT: ...Non centra con il resto ma visto che siamo in argomento qual’è il punto , se c’è tra la firma di un documento che prova solo la autenticità (origine e integrità) di un documento rispetto alla manifestazione di volontà/sottoscrizione  del contenuto dello stesso .....Ho firmato digitalmente e spedito un volantino delle BR ma quella firma non significa a mia adesione ai propositi in esso espressi. Nel caso ...come attesterei l’adesione (come la firma di un contratto con tutte le pagine siglate...)? Aggiungendo e firmando una frase che attesta la adesione a tutto quello che precede?

AC: Ho sollevato questo punto. Ad esempio da qualche parte si dice che posso attestare la validità della copia scannerizzata di un documento con la firma digitale ma come distinguo questa firma di attestazione (che è la stessa del responsabile della conservazione) da una sottoscrizione del contenuto? Qui regnerà il fai da te

VUV: Si tratta di distinguere la delega di processo, e in questo caso la firma vale come sigillo elettronico (nelle reti chiuse equivale al MAC, Machine Authentication Code), dalle procure che stabiliscono i poteri di firma (power of attorney). La distinzione in Italia è possibile solo verificando i presso il Registro Imprese quali attribuzioni sono state assegnate al firmatario. Sotto il profilo tecnologico, si entra nel campo delle Attribute Authority, nel quale ci sono alcuni standard codificati, ma in concreto ben poco di interoperabile.Inutile dire che le imprese sono molto indietro sul change di procedure nella gestione delle procure

GT: Esiste nella norma l'effetto perverso (da correggere con prossima norma...) che la smart card sia considerata più sicura dello HSM (firma remota…)

AC: Se la firma è fatta con dispositivo sicuro di firma ha piena validità. Se si tratta di firma con HSM che non è certificato come SSCD allora non ha lo stesso valore in tutti gli altri Stati membri.

Gianfranco Tabasso, 1943 - 2012