Caro Gianco,
a noi piace ricordarti così, sempre sul pezzo.
Ci mancherai.
Q&I Sulla Firma Elettronica e Dintorni
Pubblichiamo una serie
di domande e relative risposte tra Gianfranco Tabasso (GT), Vito Umberto Vavalli (VUV) e Andrea
Caccia (AC), rispettivamente Presidente, Chief Executive Officer e Chief
Information Officer di Hub2Hub.
Il carteggio
costituisce un excursus "gestional-tecnico-normativo" di indubbio
interesse per chi affronta questi temi.
GT : La differenza tra
firma digitale e elettronica avanzata sta nel fatto che la seconda può essere
anche simmetrica?
AC : La firma
elettronica avanzata può essere qualsiasi cosa purché abbia le proprietà di cui
alla sua definizione:
firma elettronica
avanzata: insieme di dati in forma elettronica allegati oppure connessi a un
documento informatico che consentono l'identificazione del firmatario del
documento e garantiscono la connessione univoca al firmatario, creati con mezzi
sui quali il firmatario può conservare un controllo esclusivo, collegati ai
dati ai quali detta firma si riferisce in modo da consentire di rilevare se i
dati stessi siano stati successivamente modificati
Non essendo ancora
pubblicate le nuove regole tecniche in pratica l'unico esempio
"vivente" di firma elettronica avanzata è la firma asimmetrica posta
dai gestori PEC sui messaggi e ricevute.
Esempi pratici di
firma elettronica avanzata (posto che riescano a dimostrare la rispondenza con
le regole tecniche:
- firma grafometrica
- firma fatta con le
CNS nei confronti della PA
- invio di PEC alla PA
Il problema della
firma elettronica avanzata è quello che non è regolato e sottoposto a
supervisione e c'è l'inversione dell'onere della prova. Se riesco in qualche
modo a generare una firma a tuo nome per un servizio che viene dichiarato
"firma elettronica avanzata" sei tu ad aver firmato a tutti gli
effetti finché non riesci a dimostrare il contrario, esattamente come se fosse
una firma digitale apposta con certificato qualificato e smart card
GT: Tutte e due
possono/ debbono (?) avere certificati qualificati rilasciati da certificatori
riconosciuti ( a livello nazionale
....da chi ? ) oppure, qui c'e una differenza tra le due?
AC: Solo la firma
digitale e la firme elettronica qualificata richiedono certificato qualificato
e solo la firma elettronica qualificata richiede il dispositivo sicuro di firma
GT: Nella sciagurata
ultima definizione di legge si è perso per la firma digitale il
"dispositivo sicuro di firma" , per cui , salvo la correzione della
nuova norma tecnica in emandamento , sembrerebbe che il dispositivo (che per forza deve esserci) potrebbe anche
"non essere sicuro" in quanto
cosi non certificato dall'organismo competente ( unico.. Europeo ? ).
AC: Il CAD rimanda
alle regole tecniche per definire la cosa. Ciò che dicono le regole tecniche è
che OCSI può stabilire per le firme digitali "ulteriori modalità" ma
limitatamente alla firma remota. La cosa vale solo per l'Italia al momento.
Per il resto d'Europa,
ogni Stato ha un suo organismo per la certificazione common criteria che ha
titolo di dire cosa è dispositivo sicuro di firma e cosa non lo è. E quando lo
dice vale per tutta l'Europa.
GT: I certificati dei
certificatori indicati sono sia digitali che AES? Che significa? Che, come
stiamo sceverando, le due fattispecie sono perfettamente uguali o che questi
certificatori offrono sia l'uno che l'altro?
AC: I certificatori
accreditati emettono certificati qualificati con validità legale. Chiunque
rispetti le regole può offrire servizi di firma elettronica avanzata.
Esistono poi delle
fattispecie che in Italia non esistono ma che in alcuni paesi europei cono la
norma. Ad esempio se io voglio emettere certificati qualificati, potrei farlo
da domani semplicemente comunicandolo a DigitPA: in questo caso sarei sotto
supervisione ma non accreditato e le firme non avrebbero valore "erga
omnes".
GT: Firme digitali e
AES in italia sono equivalenti al fine legale, All'estero , fermo restando
(ipotesi) che la definizione tecnica e
la distinzione tra le due sia sempre chiara ed univoca (la stessa in tutti i paesi... a parte la
deviazione temporanea della citata norma italiana), il Diritto di ciascun paese
può dare diverso valore legale ai due tipi di firma ( senza parlare di quelle
meno forti).
AC: Esistono 4 tipi di
firma:
- firma elettronica:
ad esempio il mio nome e cognome scritti in calce ad una mail o la firma
autografa scannerizzata messa in calce ad un documento elettronico. E'
liberamente valutabile dal giudice e l'unica cosa che il giudice non può fare è
dire che non è valida per il solo motivo che è in forma elettronica
- Firma elettronica
avanzata: ogni Stato membro può di fatto stabilire delle proprie regole in
merito alla validità. Ad oggi è identica alla firma elettronica per il nostro
ordinamento, quando saranno pubblicate le regole tecniche avrà
lo stesso valore della firma elettronica qualificata e della firma digitale.
Dalle stalle alle stelle insomma. Non esiste interoperabilità a livello di
trust.
- Firma digitale: nel
resto del mondo è una firma basata su chiavi asimmetriche, da noi è una firma
basata su certificato qualificato che può avere o no il dispositivo sicuro di
firma. Se non lo ha, anche se deve aver superato quanto richiesto da procedure
OCSI che non sono note e non si sa se mai ci sapranno, in Europa è una firma
elettronica, avanzata nel migliore dei casi, e non ha valore erga omnes
- Firma elettronica
qualificata: ha tutti i crismi e sempre validità erga omnes
GT: Il
"valore" diverso riguarda
soprattutto la possibile o meno valutazione del giudice e a chi spetta l'onere
della prova in caso di contestazione del documento firmato?
AC: Firma digitale ed
elettronica qualificata: valida a priori a meno che io riesca a dimostrare che
avevo una pistola puntata alla tempia mentre digitavo il PIN
firma elettronica
avanzata: il giudice deve determinare se il sistema sia effettivamente firma
elettronica avanzata (e questa è l'arma migliore nelle mie mani se voglio
dimostrare che una firma non è mia: attaccare il service provider dicendo che
non opera secondo i crismi). Poi sono nel caso della pistola puntata alla
tempia
GT: Esiste il caso
che, con una delle due firme non ci sia alcuna possibilità di valutazione del giudice e/o di contestazione di parte o c’è sempre la
(unica) possibilità della querela di falso?
AC: Con la FEA
imposterei la mia difesa accusando il provider di non avere un processo a norma
di legge. Se dimostro che non si tratta di FEA rientriamo nella firma
elettronica ed il giudice valuterà secondo gli elementi a disposizione
GT: ...Non centra con
il resto ma visto che siamo in argomento qual’è il punto , se c’è tra la firma
di un documento che prova solo la autenticità (origine e integrità) di un
documento rispetto alla manifestazione di volontà/sottoscrizione del contenuto dello stesso .....Ho firmato
digitalmente e spedito un volantino delle BR ma quella firma non significa a
mia adesione ai propositi in esso espressi. Nel caso ...come attesterei
l’adesione (come la firma di un contratto con tutte le pagine siglate...)? Aggiungendo
e firmando una frase che attesta la adesione a tutto quello che precede?
AC: Ho sollevato
questo punto. Ad esempio da qualche parte si dice che posso attestare la
validità della copia scannerizzata di un documento con la firma digitale ma
come distinguo questa firma di attestazione (che è la stessa del responsabile
della conservazione) da una sottoscrizione del contenuto? Qui regnerà il fai da
te
VUV: Si tratta di
distinguere la delega di processo, e in questo caso la firma vale come sigillo
elettronico (nelle reti chiuse equivale al MAC, Machine Authentication Code),
dalle procure che stabiliscono i poteri di firma (power of attorney). La
distinzione in Italia è possibile solo verificando i presso il Registro Imprese
quali attribuzioni sono state assegnate al firmatario. Sotto il profilo
tecnologico, si entra nel campo delle Attribute Authority, nel quale ci sono
alcuni standard codificati, ma in concreto ben poco di interoperabile.Inutile
dire che le imprese sono molto indietro sul change di procedure nella gestione
delle procure
GT: Esiste nella norma
l'effetto perverso (da correggere con prossima norma...) che la smart card sia
considerata più sicura dello HSM (firma remota…)
AC: Se la firma è
fatta con dispositivo sicuro di firma ha piena validità. Se si tratta di firma
con HSM che non è certificato come SSCD allora non ha lo stesso valore in tutti
gli altri Stati membri.
Gianfranco Tabasso, 1943 - 2012
Ho conosciuto il dott. Tabasso in alcuni dibattiti in questi anni, e ho apprezzato la sua professionalità e competenza.
RispondiEliminaCondoglianze alla famiglia e ai colleghi più stretti.
Giovanni Chiappero
Grazie, porteremo le sue condoglianze alla famiglia Tabasso. Cordiali Saluti.
RispondiEliminaHub2Hub