vai a portalino

 

UNIVERSITÀ DEGLI STUDI DI SIENA

FACOLTÀ DI SCIENZE
ECONOMICHE E BANCARIE

 

'FIRMA DIGITALE E BANCA VIRTUALE:
gli aspetti giuridici'

 

 

tesi di laurea di:

Maria DI BARI

relatore: Prof. Franco Belli

 

 

Siena, 10 luglio 2002

mail to: mady72@yahoo.it

 

 


Capitolo II
Firma digitale: funzioni e prospettive

2.10 LA PROCEDURA DI CERTIFICAZIONE



Da quanto detto, sembrerebbe che il sistema a chiavi asimmetriche, adottato con la firma digitale, sia da solo sufficiente ad assolvere il delicato compito di attribuire valore legale alle transazioni che avvengono per via telematica.

Il problema che si pone, infatti, attiene alla sicurezza, ovvero all'autenticità della chiave pubblica, in particolare alla garanzia che questa provenga effettivamente dall'utente preventivamente identificato e che non sia stata contraffatta .

Il sistema della crittografia asimmetrica non è da solo sufficiente ad assicurare al destinatario di un messaggio, firmato elettronicamente, che una chiave pubblica appartenga, realmente, ad un determinato soggetto. Infatti, l'autore di un documento, approfittando della impersonalità della firma digitale, potrebbe spacciarsi per un'altra persona, oppure usare il nome di una persona inesistente. È necessario, quindi, che con un'apposita procedura di certificazione, si attribuisca alla chiave pubblica l'identità, precedentemente accertata, del soggetto titolare della corrispondente chiave privata, garantendo così quella che il legislatore definisce come "…corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene…" (D.p.r. n. 513/97 art.1, lett. h, e D.p.r. n. 445/2000 art. 22, comma 1, lett. f) .

Occorre, dunque, verificare se colui che utilizza una determinata firma digitale con chiave asimmetrica sia in realtà il legittimo assegnatario . Nei rapporti inter absentes, infatti, non è agevole accertare detta corrispondenza.

Tale problema è stato risolto prevedendo, con il D.p.r. 513/97 prima e con il D.p.r. 445/2000 poi (ulteriormente modificato dal D.lgs. 10/2002 ), ai fini di un corretto utilizzo della firma digitale, la figura del certificatore, terzo ai rapporti tra le parti, il quale garantisce nei confronti dei terzi la corrispondenza della chiave (pubblica) al soggetto titolare, ovvero l'autenticità della chiave pubblica .

Dall'attività di certificazione, pertanto, resta esclusa la chiave privata che deve rimanere rigorosamente segreta.

Il D.p.r 445/2000 definisce la "certificazione" come quella "procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione , mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni" (art. 22, comma 1, lett. f).

La procedura di certificazione, pertanto, ha per oggetto la chiave pubblica, la quale è idonea a cifrare i documenti informatici .

Per "certificatore", invece, si intende quel soggetto pubblico o privato che effettua:
· la procedura di certificazione;
· il rilascio del certificato della chiave pubblica;
· la pubblicazione del certificato e della chiave pubblica in un apposito elenco di pubblico dominio accessibile per via telematica;
· la pubblicazione e l'aggiornamento dell'elenco dei certificati sospesi e revocati.

Secondo il D.p.r. 513/97, poiché i certificatori svolgono nel sistema della firma digitale approntato dal legislatore italiano una funzione essenziale, essi devono essere sottoposti ad una specifica autorizzazione, in passato rilasciata dall'Autorità per l'Informatica nella Pubblica Amministrazione (AIPA), affinché gli stessi - qualora in possesso di determinati requisiti patrimoniali e soggettivi - venissero iscritti in un apposito elenco tenuto dalla medesima Autorità .

Con l'introduzione del D.lgs. 10/2002, le attività svolte dall'AIPA, e quindi da un'Authority indipendente, sono passate in mano al nuovo Dipartimento per l'innovazione e le tecnologie, organo governativo .

A prima vista, questa scelta potrebbe risultare anomala in quanto non ha tenuto conto degli ottimi risultati raggiunti dall'Autorità sia in sede amministrativa (funzioni di vigilanza, e di controllo, preventiva e successiva sui certificatori) sia in sede consultiva (nell'emanazione di pareri, non vincolanti, nella redazione delle regole tecniche). Inoltre, è bene ricordare che l'AIPA si è rivelata essere una delle poche strutture dello Stato che, in questi anni, ha saputo produrre innovazione e progresso, e certo l'unica che ha proposto via Internet alla pubblica discussione i progetti delle iniziative più importanti .

Evidentemente l'intento del Governo di esautorare l'Autorità per l'Informatica è stato quello di dotarsi di un organo di indirizzo e propulsione che, avvalendosi anche delle risorse umane e tecniche dell'AIPA, potesse raggiungere obiettivi e risultati ancora migliori .



torna >>
all'indice