3.5 IL D.P.R. 513/97 SULLA FORMAZIONE, ARCHIVIAZIONE E TRASMISSIONE DI DOCUMENTI CON STRUMENTI INFORMATICI E TELEMATICI 2. IL FUNZIONAMENTO DELLA FIRMA DIGITALE Il sistema della firma digitale, poggia sull’utilizzo di due algoritmi matematici, l’uno destinato a essere custodito in maniera assolutamente riservata dal titolare e, perciò, denominato "chiave privata"; l’altro destinato, al contrario, alla diffusione e alla pubblicazione e, perciò, indicato come "chiave pubblica" (art. 1, comma 1 lett. b e d d.p.r. 513/97). Le due chiavi si trovano in una relazione univoca tra loro per cui si ha la garanzia che un documento cifrato con la chiave privata può essere decifrato solo con la corrispondente chiave pubblica e viceversa195. Le caratteristiche di questa coppia di algoritmi matematici sono tali che: - la conoscenza di uno di essi non consente di risalire alla conoscenza del suo corrispondente; - è sempre possibile decifrare con l’uno qualsiasi testo cifrato con l’altro; - nessun’altra chiave che non sia stata generata in corrispondenza di coppia con quella con cui si è proceduto alla codifica è in grado di decifrare il testo; - qualsiasi alterazione venga apportata – sia pure a un solo bit del testo digitalmente firmato – verrà rilevata dall’applicazione della corrispondente chiave, denunziandone, così, l’avvenuta alterazione196. Il meccanismo di generazione e apposizione (validazione) di una firma digitale si basa sull’applicazione di una funzione matematica detta funzione hash che opera una manipolazione sul messaggio e produce un risultato detto digest, univocamente associato al messaggio di partenza. Il digest viene quindi cifrato con la chiave privata del mittente: il risultato di tale operazione costituisce la firma digitale197. Il destinatario del messaggio decifra la firma elettronica allegata al messaggio utilizzando la chiave pubblica del mittente. Dal messaggio in chiaro il destinatario può ricalcolare il digest e confrontandolo con quello calcolato dal mittente può verificare se il messaggio è integro ed è stato inviato proprio dal mittente dichiarato, l’unico in possesso della propria chiave privata usata per generare la firma198. Questo metodo, tuttavia, non garantisce la segretezza del documento. Chiunque venga nella disponibilità del documento infatti, può applicare ad esso la chiave pubblica del sottoscrittore e quindi, leggere il documento stesso199. Per avere garanzia di assoluta confidenzialità, il mittente quando invia il documento, dovrà cifrarlo con la chiave pubblica del destinatario. In questo modo quest’ultimo, essendo in possesso della propria chiave privata, sarà il solo in grado di leggere il documento. La combinazione dell’esigenza di confidenzialità e di autenticazione porta a far sì che ogni canale sicuro preveda una doppia cifratura: - chiave privata del mittente; - chiave pubblica del ricevente200. Quindi, l’utilizzo, in maniera opportuna, delle chiavi di codifica adempiono perfettamente a due principi richiesti dal d.p.r. 513/97 per attribuire rilevanza giuridica al documento informatico: la riservatezza e l’integrità. Invece per assicurare la non ripudiabilità del documento informatico bisogna dare valore legale all’apposizione della firma digitale sul documento. Anche se riceve e riesce a decifrare con la sua chiave pubblica una documentazione digitalmente firmata dal cliente, la banca non ha nessuna garanzia che sia stato effettivamente costui a cifrarla con la propria chiave privata. Questa certezza sussiste solo se il cliente non cede a nessuno la propria chiave privata e se si ha la sicurezza assoluta che la chiave pubblica a cui la banca ha accesso sia del cliente201. Qui sta la principale differenza tra firma autografa e firma digitale: la prima è direttamente riconducibile all’identità di colui che l’appone, poiché la calligrafia è un elemento identificativo della persona, mentre la seconda non possiede questa proprietà202. Per coprire questa deficienza e perché venga soddisfatta l’esigenza di identificazione degli interlocutori è necessaria la presenza di un soggetto, dotato di terzietà ed imparzialità rispetto alle parti203: è l’autorità di certificazione la cui funzione consiste nell’accertare e certificare la corrispondenza fra la coppia di chiavi e il suo dichiarato titolare (cfr. art. 1, comma 1 lett. h d.p.r. 513/97). Il riconoscimento anche per i soggetti privati della possibilità di esercitare l’attività di certificazione offre alla banca la possibilità di assumere il ruolo di certificatore. In prospettiva le operazioni commerciali avranno una evoluzione sempre più ampia in termini di transazioni elettroniche e pertanto le banche potranno sfruttare la terzietà nei riguardi del binomio compratore-venditore consentendo il completamento dell’operazione con la fase del pagamento. In pratica per gli acquisti elettronici la banca potrà anche decidere di fornire servizi di certificazione. In tale contesto, l’ABI, in collaborazione con la Cipa, ha predisposto un’infrastruttura per l’utilizzo sicuro della firma digitale su internet nel settore bancario e finanziario. Essa propone una struttura di certificazione a piramide, con la Società interbancaria per l’automazione (Sia) al vertice dei certificatori del settore con il compito di garantire la compatibilità tra i certificati emessi dai diversi soggetti. L’efficiente funzionamento dell’infrastruttura e la piena circolarità della firma digitale tra i cittadini possono dipendere dalla soluzione dei problemi di interoperabilità e certezza, inediti e complessi nelle reti aperte, cui sono interessati anche altri settori, a cominciare dalla Pubblica Amministrazione204. E’ possibile che un ulteriore elemento di influenza sul ritardo della diffusione della firma digitale possa essere rinvenuto nella particolarità che l’architettura di essa ben si adatta alle transazioni nella quali l’identità del contraente non è indifferente, ma anzi, assume un tale rilievo da richiederne certa identificazione. Al contrario, nella stragrande maggioranza dei contratti conclusi in rete, l’identità dell’aderente all’offerta è assolutamente irrilevante, perché conta solo la sua capacità di assolvere all’obbligazione finanziaria che la conclusione del contratto implica. Si tratta, in altre parole, di contratti conclusi fra imprenditori e consumatori, cui mal si attaglia un sistema che poggia le sue basi proprio nel saper dare risposta alla necessità di reciproca identificazione dei due interlocutori. Inoltre, in tutti quei casi nei quali l’identità dei contraenti assume rilevanza, è possibile che gli stessi abbiano già consuetudine di rapporti e abbiano, quindi, sviluppato altri sistemi d’identificazione, quali ad esempio, la semplice reciproca conoscenza della voce dell’uno e dell’altro, in una conversazione telefonica205. Il d.p.r. 513/97 non fornisce i requisiti della firma digitale, ma rimanda, con l’art. 3, ad un successivo d.p.c.m. la definizione delle regole tecniche per la formazione, trasmissione, duplicazione, riproduzione e validazione dei documenti informatici206. Questa scelta è stata evidentemente dettata dalla necessità di avere una serie di norme flessibili, aggiornabili rapidamente in modo "da non cristallizzare in norme troppo rigide il tumultuoso progresso informatico, consentendo, attraverso continui aggiornamenti, di non restare indietro rispetto all’evoluzione scientifica e tecnologica…"207. Si è provveduto, quindi, a separare la base tecnica da quella giuridica in modo tale da poter aggiornare la parte tecnica senza dover necessariamente modificare il provvedimento legislativo208. Note 195. GRAZIANI A., L’infrastruttura e il suo valore strategico, in SCOTT W.G., MURTULA M., STECCO M., il commercio elettronico – ISEDI 1999 pag. 128 196. MICCOLI M., op. cit. pag. 232 197. BRESCIA S., In tema di firma digitale e di documento informatico, in Nuove leggi civili 2000 pag. 3 198. SORU P., op. cit. pag. 207 199. PICCOLI P., ZANOLINI G., Il documento elettronico e la firma digitale, in Rivista del Notariato 2000 pag. 879 200. GRAZIANI A., op. cit. pag. 130 201. GRAZIANI A., op. cit. pag. 130 202. VERZILI A., La firma digitale, in Bancaforte lug-ago 1999 pag. 49 203. PICCOLI P., ZANOLINI G., Il documento elettronico e la firma digitale, in Rivista del Notariato 2000 pag. 879 204. FAZIO A., Relazione della Banca d’Italia 31 maggio 2000, in Bancaforte set-ott 2000 pag. 27 205. MICCOLI M., op. cit. pag. 233 206. Si tratta del d.p.c.m. dell’8 febbraio 1999, pubblicato in Gazz. Uff. n. 87 del 15 aprile 1999 207. ROGNETTA G., Immobilità reale e mobilità virtuale antitesi al documento informatico, in Zaleuco, 1997 208. FLORINDI E., Il contratto digitale, in Diritto dell’informazione e dell’informatica 1999, n.3 |
||
