La commissione Uninfo "Sicurezza delle transazioni telematiche (STT)" ha tenuto la sua prima riunione il 5 ottobre 2001, eleggendo come suo presidente il notaio Riccardo Genghini, Chairman del CEN/ISSS W E-Sign (Workshop about Electronic Signature): tale Workshop ha tra marzo e ottobre 2001 approvato importanti norme che sono situate in sei CWAs (CEN Workshop Agreements).
Campo di attività della commissione è tutto ciò che attiene alla normazione della sicurezza nelle transazioni telematiche.
La commissione ha concentrato la sua attività sulla firma elettronica, ma intende interessarsi anche di altri argomenti quali la riservatezza dei dati personali (Data Privacy) e la gestione della proprietà intellettuale.
Svariate sono le definizioni di firma digitale, detta spesso più genericamente firma elettronica, e bisogna, prima di proseguire, precisare che l'Unione europea ha stabilito di usare l'espressione "firma elettronica", invece di "firma digitale", per non porre limiti alle tecnologie impiegabili; di fatto, come ha opportunamente stabilito il legislatore italiano, solo la firma digitale derivante dalla crittografia a chiave pubblica offre sufficienti garanzie di sicurezza.
Dunque la firma elettronica, secondo il gruppo normativo Ediforum (che è una delle iniziative permanenti del Forum per la Tecnologia dell'Informazione - FTI e collabora con la rivista "International Computer Law Observer" apparsa da tempo su Internet), individua "un codice informatico che, direttamente associato ad un insieme di dati, permette sia di assicurare l'identificazione e l'autentificazione del soggetto che li ha redatti, che l'integrità dei dati", intendendo per identificazione la procedura attraverso cui si manifesta l'identità di colui che appone la firma, e per autentificazione la procedura di verifica dell'identità dello stesso.
Per chiarire ciò è di ausilio la definizione americana di firma elettronica fornita dallo Utah Digital Signature Act secondo cui essa s'identifica in "una sequenza di bits che una persona crea intendendo apporre la propria firma ad un ben determinato documento, passandolo attraverso una funzione irreversibile, cioè crittandolo grazie ad un sistema di chiavi asimmetriche e con la chiave privata della persona medesima". In quest'ultimo senso bisogna intendere per identificazione l'apposizione di chiave privata del sottoscrittore, e per autenticazione l'applicazione della chiave pubblica al testo crittato, la quale permette di rilevarne il plaintext (testo originale) e di verificare di conseguenza con certezza l'identità di colui che ha utilizzato la chiave privata.
Da sottolineare che la firma elettronica è in grado di assumere a livello logico tutte le funzioni di una vera e propria sottoscrizione, permettendo, inoltre, attraverso un'apposita applicazione detta di Time Stamping, di attribuire data certa al documento elettronico a cui viene apposta.
Un esempio d'applicazione d'uso di firma elettronica si trova in materia di sottoscrizione di atto amministrativo. In tal caso, la sottoscrizione in forma elettronica deve necessariamente implicare, tecnicamente prima che giuridicamente, oltre alle garanzie sulla riferibilità soggettiva, anche le opportune assicurazioni in merito all'autenticità oggettiva e veridicità del contenuto, connesse con i profili tecnico-informatici della sicurezza delle attività amministrative elettroniche; ciò che il destinatario legge deve coincidere con quello che il responsabile dell'ufficio di provenienza dell'atto ha sottoscritto: deve trattarsi proprio di quell'atto.
Quanto alle modalità tecniche di apposizione della firma elettronica esistono diversi sistemi, più o meno complessi, anche tra loro combinabili (password, tessera magnetica con PIN, carte a microprocessori, riconoscimento vocale, pupillare, ecc.), i quali offrono idonee garanzie sull'autenticità soggettiva ed oggettiva dell'atto.
La direttiva europea sulla firma elettronica, "Community framework for electronic signature" 1999/93/EC, diventata obbligatoria per gli Stati membri il 19 luglio 2001, ha posto regole sulla sicurezza nel commercio elettronico, sulla rilevanza legale e sull'interoperabilità, ma lasciando l'organizzazione e le specificazioni tecniche al sistema internazionale di autoregolamentazione (CEN e ETSI). A tal proposito, ovverossia di rendere applicabile la legislazione sulla firma elettronica nella vita reale e in reali condizioni di commercio, si è creata con il finanziamento della Commissione europea, l'European Electronic Signature Standardisation Initiative. L'EESSI coinvolge due corporazioni di organismi normatori a livello europeo. Una è l'ETSI (European Telecommunications Standards Institute) che rappresenta gli interessi delle pubbliche amministrazioni, di gestori di
rete, del settore costruttori, organismi di ricerca e di consumatori finali. L'altra è il CEN/ISSS (Information Society Standardization System) che ai livelli nazionali opera, ad esempio, tramite l'UNI in Italia, il DIN in Germania e il BSI in Inghilterra.
L'E-Sign Workshop è il gruppo di lavoro nell'ambito del CEN/ISSS che impegna le sue risorse nella normazione della firma elettronica e di tutte le procedure di sicurezza ad essa correlate.
Obiettivo principale della commissione costituitasi a Milano è di far in modo che, anche in Italia, venga adottato il principio della co-regulation nei rapporti tra attività legislativa e attività di normazione al fine di evitare divergenze, soprattutto se le posizioni europee non sono state ancora formalizzate.
Per raggiungere il difficile equilibrio tra la necessità di garantire che le leggi siano definite nei contenuti a livello politico e la necessità che la normativa tecnica di dettaglio sia determinata e supportata anche dall'industria e dagli utilizzatori, la direttiva europea 1999/93/CE ricorre al principio della co-regolamentazione secondo cui il legislatore definisce i principi da rispettare cioè gli scopi; mentre l'industria e i consumatori determinano i contenuti, le procedure e le norme necessarie per garantire la corretta accettazione ed applicazione dei principi stessi: cioè l'autoregolamentazione tecnica definisce i mezzi nel rispetto delle norme internazionali esistenti. Inoltre la co-regolamentazione pare anche avere capacità stabilizzatrice a livello nazionale dei rapporti conflittuali tra legge e norme tecniche.
Due sono le problematiche principali che ostacolano l'attuazione della direttiva. Una è quella di trovare un equilibrio tra sicurezza e protezione dei dati personali: infatti esperti di privacy hanno espresso persino dubbi che lo pseudonimo previsto dall'Allegato 1 alla direttiva sia strumento in grado di garantire adeguata riservatezza; l'altra è la disquisizione aperta sulla rilevanza legale del nuovo tipo di firma e della responsabilità correlata.
E' inoltre da tenere presente che un'altra questione ancora aperta nell'attuazione della direttiva europea è l'interoperabilità. In Europa se ne occupa un progetto denominato "PKI (Public Key Infrastructure) Challenge" che sta coinvolgendo aziende leader nell'area della sicurezza informatica e che lavora in contatto con il PKI Forum statunitense. Ci sono molti progetti di schemi di certificazione omogenei all'interno dell'Europa, ma è importante a tal fine agire globalmente per utilizzare le norme internazionali in modo trasparente affinché si giunga ad attuare il principio della non-discriminazione e interoperabilità internazionale auspicata dai principi alla base della direttiva.
Come è emerso nel corso della riunione del 5 ottobre, in Italia si è preceduta la direttiva europea 1999/93/ CE con la legge 59 del 15/3/97 "Bassanini 1" che, insieme ai due successivi regolamenti DPR 10/11/97, n. 513 e 11/2/99, ha conferito validità legale ai documenti informatici. Essere all'avanguardia nella produzione di norme in tale materia, non è però per l'Italia una nota di merito come può sembrare, visto che nel nostro paese esiste tuttora il problema della non conformità della normativa italiana con quella prodotta dalla direttiva europea. Quest'ultima si basa su principi quali, oltre alla co-regulation, la neutralità tecnica, la riservatezza dei dati personali, la protezione dei consumatori sul mercato, nessun accreditamento obbligatorio presso un ente di supervisione (come sta succedendo con l'AIPA) e riconoscimento legale della firma elettronica semplice o qualificata (cioè equiparata a quella autografa ex art. 15 par. 2 legge Bassanini).
La firma elettronica, ottenuta mediante il sistema di crittografia asimmetrica che utilizza una coppia di chiavi (una pubblica ed una privata), è un'informazione che viene aggiunta al documento elettronico-informatico in modo da garantirne sia l'integrità (garanzia che il documento non sia stato alterato durante la trasmissione) che la provenienza (verifica dell'identità dell'estensore del documento).
Dato che, a differenza della firma autografa, la firma elettronica non è fisicamente collegata alla persona che l'appone (essendo la calligrafia un tratto caratteristico di ogni persona), il legame tra la firma elettronica e la persona che la utilizza deve essere certificato su un apposito documento pubblico (Certificato Digitale) emesso e gestito da una Autorità di certificazione (CA).
Per contro, mentre l'associazione tra il testo di un documento e la firma autografa è ottenuta esclusivamente attraverso il supporto cartaceo, la firma elettronica è intrinsecamente legata al testo a cui è apposta, tanto che i due oggetti possono essere fisicamente separati senza che per questo venga meno il legame esistente tra loro. Conseguenza di ciò è l'unicità della firma elettronica, nel senso che a testi diversi corrispondono firme diverse e, quindi, nonostante la sua replicabilità, è impossibile trasferirla da un documento all'altro.
Le CA sono entità affidabili, al di sopra delle parti, dotate di particolari requisiti specificati nel DPR 513/97 e incluse, sulla base di una dichiarazione anteriore all'inizio dell'attività, in un apposito elenco pubblico consultabile per via telematica, predisposto, tenuto e aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione (AIPA).
Analogamente alla definizione data dallo Utah Digital Signature Act, il DPR 513 stabilisce che, prima di procedere alla generazione della firma, il dispositivo di firma debba procedere all'identificazione del titolare della chiave privata (normalmente contenuta in una smart card).
Nell'ambito delle applicazioni relative all'identificazione personale e alla firma elettronica, l'utilizzo di una chiave biometrica (che, ad esempio, può far riferimento alla voce, o all'occhio, o alla faccia, o alla geometria della mano) rende più sicura l'identificazione del titolare della chiave privata, in quanto la chiave biometrica, per sua stessa natura, non può essere contraffatta, duplicata o persa dal titolare, e non è cedibile né delegabile. Tra le chiavi biometriche, peraltro, l'impronta digitale è quella che, a oggi, si avvale della tecnologia più matura.
Dato che le chiavi private sono sequenze difficilmente ricordabili mnemonicamente, vengono normalmente archiviate su supporti fisici quali le smart cards. Memorizzando sulla stessa smart card, oltre alla chiave privata, anche le impronte digitali del legittimo titolare della chiave privata (normalmente le impronte digitali memorizzate sono tre: una normale, una di riserva e una di allarme), viene consentito solo al legittimo proprietario l'uso della sua chiave privata, realizzando l'accertamento dell'identità personale di cui parla il DPR 513/97.
Previo confronto con le firme archiviate nelle smart cards e a fronte di riconoscimento positivo, il dispositivo di firma aziona la chiave privata contenuta nella smart card, per il calcolo e l'apposizione della firma elettronica.
L'utente, una volta registratosi presso una CA ed ottenendo così la sua coppia di chiavi (privata e pubblica), per tutta la durata del periodo di validità della certificazione della chiave pubblica, è in grado di firmare elettronicamente un numero qualunque di documenti sfruttando la sua chiave privata. Tale periodo può essere interrotto prima del suo termine naturale dalla revoca della certificazione, che di norma viene effettuata su richiesta del proprietario qualora egli ritenga che la segretezza della sua chiave privata sia stata compromessa, ma che potrebbe avvenire anche per iniziativa della CA, ad esempio perché l'utente non ha più titolo per l'uso della chiave.
Il processo di sottoscrizione, schematicamente mostrato nella raffigurazione soprastante, consta di una sequenza di tre operazioni:
- generazione dell'impronta del documento da firmare,
- generazione della firma mediante cifratura dell'impronta,
- apposizione della firma al documento.
Da tenere presente comunque che la direttiva 1999/93/EC sulla firma elettronica dovrà essere adeguata agli sviluppi tecnologici e agli aspetti tecnici connessi, quali la riservatezza, prima del 2003.
L'adeguamento dell'Italia agli Stati membri è uno dei motivi fondamentali della costituzione della commissione tecnica "Sicurezza delle transazioni telematiche (STT)", a cui erano presenti circa una ventina di rappresentanti della pubblica amministrazione, di studi legali-notarili, di aziende produttive e di servizi.
Funzione di Uninfo è di attività informativa tra i membri della commissione fornendo possibilità d'incontri a scopo di discussione per futuri accordi in un ambiente neutrale; d'informare inoltre i membri della commissione della situazione normativa in altri paesi (in particolare della Unione europea); di sviluppare documenti divulgativi che rappresentino l'opinione dei membri contribuendo a trasporre le conclusioni raggiunte in norme e quindi ad influenzare la pubblica amministrazione, il governo e il legislatore a fini attuativi.
Per ulteriori informazioni rivolgersi a: moresco@uninfo.polito.it
Antonella Moresco
Uninfo
|
Torna al sommario
|
New Commission "Telematic Transactions Security (STT)"
The first meeting of the Commission covering the Telematic Transactions Security (STT), set up by Uninfo, was held last October at UNI premises in Milan. The Commission focused its activity on the Electronic Signature, that is any signature logically associated with an electronic record. One of the main reasons why this Commission was set up is the need for aligning the Italian set of re-gulations with what stated by the Eu-ropean Directive 1999/93/EC in the field of electronic signature. The EESSI (European Electronic Signatures Standardisation Initiative) has as special target that of making the legislation on electronic signature applicable to the trade real conditions: it is to be born in mind that ETSI and CEN/ISSS are at the basis of EESSI.
|
|
