Atti sottoscritti con la carta intelligente È previsto un sistema misto di software e smart card che garantirà la validità dei documenti informatici di La "rivoluzione" della firma digitale si appresta a debuttare e, pertanto, occorre ora stabilire come avverrà in pratica l'attività di sottoscrizione dei documenti elettronici con gli strumenti informatici. Deve essere però premesso che ci si muove ancora sul terreno delle ipotesi, a causa della novità della materia e della "giovinezza" delle soluzioni tecniche scelte dal legislatore. Innanzitutto, il soggetto che vuole dare valore giuridico alle proprie dichiarazioni elettroniche deve predisporsi per l'utilizzo del sistema: dotarsi, quindi, di una stazione operativa informatizzata (essenzialmente un computer collegato a Internet) e munirsi dell'opportuno software per l'attività di firma. Quest'ultimo – fornito (direttamente, oppure tramite il soggetto che erogherà un determinato servizio ai propri utenti) dall'ente certificatore che successivamente svolgerà la fondamentale funzione di garantire l'associazione chiave-titolare – dovrà permettere la generazione della coppia di chiavi, contenere la funzione di hash (la funzione che "comprime" il testo del documento rendendone più facile e sicura la crittografia), consentire l'uso delle tecniche crittografiche e, quindi, rendere possibile l'apposizione e la verifica delle firme digitali. Probabilmente tali esigenze verranno soddisfatte da un sistema congiunto di software e smart card (cioè carte tipo quelle utilizzate nei telefonini), che maggiormente sembrano incontrare i requisiti richiesti dal regolamento tecnico (Dpcm 8 febbraio 1999) quando parla di "dispositivo di firma" (in questo caso, alla stazione operativa dovrà aggiungersi un lettore di carte elettroniche). Una volta creata la coppia di chiavi, l'utente dovrà renderne pubblica una attraverso la procedura di certificazione. Tale procedura consiste nella richiesta – da presentare a uno dei soggetti che svolgono la funzione di certificatori delle chiavi pubbliche, iscritti nell'elenco tenuto dall'Autorità per l'informatica nella pubblica amministrazione – di attestare la corrispondenza chiave-titolare, di rilasciare quindi il relativo certificato (formato da un'ulteriore stringa alfanumerica, che sarà allegata ogni volta che il soggetto appone la propria firma digitale) e di inserirlo, insieme alla chiave pubblica dell'utente, nell'elenco delle chiavi gestito dall'Aipa. Tale elenco sarà posto on-line a disposizione di chiunque voglia accertare la provenienza di un determinato documento elettronico firmato digitalmente. Terminata con questa operazione la fase preparatoria dell'uso del sistema di firma digitale, l'utente è pronto a sottoscrivere i propri documenti. Vediamo come. Per inviare un documento elettronico a cui si vuole conferire la certezza di contenuto e di provenienza, il mittente dovrà ricavare la cosiddetta "impronta" del documento (il risultato della funzione di hash) mediante il dispositivo di firma, e quindi, sempre mediante lo stesso dispositivo, applicare la propria chiave privata: in questo modo si ottiene la "generazione" della firma, cioè quella determinata stringa che sarà il risultato dell'impronta di hash crittografata (con aggiunto il certificato), che potrà poi essere apposta in calce al testo oggetto del procedimento oppure associata a questo. Chi riceverà il messaggio procederà all'apertura e/o verifica dello stesso mediante il proprio software per l'attività di firma. Agendo sul documento criptato, questo acquisirà dal certificato annesso al documento firmato la chiave pubblica del mittente e/o l'indirizzo del certificatore che lo ha emesso (l'indirizzo telematico del certificatore potrebbe servire al destinatario del messaggio nel caso la chiave pubblica risulti troppo datata o per consentirgli di essere sicuro che non sia stata revocata o sospesa). A questo punto, applicando la chiave pubblica del mittente, il destinatario "aprirà" la stringa della firma, ottenendo dunque l'impronta di hash; prenderà quindi il testo originario, calcolerà da quest'ultimo a sua volta l'impronta e poi confronterà le due versioni: se coincidono sarà allora sicuro della provenienza e della genuinità del messaggio. E' chiaro che quasi sicuramente la complessa procedura indicata verrà resa molto semplice per gli utenti dai software di firma digitale: anzi molto probabilmente tale requisito (la semplicità d'uso) sarà uno dei punti fondamentali per la riuscita dell'intero progetto (insieme, certamente, all'investimento in cultura di nuove tecnologie). Così, una volta espletate le formalità iniziali relative alla procedura di certificazione, l'attività del soggetto che firma, come quella del soggetto che vuole verificare un documento "firmato", consisterà semplicemente nell'inserire la propria carta "intelligente" in un apposito lettore, che lavorerà poi insieme al software per la firma e ai programmi di video scrittura o di gestione della posta per svolgere le operazioni sopra indicate nel dettaglio. Le "doppie chiavi" La firma digitale adottata dal legislatore italiano è un sistema cosiddetto a doppia chiave asimmetrica, che si compone di una parte privata e una pubblica, che altro non sono se non complesse stringhe di numeri e lettere. La chiave privata può essere generata direttamente dall'utente, mentre la chiave pubblica è consegnata dal certificatore, che deve essere iscritto nell'elenco tenuto dall'Autorità per l'informatica nella pubblica amministrazione. La validità del documento elettronico è garantita quando le due chiavi (pubblica e privata) "combaciano". (Ndr: ripreso da Il Sole 24-Ore di lunedì 6 Settembre 1999) |