Mitologia, firme elettroniche e legge

Rubrica Passeggiando Per Internet - Da "Micro & Personal Computer" - Ottobre 1996

Mitologia, firme elettroniche e legge

Ovvero, due argomenti fortemente contrastanti, ma la Rete è anche questo: da un lato c'è chi nel tempo libero organizza un catalogo della mitologia di tutto il mondo ed oltre, dall'altro c'è il dibattito su una proposta di legge che metterebbe il nostro paese all'avanguardia nel campo del riconoscimento legale di atti e documenti elettronici.

di Mario Chisari

Quanti sono gli appassionati di mitologia e del mistero che navigano su Internet? Probabilmente parecchi; e qualcuno di essi è addirittura a sua volta sviluppatore di siti Internet. Tra essi vi è Micha F. Lindeman, 27 anni, un danese che vive in Olanda, appassionato di Tolkien, Stephen King e di X-Files, e che ha avuto l'intrigante idea di creare per diletto un intero catalogo della mitologia - sia tradizionale che legata al mondo dell'occulto e del mistero - consultabile gratuitamente su Internet all'indirizzo http://www.pantheon.org. Il catalogo (in inglese, ovviamente), che prende il nome di Encyclopedia Mythica è aggiornato da un gruppo di appassionati che hanno inserito - finora - 1800 schede sulle divinità di tutto il mondo. Esse sono raccolte in base alla cultura d'origine, greca, romana, cinese, etrusca, maya, persiana, haitiana e così via; esiste anche una sezione mista per i miti di tutto il mondo ancora non organizzati in una autonoma, una per i luoghi mitici (Atlantide e compagnia), ed una per i culti misteriosi. Quest'ultima sezione, bisogna dire, non è molto sviluppata; manca ad esempio tutta la celeberrima mitologia di H.P. Lovecraft, che avrebbe senz'altro figurato benissimo in un luogo del genere. Peccato che evidentemente Micha non è un appassionato di questo autore... Gli appassionati di culture precristiane potranno anche trovare un calendario di tutte le festività pagane: sapevate, ad esempio, che il 3 ottobre era la festa di Dioniso, il dio greco del vino e del divertimento, noto ai romani come Bacco? E che il 19 ottobre a Roma c'era la festa dell'Armilustrum, la seconda festa di Marte, dio della guerra, in cui le armi dell'esecito venivano purificate in un rito e poste da parte per l'inverno?

Tutte le fonti delle informazioni sono chiaramente indicate, e questo rende Pantheon anche un buon punto di partenza per studi seri sull'argomento. Se, dunque, volete sapere chi erano Mitra o Baal, o conoscere la storia di Perseo, non potete non fare un salto da Encyclopedia Mythica; vi basta sapere un po' d'inglese.

Se invece volete partecipare al progetto, potete tranquillamente contattare l'autore per fornire il vostro supporto. Potete anche voi iscrivere il vostro nome tra gli "appassionati volenterosi" che hanno preso parte alla realizzazione di questo ambizioso e senz'altro affascinante progetto.

UNA LEGGE SUI DOCUMENTI ELETTRONICI

Ricevo in cassetta postale un messaggio che mi annuncia un'iniziativa lodevole: l'Italia è fra i primi paesi al mondo al lavoro che sta cercando di darsi una normativa su atti e documenti in forma elettronica. Non è la prima volta che su queste pagine si mette in evidenza l'importanza sempre crescente della crittografia in campo legale: gli attuali strumenti elettronici ed informatici permettono già;, infatti, di fare sul computer, oltre alla crittazione estremamente robusta, una serie di operazioni di solito considerate strettamente "cartacee", come la firma digitale (certificazione) dei documenti e la distribuzione di leggi, regolamenti e normative. Di questo si è accorto anche il legislatore, ed ecco che esce una proposta per regolare l'argomento sponsorizzata dall'AIPA (Autorità Informatica per la Pubblica Amministrazione).

Ricordiamo brevemente, pur senza addentrarci (per questo rimandiamo agli ottimi articoli di Fabrizio Ruggeri pubblicati nel passato) che gli attuali programmi di crittografia, di cui PGP è l'esempio migliore, permettono di effettuare due distinte operazioni: crittare i messaggi elettronici, e certificarne l'origine tramite una "firma" elettronica. Tutto si basa su due "chiavi" elettroniche: una pubblica ed una privata; la prima può essere distribuita liberamente, la seconda va conservata con ogni cura dal proprietario. Infatti, solo il proprietario della chiave privata può estrarre il contenuto di un messaggio crittato da chiunque tramite la corrispondente chiave pubblica. Viceversa, il proprietario tramite la chiave privata può firmare elettronicamente un documento, e l'autenticità della firma può essere verificata da chiunque abbia la chiave pubblica corrispondente.

Una delle cose più lodevoli è l'iniziativa di porre la futura legge a disposizione dei navigatori Internet per un dibattito sulle eventuali modifiche da apportare. Se siete interessati all'argomento, potete trovare il tutto sul sito dell'AIPA, all'indirizzo http://www.aipa.it/notaria/notaria.htm, mentre le linee guida possono essere trovate negli atti del convegno di Stresa, http://www.notariato.it/convegni/stresa.zip.

In sintesi, la proposta di legge si articola sui seguenti punti:

È particolarmente interessante la struttura degli organi di certificazione nominati nella legge. Mentre l'AIPA è chiamata a fornire la struttura tecnica per l'archivio consultabile gratuitamente, essa non può intervenire sui contenuti. I contenuti dell'archivio pubblico sono aggiornabili esclusivamente dal Consiglio Superiore delle Autorità di Certificazione, dall'Autorità Amministrativa di Certificazione e dall'autorità Notarile di Certificazione. Si tratta di tre organismi istituiti dalla legge; il primo è l'autorità assoluta della certificazione, che gestisce le chiavi delle più alte cariche dello Stato, e conserva copia delle chiavi degli altri due organismi. L'A.A.C. si occupa della certificazione della chiavi per la pubblica amministrazione; sotto di esso vi sono le Autorità Intermedie di Certificazione che possono essere istituite a vari livelli, all'interno dei vari uffici pubblici. L'A.N.C. invece è l'organismo di certificazione delle chiavi per i privati che ne facciano richiesta; come dice il nome, si tratta di una struttura costituita da notai, che aggiungono questo tipo di certificazione a quelle attualmente a loro concesse. Sotto l'Autorità Notarile di Certificazione esistono le cosiddette Autorità Private di Certificazione, ossia società private che, sotto il controllo dell'A.N.C., e solo con l'assistenza dei notai, possono generare a loro volta le chiavi dei loro soci o clienti ma senza certificarle direttamente. Tutte le chiavi possedute dagli organismi di livello "inferiore" debbono per forza risalire fino al livello più alto, in modo da confluire nel suddetto Registro delle chiavi pubbliche, che contiene anche l'elenco di quelle revocate o annullate.

POTREBBE ANDAR BENE COSÌ?

Fin qui i fatti. Ora, esistono alcune osservazioni sulla legge che a nostro giudizio non possono farla definire "matura". La prima è che, in molti punti, non è ben distinto tra la chiave privata e la chiave pubblica, e questo ingenera pericolose interpretazioni della legge. Stando all'art. 27, tutte le Autorità di Certificazione devono disporre di un archivio delle chiavi per la "generazione, conservazione e gestione delle chiavi private e pubbliche di competenza". Ora, è evidente che non può certo essere un archivio a generare le chiavi, ma semmai a conservarle; e comunque, dalla frase sembra che le Autorità debbano conservare anche la chiave privata; poiché inoltre non è specificato che solo le chiavi pubbliche debbano essere trasmesse alla relativa autorità di controllo, non è impensabile che la mia chiave "segreta", che dovrei avere solo io, sia conservata, insieme a migliaia di altre, in almeno tre diversi archivi, e che decine di persone possano tecnicamente entrarne in possesso, senza contare "buchi" nella sicurezza e assalti di hacker che troverebbero uno degli obbiettivi per loro più succulenti. Sarebbe come affidare le chiavi della mia casa all'idraulico, all'elettricista ed al pittore per "maggior comodità"; ed in caso di furto, chi potrei accusare?

L'obbligo di consegnare anche la chiave privata. poi, sarebbe meritevole di una grande battaglia civile, come quella del "Clipper Chip": anche negli USA qualcuno ebbe l'idea di consentire la crittografia solo con sistemi di cui il governo conoscesse la chiave, ma la proposta ha suscitato un autentico putiferio. Il possesso della chiave privata da parte di terzi non avrebbe nessuna giustificazione; non c'è n'è alcun bisogno per verificare l'autenticità di una firma, né qualcun altro potrebbe aver motivo di usarla, se non per motivi gravemente illegali. Una tale norma non servirebbe agli investigatori per aprire un messaggio crittato da parte di un indagato, poiché nessun criminale scambierebbe messaggi con una chiave in possesso dello Stato, potendone usare una qualsiasi (la legge non obbliga a consegnare tutte le chiavi private). Se poi l'Italia si orientasse in una direzione "alla francese", ossia con crittografia permessa ma solo con sistemi "deboli", si dovrebbe riflettere che tale limitazione non ha senso; potrei infatti crittare i miei messaggi con un crittatore "forte", come PGP, e crittare l'uscita con un crittatore "legale". Nessuno potrebbe vedere dall'esterno che sto violando la legge; se, a seguito di indagini, qualcuno dovesse aprire i miei messaggi scoprendo la crittazione "forte", questo reato sarebbe comunque meno grave, ad esempio, dell'induzione alla prostituzione o del traffico di armi.

A OGNUNO LA SUA SICUREZZA

Esaminando la legge si ha la sensazione del mancato sfruttamento delle opportunità aperte dalla firma elettronica. Al lettore, infatti, non sarà sfuggito che i notai fanno la parte del leone, creando di fatto una situazione di squilibrio tra la firma tradizionale e quella elettronica, oltre ad un rischio di posizione dominante nei confronti delle APC, solo parzialmente scongiurato dall'art. 24 - ma sorvoliamo su questo punto.

Se voglio firmare un documento cartaceo, posso farlo tranquillamente, e questo ha valore legale salvo prova contraria; volendo una maggiore sicurezza posso far autenticare la mia firma in un ufficio pubblico, oppure ancora meglio rivolgermi ad un notaio. Secondo questa proposta di legge, invece, se voglio firmare in forma elettronica debbo prima depositare la mia chiave pubblica presso un notaio; l'art. 20 infatti recita: "i documenti elettronici sono equiparati, (...), alla scrittura privata soltanto se muniti di contrassegno elettronico certificato valido da una delle Autorità di cui alla presente legge, o non disconosciuti". Eppure una firma digitale ha, tecnicamente parlando, un valore probatorio ben superiore ad una firma normale. Non sarebbe invece meglio prevedere anche qui che ognuno possa scegliersi il grado di affidabilità che desidera? Possibile che io non possa impiegare una firma elettronica nemmeno per vendere una caramella? Sebbene oggi le persone che firmano elettronicamente sono pochissime, è facile prevedere che tra dieci o venti anni queste saranno la maggioranza, anche per i documenti più minuti, ed una legge che ponga delle restrizioni così pesanti alla possibilità di firmare elettronicamente sarebbe quasi certamente da modificare.

Una legge che desse valore a qualsiasi firma elettronica, mi permetterebbe di firmare semplicemente con la mia chiave, e la cosa avrebbe un valore relativo e limitato nel tempo; oppure firmare con la mia chiave depositata presso un certificatore privato o un notaio, ed in tal caso l'affidabilità dipenderebbe dal mio certificatore e dalla robustezza della mia chiave; o ancora far controfirmare la mia firma da un notaio od anche un "timbratore automatico", che garantirebbe anche la data e l'ora, ed in tal caso per falsificarla occorrerebbe rompere sia la mia chiave che quella del certificatore (che presumibilmente sarà concepita
in modo da essere robustissima); ed infine far controfirmare la mia firma davanti ad un notaio, che garantirebbe anche il mio stato di non costrizione. In altre parole dovrebbe essere la controparte a dover pretendere una firma che offra le massime garanzie di non poter essere ripudiata, in base anche all’importanza del documento.

Questa possibilità di scelta si riflette sulla funzione dell'archivio archivio unico delle chiavi pubbliche; esso non è in effetti indispensabile, e che anche qui gli enti certificatori (A.P.C.) potrebbero scegliere se garantire la propria affidabilità affiliandosi all'A.N.C., fermo restando l'obbligo per l'utente di segnalare al proprio ente certificatore la revoca della propria chiave pubblica. In ogni caso, l'esistenza di un archivio unico può smascherare più facilmente individui che abbiano l'abitudine di revocare spesso la propria chiave pubblica, e quindi sarebbe una misura di sicurezza che qualifica l'ente di certificazione. C'è poi una possibile leggerezza dello stesore della proposta di legge nei confronti dei problemi della crittografia: l'art. 8, infatti, recita: "Il documento elettronico sottoscritto con contrassegno elettronicoè opponibile al suo sottoscrittore, tranne che quest'ultimo non dimostri di aver segnalato alla Autorità Certificatrice, in un momento anteriore a quello della sottoscrizione, l'avvenuto uso fraudolento o l'avvenuta sottrazione o alterazione della propria chiave segreta di criptazione."; questo con il presupposto che la firma digitale, o contrassegno elettronico, contenga un'indicazione della data e dell'ora di apposizione. Purtroppo, però, da questo punto di vista una firma elettronica differisce radicalmente da una firma normale, perché mentre violare una firma tradizionale è ogni volta una storia a sé, nel caso della firma digitale una volta violata una chiave tutte le firme apposte con essa perdono di validità, poiché anche la data e l'ora sono falsificabili. L'unico modo di dimostrare che una firma è valida è quello di esibire una controfirma da parte di qualcun altro; finché la chiave del controfirmante rimane sicura, ogni documento così firmato è affidabile. Per questo, uno schema di vera sicurezza prevede che ogni firma su un documento elettronico venga validata da un controfirmatore - che può anche essere un automa, il "timbratore automatico" di cui sopra - per la convalida della data e l'ora. Ed ogni ulteriore controfirma non fa che aumentare il numero di chiavi da rompere per arrivare alla falsificazione, e di conseguenza l'affidabilità.

NOTIFICA: C’&È UN PO’ DI CONFUSIONE

L'art. 28, infine, prevede che possano "essere effettuate per via telematica, dai pubblici ufficiali a ciò autorizzati, notificazioni e comunicazioni a soggetti muniti di chiave pubblica certificata (...). L'attestazione munita di contrassegno elettronico del pubblico ufficiale che ha eseguito la notificazione o comunicazione fa piena prova tra le parti e di fronte ai terzi, fino a querela di falso". Le modalità con cui può essere effettuata la notificazione per via telematica è delegata ad un regolamento d'attuazione; attualmente, però, dubito che qualche sistema telematico possa essere considerato talmente affidabile nella consegna della posta elettronica da garantire l'avvenuta lettura. In effetti, praticamente ogni sistema di posta elettronica si basa sul presupposto che il destinatario desideri ricevere l’informazione; in caso di problemi, è a cura del destinatario accorgersi che qualcosa è andato storto. Anche nelle liste postali, in cui il destinatario non sa quando dovrebbe ricevere un messaggio, spesso i messaggi sono numerati perché ci si possa rendere conto che uno è andato perduto. Viceversa, qui si tratta di certificare che il messaggio è stato consegnato al destinatario anche suo malgrado; ed invece questi potrebbe sostenere che per un caso sfortunatissimo il messaggio è stato perduto nonostante appaia come pervenuto, e nessuno potrebbe smentirlo.

L'invio attraverso la PE dovrebbe essere equiparato alla spedizione per posta ordinaria: quasi sempre la lettera arriva nelle mani giuste, ma non ci sono garanzie in proposito. Anche se la legge potrebbe prevedere che, su certi sistemi, la spedizione equivalga alla notifica, il regolamento d’attuazione farebbe bene a prendere atto che un tale sistema oggi non esiste. A meno che l'autore della proposta di legge abbia voluto intendere che una firma elettronica, apposta ad un documento notificato per via telematica od una "ricevuta di ritorno" con data ed ora, ha lo stesso valore di una notifica tradizionale; tale impressione è giustificata da fatto che altrimenti non si spiega perché tale comunicazione possa essere fatta solo a soggetti "muniti di chiave pubblica". L'articolo, però, andrebbe modificato e reso più esplicito; sebbene la firma sulla ricevuta sarebbe valida indipendentemente dalla persona notificante e dal mezzo di notificazione, una controfirma del notificatore impedirebbe al ricevente di ripudiare in seguito la sua firma.

Nonostante queste critiche, siamo contenti dell'attenzione posta sull'argomento, e speriamo che si sviluppi un dibattito sull'argomento che porti ad una forma della legge soddisfacente e pronta per il futuro che ci ponga, almeno in questo campo, all'avanguardia nel mondo.