Nuove frontiere per il commercio elettronico con la firma digitale

di Andrea Monti – PC Professionale n. 82

Uno degli effetti più interessanti dell’arcinota “Legge Bassanini” – destinata a riformare profondamente la Pubblica Amministrazione – è l’attenzione riservta all’informatica. In particolare grazie a questa legge non c’è giuridicamente più differenza fra un documento di carta e un file, a condizione che vengano emanati alcuni regolamenti attuativi che definsicano certe questioni tecniche.

Parcheggiato non si sa bene dove (se al Poligrafico dello Stato o nel Ministero di Grazia e Giustizia) il regolamento sulla firma elettronica sembra essere arrivato alla sua versione definitiva (se non addirittura già approvato), e introduce novità fondamentali che si riflettono consistentemente anche sulla Rete e in particolare sul commercio elettronico, vediamo perché.

Primo punto: viene ribadita la validità giuridica piena del documento informatico già affermata dal codice penale all’art.491 bis, che farà piena prova del suo contenuto né più né meno come un equivalente cartaceo firmato di proprio pugno. In questo modo viene superato un limite pesante imposto al commercio elettronico: prima dell’entrata in vigore di questo regolamento era possibile vendere e comprare solo beni il cui trasferimento richiede il semplice accordo verbale, mentre ora – visto che il documento informatico integra la forma scritta (sostituisce cioè la carta) le chance commerciali riguardano anche bei immobili, titoli e finanziamenti.

Ogni contratto però – se gli si vuole attribuire efficacia – deve essere firmato e dunque è previsto che i documenti informatici devano essere sottoscritti digitalmente mediante sistemi crittografici, anche se questa soluzione non scioglie ancora tutti i nodi della situazione.

Schegge di crittografia

I sistemi crittografici moderni sono basati sul principio della doppia chiave una delle quali deve rimanere assolutamente segreta mentre l’altra può essere liberamente diffusa. Praticamente succede che chi vuole inviarmi un messaggio lo cifra con la mia chiave pubblica (magari resa disponibile sul web o in allegato ai miei messaggi di posta elettronica) in modo che io solo, grazie alla chiave segreta, riuscirò a leggerlo. Se poi voglio essere sicuro che il mittente sia chi dice di essere allora il processo va ripetuto due volte. Il mittente cifra il messaggio con la propria chiave segreta (così la decifrazione è possibile solo con l’altra chiave) e poi nuovamente con la mia chiave pubblica (così solo io posso leggerne il contenuto). Quindi succede che io ricevo il file, applico la mia chiave segreta e ottengo un nuovo file ancora cifrato che viene messo in chiaro dalla chiave pubblica del mittente. In questo modo ho la prova che il mittente sia veramente lui, e lui ha la prova che solo io ho potuto leggere il messaggio.

Le autorità di certificazione

Come è noto in termini giuridici il problema fondamentale dei sistemi di crittografia asimmetrica (PGP, in altri termini) è quello di raggiungere la prova dell’identità fisica di chi usa una certa chiave pubblica. Esempio: ammettiamo che sul web di PC Professionale giunga una richiesta di abbonamento da un utente che dice di essere me. In tale qualità egli stipula il contratto mediante l’utilizzo della propria chiave pubblica, il tutto a mia totale insaputa… morale della favola, mentre io dovrò dimostrare si non avere mai visitato il sito né tanto meno richiesto un abbonamento, qualcun altro – nella migliore delle ipotesi – mi ha giocato un bel tiro mancino (non voglio pensare alla peggiore delle ipotesi!). Che fare?

Il problema non si risolve tecnicamente ma giuridicamente: serve qualcuno che certifichi l’effettiva corrispondenza di una certa chiave ad un determinato proprietario, magari identificandolo personalmente e infatti è prevista l’istituzione di soggetti -le autorità di certificazione – che assolveranno proprio a questa funzione: si renderanno garanti dell’identità personale di chi intende utilizzare la firma elettronica. Si cominciano già a vedere aziende che offrono servizi di certificazione ma bisogna fare attenzione: il regolamento attribuisce il ruolo di autorità di certificazione solo a quelle aziende in possesso dei requisiti per l’esercizio dell’attività bancaria. Le altre sono fuori gioco…

Il registro delle chiavi

Andiamo avanti; come si fa a sapere qual’è la chiave pubblica di qualcuno? Attualmente l’unico mezzo è sperare di trovarla da qualche parte sulla rete e sempre con i dubbi di cui sopra sull’identità reale del soggetto.

A questo problema risponde l’istituzione del registro pubblico delle chiavi, al quale si rivolgeranno le persone che intendono conoscere quale sia la chiave del proprio interlocutore.

Le chiavi possono essere revocate (ad esempio se qualcuno si accorge che qualcuno si è impadronito della chiave segreta) e anzi, sarà interesse del titolare di una chiave comunicare immediatamente lo smarrimento, il furto o qualsiasi altro evento, perché fino ad allora tutti gli atti compiuti possono essergli attribuiti (più o meno come accade per il PIN del bancomat).

Nuova linfa per l’e-commerce

Questi – molto schematicamente – sono i termini di una riforma (definita “epocale” da alcuni osservatori) che però non dispiegherà immediatamente degli effetti. Tuttavia nel giro di poco tempo il commercio elettronico (ma anche lo home-banking, ad esempio) potrà diventare un business di grande consistenza anche dalle nostre parti, a condizione che – rimossi gli ostacoli di ordine tecnico e giuridico – si riesca ad utilizzare la rete in modo creativo e non cercando di trasferirci pedissequamente logiche e strategie commerciali che in molti casi si sono rivelate fallimentari anche al di qua del modem… sempre che la burocrazia non faccia saltare tutto per aria.

Possibly Related Posts: