A         Egr. Dott. Maurizio Belpietro

Direttore Responsabile “PANORAMA”
 

e p.c.             Gent.ma Dott.ssa Nadia Vaghi

Responsabile Segreteria di Redazione “PANORAMA”

 

e          Egr. Dott. Fabio Pistella,

Presidente del CNIPA

 

Reggio Calabria, 29 giugno 2008

 

Oggetto:     riferimento lettera CNIPA 25 giugno 2008 relativa all'articolo "come ti falsifico la firma digitale".

 

 

In riferimento alla lettera riferita in oggetto a firma del Presidente del CNIPA, egregio Dott. Fabio Pistella, e riportata in allegato per comodità (così come prelevata dal sito ufficiale del CNIPA, URL: www.cnipa.gov.it/HTML/rs/Lettera%20FP_PANORAMA_firma% 20digitale_25giu08.doc ), tengo a precisare quanto segue:

 

1. Non è stata mai mia intenzione, né, ritengo, intenzione del giornalista autore dell'articolo, creare eccessivi allarmismi, rispetto a questo nuovo tipo di attacco alla firma digitale, che si aggiunge agli altri già esistenti, con un livello di pericolosità paragonabile.

 

2. Ringrazio Panorama per avere divulgato la notizia perché, come sempre avviene nel campo della sicurezza informatica, più è diffusa la conoscenza delle minacce, più la loro pericolosità decresce.

 

3. Ringrazio il CNIPA per avere con serietà ed attenzione preso in considerazione la comunicazione sul nuovo risultato scientifico, avvenuta con netto anticipo rispetto alla pubblicazione dell'articolo su Panorama.

 

4. Concordo con il punto di vista del Presidente del CNIPA, Dott. Fabio Pistella, che il nuovo risultato non debba in nessun modo far diminuire il livello di fiducia che gli utenti hanno verso la firma digitale, che rimane comunque un sistema altamente sicuro, tenuto conto di quanto invece possa essere facile attuare contraffazioni e alterazioni di documenti con firma autografa.

 

5. Comprendo d'altra parte la legittima prerogativa di Panorama di "dare la notizia", quando per altro tale notizia era basata su (1) una pubblicazione scientifica, (2) le attestazioni di validità del risultato scientifico fornitemi dal CNIPA. Quindi non posso che rimarcare la serietà e professionalità di Panorama ed, in particolare, dei giornalisti con cui ho interagito.

Capisco inoltre che non si può pretendere che un settimanale non specialistico non possa contenere delle minime "inesattezze" tecniche, a vantaggio della efficacia comunicativa. Preciso tuttavia che ho fornito a Panorama tutta la documentazione descrittiva dell'attacco incluso l'articolo scientifico in lingua inglese e che Panorama si è messo in contatto con me per chiarimenti sugli aspetti tecnici.

 

6. Sono meno d'accordo con il Presidente del CNIPA sulla metafora della firma autografa su "immagine ambigua", essendo questo caso facilmente rilevabile da parte del sottoscrittore. Ma d'altra parte firmiamo con tranquillità documenti dove sono possibili aggiunte di testo non rilevabili con semplicità a-posteriori. Ciò per rappresentare il fatto che non è necessario, a mio avviso, scomodare le immagini ambigue per comprendere come il dominio della firma digitale risulti comunque di gran lunga più sicuro di quello della firma autografa (nonostante esistano possibili attacchi).

 

7. Devo osservare, con il dovuto rispetto verso il Presidente del CNIPA, pur non essendo io un giurista, che la firma digitale costituisce prova legale, e non prova liberamente valutabile ai sensi del art. 116 del c.p.c. e dell'art. 21, comma 1, del D.lgs n. 82 del 7 marzo 2005. In particolare l'efficacia probatoria della firma digitale (cosi' come quella della firma elettronica qualificata) è regolata dall'art. 21 comma 2, del D.lgs n. 82 del 7 marzo 2005, che assegna a tale contrassegno l'efficacia della scrittura privata (ex art 2702 del C.C.) con inversione dell'onere della prova sul disconoscimento. Preciso che il nostro attacco agisce sulla firma digitale. Pertanto, un documento informatico con firma digitale alterato attraverso il nostro attacco non ritengo possa essere valutato privo di efficacia probatoria sic et simpliciter in forza dell'articolo 21 del D.lgs n. 82 del 7 marzo 2005 essendo applicabile il comma 2. Detto questo non è da escludere che in giudizio potrebbe essere adottata un'applicazione estensiva della prescrizione introdotta dall'art. 3 comma 3. del DPCM del 13 gennaio del 2004, "assimilando" il nostro attacco a quello basato su documenti contenenti macro-istruzioni o codice eseguibile, escludendo in tale modo il documento alterato dall'applicazione dell'art. 21 comma 2, del D.lgs n. 82 del 7 marzo 2005.

A mio modestissimo ed incompetente parere, credo tuttavia, che nonostante attenga alla facoltà del Giudice di compensare, secondo il suo prudente apprezzamento e l'applicazione della giurisprudenza, eventuali vacanze, aporie logiche, contraddizioni, che possono esistere nella normativa vigente, sarebbe necessaria una revisione normativa che tenga conto esplicitamente di questo tipo di attacco non essendo esso basato sulla presenza di macro-istruzioni o codice eseguibile (fattispecie invece prevista dall'art. 3, comma 3, del DPCM del 13 gennaio del 2004).

 

8. Confermo pienamente quanto osservato dal Presidente del CNIPA circa il fatto che l'attacco sarebbe a-posteriori facilmente verificabile, come spesso avviene nel caso di falsi in scritture (anche cartacee).

 

Sono a disposizione per qualsiasi mio contributo che possa aiutare a chiarire eventuali equivoci, nel pieno ed assoluto rispetto delle istituzioni ed essendo da molti anni "affezionato" al tema della firma digitale, che continuo a ritenere essere uno strumento efficace e sicuro. Credo tuttavia che studi come il nostro ed atteggiamenti costruttivi come quelli del CNIPA possano aiutare a irrobustire ulteriormente un sistema che rappresenta un nodo cruciale della innovazione nella PA e più in generale nella società moderna.

 

Con i sensi della massima stima

Francesco Buccafurri

Torna indietro