Il 29/03/2011 12.57, Stefano Zanero ha scritto:
Cari amici,
dopo aver visto l'imbarazzante evento dell'hacking a Comodo (qui un mio
piccolo rant personale:
http://raistlin.soup.io/post/119155650/Comodo-hack-my-opinion), secondo
me dovremmo immediatamente trarre alcune riflessioni relative alla
recente e sciagurata iniziativa legislativa del nuovo CAD.
Infatti, quei certificati (in questo caso generati per SSL, ma mutatis
mutandis potevano essere certificati di firma) rilasciati anche senza
formule di autenticazione effettiva del destinatario, e senza
dispositivi sicuri di firma, a norma vigente creano delle firme
elettroniche avanzate, che conferiscono forma scritta e valgono come
sottoscrizione fino a querela di falso.
Visto che tiri in ballo il CAD, accetto di ballare e vado un po' OT
rispetto al topic "Comodo".
Ho (finalmente) letto il nuovo CAD. Se ho capito bene, ti riferisci
all'art. 21 comma 2 che recita: "Il documento informatico sottoscritto
con firma elettronica avanzata, qualificata o digitale,
formato nel rispetto delle regole tecniche di cui all'articolo 20,
comma 3, che garantiscano l'identificabilità dell'autore, l'integrità
e l'immodificabilità del documento, ha l'efficacia prevista
dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di
firma si presume riconducibile al titolare, salvo che questi dia prova
contraria.".
Ne' piu' ne' meno della stessa sicurezza (giuridica)
dell'autocertificazione (DPR 445/2000) rispetto all'atto notarile,
fatte le dovute analogie. E' ovvio che quando il legislatore sceglie
forme piu' "comode", per semplificare la burocrazia, introduce degli
abbassamenti dei livelli di sicurezza. Sul piano giuridico, il
legislatore accetta un minor livello di sicurezza per una maggiore
efficacia (chiamata dai cittadini "semplificazione", o, alla Bossi,
"meno rottura d'il bal"). Tecnicamente hai ragione tu, non ci piove.
Giuridicamente, non posso esprimere giudizio, poiche' e' una scelta
dello Stato che "accetta" i rischi dovuti alla semplificazione.
Se invece ti riferisci all'art. 23-ter ("I documenti costituenti atti
amministrativi con rilevanza interna al procedimento amministrativo
sottoscritti con firma elettronica avanzata hanno l’efficacia prevista
dall’art. 2702 del codice civile"), non mi preoccuperei piu' di tanto.
Si parla di documenti aventi rilevanza interna, ne' piu' ne' meno che
assicurare un po' piu' del semplice "l'ho scritto io", "no, l'hai
scritto tu", ma nemmeno "il notaio certifica che l'hai scritto tu", su
un documento che vale solo all'interno di quella PA.
O forse ho saltato l'articolo che ti sta facendo fumare la testa da
diverse settimane (sebbene non abbia trovato altre ricorrenze
dell'art. 2702 del c.c. nel nuovo CAD)?
Rosario
Mi sembra una nuova riprova (casomai servisse) che il nuovo CAD non
risponde assolutamente ai requisiti di sicurezza necessari per la
protezione del cittadino.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
