Le parole d'ordine sono ormai il pane quotidiano di milioni di persone. Dal semplice prelievo allo sportello bancomat alla cifratura dei documenti, i Pin ( personal identification number ) e le password sono una merce tanto comune da risultare troppo debole. I nuovi baluardi della sicurezza si fondano sulla crittografia e sulla autentificazione per proteggere da occhi indiscreti i documenti; ma con qualche accorgimento possono anche identificare con certezza una persona. Con la firma elettronica un documento nasce, vive, e muore in formato elettronico, con garanzie di integrita' del messaggio, di non ripudio e una velocita' istantanea di consegna. Ciò puo' essere integrato nei sistemi di comunicazione web tradizionali consentendo di effettuare transazioni commerciali con pieno valore legale e regolamentate in modo da essere gestibili in caso di contenzioso. Quindi il documento elettronico diventa velocemente trasferibile, facilmente archiviabile e reperibile, ed a prova di falsificazione. Inoltre non c'e' più bisogno di un supporto cartaceo. La firma viene apposta utilizzando tecniche crittografiche identiche a quelle utilizzate per conseguire la confidenzialità, che a questo punto diventa un ulteriore vantaggio . ^[89] In Italia, dopo l'introduzione della legge Bassanini, lo sviluppo del sistema di firma digitale è ormai in dirittura d'arrivo. ^[90] Con il sistema a doppia chiave previsto dalla normativa ^[91]sarà possibile salvaguardare la riservatezza e anche attestare la provenienza del documento. Anche una semplice e-mail sarà equiparata a un atto ufficiale.

Quello che manca è il "notaio" in quanto il decreto prevede l'esistenza di apposite autorità certificatrici, registrate in un pubblico albo. Per legge la chiave privata deve risiedere su un dispositivo hardware programmabile come le smart card , e registrata presso le autorità certificatrici riconosciute ^[92]. Essendo le chiavi contenute in un hardware, possono essere utilizzate solo con l'utilizzo di una parola d'ordine. In questi sistemi a chiave doppia, privata e pubblica, la chiave pubblica è messa a disposizione di tutti in un elenco tematico, quella privata deve essere tenuta al sicuro. Le due chiavi vanno utilizzate in coppia ^[93].Le soluzioni software esistevano già, altre sono nate per essere coerenti con la legge e nuovi sistemi stanno nascendo tuttora.

L' SSL ^[94]è uno standard per criptare le informazioni che transitano dal browser al sito e renderle quindi illeggibili , è supportato in modo automatico dai principali browser , non richiede l'aggiunta di programmi specifici ne la richiesta di password, è anche conosciuto come "server sicuro" e si riconosce nella parte inferiore del browser ^[95] I titolari delle carte di credito possono acquistare in modalità SSL perché la transazione viene assimilata agli acquisti effettuati per telefono o per corrispondenza. Non vi è però la certezza dell'identità di chi sta effettuando la transazione, poiché non vi è la "firma", e quindi il legittimo titolare della carta può contestare l'estratto conto mensile per quanto riguarda le transazioni di questo tipo. Questo sistema è comunque efficace e lo usano molti siti di successo ^[96].

Il SET è uno standard promosso da Visa e Mastercard e da altri partner, con lo scopo di rendere più sicure le transazioni via Internet, ma i principali browser non sono abilitati alle transazioni SET e per poterlo utilizzare è necessaria l'installazione di un software ^[97] .

Ogni titolare di carta di credito deve richiedere alla società emettitrice un codice personale (PIN).Questa procedura è sicuramente più macchinosa ma ha il vantaggio di garantire l'identità dell'acquirente e le transazioni effettuate non sono ripudiabili dal titolare, a meno che non riesca a dimostrare l'uso fraudolento del software SET e del suo PIN, ma l'onere della prova è a suo carico e non invece nei confronti del venditore. ^[98]In Italia non tutte le banche accettano il pagamento con carta di credito tramite Internet; quelle che accettano le transazioni utilizzano solo la modalità SET, altre quella SSL, altre tutte e due.

Per quanto riguarda gli acquirenti non esistono problematiche particolari in quanto i browser (Netscape, Explorer etc.) sono comunque dotati di cifratura che si sposa con quella dei "server sicuri", e per maggiore prudenza si possono adottare semplici procedure di pre-registrazione che consentono di ultimare la transazione senza mai inviare in rete i numeri di carta di credito. Altre soluzioni propongono un software, che invece di chiudere la password in una smart card , la nasconde insieme ad altre chiavi false che disorienterebbero l'eventuale pirata ^[99]. Solo il legittimo proprietario può riconoscere la chiave attraverso una password. Un' altra soluzione che aspira a diventare uno standard aperto per l'identità digitale è composta da un software ^[100] dove ogni utente compila una scheda con i propri dati personali, il numero di identificazione e la password, che resterà on line, protetta con un sistema di criptaggio. L'idea è di incorporare nell'identy-card virtuale anche le credenziali del conto bancario e il numero della carta di credito. Una banca potrebbe quindi fornire una identità digitale a tutti i correntisti per consentire di accedere ai servizi senza dover inserire ogni volta il PIN o altri codici identificativi ^[101].

Oggi sembra che le password possano essere superate da tecniche di identificazione biometrica che riescono a confermare l'identità di una persona attraverso l'analisi dei parametri biometrici. In particolare si stanno affermando soluzioni hardware e software ^[102]che analizzano in pochi millesimi di secondo le impronte digitali. Il sistema , basato su un piccolo scanner che fotografa l'impronta del dito indice e la confronta con l'immagine depositata in precedenza dall'individuo, è già usato al posto del PIN per acquisti on line e accessi a operazioni bancarie ^[103].

---

^[89] Paolo da Ros, schema di regolamento attuativo della legge sul commercio elettronico, www.wmtools.com

^[90] www.aipa.it/notaria/atti_ele.htm

^[91] Legge che vede la pubblica amministrazione italiana all'avanguardia in Europa

^[92] Tra i primi in Italia c'è CompEd. Il suo prodotto, Digisign richiede un personal dotato di lettore per carte intelligenti e svolge la triplice funzione di firma, crittatura e decrittatura.

^[93] Andrea Lawendel, Nascondere la chiave in un pagliaio, Corriere della Sera, 10 giugno 1999

^[94] Ormai tutte le banche usano SSL 3.0, anche se questo comporta che i clienti devono avere almeno la versione 4 dei browser più usati.

^[95] nei negozi di commercio elettronico perché quando si arriva a una pagina "sicura" appare un simbolo di lucchetto (Microsoft Internet Explorer) oppure una chiave (Netscape Navigator)

^[96] fra cui Amazon.com che ha superato gli otto milioni di clienti in tutto il mondo, con pagamenti che avvengono prevalentemente con carta di credito.

^[97] ad eccezione della recente versione 5 del Microsoft Internet Explorer, che include il software SET

^[98] Quasi nessun sito al mondo attualmente effettua transazioni commerciali in modalità SET .

^[99] Ad esempio la Arcot con il suo sistema Webfort

^[100] ad esempio DigitalMe presso www.digitalme.com

^[101] Chiara Sottocorona, Sarò la tua ombra digitale, Corriere della sera 7 giugno 1999

^[102] Ad esempio "U-are-U" della digitalpersona (www.digitalpersona.com) che sostituisce la password con una fotografia istantanea del polpastrello del dito. Ma ci sono anche soluzioni della Nec o St Microelettronics

^[103] Andrea Lawendel, Questa password è a portata di dito, Corriere della sera 7 giugno 1999

Dott. Pietro Favè

Successivo: Capitolo 3 La Banca Virtuale all'estero

Sommario: Index