Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

La proposta

Prosperetti: “Una card d’identità digitale, per i contratti”

di Eugenio Prosperetti

27 Nov 2012

27 novembre 2012

Firma Elettronica e Smart Card non vanno bene per il grande pubblico. Serve un nuovo strumento, semplice e ad hoc per i consumatori. Le idee dell’avvocato esperto di diritto e nuove tecnologie

Si parla ultimamente molto di interventi a favore dell’innovazione e per rendere competitivo il Paese. E’ ovviamente giusto, come essere contrari?

Ritengo tuttavia che, per quanti interventi si possano effettuare sugli strumenti societari e sulle reti tecnologiche, le idee innovative di business e la effettiva percezione dei vantaggi della digitalizzazione nella vita dei cittadini ci sarà se si porrà mano ad una riforma del diritto dei contratti in senso “digitale”.

Attualmente è possibile in Italia concludere un contratto che richiede la forma scritta attraverso le tecnologie digitali solamente facendo uso della “Firma Elettronica”, uno strumento piuttosto sofisticato e complesso da utilizzare.

La firma digitale richiede una procedura di emissione complessa che verifica l’identità del sottoscrittore, deve essere “ritirata” fisicamente, i suoi algoritmi di cifratura devono essere tenuti aggiornati, deve essere utilizzata con hardware e software dedicato (alcune funzionano solo con Windows, altre sono disponibili anche in versione Mac). 

Non è, insomma, lo strumento adatto ad una digitalizzazione di massa e non è uno strumento adatto alla conclusione di contratti con i consumatori. Anzi, direi che dare ai consumatori uno strumento così complesso è abbastanza rischioso.

Una smartcard con certificati di firma digitale consente al suo utilizzatore, con pochi clic, di firmare atti in cui si impegna, con ogni validità, a vendere la propria casa. Non è dunque qualcosa da consegnare all’utente che utilizza Internet occasionalmente e non ha protocolli di sicurezza elevati.

Occorre allora introdurre nel sistema un modo, diverso dalla firma digitale, per firmare contratti di modico valore senza dover ricorrere alla carta.

Ipotizzerei una card di identità digitale che potrebbe essere rilasciata da chiunque ci abbia già indentificato per altri motivi (Comune, Poste, Banca, Carta di Credito, dagli stessi provider di firma digitale) e, con le tecniche già sviluppate per autenticare le carte di credito (un codice numerico univoco, abbinato ad una password personale) garantisca la firma di un contratto sino ad un importo massimo, fissato dalla legge (e che il titolare può abbassare).

Occorrerebbe il supporto normativo ad una simile iniziativa in quanto si dovrebbe dare a chi emette la card di identità digitale dovrebbe essere autorizzato ad identificare validamente i sottoscrittori della medesima e garantirne l’identità.

Diversamente, sarebbero possibili abusi e tale card non fornirebbe garanzie maggiori rispetto ad una carta di credito prepagata.

Le funzioni in questione potrebbero addirittura essere abbinate ad una futura modifica della carta di identità elettronica, consentendo l’adozione a livello nazionale.

La vera competitività arriverebbe però aprendo la possibilità di aprire la sottoscrizione di tale sistema identificativo (eventualmente “virtualizzato”) anche all’estero.

L’Italia dovrebbe cioè divenire capofila di un progetto comunitario ed internazionale per la costruzione di uno standard di identificazione/firma semplificato che non sia legato ai pagamenti, non sia specifico delle singole nazioni (oggi la firma digitale è nazionale e una posta certificata inviata all’estero non ha particolare validità) e consenta a chi vuole operare in rete di evitare di basarsi su provider di servizi commerciali di pagamento o social networking per l’identificazione dei propri utenti.

Infatti, quando una start-up pensa a come implementare su Internet il proprio business plan arriva sempre il momento (in genere nello studio dell’avvocato) in cui realizza che i contratti innovativi che ha pensato, aperti anche a clienti da tutto il mondo, dovranno arrivare sottoscritti via posta o via fax per essere validi e che, per non rischiare di avere a che fare con identità finte, dovrà richiedere a un soggetto che cura pagamenti elettronici (o a un social network) di gestire la autenticazione degli utenti.

Ciò fa perdere innovazione e valore aggiunto e, se non si rimedia, a poco serve migliorare il diritto societario. Occorre abilitare chi lavora attraverso Internet ad usare appieno le potenzialità del digitale.

  • gabriele

    La questione sollevata è molto interessata, ma vorrei sollevare qualche critica(=sottoporre al vaglio della ragione).
    Non possiamo inventarci uno standard italico, data la velocità con cui cambiano le cose su internet la larga diffusione è fondamentale. Uno dei problemi della PEC, peraltro sottolineato anche nell’articolo, è proprio questo, vale solo in Italia. L’intento è condivisibile, però ideare ed organizzare un sistema basato su componenti fisiche sarebbe molto costoso ed anche meno efficace di quanto si pensi.

    Pertanto, se si vogliono realizzare gli obiettivi proposti, bisogna distinguere tra autenticazione ed autorizzazione.
    L’autorizzazione riguarda cosa si può fare, e per questo esistono già protocolli appositi (OAuth). L’unica cosa che il governo e le altre istituzioni dovrebbero fare consiste semplicemente nell’usare questi standard. In questo modo si potrebbe usare l’identità che abbiamo presso il governo (o il posto di lavoro, o la posta, etc.) per autorizzare le varie azioni.

    L’autenticazione, ovvero con chi sto parlando, è il problema che riguarda più strettamente quanto discusso nell’articolo. Il fatto è che la migliore autenticazione è, per forza di cose, locale, vale a dire che la cosa più semplice è quella che risponde alle esigenze del singolo utente. Pertanto sarebbe più sensato non legare fortemente autenticazione e autorizzazione, direttamente, ma in base a diverse classi di sicurezza. Ad esempio, se ti autentichi con un mezzo come quello proposto nell’articolo magari potrai solo autorizzare spese/azioni limitate, se usi un sistema più sicuro potrai autorizzare azioni più significative, etc.

    Di fronte al problema di come conciliare diverse esigenze la risposta (in informatica) non è rendere tutto più semplice, perché così si esclude chi ha esigenze di maggior sicurezza, bisogna piuttosto rendere tutto più flessibile.

  • Anonimo

    Salve, vorrei contribuire ponendo alla sua attenzione e dei suoi lettori una soluzione presente sul mercato circa l’esigenza da lei sollevata, (che per altro tocca anche altri aspetti quali la conservazione, il sincronismo di processo, ecc..) che puo’ consultare all’indirizzo http://www.notarok.it , gia’ funzionante presso alcuni vendor on line, dove trovare anche pareri legali specifici. Segnalandole in separata su http://www.linkok.it una proposta propedeutica all’introduzione di queste soluzioni a tutela reciproca (acquirente/proponente) Restando disponibile ad approfondimenti.

  • APBorsa

    Buongiorno Avvocato e complimenti per il Suo Impegno: come informatici di varia esperienza seguo il Suo Lavoro con attenzione da tempo.

    Mi faccio coraggio e Le scrivo: sarei felicissimo se prima o poi Lei potesse conoscere i prodotti a bassissimo costo che abbiamo appena prodotto per garantire confidenzialità e autenticazione a ogni tipo di documento digitale, inclusi quelli su smartphone.

    (Se e quando scopre come otteniamo ciò prima si mette sicuramente a ridere poi, da esperto in materia, spero apprezzi il poco ortodosso sistema di comunicazione).

    Produciamo solo hardware sicuro (tamper resistant ed evident) per ‘il proletariato digitale’: esso ha diritto agli stessi livelli di sicurezza di una multinazionale, anzi forse a qualcosa di più poiché non dispone di altri mezzi a difesa e garanzia di poter effetturare operazioni confidenziali o autenticate o con entrambe le caratteristiche.

    Con un brevetto di utilità richiesto non per ‘farci la grana’ ma affinché le Major tipo HP e IBM e BigB & Co. non si approprino del metodo meno costoso al mondo per inserire un PIN e dimostrare di essere in grado s’intendere e volere, requisito forense fondamentale per assumersi la responsabilità in Rete delle proprie transazioni.

    Un modello consuma talmente poco, e naturalmente cifra a bassa velocità, da poter essere utilizzato senza batteria.

    Da bravo italiano mi piacerebbe mantenere questo gioiello e la produzione in Italia ma sono sottoposto a fortissime pressioni psicologiche e impenditoriali per portare il tutto in Germania o in U.S.A. (sono anche cittadino U.S.).

    Non vendo smokeware, il mio noiosissimo profilo professionale e su LinkedIn (IBS Italia di A.P. Borsalino o Alan Peter Borsalino, a Lei interessa prob. solo l’attività dal 1986 a oggi) e se potessimo essere utili, intendo i miei bravissimi supporter e progettisti h/w, alla diffusione di iniziative concrete ci sentiremmo meno ‘Don Chisciotte’ di quanto in realtà, almeno in Italia, ci fanno sentire.

    Oltretutto, ma è argomento diverso, se la ns. proposta tecnica servisse, come pare, anche ai Professionisti, la Sus Esperienza in materia diverrebbe utilissima: se con la Sua Assistenza, e naturalmente ‘dopo essere passati per le Forche Caudine Forensi da Lei Definite’, Lei stesso dovesse accordare un Imprimatur a questa nostra poco razionale iniziativa forse ‘ci prenderebbero più sul serio’.

    Grazie dell’attenzione, spero prima o poi Lei trovi un minuto per noi e nel frattempo auguro Buon Natale.

    Alan P. Borsalino
    Tel.: 022046396
    Mob.: 3382656737

  • Eugenio Prosperetti

    Buongiorno. Grazie per i commenti e per le segnalazioni che presto troverò il tempo di esaminare.
    Come perfettamente coglie Gabriele non possiamo creare uno “standard italico”. La firma digitale ha proprio questo limite.
    Secondo me non è compito delle norme entrare nel merito degli standard.
    Le norme si devono limitare ad accettare che qualcosa è possibile.
    È possibile pagare con carta di credito ad esempio che è titolo di credito riconosciuto.
    Il problema e’ che certi contatti non possono essere stipulati digitalmente.
    Occorre dunque usare il metodo che fu utilizzato per consentire gli acquisti online (la norma non si occupa di standard di sicurezza dei siti, ecc.). La norma consente che con una certa procedura il contratto sia firmato in relazione a certi oggetti.
    Se si fa questo a livello internazionale, in ciascun paese si troverà lo standard appropriato che assicuri quei requisiti (oppure un soggetto che ne sia capace proporrà uno standard internazionale).
    Se non si fa questo ho idea che si potrebbe arrivare ad un livello di complessità della gestione dei contratti stipulati via internet insostenibile per i piccoli soggetti.

Articoli correlati