La firma digitale è tecnicamente sicura, almeno quanto un notaio. A dirlo a EconomyUp è Andrea Caccia, componente dell’Advisory Board di Anorc (Associazione nazionale per operatori e responsabili della Conservazione digitale) e membro del Multi-stakeholder Forum on e-Invoicing (fatturazione elettronica) della Commissione Europea.
Si parla molto in questi giorni di firma digitale perché è un elemento chiave della nuova norma relativa alle startup contenuta nell’Investment Compact, legge approvata il 24 marzo scorso che battezza la categoria delle pmi innovative ma introduce cambiamenti anche per le loro sorelle minori. Uno di questi riguarda la possibilità di costituire una startup senza fare il ricorso al notaio, ma compilando un modulo standard “rinforzato” con firma digitale. I notai sono insorti, sostenendo che, se si esclude il loro ruolo di controllori ex ante, chiunque potrebbe aprire società dedite all’illegalità, e paventando forti rischi di furto di identità digitale. Le startup rivendicano la bontà del provvedimento, che porta loro un risparmio stimato in alcune centinaia di euro. Nel frattempo il Ministero dello Sviluppo economico sta lavorando a un decreto di attuazione della norma che cerchi di mettere d’accordo le parti in causa.
Protagonista di questo processo è anche, e soprattutto, la firma digitale. Ma cos’è esattamente? Come funziona? Ed è in grado di proteggere realmente dai rischi paventati dai notai?
Si dice firma ma, naturalmente, firma non è, perché non richiede carta, penna o uso delle dita, ma è di fatto un processo. Un processo basato su algoritmi crittografici. Il concetto di firma è essenzialmente una metafora utilizzata dai suoi creatori per traghettare le menti abituate a pensare analogico verso i lidi del pensiero digitale.
“È un po’ come un timbro digitale associato a una persona – spiega Caccia – un timbro personale composto da bit che, aggiunti a documento, legano questo documento in modo indissolubile al firmatario. Dopo aver applicato una firma digitale, quel testo non è più modificabile e, se si tenta di modificarlo, il processo di verifica fallisce. La firma digitale ne garantisce integrità, autenticità e il ‘non ripudio’, cioè l’impossibilità di negare di aver firmato quel documento”.
La “penna” usata per firmare digitalmente può essere una smart card o una chiavetta Usb che contiene il personale “inchiostro” del firmatario, ovvero i bit di cui sopra.
Dove si acquista questa “penna”, cioè la smart card? Da un certificatore accreditato che opera sotto la vigilanza dell’Agid (Agenzia per l’Italia Digitale), la quale ne verifica la correttezza nei processi e nell’utilizzo degli algoritmi. Il certificatore è sostanzialmente una struttura. Le Camere di Commercio possono rilasciare la firma digitale tramite un certificatore vincitore di un apposito bando di gara e anche Poste Italiane vende firme digitali. Costo: poche decine di euro. Al certificatore ci si presenta de visu con carta d’identità o altro documento indispensabile per l’identificazione ed è responsabile illimitatamente per i danni che può produrre in conseguenza di suoi eventuali errori. Il certificato digitale rilasciato dal certificatore insieme al dispositivo di firma certifica i dati anagrafici incluso il codice fiscale.
“Dal punto di vista tecnico la firma digitale è assolutamente sicura” afferma Andrea Caccia. “Dietro c’è un lavoro di circa 20 anni, ci sono gli enti di standardizzazione che si occupano dei formati, della modalità e degli algoritmi crittografici utilizzati. Semmai si può riflettere – sottolinea – sull’effettiva sicurezza del processo”.
Il processo è portato avanti da esseri umani che possono talvolta incorrere in sviste, distrazioni o commettere sbagli. “È capitato – rievoca Caccia – che siano stati presentati a un certificatore documenti di identità sottratti con l’inganno e quello ci sia cascato. Però su milioni di certificati rilasciati, i casi di abuso sono poche unità”. Ma sono errori di verifica e valutazione in cui possono cascare tutte le categorie che hanno a che fare con procedure cartacee.
Importante, nel processo di implementazione della firma digitale, è anche il ruolo giocato da un’altra categoria di professionisti: i commercialisti. “Chi possiede società – spiega il membro di Anorc – è tenuto a inviare i bilanci alla Camera di Commercio con firma digitale. Solitamente la smart card del proprietario della società è custodita dal commercialista in cassaforte. Potenzialmente i commercialisti potrebbero creare società a nome dei loro clienti e utilizzarle per scopi illeciti quali riciclaggio di denaro”. Si tratta, naturalmente, di uno scenario estremo e non auspicabile. Ma restiamo nel campo dell’errore (consapevole) umano.
Insomma, come per tutte le cose, anche la strada che porta verso la digitalizzazione della costituzione d’impresa è caratterizzata da luci e ombre. Ma, nel caso specifico, la sicurezza – perlomeno tecnica – della firma digitale è un punto di luce.
“La strada che stiamo percorrendo – afferma Caccia – non è del tutto certa, vanno sempre valutati i pro e i contro, ma è percorribile e i notai dovrebbero continuare a vigilare e segnalare i problemi in modo costruttivo. Ma non dovrebbero opporsi al digitale”. Anche perché, sottolinea, “i processi digitali vanno visti, appunto, come digitali, non come estensione dei processi analogici. Magari, grazie al digitale – conclude – si possono fare anche più controlli. Se resto in ambito analogico, continuo ad eseguire controlli a campione sulle società costituite. Nel digitale posso fare visure su tutti i soggetti presenti nella banca dati, prevedendo determinate soglie di attenzione in automatismo: per esempio se il computer ‘vede’ che una sola persona possiede centinaia di società scatta in automatico l’alert. Così i controlli aumentano. E c’è più sicurezza”.