[Community] firme elettroniche, digitali, licenze & c.

Micaela Gallerini mat.r.gl a gmail.com
Lun 14 Apr 2008 16:48:58 CEST 

> Il 03/04/08, Nicola A. Grossi<nag a area01.org> ha scritto:
>
>  >  Per il legislatore un documento informatico sottoscritto con firma
>  >  elettronica qualificata
>  >  ha la stessa efficacia della scrittura privata.
>  >  Negli altri casi, la forma scritta del documento informatico è valutata,
>  >  caso per caso, dal giudice
>  >  in base a parametri di qualità, sicurezza, integrità ed immodificabilità.
>

  innanzi tutto chiedo scusa per l'enorme ritardo con cui scrivo, ma
  problemi extra mi hanno trattenuto più del dovuto per cui sono
  riuscita a leggere, ma non a rispondere a chiunque. Penso che sia una
  discussione da approfondire, per dare indicazioni il più complete
  possibili (se volete ci si possono scrivere delle faq approfondite).

  Poniamo i termini in modo separato e cerchiamo di definirli anche a
  livello informatico, visto che si parla di lavori digitali e non
  cartacei.

  qualità: mi sembra un termine un po' soggettivo da applicare, chi
  definisce cosa è qualitativo e cosa non lo è, su che principi o su
  quale scala di valori?
  mi spiego, un lavoro fatto dalla Emi, piuttosto che dalla Mondadori o
  dalla Microsoft, per esempio è più qualitativo di lavori non
  pubblicati sotto le loro etichette? (vedi sotto)

  sicurezza: non esiste, nemmeno con le firme elettroniche (sotto spiego
  meglio il mio pensiero)

  integrità: l'integrità di un lavoro in che senso per cortesia? proprio
  non ho capito a cosa si riferisce.

  immodificabilità: come già detto, per tutto ciò che riguarda
  l'informatica non ha molto senso parlare di immodificabilità di un
  lavoro, nemmeno su carta un lavoro è immodificabile. Nemmeno una
  legge, figuriamoci un programma opensource con licenza libera.

  >
  >  Questo è quanto dice la legge (artt. 20 e 21 CAD).
  >
  >  Se vogliamo partire dal presupposto che la sicurezza non esiste, allora
  >  conviene utilizzare
  >  la firma elettronica qualificata, in quanto la sua efficacia probatoria
  >  non dipende dalla sua sicurezza.
  >
  >

  va bene, però c'è da chiarire un po' di cose:

  la firma elettronica come lei ha saggiamente spiegato in queste liste
  qualche tempo fa può essere utilizzata per validare la licenza stessa,
  ma ciò non implica che il lavoro sia qualificato. Cioè, è come le
  aziende che dicono di avere la qualifica ISO 9001/9002, l' 80% di
  quelle aziende per riuscire ad ottenere quella certificazione hanno
  "barato" imbrogliando sui conti da presentare, ossia il loro lavoro è
  qualificato solo per un certificato ma non per reale qualità del
  servizio offerto.

  C'è da specificare però, ad uso e consumo di chiunque la differenza
  tra le varie firme già citate in questa lista. Chi vuole può leggere
  un articolo uscito su Punto Informatico qualche tempo fa sulle firme
  digitali e firme elettroniche, è semplice ma rende l'idea o chi ha più
  tempo o vuole approfondire che un ottimo pdf del CNIPA intitolato
  "Linee Guida per l'utilizzo della Firma digitale".

  In sostanza, la firma elettronica è rivolta ad alcuni soggetti e si
  riferisce ad alcuni documenti, la firma digitale è rivolta ad altri
  soggetti e si riferisce ad altro tipo di documenti.

  La firma digitale (pgp), sono le famosissime doppie chiavi che la
  maggior parte di noi conosce, la chiave pubblica e quella privata, si
  sottoscrive un documento con queste chiavi e lo si rende così non
  leggibile da terzi che non abbiano la chiave pubblica.
  Ossia, una persona crea una coppia di chiavi: una pubblica ed una
  privata. Sottoscrive il documento con la sua chiave privata e da a
  persone esterne di sua fiducia (quindi non a tutti come qualcuno fa)
  la chiave pubblica, quando si invierà il documento sottoscritto con la
  chiave privata a terzi, essi dovranno avere la chiave pubblica per
  poterlo leggere, altrimenti il documento rimarrà crittografato.

  Es. qualche mese fa mi è capitato di vedere un dvd, peccato che fosse
  protetto da chiave elettronica e che inserito in un qualsiasi dvd
  richiedeva la password per arrivare anche solo al menù.

  Questo è ciò che accadrebbe a qualunque nostro documento o rogramma,
  o diamo le chiavi pubbliche a chiunque ma non avrebbe un gran senso a
  questo punto fare delle chiavi crittografe per darle a chiunque...:S

  firme elettroniche, ossia un'autenticazione dei dati in modo
  informatico. Possono essere di più tipi:

  Firma elettronica avanzata ( o semplicemente firma elettronica), che è
  quella descritta da lei qualche mese fa in queste liste.

  Firma elettronica qualificata, che invece è quella che utilizza SSCD
  su smart card. Ossia, tramite appositi programmi si crea una firma
  elettronica che da autenticità non tanto ai contenuti quanto alla
  persona che l'ha creata e che firma il documento.

  Quest'ultima ha dei difetti, i programmi per gli SSCD non costano poco
  all'incirca 200-300 €, più il mantenimento annuale 100€ all'anno
  (all'incirca, sto facendo una media tra quelli più conosciuti in
  commercio) e cosa che per alcuni è di vitale importanza, sono solo per
  Windows, mi pare di averne visto uno solo per Mac OS ma chi ne sa di
  più sicuramente può rettificare ciò che ho detto, grazie.

  Quindi, non solo ci costerebbe una fortuna e mezza che le persone più
  comuni con uno stipendio normale non potrebbero permettersi, ma alcuni
  non sarebbero nemmeno in grado di poterla riprodurla, ciò affosserebbe
  tutta l'idea che gira attorno all'opensource.

  Se parliamo del lato sicurezza, nessuna di queste chiavi stabilisce la
  reale sicurezza del documento.

  Se parliamo di musica, anche se firmata elettronicamente la qualità o
  la gradibilità può essere diversa o nulla.

  Se parliamo di un documento scritto, ibidem.

  Se parliamo di un programma, la sicurezza è data dall'assenza di bachi
  e non di certo da una firma, posso firmare un programma
  elettronicamente ed avere più bachi di un groviera. Molte
  softwarehouse e molte aziende informatiche firmano elettronicamente i
  loro prodotti, ma sono pieni di bug soprattutto sulla sicurezza.
  La firma elettronica serve solo per dare autorevolezza al
  programmatore o allo scrittore o al musicista o ancora al grafico,
  come dire una firma in calce, il problema è che non sempre si può
  attuare una firma di questo tipo.

  Se una multinazionale deve effettuare migliaia di pagamenti degli
  stipendi, può utilizzare una firma elettronica qualificata, anche se
  ora con l'avvento di internet eseguono tutto via internet senza nessun
  problema.

  Un'azienda può utilizzare una firma di questo tipo, una persona comune
  no, per una questione di costi e per una questione di utilità.

  Poi per quanto riguarda prettamente la questione internet.

  Non ho tirato fuori a caso la convenzione di Berna, ma con una
  ragione, anche se volevo sapere se l'Italia si era adeguata o meno, in
  quel momento.

  Se ho un sito in America che è affezionata alla convenzione di Berna e
  riconosce uno scritto, un documento qualsiasi, una musica/canzone, un
  disegno, un programma attribuendolo ad un certo autore anche senza
  nessuna firma elettronica (quindi riconosce l'autenticità dell'autore
  senza ricorrere a firme di alcun tipo) e permetto a chiunque di
  scaricare dal mio sito musica, disegni, programmi, documenti vari,
  perchè dovrei rinunciare a questo mio diritto acquisito se un utente
  dall'Italia legge, scarica e si permette di non ottemperare alle linee
  della licenza che ho messo?

  Per quanto riguarda l'opensource ed i suoi programmi, c'è di più.

  Faccio un esempio, i cms come quello a cui si appoggia il sito di
  Creative Commons, sono fatti molte volte da moduli (procedure di
  piccole dimensioni) creati da chiunque ne abbia voglia, se non firmo
  elettronicamente un modulo che succede? non ha valore legale? sarebbe
  assurdo che per creare un modulo dovessi spendere 300 €  per
  mantenerlo in vita e cambiare pure sistema operativo.

  Lo stesso vale per i piccoli programmi, detti anche utility. E tante
  altre piccole cose, che ora evito per non dilungarmi troppo.

  Come ho detto forse il legislatore non ha ben chiaro su come è fatta
  realmente l'informatica, sul "problema" opensource o anche sulle
  Creative Commons, se metto una licenza modificabile su un lavoro, per
  lui non ha valore legale perchè qualcun altro la può modificare?

  Come ci si deve comportare, noi comuni mortali per poter utilizzare la
  licenza in tranquillità?

  grazie.

  --
  "Tutti i programmi del mondo non sostituiscono il cervello umano"
  Rashna
  Micaela Gallerini

Maggiori informazioni sulla lista community