Requisiti di sicurezza e protezione
sulla fornitura dei servizi di telecomunicazioni


4) IL COMMERCIO ELETTRONICO   torna all'indice

4.1 Introduzione      torna all'indice

La definizione di Commercio Elettronico è il risultato della combinazione di diversi parametri di tipo evolutivo. Molti ricordano lo standard per lo scambio di informazioni strutturate tra computers, anche di organizzazioni diverse, noto come Electronic Data Interchange. L'AIPA (Autorità Informatica per la Pubblica Amministrazione) con la comunicazione in Gazzetta Ufficiale della circolare del 3 giugno 1999, AIPA/CR/22, ha notificato al paese un sistema legale dell'atto formato in via elettronica. La firma digitale, che fa parte del più ampio genere delle firme elettroniche, è la modalità di sottoscrizione scelta dal Legislatore per dare valore legale agli atti informatici. È palese che "firma elettronica" e "firma digitale" non sono sinonimi. La prima espressione indica una tecnica che consente di associare dati (ad esempio una firma) ad altri (esempio un documento) con finalità di autocertificazione. La seconda si riferisce ad uno specifico tipo di firma elettronica cioè quella che utilizza il sistema di criptografia a chiave pubblica (o asimmetrica). La firma elettronica quindi non impone una specifica tecnologia, mentre la firma digitale comporta necessariamente il riferimento ad una tecnologia determinata, quella della criptografia a chiave pubblica.

Nel 1997 è stato introdotto il termine e-business; prima di allora la parola più usata era e-commerce o commercio elettronico. Il cambio di termine significa anche un cambio di paradigma. Mentre in un primo momento l'esperienza era di vendita di prodotti che poteva essere fatta tramite la rete, successivamente si è capito che tanti altri tipi di business possano essere attivati tramite il complesso che definiamo telecomunicazione.

L'integrazione si completa con il ruolo importante derivante dalla rete delle reti Internet.

Qui di seguito si riassumono le principali caratteristiche del commercio elettronico nel contesto della sicurezza.

 
4.2 Le peculiarità del commercio elettronico     torna all'indice

Fra tutti i comparti dell'economia presenti su Internet quello che al momento determina una crescita occupazionale più significativa è rappresentato dal commercio elettronico, che tra il 1998 e il 1999 ha creato 100 mila nuovi posti di lavoro. Salgono così da 1,6 milioni nel 1998 a 2,3 milioni nel 1999 le persone che hanno un lavoro legato ad Internet.

L'epicentro di questo processo si colloca nella Silicon Valley, zona dell'area della California che concentra il meglio della nuova imprenditorialità e dei finanziatori, e dove nel corso del 1998 l'ammontare degli investimenti in Venture Capital è stato di 3,3 miliardi di dollari, concentrato sulle software houses e sulle Internet Company.

I risultati di questa effervescenza tecnologica sono dimostrati dal lancio da parte di 32 aziende di una "Initial Public Offering" (IPO), e dal caso delle "gazelle company", cioè di quelle aziende che dopo la quotazione sono cresciute almeno del 20% del loro valore, costituendo oggi il 2% delle società quotate in quell'area.

Gli ingredienti che rendono quell'area così vincente sono rappresentati:

- dal reclutamento mondiale e da un turn over del personale rapidissimo,

- dalla ripartizione del rischio d'impresa anche tra i dipendenti stessi (che spesso detengono stock option fino al 10-15% del capitale),

- dall'ambiente culturale; questo è forse l'aspetto che maggiormente impedisce la realizzazione di una tale esperienza anche in Italia.

L'aspirante imprenditore infatti oltre a dover superare le difficoltà legate alla scelta di collaboratori specializzati e al reperimento dei capitali (anche se le cose stanno migliorando), spesso si trova isolato e quindi impossibilitato nel decollo.

A sostegno di una politica di crescita del commercio elettronico deve ancora affermarsi in Italia una cultura informatica e una sufficiente fiducia del cliente verso questo nuovo canale distributivo.
 

4.3 Nuovi scenari tecnologici     torna all'indice

Oggi si parla di tecnologie per la trasmissione dati a banda larga. L’accesso ad Internet sarà sempre più orientato verso soluzioni in fibra ottica con sistemi DSL, UMTS, e satellitari.

I sistemi ADSL consentono anche ai provider, per esempio con tecnologie come l’UMTS, di offrire servizi innovativi. Vi sono poi delle situazioni di convergenza, quali quella tra i sistemi di trasmissione via cavo ed i sistemi di tipo wireless, con particolare riguardo ai sistemi satellitari.

L’EITO (EUROPEAN INFORMATION TECNOLOGY OBSERVATORY) già dal 1993 con il proprio osservatorio segue diversi settori sul piano innovativo e ad esso conviene riferirsi per un panorama sintetico sul commercio elettronico. 

Nel seguito viene messo evidenza il fatto che ad oggi la vera rivoluzione causata dall’adozione di sistemi di commercio elettronico da parte delle aziende non è di tipo tecnologico, ma investe principalmente il settore del reengineering di processo. In altri termini le difficoltà che stanno incontrando e che incontreranno le realtà che implementeranno sistemi di e-commerce non sono di tipo tecnologico, ma organizzativo e strutturale.

 
4.3.1 Le dimensioni del fenomeno     torna all'indice

Nei prossimi anni, afferma il rapporto EITO, ci sarà un fortissimo cambiamento nella demografia della rete, che porterà già nel 2003 la popolazione utente europea ad eguagliare numericamente quella statunitense.

Europa ed America, complessivamente, raggiungeranno i due terzi dell’utenza Internet nel mondo. Nei prossimi tre anni, poi, il PC, quale strumento di accesso alla rete, perderà terreno in funzione dell’avanzata di sistemi come Internet–TV, set-top box, e Personal Digital Assistant.

Per quanto riguarda le dimensioni economiche del fenomeno, le vendite on-line, mondialmente, sono destinate a crescere di quattordici volte tra il 1998 ed il 2003; anno nel quale l’e-commerce mondiale raggiungerà una cifra compresa tra i 1.500 ed i 4.500 miliardi di Euro.

Le principali valutazione dell’EITO circa l’e-commerce europeo sono:

  • l’obiettivo delle grandi aziende nell’implementazione di sistemi di e-commerce ed e-business è quello di semplificare i processi interni;
  • le aziende europee hanno già avuto modo di verificare l’entità dei risparmi ottenibili tramite l’implementazione di sistemi di tipo buy-side. La validità di sistemi come l’e-procurement, ad esempio, è ampiamente dimostrata, avendo consentito di stornare dai costi di procurement valori percentuali variabili tra il 20% delle aziende tessili e l’80% di quelle farmaceutiche.
  • gli investimenti in e-commerce stanno acquisendo un ruolo chiave nei budget riservati all’implementazione dei sistemi informativi aziendali.
  • la diffusione dei sistemi di commercio elettronico costringerà interi settori a vere e proprie rivoluzioni, che implicheranno un cambio di ruolo per gli operatori che, per non morire, dovranno ridefinire le loro funzioni all’interno della supply chain (es. intermediari, punti vendita ecc.).

La maggiore di queste cifre, realmente impressionante se si considera che è pari al 17% di tutte le vendite effettuate a livello mondiale, sarà raggiunta solo se i paesi sviluppati adotteranno politiche favorevoli alla diffusione del fenomeno. In caso contrario, comunque, il valore dell’e-commerce dovrebbe raggiungere il 7,5% del totale del commercio mondiale.


4.4 La sicurezza nelle reti Internet, Intranet ed Extranet     torna all'indice

L’estrema articolazione e ramificazione della rete Internet, unite alla necessità di consentire a tutti l’accesso al server sul quale è presente il sito, pone delle inevitabili problematiche di sicurezza che devono essere assolutamente considerate se si vuole salvaguardare l’integrità e la segretezza dei dati trattati; in particolare se si è optato per una soluzione in-house.

Il modo migliore per salvaguardare i propri sistemi si basa sulla combinazione di tecniche di protezione dei singoli elaboratori (host security), con tecniche rivolte alla protezione di intere reti (network security). E' importante dunque che i singoli elaboratori siano configurati al meglio per evitare intrusioni, e che anche l’accesso fisico ai locali sia esclusivamente riservato al personale autorizzato. 

Si può inoltre studiare una strategia che garantisca un controllo su quello che accade su tutta la nostra rete e su chi vi acceda dall’esterno. A questo fine si possono adottare sia soluzioni più o meno semplici quali la password, sia l'utilizzo di particolari porte di tramite con il mondo esterno, ovvero i firewall.

L’uso della password ha come vantaggio l’estrema facilità d’uso. Di solito vengono utilizzate per consentire l’accesso a specifiche informazioni o banche dati, ad un "navigatore" già conosciuto (registrato) dal sito. L’uso della password è però preferibile per accedere a informazioni non strategiche; è infatti possibile, per un malintenzionato, entrare nel sistema grazie all’acquisizione di codici d’accesso (password) banali. 

Le aziende non stimolano abbastanza gli utenti della rete ad adottare parole chiave complesse. Sono infatti fin troppo diffuse password composte da quattro soli caratteri, spesso tutti uguali, o che ripropongono la data di nascita o il nome della moglie o dei figli.

Anche obbligare gli utenti a cambiare periodicamente (almeno ogni tre - quattro mesi) la password è un valido sistema per impedire l’accesso a soggetti non autorizzati. In generale si può senz’altro dire che l’esperienza di molti IT Manager di grandi aziende è arrivata alla conclusione che è veramente difficile trovare il giusto equilibrio; perché password che impongono troppe regole molte volte sortiscono l’effetto opposto in termini di sicurezza, perché l’utente è costretto a scriverle da qualche parte per non dimenticarle (magari proprio accanto al video); soprattutto oggi dove in azienda, per l’accesso in rete e l’uso dei servizi, bisogna fare molti "login" digitando molte volte l’ "user" ed altrettante volte la password.

Per quanto riguarda i firewall, questi sono dispositivi o software che si frappongono tra una rete interna a sicurezza più elevata ed il mondo esterno, vagliando ogni singola richiesta di dati e consentendo o meno l’accesso secondo delle predefinite politiche di sicurezza.

In questo modo è possibile impedire l’accesso dall’esterno verso particolari zone della propria rete ma anche controllare il traffico interno verso particolari zone riservate con informazioni sensibili.

I firewall che vengono utilizzati per comunicare con Internet utilizzano il protocollo TCP-IP. È possibile, infatti, controllare il traffico diretto verso i vari elaboratori tramite il loro indirizzo IP, che identifica ogni computer in maniera univoca. Infatti ogni computer collegato ad Internet è raggiungibile tramite l’indirizzo IP composto da 4 byte (cifre da 0 a 225) del tipo: 194.20.3.160. Quest’indirizzo è unico per ogni computer e può essere associato, ad esempio, ad un Web Server, cioè ad un server che offra il servizio di ospitare un sito Internet.

Nel caso in cui si vogliano sviluppare siti Internet che si occupino di commercio elettronico, o comunque con necessità di comunicazione di dati riservati, si presenta un altro grosso problema di sicurezza. I dati che viaggiano tramite il protocollo TCP-IP, infatti, attraversano diverse reti su cui il navigatore e chi gestisce il sito spesso non hanno completo controllo. È possibile che durante il passaggio qualche malintenzionato intercetti i pacchetti contenenti informazioni riservate (come ad esempio un numero di carta di credito) per farne un uso fraudolento. 

Questa tecnica è detta di sniffing dei pacchetti TCP-IP; essa consente a chiunque abbia accesso ad un elaboratore posto su una delle reti attraversata dalle informazioni, di appropriarsene in maniera trasparente rispetto alla comunicazione in atto.

Per ovviare a questo inconveniente si utilizza solitamente un protocollo di comunicazione criptato che cifra i dati al momento della creazione e ne consente la decrittazione solo da parte del destinatario una volta giunti a destinazione. Chiunque intercetti le informazioni durante il tragitto otterrà esclusivamente i dati cifrati e illeggibili.

La maggior parte dei protocolli sicuri utilizzati su Internet si basano su tecniche di crittografia asimmetrica.

La crittografia asimmetrica è così detta perché richiede una coppia di chiavi diverse, una pubblica ed una privata per ogni entità che desidera comunicare in maniera sicura. Queste chiavi non sono altro che una successione di lunghezza variabile di numeri (più è lunga la chiave in bit, più sicura è la tecnica di crittografia), che consentono, tramite diversi algoritmi matematici, di trasformare un messaggio in chiaro in criptato o viceversa. 

Per ovviare a problemi di contraffazione delle chiavi sono state istituite le Certification Authorities (CA); esse sono degli enti fidati, creati per garantire l’identità delle chiavi pubbliche. La CA più comune è l’americana Verisign, che garantisce tramite i propri certificati l’identità di molti siti che fanno commercio elettronico.

La legislazione italiana prevede un albo delle CA a cui i vari enti possono iscriversi presentando garanzie di serietà sul trattamento e conservazione dei dati delle chiavi. Le firme digitali apposte su documenti digitali con valore legale dovranno essere garantite da CA iscritte a questo albo.

 E' interessante esaminare un pò più in dettaglio come queste tecniche di crittografia sono state applicate ai diversi protocolli di Internet, aggiungendo dei livelli di sicurezza alla situazione esistente.

Il protocollo più usato per garantire comunicazione sicure è Secure Socket Layer (SSL) attualmente diffuso nella versione 3.

Il sistema funziona in modo che le due parti codifichino il pacchetto usando la chiave pubblica dell’interlocutore e decifrino i propri pacchetti con la propria chiave privata.

A livello applicativo, l’implementazione sicura dell’http si chiama https.

Quando nella barra di indirizzo del nostro browser vediamo la scritta https di un sito siamo sicuri di comunicare in maniera criptata e non intercettabile per i nostri dati sensibili.

 
4.5 Sistemi di pagamento on line       torna all'indice

Il sistema principale per fare acquisti on line è la carta de credito.

Tramite un semplice numero di carta, nome, cognome e data di scadenza, infatti è possibile acquistare merce. Un CSP, (COMMERCE SERVICE PROVIDER), per processare ordini con carta di credito, deve stringere accordi con un acquirer; ovvero con un ente autorizzato all’addebito dalle società delle carte di credito. Di norma gli acquirer (banche o altri) comunicano con i CSP tramite protocolli predefiniti (standard ISO o modifiche di protocolli esistenti) su canali dedicati, od eventualmente via X25; raramente viene usata una normale concessione Internet TCP/IP. Il CSP utilizzerà dunque questo canale per verificare la disponibilità di credito sulla carta e, una volta evaso l’ordine, per chiedere l’addebitamento.

 Un altro sistema di pagamento spesso utilizzato è quello dei micropagameti.

Nel caso di merci con prezzo unitario irrisorio, come ad esempio consultazioni di singole informazioni, giochi on line, e simili, la commissione di utilizzo delle carte di credito può essere addirittura superiore all’importo speso per il singolo acquisto.

In questo caso si vendono dei tipi di tessera a scalare all’utente, che con un singolo pagamento acquista un "borsellino" da cui i pagamenti vengono successivamente scalati.

La transazione con l’acquirer e la relativa commissione avvengono una tantum, poi è il CSP stesso a gestire la altre microtransazioni.

 
4.6 Il Commerce Service Provider (CSP)      torna all'indice

Il Commerce Service Provider (CSP) è normalmente colui che si preoccupa di elaborare gli ordini ricevuti nel sito, processando le transazioni ed inoltrandole ad un’ instituzione finanziaria (banca o affine); inoltre dovrà, nel caso di ordini di beni fisici, interagire con il magazzino e il sistema di spedizione.

La legislazione italiana, inoltre, prevede il diritto di recesso, equiparando le vendite online a quelle per corrispondenza.

Un altro importante fattore che la nostra e molte altre legislazioni prevedono è l’obbligo di addebitare la carta di credito solo dopo l’effettiva spedizione della merce. Questo implica la necessità di un sistema estremamente affidabile, in grado di gestire ordini "in sospeso" senza rischi di perdite, che conservi i dati sensibili (come ad esempio numeri di carta di credito) in maniera assolutamente sicura.

5) LE AUTORITÀ DI GARANZIA      torna all'indice

5.1 Introduzione      torna all'indice

Il problema di selezionare ed usare password affidabili e sicure diviene sempre più importante con il passare del tempo. Il numero e l'importanza dei servizi che vengono forniti tramite i computer e le reti è sempre in crescita ed in molti casi questi servizi richiedono password o altre forme di identificazione. Per motivi diversi, tra i quali ovvie ragioni legate alla sicurezza, gli utenti devono usare diverse password per diversi sistemi o servizi, trovando difficoltà nel ricordare e proteggere le singole password. Le password non sono critiche solo durante le operazioni di login, ma anche in sofisticati sistemi di fornitura di servizi.

Le password sono necessarie anche per proteggere informazioni segrete che non possono essere tenute a memoria dall'utente (es. chiavi private nel software crittografico e per l'autenticazione, che cominciano a diventare parte essenziale di molte applicazioni). Il numero di possibili password è solitamente troppo grande per permettere un attacco esaustivo, perché esso è uguale ad |alfabeto|lunghezza-password.

Comunque il numero di password che sono potenzialmente selezionabili in pratica è parecchio più piccolo. Le password utente spesso consistono di semplici variazioni di parole comuni e raramente includono più di un carattere speciale. In molti più casi di quanto si possa immaginare, la password è costituita dal semplice nome dell'utente, o da un'altra informazione facilmente recuperabile.

In ambienti multi-utente, in particolare su sistemi Unix, uno degli attacchi ancora più diffusi e semplici è quello basato sul guessing. Esiste del software di pubblico dominio di eccellente fattura indirizzato a questo scopo, come il famigerato crack . L'uso di tecniche d'attacco come queste è reso più facile in sistemi dove le password crittografate sono leggibili da tutti, come in molti sistemi Unix. Più precisamente, se un intruso può leggere il file Unix /etc/passwd, egli può eseguire programmi come crack per scoprire qualche password utente, e quindi sostituirsi all'utente stesso per compiere attacchi più sofisticati. 

Un programma basato sul guessing, può usare questo file per un attacco off-line. Un numero enorme di password per ogni utente può essere provato e se la password corrispondente verrà incontrata, essa sarà scoperta. [Crack è molto efficace in pratica, ma è richiesto comunque un grosso dispendio di spazio disco, dato che il processo di crittografia delle password dipende da un parametro chiamato "salt", che può avere valori differenti.]

Su sistemi Unix più recenti, o installando appropriate patches , l'informazione sulle password può essere spostata presso un file chiamato shadow, leggibile solo dal superuser. Questa è sicuramente una miglioria rispetto ai precedenti ambienti Unix, dato che rende impossibili semplici attacchi off-line. Comunque non è sicuramente una soluzione definitiva del problema specifico. Primo, gli utenti possono usare la stessa password su sistemi differenti, e qualcuno di questi sistemi può non proteggere il file delle password. Secondo, il file shadow potrebbe divenire leggibile per una ragione qualsiasi, ad esempio tramite un nastro di backup rubato. Infine, anche se l'intruso ottiene il completo controllo del sistema, potrebbe avere bisogno delle password di normali utenti esistenti, per connettersi sotto falsa identità e magari per preparare incursioni in altri nodi della rete.

Parlando in un'ottica più generale, quanto detto si può trasferire a qualsiasi sistema che richieda una certa riservatezza e quindi una certa protezione. Il modo più comune di autenticare utenti è tramite password, e i sistemi devono avere modo per convalidare le password. L'informazione relativa alle password verrà conservata in memoria, in dischi e nastri, comunicata attraverso la rete, condivisa tra gli utenti in modi più o meno sicuri. In questo scenario, la scelta da parte dell'utente di password "difficili" che resistano ad attacchi basati su guessing è essenziale.

Per una buona selezione di password, tre tecniche sono generalmente note:

  • educazione dell'utente - gli utenti vengono istruiti su come scegliere buone password. In generale, questa strategia non funziona bene poiché gli utenti non seguono i consigli, specialmente in ambienti aperti dove gli attacchi sono più frequenti;
  • generatori di password - il sistema sceglie una password casuale per ogni utente. Da un punto di vista teorico, questa è la soluzione perfetta. In pratica, comunque, gli utenti tendono a dimenticare le password, o, peggio, a scriverle da qualche parte;
  • controllo delle password - la password scelta dall'utente viene processata al fine di individuare possibili vulnerabilità, nel qual caso viene chiesto all'utente di selezionare una password diversa. Esistono due diversi approcci:
  1. controllo reattivo delle password - vengono eseguiti periodicamente programmi come crack dagli amministratori di sistema per individuare le password deboli. I corrispondenti utenti vengono informati ed invitati a cambiare le loro password. Ci sono almeno tre problemi: (1) gli utenti possono decidere di non cambiare la password o di farlo comunque con troppo ritardo (2) l'attacco può avvenire prima che l'amministratore del sistema si accorga della vulnerabilità (3) gli intrusi possono dedicare molto tempo di cpu e dizionari più grandi al processo di crack.
  2. controllo preliminare delle password - quando un utente seleziona una password, il sistema controlla immediatamente se è accettabile o meno. Se la password è debole (per esempio essa appartiene ad un dato dizionario di password "facili") non viene accettata e l'utente viene obbligato a sceglierne un'altra. Uno svantaggio, in questo caso, è lo spazio richiesto dai dizionari ed il tempo sprecato per il controllo. Il tempo è importante perchè il processo deve essere terminato on-line, mentre l'utente aspetta. Lo spazio è meno importante dato che i meccanismi di memorizzazione divengono sempre meno costosi. Comunque, la riduzione dei costi permette anche forme di attacco più efficaci e dizionari sempre più grandi.

L'approccio "preliminare" è considerato il migliore, dato che non soffre delle difficoltà intrinseche delle altre tecniche. Sorprendentemente, la letteratura su questo soggetto è limitata, se si considera la grande importanza pratica del problema. Inoltre, i metodi proposti per una selezione preliminare delle password sono criticati e le loro prestazioni sono limitate rispetto all'efficienza ed all'affidabilità.

 
5.2 La normativa       torna all'indice

La normativa fondamentale che regola tutta questa materia è il D.P.R. del 10/11/1997 n.513, di cui conviene evidenziare i brani più significativi. 

Capo I - Princìpi generali

1. Definizioni.

1. Ai fini del presente regolamento s'intende:

a) per documento informatico, la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;

b) per firma digitale, il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;

c) per sistema di validazione, il sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità;

d) per chiavi asimmetriche, la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici;

e) per chiave privata, l'elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica;

f) per chiave pubblica, l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi;

g) per chiave biometrica, la sequenza di codici informatici utilizzati nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell'utente;

h) per certificazione, il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni;

i) per validazione temporale, il risultato della procedura informatica, con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi;

l) per indirizzo elettronico, l'identificatore di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici;

m) per certificatore, il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati;

n) per revoca del certificato, l'operazione con cui il certificatore annulla la validità del certificato da un dato momento, non retroattivo, in poi;

o) per sospensione del certificato, l'operazione con cui il certificatore sospende la validità del certificato per un determinato periodo di tempo;

p) per validità del certificato, l'efficacia, e l'opponibilità al titolare della chiave pubblica, dei dati in esso contenuti;

q) per regole tecniche, le specifiche di carattere tecnico, ivi compresa ogni disposizione che ad esse si applichi.


2. Documento informatico.

1. Il documento informatico da chiunque formato, l'archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del presente regolamento.

3. Requisiti del documento informatico.

 1. Con decreto del Presidente del Consiglio dei Ministri, da emanare entro centottanta giorni dalla data di entrata in vigore del presente regolamento, sentita l'Autorità per l'informatica nella pubblica amministrazione sono fissate le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici (2/a).

2. Le regole tecniche indicate al comma 1 sono adeguate alle esigenze dettate dall'evoluzione delle conoscenze scientifiche e tecnologiche, con decorrenza almeno biennale a decorrere dalla data di entrata in vigore del presente regolamento.

3. Con il decreto di cui al comma 1 sono altresì dettate le misure tecniche, organizzative e gestionali volte a garantire l'integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico anche con riferimento all'eventuale uso di chiavi biometriche.

4. Resta fermo quanto previsto dall'articolo 15 della legge 31 dicembre 1996, n. 675 (3).

 (2/a) In attuazione del presente comma, vedi il D.P.C.M. 8 febbraio 1999, riportato alla voce Documentazioni amministrative e legalizzazione di firme.
(3) Riportata alla voce Sicurezza pubblica.

 4. Forma scritta. 

1. Il documento informatico munito dei requisiti previsti dal presente regolamento soddisfa il requisito legale della forma scritta.

2. Gli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto sono assolti secondo le modalità definite con decreto del Ministro delle finanze.

 5. Efficacia probatoria del documento informatico.

1. Il documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 10, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile.

2. Il documento informatico munito dei requisiti previsti dal presente regolamento ha l'efficacia probatoria prevista dall'articolo 2712 del codice civile e soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare.

 
8. Certificazione.

3. Salvo quanto previsto dall'articolo 17, le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attività, in apposito elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione, e dotati dei seguenti requisiti, specificati nel decreto di cui all'articolo 3:

a) forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti privati;

b) possesso da parte dei rappresentanti legali e dei soggetti preposti all'amministrazione, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche;

c) affidamento che, per competenza ed esperienza, i responsabili tecnici del certificatore e il personale addetto all'attività di certificazione siano in grado di rispettare le norme del presente regolamento e le regole tecniche di cui all'articolo 3;

d) qualità dei processi informatici e dei relativi prodotti, sulla base di standard riconosciuti a livello internazionale.

4. La procedura di certificazione di cui al comma 1 può essere svolta anche da un certificatore operante sulla base di licenza o autorizzazione rilasciata da altro Stato membro dell'Unione europea o dello Spazio economico europeo, sulla base di equivalenti requisiti.

9. Obblighi dell'utente e del certificatore.

1. Chiunque intenda utilizzare un sistema di chiavi asimmetriche o della firma digitale, è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.

2. Il certificatore è tenuto a:

a) identificare con certezza la persona che fa richiesta della certificazione;

b) rilasciare e rendere pubblico il certificato avente le caratteristiche fissate con il decreto di cui all'articolo 3;

c) specificare, su richiesta dell'istante, e con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite;

d) attenersi alle regole tecniche di cui all'articolo 3;

e) informare i richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi;

f) attenersi alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675 (4);

g) non rendersi depositario di chiavi private;

h) procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni;

i) dare immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche;

l) dare immediata comunicazione all'Autorità per l'informatica nella pubblica amministrazione ed agli utenti, con un preavviso di almeno sei mesi, della cessazione dell'attività e della conseguente rilevazione della documentazione da parte di altro certificatore o del suo annullamento.

(4) Riportata alla voce Sicurezza pubblica.


Elenco pubblico dei certificatori

L'elenco pubblico dei certificatori, previsto dall'articolo 8 del DPR 10 novembre 1997, n.513 e specificato nel DPCM 8 febbraio 1999, viene mantenuto dall'Autorità e viene reso disponibile per via telematica attraverso la rete Internet e la rete telefonica.

L'elenco deve contenere, per ogni certificatore abilitato, le seguenti informazioni: 

  • Ragione o denominazione sociale;
  • Sede legale;
  • Rappresentante legale;
  • Nome X.500;
  • Indirizzo Internet;
  • Elenco numeri telefonici di accesso;
  • Lista dei certificati delle chiavi di certificazione;
  • Manuale operativo;
  • Data di cessazione e certificatore sostitutivo (ove applicabile).

  

Certificatori 

Alla data odierna l'elenco pubblico dei certificatori comprende otto aziende:

- Società Interbancaria per l'Automazione - Cedborsa (SIA S.p.a.). (dal 27/01/2000)

- SSB S.p.A. (dal 24/02/2000)

- BNL Multiservizi S.p.A. (dal 30/03/2000)

- Società Consortile di Informatica delle Camere di Commercio p.A. Infocamere
  SC.p.A. (dal  06/04/2000)

- Finanziaria Italiana S.p.a Finital S.p.A. (dal 13/04/2000)

- Saritel S.p.A. (dal 20/04/2000)

- Postecom S.p.A. (dal 20/04/2000)

- Seceti S.p.A. (dal 06/07/2000)

Il gruppo di lavoro appositamente costituito presso l'autorità ha elaborato le linee guida per l'interoperabilità dei Certificatori, contenute nella circolare AIPA n. 24.

 

5.3 Servizi di certificazione       torna all'indice

La Certification Authority italiana è in grado di emettere certificati secondo lo standard CCIIT X509 v3, compatibile con le specifiche attuali dello standard SET. Attualmente può emettere certificati sia per client sia per server, in particolare: 

5.3.1 Firma digitale - Interoperabilità dei Certificatori     torna all'indice

La garanzia di una omogeneità operativa ed una corretta interazione tra gli utenti che utilizzano la firma digitale è il presupposto fondamentale affinché la diffusione di questo strumento sia permeante ed efficace.

In altre parole, occorre garantire che i documenti firmati da un soggetto mittente che utilizza i servizi offerti da un certificatore possano essere letti e gestiti da un soggetto destinatario che invece utilizza i servizi offerti da un altro certificatore.

Se ciò non fosse possibile, lo scambio di documenti elettronici potrebbe avvenire solo fra individui che utilizzano uno stesso certificatore con una evidente penalizzazione delle potenzialità offerte dagli strumenti di firma.

Sul tema, la legislazione vigente consente l'utilizzo di una serie di algoritmi e di strutture dati appartenenti sia a standard de facto che a standard de jure.

Al fine di non individuare una determinata specifica tecnica che potrebbe generare squilibri se non addirittura escludere dei fornitori, e con l'obiettivo di fornire delle indicazioni di riferimento validate ed approvate dagli attori di mercato, l'Autorità per l'Informatica nella Pubblica Amministrazione ha costituito un gruppo di lavoro.

All'attività del gruppo hanno partecipato, oltre l'AIPA, le Certification Authority già inscritte o di imminente iscrizione nell'elenco pubblico previsto dal D.P.R. 513/99.

Il gruppo, con l'ulteriore apporto della Banca d'Italia, ha prodotto un documento di Linee Guida. La conformità alle specifiche in esse contenute sono indispensabili per operare correttamente all'interno di tutta la Pubblica Amministrazione.

Le Linee guida elaborate dal gruppo di lavoro costituiscono l'avvio di una continua collaborazione tra l'Autorità ed i Certificatori con l'obiettivo di garantire la massima diffusione ed efficienza dei processi connessi alla firma digitale.

Tali processi seguiranno tempestivamente gli standard de jure e de facto a mano a mano che questi si renderanno disponibili a livello europeo e mondiale.

I due documenti prodotti dal gruppo di lavoro fanno riferimento alle "Linee Guida per l'interoperabilità dei certificatori" e alle "Linee Guida per l'interoperabilità dei certificatori - Allegato tecnico".

Sulla base di tali documenti - che vengono qui di seguito riportati per completezza, ma che hanno valore solo documentale e non prescrittivo - l'Autorità ha emanato la circolare n. 24, pubblicata sulla Gazzetta Ufficiale n. 151 del 30 giugno 2000.

5.3.1.1 La Certificazione CertWEB            torna all'indice

  • CertWeb:Per server di siti www che utilizzano il protocollo SSL, per effettuare transazioni sicure o per controllare l'accesso alle proprie pagine e per organizzazioni o persone che vogliono essere identificate in maniera sicura quando effettuano transazioni su Internet

    Il Certificato CertWEB viene emesso per organizzazioni private o pubbliche, regolarmente registrate presso camere di commercio, il cui Server Web sia attivo al momento della richiesta di registrazione. Il Certificatore pertanto verificherà:

    • la visura camerale del richiedente,
    • la presenza in rete del server,
    • la congruenza delle informazioni riportate nella visura camerale, in relazione alla lettera di richiesta.

     Pertanto il Certificatore certifica la congruenza dei dati riportati sul certificato con quanto indicato nella lettera di richiesta di certificazione e nel modulo di richiesta di certificazione. 

 Certificare il WEB server è sicuramente utile. La certificazione del server è condizione necessaria per garantire la riservatezza delle transazione tra server e client, poichè permette di attivare il protocollo SSL per la trasmissione di pagine HTTP sicure tra il server WEB ed il browser client. La certificazione garantisce non solo la riservatezza delle transazioni, ma anche l'identità del server che effettua le transazioni; è infatti la Certification Authority (C.A.) che verifica e garantisce l'identità del server certificato. 

La procedura da seguire per la certificazione è la seguente:

1) Generare la coppia chiave privata/chiave pubblica del server.

2) Generare il file con la richiesta di certificazione contenente la chiave pubblica del server.

3) Inviare alla C.A. il file con la richiesta via e-mail in attachment.

4) Compilare il modulo on-line di richiesta della certificazione del server.

5) Inviare la documentazione per la registrazione a C.A.

6) Effettuare il pagamento ( se con bonifico ).

 Generalmente l'emissione del certificato avviene entro 3 gg dal completamento delle verifiche da parte della C.A.


5.3.1.2 La certificazione CertCA       torna all'indice

- CertCA: Per altre Autorità di Certificazione autonome

  
5.3.1.3 La Certificazione CertMail      torna all'indice

- CertMail: Per certificare la disponibilità di una casella e-mail ed abilitare l'uso di posta sicura

 Per inviare posta è necessario avere un mailer per l'invio di posta SICURA, un certificato personale e disporre di un mailer abilitato, come quello compreso in Microsoft Internet Explorer 4.0 o Netscape Comunicator 4.0.

 Se si possiede già il certificato personale CertMAIL, per inviare un messaggio criptato al corrispondente si devono per prima cosa scambiare i certificati personali (scambiarsi i certificati personali significa comunicare al proprio corrispondente la chiave pubblica, la chiave privata rimane sul vostro computer e non viene mai inviata in rete).

Il sistema più semplice per scambiarsi i certificati personali è inviare un messaggio firmato al Vostro corrispondente, si prepara il messaggio normalmente e prima di inviarlo si clicca sul Message Sending Option e sulla voce Signed ('firmato'). Il corrispondente farà altrettanto.

Si riceverà un messaggio con una icona indicante che il messaggio è 'firmato', contiene quindi il certificato del corrispondente.

Cliccando sull'icona, il certificato verrà inserito fra quelli disponibili per l'invio di posta criptata.

Si può quindi inviare un messaggio di posta SICURA ai vari corrispondenti, preparando il messaggio normalmente e prima di inviarlo cliccando sul Message Sending Option, sulla voce Signed 'firmato' e sulla Voce Encripted. Il corrispondente farà altrettanto.

  

5.3.1.4 Altre certificazioni      torna all'indice

Le altre certificazioni possibili sono le seguenti:

  • CertSW:Per certificare l'autenticità del software distribuito in rete
  • SET:SET è un protocollo definito da Visa e Mastercard per commercio elettronico.
    Prevede la certificazione dei portatori di carte di credito (Visa e/o MasterCard) e degli esercenti che     vogliono offrire servizi di E-Commerce.
  • SSL: Il protocollo SSL, rappresenta uno standard per la sicurezza elle informazioni.
     Esso consente di autenticare qualsiasi     Server Web e di abilitare i Browser alla crittografia delle transazioni.
    Il servizio di certificazione SSL consente la certificazione dei     WEB Server e/o la certificazione dei Browser.

5.4 La normativa di riferimento       torna all'indice

I documenti principali di riferimento sono quindi:

  • D.P.R. 10 novembre 1997, n. 513
  • D.P.C.M. 8 febbraio 1999
  • AIPA-LINEE GUIDA PER L’INTEROPERABILITÀ DEI CERTIFICATORI
  • Autorita' di Certificazione dell'Universita' degli Studi di Torino per la
  • certificazione degli utenti.
  • SSB - Servizi di certificazione -
  • Alinet - Servizi di certificazione

 

5.5 La certificazione e le aziende     torna all'indice

Un aspetto molto importante della certificazione pubblica riguarda i problemi ed i comportamenti in proposito per esempio delle aziende. Ed un caso molto peculiare è quello delle aziende produttrici di software, in particolare destinato agli aspetti della sicurezza.

Per esempio è frequente il caso di aziende note per essere state create per offrire servizi di informatica in particolare verso i grossi sistemi informativi quali quelli di banche, assicurazioni, servizi di pubblica utilità etc.

Lo sviluppo del software ed in generale la continua evoluzione tecnologica ha spesso portato come risultato ad avere sistemi informativi sempre più aperti con la necessità di trovare soluzioni per la loro protezione.

Nell’ambito di questa attività è nata l’esigenza di formare personale specializzato su problematiche di sicurezza dei sistemi informativi

Così nell’ambito delle società di questo tipo si sono venute a formare delle divisioni importanti; dove la sicurezza è vista anche in un ambito "filosofico"; in tal modo si cerca di conoscere le problematiche specifiche; si cerca di proporre le soluzioni volta per volta più idonee a seconda dei livelli di sicurezza necessari.

Possono essere soluzioni hardware o strumenti per la sicurezza che vanno poi integrati su delle realtà preesistenti, ossia di procedure finalizzate a gestire le problematiche legate alla sicurezza.

Accade cioè di dover proteggere strumenti complicati con quantità immense di dati inseriti, ma che possono comunque essere violati con vecchi sistemi (quali quello di circuire il personale) o da complici involontari.

La migliore modalità di approccio propone una duplice azione:

- analisi delle procedure interne, delle modalità di accesso ed utilizzo del sistema informativo, analisi della violabilità che il sistema operativo comporta;

- conseguente creazione del sistema con il coinvolgimento dei livelli più alti del management della policy di sicurezza che andrà poi a gestire le problematiche operative.

Ma in generale è importante definire a priori a quanto potrebbe ammontare il danno di un eventuale attacco criminale, e quanto verrebbero a costare le eventuali procedure legali.

Su questo argomento bisogna prendere atto del vuoto normativo in materia.

Il DPR 318/del 1999 punisce penalmente chi è tenuto a conservare i dati e non lo fa proteggendosi nel modo più efficace.

Questo testo legislativo è quindi importante perché va a configurare la necessità che le società di "security team" rispondano della gestione dei dati che vanno protetti e della formazione della struttura che vanno a costituire.

Anche perché bisogna ricordare che un terzo degli attacchi sono avvenuti anche attraverso i virus creando danni ingenti, ma il più delle volte per cause di natura involontaria. La sicurezza assoluta comunque non esiste, e in particolare in Italia non esiste una grossa sensibilità verso il problema sicurezza.

Ma ci si può porre anche altre domande sulle problematiche del commercio elettronico, per esempio ponendo l’accento su chi e come garantisce la sicurezza del servizio nel suo complesso; si può ipotizzare uno schema che vede da una parte il venditore e dall’altro il compratore, con nel mezzo il computer (Internet) e nessun altro; mentre esistono altri soggetti quali ad esempio il corriere che trasporta l’oggetto a casa. Al compratore non interessa la sicurezza in astratto ma che tutto il meccanismo funzioni in modo sicuro, oltre che rapido.

In realtà per una corretta gestione del processo, si stanno cominciando ad individuare gli standard relativi a questi parametri, per poter poi di fatto certificare che un sito dove si fa commercio elettronico rispetti determinati requisiti di base che possono essere riassunti in:

- trasparenza, dei prodotti e servizi (prezzi e validità delle offerte),

- chiarezza nelle procedure di acquisto,

- possibilità del recesso

- possibilità del non ripudio.

Si potrebbe obiettare che quanto finora illustrato è una fase del procedimento visto da un organismo dalla parte dei consumatori. Tornando al discorso della normativa si pone l’accento sul fatto che pochi fanno investimenti sulle normative perché hanno un costo. Ma ne esistono anche altri. Per esempio esiste un ruolo per il mondo delle "assicurazioni", che può influenzare molto i tipi di contratti che si stipulano.

D'altra parte è significativo che attualmente non c’è nessun service provider che sia proprietario anche della rete. E quindi i soggetti interessati sono:

- i service provider che forniscono il servizio,

- l’utente che si collega

- il network provider che fornisce la rete:

Quindi nessuno oggi in realtà può garantire il risultato completo e finale.

Non c’è una possibilità assoluta di cautela e normalmente è responsabilità del provider garantire tutte le variabili e le possibili conseguenze legali.

| inizio pagina |