La firma digitale, nel nostro ordinamento, ha da poco compiuto il suo decimo anno di vita. La legge istitutiva, meglio nota come "prima Bassanini" (legge n. 59/1997), all'articolo 15, comma 2, riconosceva validità giuridica a tutti i documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici. La firma digitale si basa sulla tecnologia della crittografia a chiavi asimmetriche, dove ogni utente possiede una coppia di chiavi: una privata (da custodire gelosamente), con la quale sottoscrive i documenti, e una pubblica utilizzata dai terzi per verificare la paternità dei documenti sottoscritti. La chiave pubblica viene utilizzata per associare l'identità della persona al dispositivo di firma, attraverso un documento elettronico denominato certificato digitale.

Il certificato digitale
I certificati digitali, conformi alla normativa europea e nazionale, vengono rilasciati da certificatori accreditati (Certification Authority - CA), il cui elenco è pubblicato sul sito internet del Cnipa (Centro nazionale per l'informatica nella Pubblica Amministrazione). La funzione principale del certificato è quella di garantire la corrispondenza tra la chiave pubblica e l'identità del titolare. Per motivi di sicurezza ai certificati digitali viene associato un periodo di validità (solitamente uno o due anni), decorso il quale si renderà necessario il rinnovo.
Generalmente sia il rilascio che il rinnovo, sono attività espletate a pagamento. Si evidenzia che la sottoscrizione di un documento informatico basata su un certificato scaduto o revocato equivale a mancata sottoscrizione (Dlgs n. 82/2005, articolo 21, comma 3).

Le liste di revoca (Crl)
In particolari circostanze, alcuni eventi (compromissione della chiave privata dell'utente o dell'algoritmo utilizzato per la firma digitale) possono rendere necessaria la revoca del certificato digitale. Il meccanismo di revoca rappresenta una delle fasi più delicate nella gestione dei certificati da parte delle Certification Authority.
Per esplicitare in modo più adeguato il concetto, si riportano di seguito le fasi operative del processo:

• l'utente riscontra che la propria chiave privata è stata violata o rubata
• invia la richiesta di revoca del certificato alla CA
• la CA rilascia una lista di revoca (Certification revocation list - Crl)
• le liste di revoca vengono rilasciate con cadenze regolari (ogni 24 ore, ogni 12 ore eccetera)
• ciascuna lista conterrà: la data di generazione e quella del prossimo aggiornamento, il numero di serie del certificato revocato e la data della sua revoca
• l'utente che intende verificare la validità di un certificato dovrà scaricare ed elaborare le relative liste di revoca, operazione eseguita in automatico da appositi software.

Le Crl possono essere viste come una sorta di "black list": se l'utente non vi trova all'interno il certificato lo considera come valido.

Consultazione "on line" dei certificati
L'Online certificate status protocol (Ocsp) rappresenta l'alternativa più significativa alle Crl, in quanto permette di verificare la validità di un certificato digitale senza ricorrere all'analisi delle liste di revoca. Tale standard consente di ottenere "on line", in tempo reale, lo stato di validità di un determinato certificato aggiornato al momento in cui lo si richiede. L'architettura del sistema è di tipo client-server: i singoli utenti (client) inviano, tramite internet, una richiesta al server, che risponderà mediante un messaggio di validità indicante lo stato del certificato digitale richiesto (valido, revocato, sconosciuto).

La validità temporale
Gli aspetti relativi alla validazione temporale vengono trattati in modo particolarmente approfondito nel Dpcm del 13 gennaio 2004. Il Dlgs n. 82/2005 (Codice dell'Amministrazione digitale-Cad) e la Deliberazione Cnipa n. 4/2005 completano il quadro normativo. Il periodo di validità dei certificati digitali, la cui durata sarà in funzione della robustezza delle chiavi generate, verrà determinato dai certificatori che avranno anche il compito di custodire le relative informazioni per un periodo non inferiore ai dieci anni dalla data di scadenza o revoca del certificato stesso.

Nel Cad vengono definite le responsabilità che gravano sia sul titolare del certificato che sul certificatore, disponendo per entrambi l'adozione di tutte le misure organizzative e tecniche idonee ad assicurare un'accurata custodia dei dispositivi utilizzati, per evitare possibili danni sia nei loro confronti che nei confronti di terzi.

Analisi di una possibile criticità
Un aspetto importante da approfondire riguarda il lasso di tempo che intercorre tra il momento in cui viene richiesta la revoca di un certificato e quello in cui il certificatore provvederà a pubblicare la relativa lista di revoca. In effetti, a seconda della tempistica adottata per la pubblicazione, potrebbe accadere che un documento possa essere riconosciuto valido nonostante ne sia stata richiesta la revoca.

Per focalizzare il problema ipotizziamo che la CA emetta regolarmente alle 14 di ogni giorno le Crl, il che significa che le Crl emesse oggi restano valide fino alle 14 di domani. Ma cosa accade se alle 15 del giorno della pubblicazione, la CA riceve una richiesta di revoca? Da una interpretazione restrittiva dell'articolo 36, comma 3, del Cad ("la revoca o la sospensione del certificato qualificato, qualunque ne sia la causa, ha effetto dal momento della pubblicazione della lista che lo contiene") si evince che la revoca inoltrata alle 15 produrrà i suoi effetti dalle 14 del giorno seguente. Pertanto, ci si trova con un intervallo di tempo nel quale potrebbero essere prodotti dei documenti con "firma falsa" che non subirebbero gli effetti della revoca.

L'articolo 21, comma 3, del Cad prevede che "la revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate". In altre parole, il certificatore, potrebbe revocare un certificato a partire da un dato momento, indicando ad esempio nella Crl, in un apposito campo, "data e ora" di ricevimento della richiesta di revoca, risolvendo così la possibile problematica precedentemente esposta.

In conclusione, fermo restando che "la sicurezza assoluta non esiste", bisognerebbe soffermarsi sull'importanza che il documento firmato ricopre nel contesto in cui si opera. Vale a dire, ponderare bene gli effettivi interessi che il possibile "truffatore" potrebbe avere nel mettere in piedi una truffa così complessa e dispendiosa. E' ragionevole pensare, vista la robustezza dei sistemi di firma digitale e la durata relativamente breve dei certificati, che l'autenticità dei documenti informatici non dovrebbe in alcun modo essere compromessa.