Con il nuovo Cad appena andato in Gazzetta Ufficiale, in conseguenza delle novità sul documento informatico, l’identificazione del firmatario non è più unicamente affidata alla presenza di un certificato elettronico o all’associazione ex ante di una firma elettronica avanzata al firmatario stesso. Si attribuisce all’AgID un potere generale di stabilire i requisiti affinché un processo di identificazione informatica possa dar luogo alla creazione di firme elettroniche con valore pari a quelle già oggi conosciuto nel nostro ordinamento.
Si tratta di un’innovazione di non poco conto e non può negarsi che, leggendo la previsione, venga da pensare immediatamente all’utilizzo dello SPID nell’ambito di tale processo. È noto, infatti, che il Sistema Pubblico di Identità Digitale è innanzitutto un sistema di autenticazione del cittadino, ossia di colui a cui è rilasciata un’identità digitale, idoneo ad identificare informaticamente il medesimo al fine di accedere a servizi online della pubblica amministrazione e di privati (le recenti modifiche alla normativa cd. antiriciclaggio considerano l’utilizzo dello SPID una modalità idonea per l’assolvimento dell’obbligo di identificazione per banche, intermediari ed altri soggetti obbligati).
Il sistema SPID, che è stato recentemente notificato alla Commissione Europea come sistema nazionale di identificazione, è appunto una soluzione di identificazione dei cittadini (e non di sottoscrizione di documenti informatici) che possono utilizzarlo per autenticarsi in maniera sicura (e certa) a vari servizi (ciò in base ai vari livelli di sicurezza previsti dalla normativa). Oggi, tramite la nuova previsione sopra citata, lo SPID (e gli altri strumenti di autenticazione, come la Carta Nazionale dei servizi) si prestano ad essere utilizzati anche per creare documenti informatici validi e rilevanti a tutti gli effetti di legge dando luogo ad un’ulteriore modalità di attribuzione di paternità di documenti informatici che potremmo chiamare, in maniera tecnica, “firme identificata”.
Per avere gli effetti previsti dalla normativa è necessario che l’identificazione informatica dell’autore del documento si innesti in un processo che garantisca la sicurezza, immodificabilità e integrità del documento stesso, non chè sia idoneo a rendere evidente la riconducibilità all’autore in maniera manifesta e non equivoca.
Orbene, la norma rinvia alle regole tecniche che dovranno essere adottate da AgID relativamente all’individuazione dei requisiti tecnici che i processi di “firma identificata” dovranno soddisfare. Si vuole però sottolineare, auspicando che l’Agenzia faccia proprie tali considerazioni, che la tecnologia blockchain appare del tutto idonea a garantire tali requisiti quale processo di attribuzione della paternità del documento informatico con firma identificata.
Ed infatti, una blockchain si fonda su una serie di tecnologie che già si sono dimostrate idonee, prese singolarmente, a garantire quanto richiesto dalla nuova norma, quali le marche temporali, gli algoritmi di hash ed i sistemi di crittografia asimmetrica. Nel momento in cui un soggetto partecipa ad una blockchain gli viene associata una coppia di chiavi asimmetriche (e quindi una firma elettronica) con cui il medesimo sottoscrive con la propria chiave privata le transazioni che intende effettuare (o meglio l’hash della transazione – così come avviene quando si sottoscrive un documento informatico con firma qualificata) e può diventare destinatario di altre transazioni (il cui hash è sottoscritto con la sua chiave pubblica). In seguito vengono formati dei blocchi di transazioni, ne viene creato l’hash ed apposta una marca temporale. Ciascun blocco è così collegato ai blocchi successivi sempre sfruttando la catena di hash.
Il sistema, quindi, si basa sui medesimi processi che oggi sono previsti per la sottoscrizione con firme elettroniche qualificate dei documenti informatici e della conservazione digitale dei documenti.
L’unico elemento assente in una blockchain è il certificato elettronico che ricollega una firma elettronica al soggetto a cui è stata rilasciata (previa identificazione).
Nel momento in cui ad una blockchain è collegata un’identificazione (ed autenticazione) informatica sicura di un soggetto per accedere al sistema, ossia se una coppia di chiavi sulla blockchain viene associata univocamente ad un soggetto identificato informaticamente (tramite sistemi di identificazione ed autenticazione informatica come è lo SPID), la blockchain è idonea a garantire:
- la sicurezza, integrità immodificabilità del documento: tali caratteristiche sono assicurate dal fatto che, così come per i documenti informatici sottoscritti “tradizionalmente,” qualsiasi modifica del documento successivamente alla sua sottoscrizione potrà essere immediatamente rilevata, dato che comporta la non corrispondenza con l’hash del documento originario registrato sulla blockchain il documento informatico che viene registrato sulla blockchain. Inoltre, la sottoscrizione di un documento con la chiave pubblica di un soggetto ne garantirebbe anche la leggibilità solamente da parte di questi (attraverso la chiave privata) potendo così essere assicurata anche l’eventuale riservatezza dello stesso;
- la sua riconducibilità all’autore in maniera manifesta e non equivoca: oggi tali requisiti vengono garantiti, nel caso di firme elettroniche qualificate o avanzate, con la riconducibilità al titolare della firma attraverso uno dei tre elementi chiave della sicurezza: qualcosa che il soggetto ha (possesso), qualcosa che il soggetto conosce (conoscenza) o qualcosa che il soggetto è (caratteristiche personali). Applicando lo stesso criterio su una blockchain, è possibile prevedere meccanismi analoghi idonei a rendere manifesta la volontà di sottoscrivere un documento in un momento successivo all’identificazione dell’utente, potendo essere previsto l’inserimento di un apposito Personal Identification Number (PIN), di una One Time Password (OTP) o di altri elementi che garantiscano tale manifestazione di volontà e la sua unica riconducibilità all’utente.
In conclusione, quindi, l’introduzione di un modello di firma elettronica che viene attuato tramite un processo in cui a monte vi è l’identificazione sicura del firmatario, tramite SPID o altri sistemi di identificazione, trova piena applicazione con l’uso di una tecnologia blockchain che consenta di effettuare operazioni di sottoscrizione di documenti informatici. Tali blockchain potrebbero essere aperte, ossia accessibili a tutti coloro in possesso dello strumento di identificazione richiesto, o anche chiuse o semichiuse, in cui le transazioni vengono consentite solamente a determinati soggetti.
Sicuramente l’adozione di tali tecnologie potrebbero rivoluzionare le modalità con cui opera la pubblica amministrazione, in tutti quei casi in cui esistano dei registri ove devono essere inserite le transazioni ed in cui la pubblica amministrazione opera solamente quale soggetto controllore della regolarità delle stesse (si pensi al pubblico registro automobilistico, che potrebbe in tal modo assumere una forma decentrata consentendo ai cittadini di iscrivere direttamente sullo stesso eventuali passaggi di proprietà previa identificazione tramite SPID).
La nuova norma introdotta nel CAD apre quindi le porte a nuove tipologie di firme elettroniche con pari valore e dignità di quelle oggi più diffuse. In questo ambito la blockchain può essere sicuramente un processo che garantisce tutti i requisiti previsti dalle nuove disposizioni e che, per le sue particolari caratteristiche, utilizzata in congiunzione con lo SPID può effettivamente innovare le modalità con cui i cittadini si rapportano alla pubblica amministrazione.
L’auspicio è che l’AgID recepisca tali indicazioni e che, almeno nel campo delle sottoscrizioni elettroniche, il nostro ordinamento continui ad essere tra i più aperti all’innovazione.
