Firmo solo file PDF/A che stanno sul mio computer

Per non essere subito liquidato come infame luddista una premessa è d'obbligo. Sono un tecnologo, vivo di tecnologia e la tecnologia mi piace. Dirigo un'azienda, la Globo srl (www.globogis.it), che da più di quindici anni si occupa di e-gov e di digitalizzazione.
La Globo è un'azienda senza armadi, perché lavoriamo senza carta: tutti i processi sono digitali e, da tempo, gestiamo la conservazione sostitutiva della documentazione amministrativa. Ma qualche dubbio su un eccesso di zelo digitalizzatore io ce l'ho. Qualcuno deve aver detto al legislatore che siamo un paese digitale e il legislatore deve averci creduto.

Nativi analogici o nativi digitali?

Il processo attraverso il quale si forma la nostra volontà di sottoscrivere con una firma autografa un foglio di carta scritto è vecchio di cinquemila anni, tanto che la capacità di leggere e di scrivere risiede ormai nei nostri cromosomi e i disturbi della lettura e della scrittura sono classificati tra le malattie genetiche.

Documento, documento analogico e documento digitale

Il primo dubbio sullo “zelo digitalizzatore” mi viene leggendo l’impianto delle definizioni del Codice dell’Amministrazione Digitale :

p) documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
p-bis) documento analogico: la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti;

d’un colpo il legislatore si è dimenticato di cinquemila anni! La definizione di documento analogico si basa sulla negazione della definizione di documento informatico, non c’è nessuna traccia della definizione di documento.

È un po’ come se, per definire la pastasciutta, qualcuno ci spiegasse che si tratta di “un alimento assumibile non sotto forma di pillole liofilizzate” e si dimenticasse di definire cosa sia l’alimento.

Quasi che la capacità di leggere rappresentazioni informatiche fosse impressa nei nostri cromosomi di nativi digitali!

Firma elettronica

Il secondo dubbio mi sorge quando leggo la definizione di firma elettronica, sulla quale si basano tutte le definizioni successive:

q) firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;

il legislatore deve essersi davvero convinto che siamo un paese digitale, se ha deciso di abbandonare la definizione basata sul paragone con la familiare firma autografa! Di questo passo arriveremo a definire la firma autografa come “equivale analogico della firma digitale”.

Da come si firma a cosa si firma

La discussione sul processo di firma elettronica si è sempre concentrata più sul come si firma (sicurezza dei certificati, robustezza degli algoritmi di criptazione, affidabilità delle catene di certificazione) che sul cosa si firma. Eppure è proprio dalla comprensione del contenuto di un documento che discende la decisione di apporvi una firma.

La catena documento analogico – cervello – firma autografa

La catena che collega il foglio di carta con la parte del cervello destinata a prendere le decisioni e quella che collega il cervello decisore con il foglio che riceve la firma autografa sono estremamente brevi:

Foglio scritto
Occhio
Cervello
Mano
Penna
Foglio scritto firmato

Pur in catene così brevi, il diritto ha individuato possibili interruzioni che potrebbero alterare il processo di formazione e di espressione della volontà. La legge notarile riserva infatti particolare attenzione alla formazione del documento cartaceo e alla sua leggibilità e comprensibilità (art. 53), ma anche alla possibilità che all’atto prendano parte dei soggetti che non siano in grado di leggere o di scrivere (art. 48). In particolare, la sottoscrizione di atti da parte di soggetti che non siano in grado di leggere o di scrivere deve avvenire alla presenza di testimoni: persone degne di fiducia.

La catena documento digitale – cervello – firma digitale

Possiamo leggere con gli occhi e firmare con in mano la penna una “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” (vale a dire una sequenza di bit)? NO!

Quindi, di fronte a un documento informatico da firmare siamo ciechi e monchi, e cieco e monco è pure il notaio.

Ho appena parlato della catena documento cartaceo, della sua estrema brevità e delle possibili interruzioni, che richiedono atti di fiducia da parte del sottoscrittore “incapace”. Cercherò ora di tracciare, in modo semplificato, l’omologa catena documento digitale – cervello - documento digitale firmato, sperando di non dimenticarmi troppi passaggi:

Supporto (ottico o magnetico)
Dispositivo di lettura (hardware vario)
Driver
Bit e byte
Sistema operativo
File (da firmare)
Software applicativo
Driver
Dispositivo di visualizzazione (monitor o stampante)
Occhio
Cervello
Mano
Tastiera
Driver
Software applicativo
Dispositivo di firma (che a sua volta contiene chiave privata, firmware, ecc.)
Software applicativo
File (firmato)
Sistema operativo
Bit e byte
Driver
Dispositivo di scrittura (hardware vario)
Supporto (ottico o magnetico)

Dalla fiducia nei testimoni alla fiducia nella tecnologia?

È evidente a chiunque che la catena digitale è incredibilmente più lunga di quella analogica. Di conseguenza, aumenta a dismisura il numero delle possibili interruzioni che richiedono atti di fiducia da parte del sottoscrittore. Questa volta, però, la fiducia non deve essere riposta in testimoni, ma nei confronti di hardware, software e formati che si ricollegano a persone e organizzazioni degne di fiducia solo al termine di lunghe catene.

Come per la firma di un documento cartaceo resta fondamentale riporre la propria fiducia in “testimoni” affidabili, anche se dobbiamo essere consapevoli che, quando ci fidiamo ciecamente di un software, questo è a sua volta un cieco che si fida del sistema operativo, che si fida dell’hardware, che si fida del magnetismo… insomma una catena di ciechi che si tengono per mano.

Non starò qui a discutere degli atti di fiducia che dobbiamo porre nei confronti di hardware, driver e sistemi operativi, perché gli elementi di più basso livello generano solitamente più problemi relativi alla conservazione dei documenti che non alla loro visualizzazione. Diamo qui per scontato che, una volta affidato un file al sistema operativo e all’hardware, questi siano sempre in grado di restituircelo così come gli è stato consegnato (è consentito sorridere di fronte a questa affermazione solo a chi abbia dovuto affrontare problemi di enconding, conosca la differenza tra little endian e big endian e abbia sentito parlare almeno una volta di codifica EBCDIC).

Mi concentrerò invece sulla coppia file da firmare – software di visualizzazione che costituisce un elemento fondamentale nel processo di formazione della volontà del soggetto che firma un documento informatico. Un elenco dei formati indicati per la conservazione (e quindi suscettibili di essere firmati) è riportato nell’allegato 2 “Formati” alle regole tecniche sul documento informatico.

Firmo quello che vedo, o quello che mi fanno vedere?
(perché firmo solo file che stanno sul mio computer)

Cosa succede quando faccio doppio click su un file che sta sul mio computer? Il sistema operativo decide con quale software deve essere aperto quel file, attiva il software e gli “consegna” il file.

Immagino che sia successo a tutti noi che il sistema operativo non sappia con quale software aprire un file o che, dopo l’installazione di un nuovo software, i file con una certa estensione smettano di aprirsi nel modo in cui eravamo abituati.

Quanti software sono disponibili per leggere un file PDF? Pensate che sia difficile sviluppare un software che non visualizzi alcune parti di un file che deve essere sottoposto alla nostra firma? Oppure che apra un file diverso da quello sul quale si fa doppio click? Sul monitor vedo un testo, ma il file che firmo digitalmente contiene clausole contrattuali capestro. Se lo avessi aperto sul mio computer, usando Adobe Reader le avrei viste; chi mi sta facendo firmare usa però il proprio computer e il proprio software di visualizzazione. Naturalmente questo non vale solo per il formato PDF, ma per qualsiasi formato di file.

Queste osservazioni diventano particolarmente pertinenti nel caso della firma grafometrica, che normalmente prevede l’utilizzo dell’hardware e del software di chi sta raccogliendo la firma, soggetto che potrebbe essere interessato a farmi firmare qualcosa di diverso da quello che sto vedendo.

Non basta quindi scegliere un formato aperto, sicuro e portabile come indicato dalle regole tecniche: occorre anche che il computer e il software usati per leggerlo e visualizzarlo siano affidabili.

Firmo tutto quello che ho visto?
(perché non firmo i file XML)

Una delle peculiarità del linguaggio XML è la separazione rigorosa tra il contenuto del file e il modo in cui questo è presentato.

Nessuno di noi legge un file XML guardando i tag del linguaggio. Il file XML ci viene usualmente presentato attraverso una delle sue infinite e possibili trasformazioni, basate su XSLT (Extensible Stylesheet Language Transformations), un linguaggio utilizzato per trasformare un file XML in un documento visualizzabile su qualsiasi browser.

Attraverso la trasformazione XSLT è possibile determinare quali porzioni del file XML visualizzare e in quale formato visualizzarle. Non ci sarebbe nessun problema giuridico se la trasformazione fosse intrinseca al file XML, invece il file di trasformazione è un riferimento esterno a un file che potrebbe cambiare nel tempo.
Per semplificare, io potrei firmare un file XML sulla base di una visualizzazione generata da una certa trasformazione e scoprire che, essendo cambiato il file di trasformazione, appaiono informazioni che non avevo visto e che mi avrebbero indotto a non firmarlo. Dal momento che la mia firma è stata apposta al solo file XML e non al file di trasformazione, non sarò mai in grado di dimostrare cosa io avevo letto quando ho apposto la mia firma.

Non basta quindi la scelta di un formato non binario “in chiaro”. Dobbiamo esser sicuri dell’assenza di riferimenti esterni che possano alterare quello che abbiamo visto e firmato.

Ironia della sorte, nella rottura di riferimenti esterni cadono anche le stesse regole tecniche: a pagina 17, il Supplemento ordinario n. 20 alla gazzetta ufficiale 59 del 12 marzo 2014 rimanda alle specifiche per le prescrizioni mediche con un collegamento a una pagina inesistente del sito del Ministero della funzione pubblica.

Con quali criteri scegliere il formato del file da firmare?

I criteri con i quali individuare i formati da firmare con firma elettronica devono rispondere al requisito espresso dall’articolo 35, comma 2 del CAD:

I documenti informatici devono essere presentati al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità.

Si deve scegliere un formato per il quale sia semplice valutare in giudizio le caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

È infine necessario scegliere un formato che garantisca la leggibilità del documento nel suo intero ciclo di vita.

In particolare, tra le caratteristiche individuate dalle regole tecniche è opportuno verificare che siano rispettate le seguenti:

  • Apertura quando firmiamo un file in formato chiuso, non possiamo verificare che il suo contenuto corrisponda a quello che abbiamo visto al momento dell’apposizione della firma, se non aprendolo con il medesimo software. Questo ci mette in balia del proprietario del formato, sia esso un grande produttore di software o una piccola softwarehouse.
  • Sicurezza qualsiasi formato che possa ospitare delle macrofunzioni può veicolare del codice maligno. Il codice maligno non è necessariamente un virus, potrebbe essere una macro che cambia il contenuto del file al momento della sua apertura (quindi dopo che è stata verificata la validità della firma elettronica). Anche la presenza di riferimenti esterni può costituire una significativa violazione della sicurezza, come esemplificato nel paragrafo sulla vestizione dei file XML. La mappatura dei colori indipendente dal dispositivo di visualizzazione ci garantisce che non possano apparire “dal nulla” intere porzioni di documento delle quali ignoravamo l’esistenza.
  • Portabilità la portabilità non deve essere intesa come semplice disponibilità di software in grado di leggere il documento su diverse piattaforme. La portabilità deve garantire anche che il documento abbia lo stesso aspetto una volta aperto. Comprende quindi l’inclusione dei font, la mappatura dei colori indipendente dal dispositivo di visualizzazione, l’impossibilità di usare la trasparenza.

Per fortuna c’è il PDF/A?

La buona notizia

L’utilizzo sempre più diffuso del formato PDF/A , unito con gli accorgimenti sul software e sull’hardware con cui si leggono i file, ci potrà garantire la corrispondenza tra ciò che stiamo vedendo e ciò che stiamo sottoscrivendo. Lo standard proibisce l’inserimento di contenuti multimediali audio e video, l'utilizzo di codice eseguibile, la cifratura del file, l'uso della trasparenza e l’inserimento di collegamenti esterni; l'utilizzo di file incorporati e la compressione con l'algoritmo proprietario LZW. Il medesimo standard impone l’uso di una definizione dei colori indipendente dal dispositivo usato per la visualizzazione, l’uso di metadati e l’incorporazione dei font necessari alla rappresentazione.

La cattiva notizia

La cattiva notizia è che verificare il rispetto dello standard da parte di un file PDF è diventato così complicato che nessuno lo fa. Tutti si limitano a riportare quanto dichiarato nella porzione di metadati del file. Non ci si può dunque fidare della scritta che appare in cima alla finestra di Acrobat Reader:

La corretta dicitura dovrebbe essere: “il file dice di essere conforme allo standard PDF/A ed è stato aperto in sola lettura per evitare modifiche”. Se non ci credete è sufficiente scaricare la Isartor Test Suite dal PDF/A competence center e aprire un qualsiasi file di tipo “…fail.PDF”.

Dove andremo a finire?

Siamo un paese fatto così: ci piace la magniloquenza e, a furia di raccontarci bugie, spesso finiamo per crederci. Ci raccontiamo ogni giorno di essere un paese digitale e il legislatore ci ha creduto. Ai cittadini sarà chiesto di sottoscrivere documenti digitali senza essere consapevoli di quello che stanno facendo. Speriamo che non finisca come negli anni trenta, quando, a furia di raccontarsi che eravamo un Impero, i governanti italiani hanno finito per crederci e hanno spedito i nostri Alpini a invadere la Grecia, l'Albania e pure la Russia. Di tanti che erano partiti, solo in pochi hanno fatto ritorno.