I saggi su InterLex

Giuristi e informatici divisi da una lingua comune: autenticazione?

InterLex n° 322, 6 giugno 2005

Che i giuristi e gli informatici facciano fatica a dialogare e spesso anche a comprendersi è cosa nota, nonché fonte di tanti mali. Si dice solitamente che queste due categorie "parlano lingue diverse", il che in buona sostanza è vero. Certamente il problema non si ferma al piano meramente linguistico ma è anche concettuale, ossia ha radici culturali profonde: tuttavia anche rimanendo sul semplice piano del lessico è evidente a tutti come, di solito, ciascuna delle due categorie indulga in un uso smodato dei "termini tecnici" della propria disciplina, i quali risultano tanto sconosciuti ed ostici all'altra da annullare ogni possibilità di comprensione reciproca (anche ammesso che a monte vi sia la volontà di comprendersi...). E, per par condicio, non sono solo i giuristi ad avere il loro gergo esoterico col quale escludere i tecnici dai misteri del diritto: anche gli informatici posseggono un proprio linguaggio iniziatico fatto di sigle, neologismi ed anglicismi, il quale fa ai giuristi lo stesso effetto che il "latinorum" dell'Azzeccagarbugli faceva a Renzo Tramaglino.

Tuttavia le cose si complicano davvero quando gli insiemi linguistici delle due discipline, solitamente disgiunti, tendono a contaminarsi: ossia quando capita che un medesimo termine appartenga alla sfera lessicale di entrambe, e naturalmente assumendo semantiche diverse. Questa malaugurata circostanza, che in passato era fortunatamente piuttosto rara, tende purtroppo a diventare sempre più frequente da quando informatica e diritto si occupano dei medesimi soggetti, e rischia di complicare ancor di più il già difficile rapporto tra informatici e giuristi. Il fatto è che solitamente ciascuna categoria pretende di possedere la verità, ossia di essere l'esclusiva depositaria del significato corretto del termine conteso: e sostiene le proprie ragioni a spada tratta, per lo più ignorando le rimostranze dell'altra ed alimentando così una frattura che tende ad allargarsi sempre più.

I casi più semplici da dirimere, almeno sulla carta, sono quelli in cui una delle due discipline ha effettuato un indebito excursus in profondità nei temi dell'altra senza tuttavia conoscerli a fondo: il linguaggio appreso in modo superficiale ed affrettato si riverbera allora, quasi immancabilmente, in un utilizzo improprio ed impreciso dei termini da essa mutuati. È tale, ad esempio, l'appropriazione dei termini "elettronico" e "digitale" fatta dal legislatore europeo, il quale ha semplicemente preso fischi per fiaschi producendo un testo il cui significato letterale risulta praticamente in totale antitesi con la filosofia che lo ha ispirato (si veda Firme digitali e analogie elettroniche).

I casi più sfortunati sono invece quelli in cui il termine conteso è ampiamente consolidato in ciascuna delle due discipline, avendo un significato ben specifico e preciso in ciascuna: ma tale significato assume valenze differenti nell'ambito dell'una e dell'altra. In questo caso il rischio che si corre è quello dell'ambiguità, ossia che gli appartenenti all'una ed all'altra categoria associno al termine in questione solo il significato per essi usuale, finendo così per parlare letteralmente due lingue diverse e rimanendo condannati a non comprendersi mai a fondo.

In tali situazioni la cosa peggiore da fare, una volta accortisi del problema, è litigare per stabilire chi abbia ragione: è invece molto più logico cercare di sostituire il termine conteso con due sinonimi differenti tra loro, uno per ciascuna categoria, in modo che risulti chiaro a tutti che si tratta di concetti diversi; o, se da uno dei lati il termine incriminato è così storicamente radicato da essere oramai inamovibile, cercare almeno di sostituirlo con un sinonimo dall'altro lato per ottenere il medesimo risultato. Purtroppo tutto ciò è facile a dirsi ma molto meno a farsi...

Il problema dell'autenticazione

Recentemente, soprattutto sulla spinta del Testo unico in materia di protezione dei dati personali e del più recente Codice dell'amministrazione digitale, tra giuristi ed informatici è nata proprio una disputa del peggior tipo per quanto riguarda l'uso del termine "autenticazione". Attorno a questa parola, apparentemente semplice ed innocua, sono sorte asperrime guerre di religione tra i rappresentanti delle due categorie, che le assegnano sfumature semantiche profondamente diverse: per gli informatici, infatti, si tratta del processo tramite il quale un computer, un software o un utente destinatario, verificano che il computer, il software o l'utente dal quale hanno ricevuto una certa comunicazione sia il mittente esatto; per i giuristi invece si tratta un istituto tipico dei pubblici ufficiali tramite il quale si attesta l'autenticità di un documento.

Da un punto di vista strettamente linguistico hanno probabilmente ragione entrambe le categorie: per il dizionario infatti "autenticazione" è "l'autenticare", ed "autenticare" significa proprio queste cose (De Mauro):

Tuttavia dovendo scegliere il significato più forte, e tralasciando ovviamente quello di basso uso al punto 2, non c'è dubbio che dovrebbe prevalere il primo, ossia quello di estrazione giuridica: l'altro significato riportato riguarda infatti l'azione di stima tipicamente svolta da un perito su un'opera d'arte, che è atto certamente molto diverso da quello di un computer che chiede la password a un utente per accertarsi della sua identità.

Va notato che tutto il problema nasce dal fatto che, ancora una volta, l'uso informatico del termine "autenticazione" altro non è che una brutta traduzione, diretta ed acritica, dell'inglese "authentication", che però non ha esattamente lo stesso significato. In italiano corretto, infatti, l'azione di chi accerta l'identità di un soggetto non è l'"autenticazione" ma l'"identificazione" oppure il "riconoscimento", termini che in questo caso sono perfetti sinonimi tra loro. Dunque anche nel caso di una procedura informatica sembrerebbe più corretto parlare di "processo di identificazione" o "di riconoscimento", utilizzando così termini non solo corretti ma anche precisi e soprattutto non ambigui in alcun contesto.

(Per inciso vorrei approfittare dell'occasione per stigmatizzare la generalizzata pigrizia mentale con cui molti tendono a portare nella nostra lingua termini inglesi "per assonanza", ignorando la traduzione corretta anche quando essa esiste ed è di uso comune. Oramai, ad esempio, i nostri manager rampanti parlano tutti di "risultati del quarto", adattando maccheronicamente l'inglese quarter che però da noi si dice "trimestre"! È vero che, soprattutto quando si parla di termini tecnici, spesso non esiste una traduzione italiana semplice e diretta del corrispondente termine inglese: ma quando si tratta di parole comuni si dovrebbe fare almeno un piccolo sforzo per usare quelle della nostra lingua.)

Tornando al tema del discorso, purtroppo l'uso informatico di parlare di "autenticazione" quando si intende invece "identificazione" è ormai consolidato e con tutta probabilità sarà assai difficile rimuoverlo dal linguaggio comune. Esso infatti si è molto radicato soprattutto per via dell'assonanza che lo lega al secondo anello della catena della sicurezza logica, ossia l'"autorizzazione", che è quel meccanismo con cui si stabilisce quali attività possa svolgere, o a quali risorse abbia diritto di accedere, un soggetto già positivamente identificato. Il terzo anello, per la cronaca, è l'accounting (ma secondo altri è l'auditing), ossia quel meccanismo con cui si tiene traccia delle azioni svolte e delle risorse utilizzate da ciascun soggetto autorizzato. Queste "tre A" vanno sempre di pari passo, tanto che si parla comunemente di "sistemi AAA" per indicare appunto l'insieme dei meccanismi di "authentication, authorization, accounting" che rappresentano la base di ogni sistema di gestione degli utenti di un sistema informatico.

Autenticazione: una proposta

Vale comunque la pena di provare a lanciare una proposta per la revisione del linguaggio, almeno laddove la vicinanza degli ambiti di riferimento possa ingenerare imprecisioni ed ambiguità di significato: lasciamo dunque ai giuristi la piena potestà sulla "autenticazione" degli atti e delle firme, e chiamiamo "identificazione" l'azione di accertamento dell'identità degli utenti di un sistema informatico, così come da sempre si chiama "identificazione" quella di un qualsiasi soggetto nel mondo fisico. D'altronde il portiere di uno stabile "identifica" o "riconosce" i visitatori prima di farli passare, mica li "autentica"!

Volendo fare i pignoli potremmo fare una utile distinzione tra "identificazione" e "riconoscimento", considerando "identificazione" in termini generali quella che avviene mediante presentazione di opportune credenziali (ad esempio un ID utente ed una password) e riservando invece il termine "riconoscimento" al caso specifico dell'identificazione effettuata mediante l'analisi di determinate caratteristiche biometriche. Appare infatti più corretto parlare, ad esempio, di "riconoscimento dell'iride" piuttosto che di "identificazione dell'iride"; e d'altronde anche nella vita di tutti i giorni si "identifica" un soggetto guardandogli i documenti d'identità ma lo si "riconosce" guardandogli i lineamenti del volto. Gli ultrapignoli potrebbero a questo punto parlare di "identificazione mediante riconoscimento dell'iride", che ha il solo difetto di essere un po' troppo lunga come espressione ma è certamente precisa e corretta in ogni sua possibile accezione.

Il termine usato per il passo successivo, ossia "autorizzazione", potrebbe benissimo rimanere così com'è: si tratta infatti di un termine assolutamente corretto, che identifica il rilascio del consenso a che un soggetto, preventivamente identificato, goda di un diritto a lui precedentemente assegnato se le condizioni lo consentono. Attenzione quindi a non confonderla con la "abilitazione", che è atto concettualmente diverso e logicamente precedente all'"autorizzazione": i due termini non sono affatto sinonimi! L'"abilitazione" è infatti l'atto di volontà espresso "una tantum" con cui si concedono al soggetto i diritti o privilegi di cui potrà godere in seguito, quando verrà approvata una sua specifica richiesta in tal senso; l'"autorizzazione" invece è proprio tale approvazione. Complicato? No, ma vediamo comunque un semplice esempio che chiarirà definitivamente il concetto. Il possesso della tessera Bancomat "abilita" il suo possessore al prelievo di contante dagli sportelli automatici, nel senso che gli dà il diritto di recarsi presso uno sportello per effettuare una richiesta di prelevamento; ma solo dopo che lo sportello ha "identificato" il richiedente, e soprattutto dopo che ha successivamente verificato il suo effettivo diritto a svolgere l'operazione richiesta (controllando ad esempio che la sua carta non sia stata bloccata, che essa non abbia superato il tetto massimo di operazioni consentite, che il conto cui si riferisce disponga di sufficiente liquidità, ...) allora il sistema lo "autorizza" a prelevare la somma richiesta. Ora è tutto più chiaro, no?

Per concludere e riassumere, dunque, quando l'informatico parla di "autenticazione", il giurista (e in primo luogo il legislatore) dovrebbe scrivere "identificazione" se il processo di verifica dell'identità avviene mediante il controllo di una apposita credenziale (password, smart card, ...) e "riconoscimento" se avviene invece mediante il controllo di una caratteristica biometrica (impronta digitale, iride, geometria della mano, ...). Quando si parla di "abilitazione" si intende l'assegnazione ad un soggetto di un determinato diritto o privilegio da parte di chi ha la facoltà di concederlo; mentre quando si parla di "autorizzazione" si intende l'approvazione di una specifica richiesta di servizio a fronte della preventiva verifica dell'identità del richiedente, della precedente presenza di una opportuna abilitazione al servizio richiesto e della sussistenza delle condizioni necessarie alla specifica erogazione del servizio richiesto.

Saggio pubblicato su InterLex n° 322 del 6 giugno 2005 (Anno IX)
Copyright © 2005, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 115,599

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi