La firma digitale
Che cos'è la firma digitale? Diciamo subito che la firma digitale è l'equivalente informatico della firma autografa e ne ha il medesimo valore legale con in più il vantaggio della totale sicurezza.La firma digitale è una tecnologia di tipo digitale che si realizza attraverso un mezzo informatico come un computer che consente di attribuire integrità, riservatezza e paternità ai documento elettronici prodotti appunto da strumenti informatici. Nel
nostro sistema giuridico, la firma digitale viene definita per la prima volta
nel D.P.R. 10 novembre 1997 n° 513, che disciplina "la formazione,
l’archiviazione e la trasmissione di documenti con strumenti informatici e
telematici". Lo stesso D.P.R. fa esplicito riferimento a sistemi
di chiavi asimmetriche a coppia per la generazione e la verifica della firma
digitale. Le
regole tecniche per la "formazione, la trasmissione, la conservazione, la
duplicazione, la riproduzione e la validazione, anche temporale, dei documenti
informatici sono descritte nel D.P.C.M. 8 febbraio 1999, che stabilisce tra l'altro
quali algoritmi possono essere utilizzati per la generazione e le verifiche
delle firme digitali. Lo stesso D.P.C.M. definisce l'impronta, ne disciplina l'uso e
i fini della generazione della firma digitale e stabilisce quali algoritmi
possono essere utilizzati, dato un documento, per ricavarne l'impronta. Quando si pensa al futuro, non ci sono dubbi, è necessario mettersi nella prospettiva che la nostra vita sarà molto diversa da quella attuale, almeno per quanto riguarda il rapporto con le varie autorità amministrative e fiscali. Infatti, si va facendo strada sempre di più, l'esigenza di utilizzare dei processi informatici e telematici apparentemente complessi ma infinitamente più efficaci e sicuri di quelli attuali nelle dichiarazioni che il cittadino è costretto a inviare alle autorità competenti. Uno di questi è la cosiddetta "firma digitale". Esiste un sito web molto importante, gestito dall'autorità per l'informatica della pubblica amministrazione, chiamato AIPA. Ecco l'indirizzo internet nel quale si possono reperire tutte le più importanti notizie pubblicate in forma ufficiale: http://www.aipa.it/servizi[3/normativa[4/leggi[1/ A un documento informatico può essere apposta una firma particolare chiamata "firma digitale". La firma digitale, basata sulla crittografia, si è ormai affermata come principale strumento in grado di assicurare l'integrità e la provenienza sicura dei documenti informatici, e quindi di svolgere per questi la funzione che nei documenti tradizionali è assolta dalla firma autografa. Premesso che ai fini giuridici l'apposizione della firma digitale a un documento equivale alla sottoscrizione prevista per gli atti e i documenti in forma scritta su supporto cartaceo diciamo che la firma digitale è una operazione prevista dalla legge italiana, riconosciuta dal codice civile e perfettamente valida e legittima da tutti i punti di vista. L'art. 2703 del codice civile riconosce la firma digitale la cui apposizione è autenticata da un notaio o da altro pubblico ufficiale autorizzato. |
Funzionamento
della firma digitale
Si
vuole chiarire ora quali siano le caratteristiche del processo di validazione
che viene definito come "il sistema informatico e crittografico in grado di
generare e apporre la firma o di verificarne la validità".
I
meccanismi di funzionamento della firma digitale, così come prescritta dal
nostro ordinamento, poggiano essenzialmente sugli algoritmi crittografici a
chiavi pubbliche, detti anche a chiavi asimmetriche poiché utilizzano chiavi
diverse per le operazioni di cifratura e decifratura. Le basi di questo sistema
sono state poste nel 1976 da due studiosi, Whitfield Diffie e Martin E. Hellan,
che elaborarono un protocollo per lo scambio di una chiave segreta sopra un
canale pubblico.
La
chiave è un nome o una sigla che, una volta digitata ci permette di attivare un
complicato algoritmo che andrà a criptare il testo che si vuole rendere illeggibile. Vengono utilizzate due chiavi diverse. Una di queste due chiavi è
destinata ad essere resa pubblica con i più diversi mezzi fra i quali anche
l'inclusione in database consultabili on-line (key repositories), mentre
l'altra deve essere nota solo al titolare.
Qualora
si intenda spedire a qualcuno un messaggio cifrato verrà applicata la chiave
pubblica del destinatario all'intero messaggio. Il ricevente sarà in grado di
leggere il messaggio solo dopo averlo decifrato apponendovi la propria chiave
privata.
Quando
invece si vuole apporre una firma digitale ad un messaggio, il mittente utilizza
invece la propria chiave privata, che non deve essere necessariamente applicata
a tutto il testo.
Nel
caso di documenti lunghi la cifratura a chiave pubblica può infatti diventare
molto lenta e risulta quindi più comodo applicare la chiave ad una parte del
documento.
A
tale fine viene usata una particolare funzione, chiamata funzione hash inclusa
nel software della firma digitale, che comprime il testo in una sorta di
"riassunto", che viene anche definito "impronta
digitale". La dimensione del riassunto è fissa e molto più piccola di
quella del messaggio originale, pertanto la generazione della firma risulta
molto più rapida.
Devono essere inoltre rilevabili attraverso la firma digitale gli elementi identificativi del soggetto titolare della firma, del soggetto che la ha certificata e del registro sul quale essa è stata pubblicata (art. 10, comma 7, DPR).
La verifica della firma digitale verrà poi fatta dal destinatario applicando la medesima funzione hash usata nella fase di sottoscrizione in modo da ottenere il valore dell’impronta. Tale valore verrà poi confrontato con quello che si ottiene decodificando la firma digitale stessa applicandovi la chiave pubblica del mittente.Privati e Pubbliche Amministrazioni [http://www.comune.bologna.it/firma_digitale/guida/index.html ]possono preparare atti, documenti e contratti[ http://www.comune.bologna.it/bologna/firma_digitale/ ] mediante strumenti informatici e telematici, che hanno ora piena rilevanza e validità ad ogni effetto di legge. Il legislatore, infatti, prima con l'art. 15, comma 2, della legge n. 59/1997 (la cosiddetta legge "Bassanini"), poi con il suo regolamento di attuazione (D.P.R. 10 novembre 1997, n. 513) e le specifiche tecniche ministeriali (D.P.C.M. 8 febbraio 1999), infine, a livello europeo, con la Direttiva 31/2000/Ce ha riconosciuto valido l'uso delle tecnologie informatiche per formare, archiviare o trasmettere documenti.
La firma digitale, in sè, è un'idea abbastanza semplice. Per produrla si realizzano una chiave pubblica, che resta negli archivi della società certificatrice e una privata, che viene invece consegnata all'utente dentro una smart card (come il bancomat). Quando l'utente tramite un lettore di smart card (che è necessario acquistare) inserisce la propria chiave privata per un acquisto o per avallare un'operazione, la banca o chi per essa provvede a unire le due chiavi, la pubblica e la privata: se si incastrano l'una con l'altra, l'utente on-line viene identificato con certezza.
Il
certificatore è "il soggetto pubblico o privato che effettua la
certificazione, rilascia il certificato della chiave
pubblica , lo pubblica unitamente a quest'ultima, pubblica e aggiorna
gli elenchi dei certificati sospesi e revocati" (art.
1 del D. P. R.).
L'attività
di certificazione deve essere effettuata da certificatori inclusi. Solo nel caso
di chiavi pubbliche relative alle pubbliche amministrazioni, la generazione,
conservazione e certificazione di tali chiavi compete direttamente alle
amministrazioni stesse (art. 17, comma primo del D.
P. R.).
I
certificatori sono tenuti a dichiarare preventivamente l'inizio l'attività in
un apposito elenco pubblico consultabile in via telematica, predisposto e
mantenuto aggiornato dall'AIPA (Autorità
per l'informatica nella pubblica amministrazione).
L'art.
8, comma 3 del D. P. R. stabilisce poi i requisiti di cui devono
essere dotati i certificatori per esercitare l'attività:
forma di società per azioni e capitale sociale non inferiore a quello
necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti
privati;
possesso da parte dei rappresentanti legali e dei soggetti preposti
all'amministrazione, dei requisiti d’onorabilità richiesti ai soggetti che
svolgono funzioni d’amministrazione, direzione e controllo presso banche;
affidamento che, per competenza ed esperienza, i responsabili tecnici del
certificatore e il personale addetto all'attività di certificazione siano in
grado di rispettare le norme dettate dal D. P. R e
le regole tecniche dettate dall'art. 3 dello stesso;
qualità dei processi informatici e dei relativi prodotti, in conformità
agli standard riconosciuti a livello internazionale.
Lo stesso articolo al quarto comma ammette che l'attività di certificazione possa essere svolta anche da un certificatore che abbia ottenuto la licenza o l'autorizzazione da un altro Stato membro dell'Unione europea o dello Spazio economico europeo sulla base di requisiti equivalenti.
Valore della sottoscrizione con firma digitale
Con
il nuovo D.
P. R. viene dato valore di sottoscrizione alla firma digitale apposta
in conformità alle disposizioni di legge.
Sul
piano giuridico divengono quindi equivalenti le sottoscrizioni eseguite con la
firma tradizionale e quelle eseguite mediante firma digitale. Ci chiediamo
quindi come vengono rispettate dalla firma digitale le tre funzioni tipicamente
attribuite dalla dottrina alla sottoscrizione.
Tali
funzioni sono individuate in: funzione
indicativa, funzione
dichiarativa, funzione
probatoria.
Oggi esistono già dei certificatori, uno di questi è il PGP signing party organizzato dal CERT-IT dell'Università statale di Milano. E' necessario però sottolineare che, affinché la certificazione sia valida, è necessario che il certificatore presenti i requisiti richiesti dalla legge e venga quindi inserito nell'elenco ufficiale predisposto dall'AIPA. Qualunque firma digitale apposta mediante chiave non certificata presso un certificatore ufficiale si ha per non apposta secondo il nostro ordinamento. Sarà quindi cura del destinatario verificare che il certificatore del mittente sia presente nell'elenco ufficiale al fine di scongiurare una facile truffa a suoi danni.
La
funzione indicativa della sottoscrizione risiede nella possibilità di
identificare la persona che si è resa autore del documento apponendovi la
firma.
Per
svolgere la funzione indicativa, la firma
digitale deve basarsi su un sistema
di cifratura a chiavi asimmetriche delle quali una deve essere resa
pubblica e l'altra strettamente personale. La chiave
pubblica deve inoltre essere certificata da un ente certificatore.
Nel
D.
P. R.sono state dettate condizioni tassative relative ai requisiti
per diventare certificatori e agli obblighi
di chi eserciterà tale professione. Poste tali condizioni è
possibile quindi pensare a certificatori seri, affidabili e quindi in grado di fornire con certezza l'identità
di una persona.
L'operazione più delicata per il certificatore rimarrà quella di "identificare con certezza la persona che fa richiesta della certificazione perché tale identificazione sarà poi valida per tutte le firme che verranno apposte relativamente a quel certificato.
La
funzione dichiarativa della sottoscrizione si sostanzia nell'approvazione del
contenuto del documento sottoscritto e nell'assunzione della paternità delle dichiarazioni
in esso contenute.
La
sottoscrizione tradizionale sul documento cartaceo svolge questa funzione perché
si presume che, apponendo una firma in calce ad una dichiarazione, non siano
praticabili delle aggiunte in epoca posteriore e le eventuali cancellature o
modifiche siano riconoscibili, in quanto il supporto utilizzato (la carta) si
considera indelebile.
Così
come prescritta dal D.
P. R. la firma
digitale è strutturata in modo tale che l'integrità di una
dichiarazione in tal modo sottoscritta risulti rafforzata. Viene, infatti,
prescritto l'uso di un sistema di chiavi asimmetriche a coppia nel quale non è
possibile modificare neanche un solo bit del documento dopo che vi è stata apposta la chiave di cifratura.
Questa
rafforzata integrità del documento si riflette anche in una maggiore certezza della funzione
dichiarativa.
La
sottoscrizione fa piena prova che il soggetto che è stato riconosciuto come
colui che ha apposto la firma ad un documento si assume la paternità delle
dichiarazioni in esso contenute.
Essendo
questa una funzione che si ottiene con l'unione della funzione indicativa e di
quella dichiarativa, essa è soddisfatta qualora nel sottoscrivere un documento si utilizzi la
firma
digitale in modo conforme a quanto prescritto dal nostro ordinamento.
In queste condizioni i documenti elettronici sono utilizzati come se fossero documenti cartacei a tutti gli effetti con una firma autografa scritta con la penna. Ma sia chiaro che la firma digitale non è un segno, magari colorato, come quello che si mette su una ricevuta postale!
La firma digitale non costa molto: appena qualche euro.
La normativa inerente alla firma digitale si può trovare al link dell'A.I.P.A. che è l'Autorità per l'Informatica nella Pubblica Amministrazione : http://www.aipa.it
Sono elencate nella seguente tabella.