La Firma Digitale è il risultato di una procedura informatica che garantisce l’autenticità e l’integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari di quanto svolto dalla firma autografa per i documenti tradizionali. La differenza tra firma autografa e firma digitale è che la prima è legata alla caratteristica fisica della persona che appone la firma, vale a dire la grafia, mentre la seconda al possesso di uno strumento informatico e di un PIN di abilitazione, da parte del firmatario.
La firma digitale è ottenuta attraverso una procedura di validazione che consente al sottoscrittore di rendere manifesta l’autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità. In sostanza i requisiti assolti sono:
· Autenticità: con un documento firmato digitalmente si può essere certi dell’identità del sottoscrittore;
· Integrità: sicurezza che il documento informatico non è stato modificato dopo la sua sottoscrizione;
· Non ripudio: il documento informatico sottoscritto con firma digitale, ha piena validità legale e non può essere ripudiato dal sottoscrittore[1].
Per generare una firma digitale è necessario utilizzare una coppia di chiavi digitali asimmetriche, attribuite in maniera univoca ad un soggetto detto Titolare della coppia di chiavi. La prima, chiave privata destinata ad essere conosciuta solo dal Titolare, è utilizzata per la generazione della firma digitale da apporre al documento, la seconda, chiave da rendere pubblica, viene utilizzata per verificare l’autenticità della firma. Caratteristica di tale metodo, detto crittografia a doppia chiave, è che, firmato il documento con la chiave privata, la firma può essere verificata con successo esclusivamente con la corrispondente chiave pubblica. La sicurezza è garantita dalla impossibilità di ricostruire la chiave privata (segreta) a partire da quella pubblica, anche se le due chiavi sono univocamente collegate.
Autorità di Certificazione (CA): Ente che gestisce il rilascio e la revoca delle chiavi per la firma digitale e i certificati digitali contenenti informazioni sul depositario della firma. Una CA può offrire ulteriori servizi, quali ad esempio certificati che attestano la data di un evento o un’avvenuta transazione o elenchi dei nominativi e delle chiavi pubbliche di tutti i suoi iscritti.
Certificati elettronici: gli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l'identità dei titolari stessi.
Certificati qualificati: i certificati elettronici conformi ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti fissati dall'allegato II della medesima direttiva.
Certificato digitale: documento informatico siglato da un’Autorità di Certificazione, che può contenere la chiave pubblica di un individuo e informazioni sulla sua identità o su altre caratteristiche (poteri di rappresentanza, titoli, abilitazione ad accedere a determinati sistemi software, ecc.) o che può attestare una transazione avvenuta o la data di un evento.
Certificatori accreditati: i certificatori accreditati in Italia ovvero in altri Stati membri dell'Unione europea, ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE.
Certificatori: coloro che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche.
Crittografia: insieme di tecniche e procedure per rendere segreto il testo di un documento e viceversa per rendere leggibile un testo cifrato.
Firma digitale: elemento di crittografia basato su una coppia di chiavi asimmetriche che, apposto a un documento digitale, lo correla in modo univoco a chi lo ha redatto e codifica il documento stesso, rendendone inalterabile il contenuto. Il documento crittografato con la chiave privata (ossia siglato dal suo autore), può essere letto unicamente con la chiave pubblica corrispondente. Viceversa, un documento crittografato con la chiave pubblica (indirizzato cioè a una determinata persona) può essere letto unicamente da chi detiene la chiave privata (ossia dal destinatario). Se inoltre un messaggio è siglato contemporaneamente con le due firme del mittente e del destinatario (chiave privata del primo e chiave pubblica del secondo), il messaggio sarà illeggibile da terzi.
Firma elettronica avanzata: la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.
Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.
X.509: standard per i certificati digitali di identificazione assunto dall’International Telecommunications Union (ITU) e universalmente accettato. Definisce il formato ed assegna ad ogni individuo - o meglio ad un nome specifico (Distinguished Name) di persona o di ente - una stringa di codice di identificazione.
Si veda il documento Glossario CNIPA dei termini informatici nella normativa italiana emesso dal CNIPA per tutte le definizioni dei termini informatici.
È un insieme di apparati, regole di sicurezza, procedure operative e servizi che rendono possibile la gestione affidabile ed efficiente di applicazioni per la firma digitale, l’autenticazione, la protezione della riservatezza e la marcatura temporale dei documenti informatici. Si basa sulla crittografia asimmetrica a chiave pubblica e svolge le seguenti funzioni principali.
· generazione e distribuzione di coppie di chiavi digitali;
· verifica dell’identità dei richiedenti i certificati;
· emissione e pubblicazione dei certificati;
· gestione del ciclo di vita dei certificati (sospensione, revoca, rinnovo).
La chiave privata utilizzata per la firma dei documenti informatici deve essere conservata in maniera sicura e segreta dal Titolare, che ne è responsabile; per tale ragione le smartcard crittografiche, opportunamente protette da PIN di accesso, sono state inizialmente individuate come un valido supporto, in quanto oltre a permettere la generazione delle chiavi al loro interno e l’applicazione della firma digitale, dispongono di sistemi di sicurezza che impediscono l’esportazione e la copia della chiave privata, fuori dalla smartcard in cui è stata generata. Attualmente alle smartcard – che necessitano di apposito lettore – si stanno affiancando dispositivi USB (eToken), più versatili nell’utilizzo.
La diffusione della chiave pubblica, invece, consente a tutti i possibili destinatari dei documenti informatici di disporre della chiave necessaria per la verifica dei documenti. Per individuare in maniera sicura il sottoscrittore del documento, deve essere legata in maniera certa al titolare della corrispondente chiave privata.
Per la normativa italiana con dispositivo di firma si intende “un apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto la chiave privata e generare al suo interno le firme digitali.”
Uno degli strumenti che è possibile utilizzare come dispositivo di firma è la smartcard crittografica, che è simile, per forma e dimensioni, ad una tradizionale carta di credito. A differenza di quest’ultima, incorpora un processore in grado di memorizzare dati ed informazioni, a cui è possibile accedere tramite un codice di sicurezza riservato e personale (PIN).
È perciò uno strumento di memorizzazione molto sicuro, oltre che facilmente portabile e legato al Titolare. Con le smartcard dotate di processore crittografico, possono essere sviluppate applicazioni in ambiti diversi; nel campo della firma digitale svolge le principali funzioni sono le seguenti:
· generazione e memorizzazione al suo interno della chiave privata di firma;
· apposizione della firma digitale a documenti informatici.
La smartcard si collega con il computer mediante un apposito lettore ed il relativo software di interfaccia.
Con l’evolversi della tecnologia si sono successivamente sviluppati differenti tipi di dispositivi di firma, comunque conformi ai requisiti di legge, che sopperiscono alle carenze – in termini di praticità d’uso – della smartcard, il cui lettore (di costo non insignificante rispetto al valore della firma digitale stessa) deve comunque essere collegato al PC per poter operare con la firma digitale e, dunque, dovrebbe essere sempre portato con sé, unitamente alla smartcard, dal possessore del certificato che voglia utilizzare la firma digitale anche su altri PC.
Sono quindi stati prodotti ed immessi in commercio a costi contenuti i cosiddetti “token USB”, a tutti gli effetti chiavette collegabili alla porta USB di qualsiasi PC nei quali vengono contenuti, in area protetta da scrittura, i certificati digitali. Tra essi sono stati sviluppati dispositivi attivabili solo tramite il riconoscimento dell’impronta digitale del possessore, aumentando così il livello di sicurezza.
Rispetto all’utilizzo del certificato memorizzato semplicemente su PC e trasmesso via internet, a fronte dei vantaggi dal punto di vista della sicurezza che presentano smartcard e token USB, ci sono degli indubbi svantaggi, dovuti al fatto di dover avere sempre disponibile il dispositivo per poter firmare digitalmente un documento. Inoltre la “trasportabilità” della firma è talvolta limitata dalla necessità di dover comunque installare appositi driver e specifici software di gestione della firma per poter utilizzare il dispositivo, oltre alla non completa compatibilità con i più diffusi ambienti operativi sul mercato.
Il certificato è il mezzo di cui dispone il destinatario per avere la garanzia sull’identità del suo interlocutore e per venire in possesso della chiave pubblica di quest’ultimo.
Per tale ragione il certificato – essenzialmente un file - contiene, oltre la chiave pubblica per la verifica della firma, anche i dati del titolare; è garantito e firmato da una “terza parte fidata”: il certificatore.
Per la normativa italiane deve contenere almeno le seguenti informazioni:
· numero di serie del certificato;
· ragione e denominazione sociale del certificatore;
· codice identificativo del titolare presso il certificatore;
· nome, cognome e data di nascita ovvero ragione o denominazione sociale del titolare;
· valore della chiave pubblica;
· algoritmi di generazione e verifica utilizzabili;
· inizio e fine del periodo di validità delle chiavi;
· algoritmo di sottoscrizione del certificato.
Il certificato in formato X.509, contiene in uno standard riconosciuto, una serie di campi per dati obbligatori ai quali possono essere aggiunte ulteriori estensioni per riportare informazioni aggiuntive.
La legge n. 59 del 1997 - articolo 15 – ha stabilito che “gli atti, dati e documenti, formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”.
Il D.P.R. 445 del 28 dicembre 2000 (successivamente modificato ed integrato dal Codice Amministrazione Digitale, D.Lgs n. 82 del 07/03/2005) ha fissato i requisiti che il documento informatico inteso come “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” deve rispettare per avere pieno valore legale.
Con il termine documento cartaceo si intende sia il supporto che il contenuto che in esso viene rappresentato; tramite la sottoscrizione autografa viene identificata la persona che ne assume la paternità, se ne sancisce l’autenticità ed il sottoscrittore stesso fa propri i contenuti rappresentati nel documento. Un documento informatico può essere invece modificato o riprodotto infinite volte, ottenendo copie assolutamente identiche all’originale. Il contenuto è svincolato dal supporto. Per restituire al documento informatico gli stessi requisiti assolti dalla sottoscrizione autografa di un documento cartaceo occorre, quindi, un tipo di autenticazione come la firma digitale, che attribuisca al contenuto del documento informatico piena validità legale.
La firma digitale garantisce, nei confronti dei documenti informatici, la presenza degli stessi requisiti che la firma autografa assicura nei confronti dei documenti cartacei. Grazie alla tecnologia della firma digitale e per mezzo del sistema a “chiavi pubbliche”, il destinatario del documento ha la garanzia di disporre di un testo integro e proveniente da una fonte ben precisa. La sequenza di simboli che chiamiamo firma digitale, generata da algoritmi matematici, si riferisce univocamente a i contenuti di un preciso documento, la modifica anche di un solo carattere sarebbe immediatamente rilevata al momento della verifica.
Per quanto riguarda l’attività di rilascio di certificati qualificati, essa è libera e l’accreditamento è volontario, infatti il D.Lgs n. 10 del 23/01/2002 - Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche, agli artt. 3, 4 e 5 cita:
«Art.3
1. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva.
2. La Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie, di seguito denominato: "Dipartimento", svolge funzioni di vigilanza e controllo nel settore, anche avvalendosi dell'Autorità per l'informatica nella pubblica amministrazione e di altre strutture pubbliche individuate con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri interessati.
Art. 4
1. I certificatori stabiliti in Italia che intendono rilasciare al pubblico certificati qualificati devono darne avviso, anche in via telematica, prima dell'inizio dell'attività, al Dipartimento.
2. I controlli volti ad accertare se il certificatore che emette al pubblico certificati qualificati soddisfa i requisiti tecnici ed organizzativi previsti dal regolamento di cui all'articolo 13 sono demandati al Dipartimento, che all'uopo può avvalersi degli organismi indicati nell'articolo 3, comma 2. 3. I controlli di cui al comma 2 sono effettuati d'ufficio ovvero su segnalazione motivata di soggetti pubblici o privati.
Art. 5
1. I certificatori che intendono conseguire dal Dipartimento il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, possono chiedere di essere accreditati. ».
Gli aspetti sopra esposti vengono ripresi dal nuovo Codice per l’Amministrazione Digitale. Relativamente ai requisiti relativi alla CA cita:
« Art. 26. Certificatori
1. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all'articolo 26 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, e successive modificazioni. 2. L'accertamento successivo dell'assenza o del venir meno dei requisiti di cui al comma 1 comporta il divieto di prosecuzione dell'attività intrapresa. 3. Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altri Stati membri dell'Unione europea non si applicano le norme del presente codice e le relative norme tecniche di cui all'articolo 71 e si applicano le rispettive norme di recepimento della direttiva 1999/93/CE.
Art. 27. Certificatori qualificati
1. I certificatori che rilasciano al pubblico certificati qualificati devono trovarsi nelle condizioni previste dall'articolo 26.
2. I certificatori di cui al comma 1, devono inoltre:
a. dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;
b. utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate e che sia in grado di rispettare le norme del presente codice e le regole tecniche di cui all'articolo 71;
c. applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
d. utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all'articolo 35, comma 5;
e. adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi private nei casi in cui il certificatore generi tali chiavi.
3. I certificatori di cui al comma 1, devono comunicare, prima dell'inizio dell'attività, anche in via telematica, una dichiarazione di inizio di attività al CNIPA, attestante l'esistenza dei presupposti e dei requisiti previsti dal presente codice.
4. Il CNIPA procede, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la sussistenza dei presupposti e dei requisiti previsti dal presente codice e dispone, se del caso, con provvedimento motivato da notificare all'interessato, il divieto di prosecuzione dell'attività e la rimozione dei suoi effetti, salvo che, ove ciò sia possibile, l'interessato provveda a conformare alla normativa vigente detta attività ed i suoi effetti entro il termine prefissatogli dall'amministrazione stessa.
Art. 29. Accreditamento
1. I certificatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono di essere accreditati presso il CNIPA.
2. Il richiedente deve rispondere ai requisiti di cui all'articolo 27, ed allegare alla domanda oltre ai documenti indicati nel medesimo articolo il profilo professionale del personale responsabile della generazione dei dati per la creazione e per la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati nonché l'impegno al rispetto delle regole tecniche.
3. Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal comma 2, deve inoltre:
a. avere forma giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione alla attività bancaria ai sensi dell'articolo 14 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385;
b. garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'articolo 26 del decreto legislativo 1° settembre 1993, n. 385.
4. La domanda di accreditamento si considera accolta qualora non venga comunicato all'interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa.
5. Il termine di cui al comma 4, può essere sospeso una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano già nella disponibilità del CNIPA o che questo non possa acquisire autonomamente. In tale caso, il termine riprende a decorrere dalla data di ricezione della documentazione integrativa.
6. A seguito dell'accoglimento della domanda, il CNIPA dispone l'iscrizione del richiedente in un apposito elenco pubblico, tenuto dal CNIPA stesso e consultabile anche in via telematica, ai fini dell'applicazione della disciplina in questione.
7. Il certificatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni.
8. Sono equiparati ai certificatori accreditati ai sensi del presente articolo i certificatori accreditati in altri Stati membri dell'Unione europea ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE.
9. Alle attività previste dal presente articolo si fa fronte nell'ambito delle risorse del CNIPA, senza nuovi o maggiori oneri per la finanza pubblica.
[1] La firma autografa può essere disconosciuta dal presunto sottoscrittore dimostrando che si tratta di un falso.