stampa
segnala questo articolo
Nell'ordinamento giuridico italiano la firma digitale è riconosciuta ed equiparata a tutti gli effetti di legge alla firma autografa su carta. Essa rappresenta un sistema di autenticazione forte che si basa sull'uso di un certificato digitale memorizzato su di un dispositivo hardware.
Il primo atto normativo che ha stabilito la validità della firma digitale per la sottoscrizione dei documenti elettronici è stato il D.P.R. 10 novembre 1997 n. 513, emanato in attuazione dell'articolo 15 della legge 15 marzo 1997, n. 59. Successivamente, tale normativa è stata trasposta nel D.P.R. 28 dicembre 2000 n. 445 (il Testo Unico sulla documentazione amministrativa), più volte modificato negli anni successivi all'emanazione, per conformare la disciplina italiana alla normativa comunitaria contenuta nella Direttiva 99/93 in materia di firme elettroniche.
Attualmente, la legge che disciplina la firma digitale è il " Codice dell'amministrazione digital" (Decreto Legislativo 7 marzo 2005, n. 82, così come modificato dal D.Lgs. 4 aprile 2006, n. 159). In questo si fa una distinzione tra " firma elettronica" (l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici), " firma elettronica qualificat" (basata su una procedura che permette di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un soggetto terzo attraverso un certificato qualificato) e "firma digitale" (una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche).
Il D.Lgs. 82/2005, quindi, è impostato come se si potessero avere più tipi di firma elettronica qualificata, ossia più sistemi che consentano l'identificazione univoca del titolare. Tuttavia, nella realtà concreta, quella che viene identificata come la terza tipologia, ovvero la firma digital, è l'unico tipo di firma elettronica qualificata oggi conosciuto e utilizzato, per cui le due tipologie (firma elettronica qualificata e firma digitale) tendono a coincidere.
Inoltre, l'articolo 21 del D.Lgs. 82/2005 stabilisce, con un rimando all'art. 2702 del Codice Civile, che la firma digitale (o altra firma elettronica qualificata) fa piena prova fino a querela di falso se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta. In questo modo il documento informatico sottoscritto con firma digitale viene equiparato alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza, alla scrittura privata con firma autenticata). Tuttavia, rispetto alla procedura di disconoscimento vi è una rilevante differenza tra firma autografa e firma digitale. Nel primo caso infatti è sufficiente che il convenuto avvii una formale istanza di disconoscimento senza doversi assumere alcun onere probatorio. Nel secondo caso (firma digitale), l'articolo 21 del il D.Lgs. 82/2005 stabilisce che l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria. Vi è quindi un'inversione dell'onere della prova dall'attore verso il convenuto. Sulla questione del valore probatorio del documento informatico c'è stata in Italia una lunga discussione che è sfociata in modifiche normative contraddittorie.
La firma digitale si basa sulla tecnologia della crittografia a chiavi asimmetriche che prevede di un certificato digitale memorizzato su di un dispositivo hardware.
Un sistema crittografico garantisce la riservatezza del contenuto dei messaggi, rendendoli incomprensibili a chi non sia in possesso di una chiave per interpretarli. Nei sistemi crittografici a chiave pubblica ogni utente ha una coppia di chiavi: una chiave privata, da non svelare a nessuno, con cui può decifrare i messaggi che gli vengono inviati e firmare i messaggi che invia, e una chiave pubblica, che altri utenti utilizzano per cifrare i messaggi da inviargli e per decifrare la sua firma e stabilirne quindi l'autenticità. Per ogni utente, le due chiavi vengono generate da un apposito algoritmo. L'iter da seguire per chi vuole spedire un messaggio in modalità sicura è: 1. il mittente utilizza la chiave pubblica del destinatario per la codifica del messaggio da spedire; 2. spedisce il messaggio cifrato al destinatario; 3. il destinatario riceve il messaggio cifrato e adopera la propria chiave privata per ottenere il messaggio "in chiaro". In assenza della chiave privata il destinatario non potrà decodificare il messaggio.
Grazie alla proprietà delle due chiavi un sistema di questo tipo è adatto anche per ottenere dei documenti firmati. Infatti, la chiave pubblica di un utente è la sola in grado di poter decifrare correttamente i documenti cifrati con la chiave privata di quell'utente. Se un utente vuole creare una firma per un documento, procede nel modo seguente: 1. con l'ausilio di una funzione hash (pubblica) ricava l' impronta digitale del documento, detta anche message digest, un file di dimensioni relativamente piccole che contiene una sorta di codice di controllo relativo al documento stesso; 2. utilizza la propria chiave privata per cifrare l'impronta digitale: il risultato di questa codifica è la firma; 3. allega la firma prodotta al documento che invierà.
La funzione hash, è fatta in modo da rendere minima la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta, inoltre è one-way, a senso unico, questo significa che dall'impronta è impossibile ottenere nuovamente il testo originario. La firma prodotta dipende dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente. A questo punto la firma viene allegata al documento.
Chiunque può verificare l' autenticità di un documento: per farlo, decifra la firma del documento con la chiave pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticità e l'integrità del documento sono garantite.
La firma digitale assicura inoltre il non ripudio: il firmatario di un documento trasmesso non può negare di averlo inviato, né può il ricevente negare di averlo ricevuto. Detta in altre parole significa che l'informazione non può essere disconosciuta, come nel caso di una firma convenzionale su un documento cartaceo in presenza di testimoni. Le operazioni di firma e di verifica possono essere demandate ad un apposito programma rilasciato dall'ente certificatore oppure al proprio client di posta elettronica, che, con una semplice configurazione, le effettuerà automaticamente.
La titolarità della firma digitale è garantita dai cosiddetti "certificator " (disciplinati dagli articoli 26-32): si tratta di soggetti con particolari requisiti di onorabilità, che possono essere accreditati presso il Centro Nazionale per l'Informatica nella Pubblica Amministrazione - CNIPA - (in tal caso vengono chiamati certificatori accreditati), che tengono registri delle chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario di un documento elettronico. Fra le caratteristiche per svolgere l'attività di certificatore di firma digitale vi è quella per cui occorre essere una società con capitale sociale non inferiore a quello richiesto per svolgere l'attività bancaria. I certificatori non sono quindi soggetti singoli (come i notai), ma piuttosto grosse società (per esempio, un certificatore è la società Postecom).
L'acquisizione di una coppia di chiavi (chiave privata, inserita nel dispositivo di firma sicuro, e chiave pubblica, inserita nel certificato) è a pagamento, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale per l'esercizio di diritti naturali della persona. La coppia di chiavi ha una scadenza temporale.
È fondamentale che il rilascio avvenga previa identificazione certa del firmatario da parte del certificatore perché sia certa l'associazione che il certificato effettua tra chiave pubblica e dati anagrafici del titolare della firma.