Embed Size (px)
DESCRIPTION
Citation preview
www.confindustriaixi.it
IMPRESE X INNOVAZIONE
La firma digitale:un nuovo paradigma per aumentare la fiducia e la sicurezza del business
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
Questa guida è stata realizzata grazie al contributo di Eds Italia.
Le guide di questa collana sono supervisionate da un gruppo di esperti di imprese e associazioni del sistema Confindustria, partner del Progetto IxI: Between Spa, Confindustria Servizi Innovativi, Gruppo Spee, Hewlett Packard Italiana, Ibm Italia, Idc Italia, Microsoft, Telecom Italia.
Suggerimenti per migliorare l’utilità di queste guide e per indicare altri argomenti da approfondire sono più che benvenuti:[email protected]
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
CHE COS’È LA FIRMA DIGITALE
La firma digitale è il risultato di una pro-cedura informatica, che consente al sot-toscrittore di rendere manifesta l’autenti-cità del documento informatico e al de-stinatario di verificarne la provenienza el’integrità. La firma elettronica non deveessere confusa con la digitalizzazionedella firma autografa, con la rappresenta-zione grafica dell’immagine della propriafirma. Questo è il risultato di un procedi-mento di calcolo che, a partire da un og-getto che tipicamente è un documento eda informazioni associate ad una persona(coppia di chiavi asimmetriche), produceun nuovo oggetto, il documento firmato.Il documento firmato digitalmente ha lostesso valore legale di un documento con
firma autografa. Il documento firmato di-gitalmente offre il vantaggio di non poteressere manomesso in alcun modo.Documento e firma sono un tutt’uno, ununico archivio inscindibile. Il primoaspetto da considerare, il primo vantag-gio della firma elettronica, è che nessunaparte del documento firmato può esserevariata, manomessa, integrata, nemmenoin minima parte, pena l’invalidazione del-la firma. Non è necessario firmare tutte lepagine di un documento, per tutelarsi dasostituzioni, ma è sufficiente firmare il do-cumento nella sua interezza.La firma digitale è un sistema che consente:• all’autore di un documento informatico
di renderne manifesta l’autenticità, ana-logamente a quanto avviene apponen-do la firma autografa su un documentocartaceo;
• al destinatario del documento di verifi-carne la provenienza e l’integrità.
Così intesa la firma digitale diventa l’e-quivalente elettronico di una tradizionalefirma apposta su carta, assumendone lostesso valore legale.
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
1
LA FIRMA DIGITALE: un nuovo paradigma per aumentare la fiducia e la sicurezza del business
In sostanza, la normativa vigente definisce la Firma Digitalecome la possibilità, prevista e regolata dal punto di vista siagiuridico che tecnologico, di fare proprio, cioè di firmare le-galmente, un documento informatico.
Le caratteristiche fondamentali della firmadigitale sono elencate nella figura 1.Tre sono dunque le funzioni insite in unprocesso di firma elettronica:• l’identificazione: indica con certezza chi
è il mittente di un messaggio elettronico.In molte occasioni è indispensabile chele due parti in comunicazione conosca-no la controparte remota. L’identificazio-ne elettronica rende possibile identifica-re un utente, un cliente, un partner gra-zie a strumenti elettronici;
• la firma: garantisce che il documentonon è stato modificato dopo la sua sotto-scrizione e gli dà uno status legale. È im-portante che le informazioni siano origi-nali, non modificate durante la trasmis-sione, accidentalmente o intenzional-
mente. La firma elettronica permette almittente di firmare il messaggio, cosicchéil destinatario possa sapere con certezzachi l’ha spedito e che l’informazione nonè stata alterata. Ciò tra l’altro impedisceche il mittente possa in seguito discono-scere la paternità del documento (non ri-pudiabilità);
• la cifratura (funzione facoltativa): vieneusata per proteggere le informazioni daocchi diversi dal destinatario, sia quandovengono registrate che trasmesse. Il ren-dere informazioni riservate disponibilisolo a un certo numero di ben definitepersone è stato praticato per millenni. Gliimperatori romani proteggevano con ci-fratura i messaggi che inviavano o chevenivano scambiati tra le truppe. Nel lo-
ro caso, il mezzo di trasporto eraun corriere, che portava il mes-saggio scritto su una pergamena;e la cifratura consisteva nel famo-so codice Romano, che sostituivale lettere del messaggio con altre,precedentemente concordate.Oggi fortunatamente disponiamodi strumenti ben più sofisticati.
La ricerca di un sistema che consen-tisse di “firmare”, in maniera sicura,i documenti elettronici ha trovatouna risposta nei sistemi di “critto-grafia”, nati in origine per rendereun testo comprensibile solo al desti-natario. I sistemi di crittografia tra-dizionali si basano su una chiavesegreta: un algoritmo che trasformai caratteri del testo in altri caratterinon comprensibili (testo “cifrato”).In base a tali sistemi il destinatario,utilizzando la medesima chiave se-
greta, può decifrare il testo riportando-lo alla forma originaria.L’inconveniente di tali sistemi è che sibasano su un’unica chiave, per cui èsufficiente che qualcuno la scopra perdecifrare il messaggio, ed eventualmen-te anche alterarlo e cifrarlo di nuovo,senza che il destinatario se ne accorga.Inoltre, nel caso di documenti che van-no trasmessi a più destinatari, la chia-ve segreta deve essere portata a cono-scenza di tutti, compromettendone la
IN
NO
VA
ZI
ON
ED
IG
IT
AL
EI
NN
OV
AZ
IO
NE
DI
GI
TA
LE
LA FIRMA DIGITALE
32
FIGURA 1 - LE CARATTERISCHE DELLA FIRMA DIGITALE
Il documento elettronico sottoscritto digitalmente ha lo stesso valore di un documento cartaceo sottoscritto con firma autografa, fino a querela di falso
Sicurezza che il documento non sia stato manomesso dopo la sottoscrizione
Sicurezza dell’identità di chi firma
Sicurezza dell’impossibilità per l’autore di disconoscere il documento firmato
Valore legale
Integrità
Autenticità
Non ripudio
sicurezza al crescere del numero di sogget-ti che ne vengono a conoscenza (a menoche non si crei una chiave diversa per ognicoppia di interlocutori!).Altri sistemi di crittografia più “evoluti”consentono di superare tali problemi, es-sendo basati su una coppia di chiavi asim-metriche, cioè una coppia di chiavi aventi,tra le altre, due caratteristiche:• un documento cifrato dalla prima chiave
della coppia può essere decifrato esclu-sivamente utilizzando la seconda;
• la conoscenza di una delle due chiavinon concede alcuna informazione utilealla ricostruzione dell’altra.
Le peculiarità della crittografia basata su chia-vi asimmetriche sono state sfruttate per crearei sistemi di firma digitale, nei quali le due chia-
vi sono attribuite univocamente a un titolare:• la chiave privata è a disposizione esclu-
siva del titolare, custodita all’interno diuna “Smart Card” (supporto informaticoda collegare al PC) e protetta da un co-dice segreto conosciuto solo da lui;
• la chiave pubblica, anch’essa associata altitolare, è invece contenuta in un “Certifi-cato Digitale” (documento informatico) re-so accessibile a tutti su Internet da parti-colari soggetti - i Certificatori Accreditati.
CARATTERISTICHE E VANTAGGI
Nella figura 2 si riportano le principali ca-ratteristiche della firma digitale e le diffe-renze rispetto alla tradizionale firma auto-grafa apposta su documento cartaceo.
Le caratteristiche della firma digitale garan-tiscono al documento su cui è apposta:• certezza di autenticità (provenienza dal
firmatario) e integrità (assenza di altera-zioni dopo la sottoscrizione);
• pieno valore legale – ha lo stesso valorelegale di un documento cartaceo con fir-ma autografa.
Inoltre, il suo utilizzo consente:• eliminazione di documenti cartacei –
grazie all’archiviazione su supporti infor-matici, anche dei documenti firmati daconservare in originale;
• tempestività - rende possibile la stipula-zione, giuridicamente vincolante, di rap-porti contrattuali anche a grandi distan-ze, senza necessità di spostamenti di per-sone o di spedizioni di materiale;
• eliminazione di timbri e simili – nei casi incui hanno valore di firma, integra e sostitui-sce l’apposizione di sigilli, punzoni, timbri,contrassegni e marchi di qualsiasi genere.
COME FUNZIONA LA PROCEDURA
Uso della chiave privataIl programma di firma, per firmare un docu-mento, esegue per prima cosa la funzione dihash, cioè, tramite un apposito algoritmo,ottiene dal documento stesso un codice uni-voco detto impronta o hash: una seppur mi-nima modifica del documento produrrebbeun’impronta completamente diversa e nonè possibile il processo inverso, cioè dall’im-
IN
NO
VA
ZI
ON
ED
IG
IT
AL
EI
NN
OV
AZ
IO
NE
DI
GI
TA
LE
LA FIRMA DIGITALE
54
Documento cartaceo con firma autografa
La provenienza è garantita dalla firma autografa
L’integrità è garantita dal supporto cartaceo (assenza di cancellazioni o abrasioni)
Vale per tutta la vita del supporto cartaceo
Il documento originale è sempre distinto dalla copia
Documento informatico con firma digitale
La provenienza e l’integrità sono garantite dalla firma digitale
Ha valore solo fino alla scadenza del certificato della chiave pubblica (a meno che non si utilizzi una marca
temporale o altro accorgimento idoneo)
Non esiste il concetto di copia: il documento informatico(“file”) con firma digitale è sempre un originale e può essere duplicato in un numero indefinito
di file indistinguibili gli uni dagli altri
FIGURA 2 - DIFFERENZE TRA FIRMA AUTOGRAFA E FIRMA DIGITALE
pronta risalire al documento che l’ha origi-nato. Il programma di firma a questo puntocifra con la chiave privata del firmatario ilcodice impronta ottenuto: questa è la firmadigitale del documento. Nel documento spe-dito al destinatario verrà quindi inclusa lafirma ed il certificato del mittente, che com-prende la sua chiave pubblica.Analogamente ad una firma autografa ma-nuale, la firma digitale è univoca, non puònon appartenere al firmatario, essendo pro-dotta dal suo codice privato, che solo luipuò usare. Anche se prodotta dalla stessachiave privata, ogni firma digitale è diver-sa, perché deriva da un’impronta diversa,ottenuta dal processo di calcolo (hash) ef-fettuato sul singolo documento.
Uso della chiave pubblicaIl destinatario del documento firmato ri-ceve insieme al documento stesso la suafirma ed il certificato del mittente con lasua chiave pubblica; il programma di ve-rifica ricalcola l’impronta del documen-to, confronta quella calcolata con quellaricevuta, decifrata con la chiave pubblicadel mittente: se sono uguali il documentoè convalidato.Da quanto esposto è evidente che la fun-zione della firma digitale non è più quel-la di rendere il testo comprensibile soloal destinatario (la chiave pubblica è ac-cessibile a tutti!), bensì quella di verifi-carne la provenienza dal titolare dellachiave privata (Figura 3).
Per tale motivo, anziché cifrare l’intero docu-mento, è possibile utilizzare l’impronta deldocumento: una sorta di “riassunto” costruitoin modo da risultare diverso anche a seguitodi variazioni in uno solo dei caratteri digitatinel documento di partenza, ma molto più leg-gero e veloce da cifrare e de-cifrare.
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
LA FIRMA DIGITALE
76
È importante sottolineare, ancora una volta, quantosegue:• Ogni coppia di chiavi è unica.• Non è possibile ricavare la chiave privata dalla corrispon-
dente chiave pubblica.• Solo ogni chiave della coppia consente di sbloccare il codi-
ce dell’altra, cioè di effettuare l’operazione inversa a quel-la ottenuta con l’altra.
Verifica dell’ID del mittenteDurante la fase descritta sopra, effettuatadurante un collegamento Internet, l’appli-cazione si connette automaticamente allaAutorità di Certificazione e verifica che ilcertificato del mittente non sia scaduto, re-vocato, bloccato (Figura 4).
Marca TemporaleUn altro dei fattori che fanno sicura ed af-fidabile la firma digitale è la marca tempo-rale. Una marca temporale digitale associaora e data ad un documento elettronico.Nell’ambiente digitale è importante asse-gnare una data certa ad un documento permostrare quando è stato scritto e firmato(pensate ad esempio la partecipazione a ga-re e concorsi). La marca temporale conva-
FIGURA 3 - LA CRITTOGRAFIA ASIMMETRICA
chiave privata(segreta e detenuta solo dal titolare)
?????????????????????????????????...1024 bits
011010110101101011010101...1024 bits
chiave pubblica(nota e accessibile a tutti)
Ogni utente dispone di una coppia di chiavi
FIGURA 4 - COPPIA DI CHIAVI E CERTIFICATO DIGITALE
Chiave Pubblica
Chiave Privata
SIT-0000000000000000000A00
DISPOSITIVO DI FIRMA DIGITALE
Certificato digitale di Sottoscrizione
Registro dei Certificati
ENTE CERTIFICATORE
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
I sistemi di firma digitale, diper sé, non garantirebbero inalcun modo la reale prove-nienza del messaggio dallapersona che asserisce di es-serne l’autore: chiunque, inteoria, potrebbe generareuna coppia di chiavi ed as-sociarla al nome di un’altrapersona anziché al proprio.D’altronde, la possibilità diverificare integrità e paterni-tà di un documento è subor-dinata al fatto che una delle due chiavi ven-ga resa pubblica.Il Legislatore ha, quindi, introdotto la figu-ra del Certificatore, che ha proprio il com-pito di accertare l’identità personale del ri-chiedente e di aggiornare apposite liste deicertificati emessi e di quelli sospesi o revo-cati, cosicché:• chi abbia firmato un messaggio con una
chiave non sospesa né revocata non pos-sa in alcun modo disconoscerne il con-tenuto e la paternità;
• chiunque riceva un documento con firmadigitale possa verificare l’identità del firma-tario e la validità del relativo certificato.
L’identificazione certa del titolare della firmadigitale è la fase più delicata, perché se unsoggetto riesce a farsi passare per un altro tut-
lida il documento, anche certificando chel’ID del suo firmatario era valido al mo-mento della firma. L’uso della marca tem-porale non tocca il contenuto del docu-mento, né modifica la sua firma.
IL RUOLO DEL CERTIFICATORE
Un utente, perché possa firmare e, quindi,essere identificato, deve avere una suaidentità elettronica. Una identità elettroni-ca, o ID, è composta, in ambiente PKI, daun certificato elettronico e dalle due chiavidi cifratura (pubblica e privata). Il certifica-to è un documento digitale, contenente tral’altro i dati anagrafici dell’individuo, fir-mato dalla Autorità di Certificazione (CA)che è l’entità garante che assegna l’identitàelettronica (certificati e chiavi).Un ID può assumere diverse forme, datoche chiavi e certificati possono essere regi-strati in diversi supporti:• Un file di dati (software)• Un dispositivo hw (token)Esempi di token sono le smartcard (in for-ma di carta di credito); le SIM card (i chipusati nei telefonini GSM), i token USB (lechiavette dotate di chip direttamente inse-ribili in una porta USB).La legge italiana e quella europea (Diretti-ve sulla Firma Elettronica) impongono diutilizzare dispositivi sicuri, cioè un token,per registrarvi l’ID atto a generare una fir-ma digitale.Per ottenere un ID ci si deve recare pres-so un ente delegato da una Autorità di
Certificazione (CA) per ottenere il suo di -spositivo di firma; la CA si accerta dellaidentità del richiedente e, quindi, rilasciail dispositivo, personalizzato con il suocertificato e chiavi. Coloro che intendono dotarsi di quanto ne-cessario per poter sottoscrivere, con firmadigitale, documenti informatici possono ri-volgersi ad uno dei soggetti autorizzati: iCertificatori.
IN
NO
VA
ZI
ON
ED
IG
IT
AL
EI
NN
OV
AZ
IO
NE
DI
GI
TA
LE
LA FIRMA DIGITALE
98
COME OTTENERLA
Qualunque persona fisica dotata di capaci-tà giuridica può richiedere la firma digitalead uno dei Certificatori accreditati iscrittinell’elenco dell’AIPA (www.aipa.it).Generalmente, l’iter per il rilascio segue iseguenti passi:1. Il soggetto interessato sceglie il Certi-
ficatore al quale presentare richiesta(le P.A. che aderiscono alla RUPA/RU-PAR possono rivolgersi al Centro Te -cnico per la RUPA per ottenere gratui-tamente il kit di firma).
2. Il Certificatore accerta l’identità del ri-chiedente (che deve recarsi di personapresso il punto di registrazione indicato-gli) e fornisce il kit contenente:• Smart Card (supporto simile a una carta
di credito, in cui si conservano la chiaveprivata e copia del certificato digitalecontenente la chiave pubblica);
• Lettore di Smart Card (da collegare alPC per procedere all’apposizione del-la firma su di un file);
• Software per l’apposizione della firma(da istallare sul PC).
3. Il Certificatore provvede a pubblicare ilcertificato nell’apposito registro consul-tabile su Internet.
4. Il richiedente collega il lettore di SmartCard al proprio Personal Computer, at-traverso l’apposita porta USB o seriale(per i PC portatili, anche PCMCIA), in-stalla il software sul PC, inserisce laSmart Card nel lettore (digitando il codi-
ce PIN) ed esegue i comandi suggeritidal software per procedere all’apposizio-ne della firma.
In prossimità della scadenza (o a seguitodi eventi particolari), il titolare dovrà ri-chiedere un nuovo certificato.Su richiesta, e con il consenso di eventualiterzi interessati, nel certificato è possibilespecificare anche la sussistenza di poteri dirappresentanza o di altri titoli relativi all’at-tività professionale o a cariche rivestite.
ALTRI TIPI DI FIRMA ELETTRONICA
Nel 1999, la Direttiva CE n. 93 “Relativaad un quadro comunitario per le firme elet-troniche” ha introdotto la distinzione tra di-verse tipologie di firma elettronica.In base a tale distinzione, recepita con D.Lgs.10/2002 e DPR 137/2003, la cosiddetta “fir-ma digitale” disciplinata dai precedenti attinormativi rappresenta la versione più evolu-
LA FIRMA DIGITALE
1110
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
ti i successivi passaggi sono viziati dall’in-ganno iniziale: per tale motivo, chi richiedeil rilascio della firma digitale deve recarsi dipersona presso uno dei punti di registrazio-ne del Certificatore con un documento di
identità valido. Inoltre, il Legislatore richiedeai Certificatori accreditati (Figura 5), oltre aglistessi requisiti previsti per l’esercizio dell’at-tività bancaria, il rispetto di ulteriori condi-zioni atte a dimostrare la loro affidabilità.
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
I Certificatori accreditati sono iscritti in un apposito elenco,consultabile sul sito Internet dell’AIPA - Autorità per l’infor-matica nella Pubblica Amministrazione:S.I.A. S.p.A. (dal 27/01/2000) (cessata attività dal 01/01/2003 - certificatore sostitutivoActalis) SSB S.p.A. (dal 24/02/2000) (cessata attività dal 01/01/2003 - certificatore sostitutivoActalis) BNL Multiservizi S.p.A. (dal 30/03/2000)(cessata attività dal 30/11/2003 - certificatore sostitutivoActalis) Infocamere SC.p.A. (dal 06/04/2000) Finital S.p.A. (dal 13/04/2000)(cessata attività dal 31/12/2003 - certificatore sostitutivo:nessuno) Saritel S.p.A. (dal 20/04/2000) (società fusa per incorporazione nella I.T. Telecom S.p.A.) Postecom S.p.A. (dal 20/04/2000) Seceti S.p.A. (dal 06/07/2000)(cessata attività dal 31/07/2003 - certificatore sostitutivo Actalis) Centro Tecnico per la RUPA (dal 15/03/2001 - confluitonel CNIPA in data 01/01/2004) In.Te.S.A. S.p.A. (dal 22/03/2001) ENEL.IT S.p.A. (dal 17/05/2001) (cessata attività dal 31/12/2004 - certificatore sostitutivo:nessuno)
Trust Italia S.p.A. (dal 07/06/2001) Cedacrinord S.p.A. (dal 15/11/2001 - ora CedacriS.p.A.) Cedacri S.p.A. (dal 15/11/2001 - Nuova denominazio-ne sociale della Cedacrinord S.p.A.) Actalis S.p.A. (dal 28/03/2002) Consiglio Nazionale del Notariato (dal 12/09/2002) I.T. Telecom S.p.A. (dal 06/02/2003 - già Saritel S.p.A.) (cessata attività dal 31/12/2004 - certificatore sostitutivoI.T. Telecom S.r.l.) Comando C4 - IEW (dal 10/04/2003 - Nuova denomi-nazione Comando Trasmissioni e Informazioni Esercito) Consiglio Nazionale Forense (dal 11/12/2003) SOGEI S.p.A. (dal 26/02/2004) Sanpaolo IMI S.p.A. (dal 08/04/2004) Banca Monte dei Paschi di Siena S.p.A. (dal03/08/2004) Lombardia Integrata S.p.A. (dal 17/08/2004) Banca Intesa S.p.A. (dal 09/09/2004) Banca di Roma S.p.A. (dal 09/09/2004) CNIPA (dal 15/03/2001) I.T. Telecom S.r.l. (dal 13/01/2005) Comando Trasmissioni e Informazioni Esercito (dal10/04/2003 - già Comando C4 - IEW) Consorzio Certicomm (dal 23/06/2005) Comando C4 Difesa - Stato Maggiore della Difesa(dal 21/09/2006)
FIGURA 5 - CERTIFICATORI ACCREDITATI
ta, l’unica tipologia di firma elettronica idoneaad essere utilizzata per l’invio telematico allaPubblica Amministrazione di istanze e di-chiarazioni. Parallelamente, nei documentiinformatici delle Pubbliche Amministrazionila firma autografa è sostituita unicamente dal-la firma digitale. Di seguito si riporta un qua-dro sintetico (Figura 6) dei diversi tipi di fir-ma elettronica previsti, nel quale la firma di-
gitale si configura come un particolare tipodi firma elettronica qualificata con certificatorilasciato da Certificatore accreditato.
ALCUNI ESEMPI D’USO DELLA FIRMA DIGITALE
E-mail e comunicazioni sicureQuante e-mail escono dalla vostra azien-
da giornalmente, spedite da voi e dai vo-stri colleghi? Siete sicuri che le informa-zioni scambiate non arrivino sul tavolo diconcorrenti poco scrupolosi? Le e-mailfirmate possono essere cifrate, leggibili,quindi, solo dal giusto destinatario.
Accesso sicuro ai sistemi informativiNormalmente usiamo nome e passwordper accedere ai vari moduli dei nostri si-stemi informativi aziendali, locali o remo-ti che siano. Volete controllarne l’acces-so? Volete sapere chi ha utilizzato certiprogrammi? È un collaboratore autorizza-to o qualche altro? È un’azienda partnero un concorrente? Vi serve una identifica-zione elettronica se volete controllarel’accesso alle informazioni aziendali, se-lezionandolo secondo livelli di autorizza-zione.
Commercio elettronico e pagamen-ti sicuriTroppo spesso non siamo sicuri del-l’identità di un cliente. Spediamomerce, iniziamo processi di produ-
zione basandoci su ordini ricevuti elettro-nicamente (e i fax non sono più sicuri). Mal’ordine è reale? Ce lo pagheranno? Nonverrà disconosciuto? Un ordine firmato di-gitalmente non è stato modificato da alcu-no, è sicuramente di quel cliente che nonpotrà in alcun modo ripudiarlo.
CASI REALI
Registro delle ImpreseIl 9 dicembre 2002 è entrato in vigore l’art.31 secondo comma, della legge n.340/2000 che, in poche righe, introduceuna vera e propria rivoluzione e un nuovomodo di concepire, organizzare e gestiredocumenti informatici con piena validità le-gale. Le imprese, le associazioni di catego-ria, i professionisti, devono utilizzare la fir-ma digitale come unico strumento per“comporre la pratica societaria” da inviareall’ufficio del Registro delle Imprese tenutopresso le Camere di Commercio.
Home BankingMolte banche, per rendere disponibili aipropri clienti l’accesso a servizi remoti,consegnano agli stessi ID in smartcard o di-schetti, necessari per entrare nella banca
IN
NO
VA
ZI
ON
ED
IG
IT
AL
EI
NN
OV
AZ
IO
NE
DI
GI
TA
LE
LA FIRMA DIGITALE
12
Tipo di firma
ELETTRONICA
ELETTRONICA AVANZATA
ELETTRONICAQUALIFICATA
DIGITALE
Descrizione
Dati elettronici, allegati o connessi a documentiinformatici, utilizzati
come metodo di autenticazione.
Firma elettronica chegarantisce anche l’integrità
del documento e creata con mezzi sui quali il
firmatario può conservareun controllo esclusivo.
Firma elettronica avanzatacreata mediante un
dispositivo sicuro, concertificato rilasciato da
Certificatore qualificato.
Firma elettronicaqualificata con certificatorilasciato da Certificatore
accreditato.
Requisiti del Certificatore
I legali rappresentanti e i soggetti preposti
all’amministrazione devono possedere i requisiti di onorabilità ex T.U.
sull’attività bancaria e creditizia.L’attività è libera e non necessita
di autorizzazione preventiva.
Come sopra, più altri requisiti diaffidabilità (organizzativa, tecnica,
finanziaria, dei sistemi utilizzati,…). È richiesta una comunicazione di inizio
attività al M.I.T.
Come sopra, più forma di società dicapitali e capitale sociale non inferiore aquello necessario per l’attività bancaria.
È richiesto l’accreditamento presso il M.I.T.e l’iscrizione in apposito elenco pubblico.
Funzionedei certificati
Collegano la firmaelettronica al titolare
e ne confermano l’identità.
Contengono i datiprevisti dalla
normativa, firmatidigitalmente dal
Certificatore che li harilasciati. L’emissione,revoca e sospensione
sono oggetto dipubblicazione.
Effetti
Sul piano probatorio, i documenti
con tale firma sono liberamentevalutabili in base
alle loro caratteristiche di qualità
e sicurezza.
Sul piano probatorio, i documenti
con tale firma fannopiena prova
di autenticità fino a querela di falso.
FIGURA 6 - TIPI DI FIRMA ELETTRONICA
online. Alcune banche o gruppi bancari ap-paiono tra i certificatori accreditati, presen-ti nella lista AIPA.
E-mail sicureÈ ormai pratica corrente scambiare docu-menti cifrati e firmati tra diverse aziendeo tra diversi operatori nell’ambito dellastessa azienda. Gli usuali prodotti dispo-nibili nel mercato permettono oggi di fir-mare e cifrare e-mail e allegati, utilizzan-do dispositivi di firma digitale forte o di
firme elettroniche. Inoltre sono disponibi-li, spesso gratuitamente, applicazioni difirma digitale distribuite da alcune CA odacquistabili per pochi euro in Internet opresso i negozi specializzati. Esistono an-che programmi più completi che peresempio filtrano tutte le e-mail che pas-sano attraverso un server di posta azien-dale, eventualmente respingendo e-mailnon firmate ed automaticamente cifrandoe decifrando quelle destinate a certi indi-rizzi.
RIFERIMENTI NORMATIVI
L.59/1997 (L. Bassanini)Delega al Governo per il conferimento difunzioni e compiti alle regioni ed enti lo-cali, per la riforma della Pubblica Ammini-strazione e per la semplificazione ammini-strativa. In previsione della realizzazionedella RUPA (Rete Unitaria della PubblicaAmministrazione) e dello scambio di datiche questa consentirà tra Uffici pubblici, etra questi e i cittadini, ha sancito che:Art.15, comma 2 - “Gli atti, dati e docu-menti formati dalla Pubblica Amministra-zione e dai privati con strumenti informati-ci o telematici, i contratti stipulati nelle me-desime forme, nonché la loro archiviazio-ne e trasmissione con strumenti informati-ci, sono validi e rilevanti a tutti gli effetti dilegge. (…)”
DPCM 8/2/1999 Regole tecniche per la formazione, la tra-smissione, la conservazione, la duplicazio-ne, la riproduzione e la validazione, anchetemporale, dei documenti informatici.
CE 93/1999 Direttiva CE relativa ad un quadro comuni-tario per le firme elettroniche.Introduce la distinzione tra diverse tipo-logie di firma elettronica, in base allaquale la firma “digitale”, di cui ai prece-denti atti normativi, si configura come laversione più evoluta (firma elettronicaqualificata con certificato rilasciato daCertificatore accreditato).
DPR 445/2000 Testo Unico delle disposizioni legislativee regolamentari in materia di documenta-
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
LA FIRMA DIGITALE
1514
LIK TID IIFMR AIDIGATELE D IOCTSieP ropet regenarerf riemd gitila i èenecssraoie ssre eodatitd inud siopisitovs ciru oep ralg nerezaoiend leelf riem( octstiiuotdanu amsractra d oadu notek nSU)B ,nul teoterd imsractra dn(lec sa onic iun nos itulizizi il token USB), un software in grado diinteragire con il dispositivo per la generazione di firme digitali e per la gestione del dispositivo stesso (es. per il cambio del PINche ne consente l’uso).I costi del kit completo è variabile da certificatore a certificatore; a titolo orientativo è comunque possibile ottenere il kit comple-to ad un prezzo di circa 100€. Il certificato ha una scadenza e deve essere, quindi, rinnovato periodicamente. In genere, hannouna validità di uno o due anni, il rinnovo ha un costo orientativo di 10/15 € per anno. È bene evidenziare che tutti i certifica-tori prevedono delle condizioni economiche specifiche per forniture di particolare rilievo.
Le impreseQuando un’impresa decide di dotare un numero considerevole dei propri dipendenti del kit di firma digitale, contatta ivari certificatori per scegliere, sulla base del numero dei kit necessari, del costo complessivo dell’operazione e dei servi-zi accessori offerti, quello che meglio soddisfa le proprie esigenze. Inoltre, è piuttosto frequente che vi siano accordi alfine di demandare all’impresa stessa l’attività di registrazione e di verifica dell’identità del titolare del certificato. Que-sta pratica viene spesso utilizzata in quanto comporta diversi benefici per tutti i soggetti coinvolti (dipendente, impresae certificatore). Il dipendente non deve recarsi fisicamente presso l’autorità di registrazione del certificatore, l’impresaha un risparmio notevole in termini di ore lavoro spese dai dipendenti per recarsi presso il certificatore, oltre al control-lo diretto dei certificati emessi per i propri dipendenti con procedure snelle e rapide che consentono di richiedere sospen-sioni e revoche dei certificati stessi. Il certificatore trae vantaggio dal fatto che non deve impegnare risorse umane per ilriconoscimento dei titolari, la verifica dei titoli e di eventuali incarichi o ruoli svolti per l’impresa richiedente.
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
zione amministrativa. Ha stabilito che,per le istanze e le dichiarazioni inviateper via telematica alla Pubblica Ammini-strazione, dovrà essere utilizzata la firmadigitale (non, quindi, una qualsiasi firmaelettronica) e che nei documenti informa-tici delle Pubbliche Amministrazioni lafirma autografa è sostituita unicamentedalla firma digitale.Art.25, comma 1: “In tutti i documenti in-formatici delle pubbliche amministrazio-ni la firma autografa o la firma, comun-que prevista, è sostituita dalla firma digi-tale (…).”Art.38, comma 1: “ Tutte le istanze e ledichiarazioni da presentare alla PubblicaAmministrazione o ai gestori o esercentidi pubblici servizi possono essere inviate
anche per fax e via tele-matica.”Comma 2: “Le istanze ele dichiarazioni inviateper via telematica sonovalide se sottoscritte me-diante la firma digitale(…).”
D.Lgs. 10/2002 Recepimento della Diret-tiva 1999/93/CE sulla fir-ma elettronica.
DPR 137/2003 Regolamento recante di -sposizioni di coordina-mento in materia di firme
elettroniche a norma dell’articolo 13 deldecreto legislativo 23 gennaio 2002, n. 10.Hanno modificato ed integrato il T.U. as-sicurando, tra l’altro, una speciale effica-cia probatoria al documento informaticosottoscritto con firma digitale o con un al-tro tipo di firma elettronica avanzata.
DPR 445/2000, Art.10, comma 3 – “Il do-cumento informatico, quando è sottoscrit-to con firma digitale o con un altro tipodi firma elettronica avanzata, e la firma èbasata su di un certificato qualificato edè generata mediante un dispositivo per lacreazione di una firma sicura, fa inoltrepiena prova, fino a querela di falso, dellaprovenienza delle dichiarazioni da chi l’ha sottoscritto.”
16
IN
NO
VA
ZI
ON
ED
IG
IT
AL
E
