GCT - Firma digitale

Smart-card per la firma digitale:
entro il 30 giugno 2011 vanno sostituiti i dispositivi con numero di serie 1202

La deliberazione CNIPA 45/2009 ha modificato la normativa relativa alla firma digitale, con la conseguenza che entro il 30 giugno 2011 dovranno essere sostituite le smart-card con numero di serie 1202 in quanto non più in grado di supportare i nuovi algoritmi (l'originaria scadenza del 3 settembre 2010 è stata prorogata al 30 giugno 2011 con determinazione DigitPA n. 69 del 28 luglio 2010).

La modifica riguarda appunto l'utilizzo di nuovi algoritmi matematici e di nuovi formati dei dati, allo scopo di elevare il livello di sicurezza: il vecchio algoritmo SHA-1, considerato poco sicuro, sarà sostituito dallo SHA-256; la cifratura verrà effettuata con algoritmo RSA e chiave a 1024 e il tutto verrà ricomposto nel formato CAdES (CMS Advanced Electronic Signature), ritenuto indispensabile per rispettare le norme europee sulla firma digitale.

Le nuove funzioni sono supportate da tutte le smart-card e Business Key, con l'eccezione delle smart-card con numero di serie (riportato sulla card stessa) che inizia con 1202. I possessori di queste carte dovranno rivolgersi agli Uffici di Registrazione per richiedere un nuovo dispositivo smart-card o Business Key.

È previsto, inoltre, anche l'aggiornamento dei software per l'utilizzo della firma digitale.

Per maggiori informazioni rimandiamo ai siti www.digitpa.gov.it/firma-digitale e www.firma.infocert.it/utilita/novita.php.

Teoria e pratica

Le modifiche introdotte dal D.Lgs. 10/2002

Siti segnalati

Denunce al Registro delle Imprese

Teoria e pratica

Con l'approvazione del D.Lgs. 10/2002, il quadro normativo sulla firma digitale subisce sostanziali modifiche: in estrema sintesi, la "firma digitale" viene affiancata da una firma denominata "elettronica" o "debole", caratterizzata da minori garanzie tecnico-procedurali per quanto riguarda identificazione del sottoscrittore e autenticità del documento sottoscritto. Si ritiene comunque di poter sostanzialmente confermare quanto di seguito illustrato sulla firma digitale; segue quindi l'analisi del decreto 10/2002

L'impatto della firma digitale nell'attività aziendale - ma anche in quella dei privati - è potenzialmente di grande portata: alla firma digitale applicata a un documento informatico viene infatti riconosciuta, per legge, una funzione equivalente alla tradizionale firma su carta con la conseguenza che è reso possibile, per esempio, inviare comunicazioni ufficiali alle pubbliche amministrazioni, intrattenere rapporti contrattuali via telematica con piena validità legale, autorizzare l'accesso a siti Internet o sistemi informatici.

Ma cos'è, in concreto la firma digitale? Come si utilizza? Con buona approssimazione, il procedimento avviene mediante l'uso di una smart-card personale (un tesserino tipo bancomat) che - con l'ausilio di un lettore collegato al computer e di un software - appone un codice sotto forma di stringa di caratteri (ciò che propriamente costituisce la "firma digitale") a un documento informatico, come per esempio una lettera o un contratto ma anche, più in generale, qualsiasi tipo di file (messaggi di posta elettronica, immagini, dati, ecc.).

Per la validità della firma digitale la normativa italiana prevede il metodo della crittografia a chiavi asimmetriche, che consiste nell'utilizzo di una coppia di chiavi fra loro univocamente correlate:

una privata, memorizzata sulla smart-card e quindi a disposizione del solo titolare, utilizzabile per maggiore sicurezza soltanto conoscendo il codice segreto di protezione (pin);

una pubblica, conoscibile da chiunque;

le due chiavi sono inoltre criptate in modo da rendere impossibile dedurre, da un elemento della coppia, quello corrispondente.

Il sistema della doppia chiave consente sia la firma di documenti (al fine dell'accertamento dell'autenticità) sia la loro cifratura (cioè la non leggibilità da parte di soggetti non autorizzati - cosiddetta confidenzialità). Esaminiamo le due ipotesi premettendo che, in concreto, i procedimenti illustrati vengono svolti pressoché automaticamente da specifici programmi software.

L'apposizione della firma al fine di consentire l'accertamento dell'autenticità del documento informatico avviene in due fasi:

con la propria smart-card, il soggetto che sottoscrive appone al documento la firma digitale utilizzando il primo elemento della coppia di chiavi, quella privata;

attraverso la chiave pubblica, chiunque può verificare l'esatta corrispondenza con la chiave privata e quindi ottenere la validazione del documento.

Quando le due chiavi combaciano si ha infatti la certezza che la firma digitale è stata generata con quella chiave privata, nonché del fatto che i dati originari non sono stati alterati in quanto ogni eventuale modifica rende automaticamente invalida la firma.

L'altro utilizzo tipico della firma digitale è invece finalizzato alla "confidenzialità", cioè alla cifratura di documenti per impedirne la lettura da parte di soggetti non autorizzati; avviene con un procedimento leggermente diverso:

il soggetto che produce il documento vi appone la cifratura utilizzando la chiave pubblica del destinatario;

solo il destinatario, di conseguenza, in quanto in possesso della chiave privata può decifrare il documento riportandolo "in chiaro".

L'espressione "apposizione della firma utilizzando la chiave" privata o pubblica richiede una spiegazione. Come già anticipato, ciò che il software applica al documento informatico e che chiamiamo firma digitale è in realtà un codice (una stringa di caratteri) che, anche se generato con la stessa chiave, è diverso per ogni documento in quanto è il risultato di un'operazione effettuata su uno specifico file; ovviamente, però, in fase di validazione il codice-firma è sempre ricollegabile all'unica chiave che lo ha generato.

La firma digitale è quindi un elemento sostanzialmente diverso da altre firme realizzate con strumenti informatici e definite più genericamente "firme elettroniche", come per esempio la scannerizzazione di tradizionali firme su carta.

Il quadro tecnico-normativo della firma digitale si completa infine con l'elemento delle strutture abilitate al rilascio delle smart-card: si tratta degli enti certificatori - ufficialmente riconosciuti da DigitPA che svolgono anche altre essenziali funzioni.

Gli enti certificatori verificano e attestano, con un certificato digitale, l'identità del titolare di una determinata chiave pubblica (e quindi della chiave privata corrispondente).

La procedura di apposizione di firma digitale come sopra descritta lascia infatti aperto il problema di collegare in modo certo e univoco un documento informatico alla persona fisica che l'ha sottoscritto; la questione si risolve con l'intervento degli enti certificatori, mediante il rilascio di un certificato digitale che accompagna sempre ogni firma digitale e indica il nome del titolare della smart-card.

Più nel dettaglio, il certificato digitale è un documento informatico che garantisce la corrispondenza tra il titolare e la sua chiave pubblica. Nel certificato è riportato, tra l'altro, nome e cognome del titolare, chiave pubblica, data di scadenza e nome del certificatore che lo ha rilasciato; l'integrità è garantita dalla firma digitale del certificatore.

Altre essenziali funzioni degli enti certificatori sono la pubblicazione dei certificati e delle chiavi pubbliche - normalmente su rete in modo da consentire la validazione delle firme digitali - e tutto quanto si lega agli stessi certificati e chiavi: generazione e cancellazione, termini di scadenza e periodi di validità, gestione delle pratiche per furti o smarrimenti.

Le modifiche introdotte dal D.Lgs. 10/2002

Il quadro normativo relativo alla firma digitale ha subito prime sostanziali modifiche apportate dal D.Lgs. 23 gennaio 2002, n. 10 (GU n. 39 del 15 febbraio) di "Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche".

Per meglio interpretare le innovazioni portate dal decreto, riepiloghiamo la situazione previgente: si riconosceva un'unica ipotesi di firma informatica, definita "firma digitale" e caratterizzata da complesse procedure tecnico-procedurali finalizzate a garantire l'identificazione del sottoscrittore e l'autenticità del documento sottoscritto; solo alla "firma digitale" veniva garantita piena validità giuridica, non inferiore alla tradizionale firma autografa. A tutte le altre firme informatiche (fotografie digitali di documenti cartacei, procedure di identificazione con username/password, ecc.) genericamente definite "firme elettroniche" non era riconosciuta alcuna particolare validità legale.

L'elemento più importante del decreto 10/2002 consiste nella definizione di una nuova tipologia di firma - che viene denominata "firma elettronica" - alla quale, sebbene caratterizzata da minori garanzie rispetto alla firma digitale per quanto riguarda l'identificazione del sottoscrittore e l'autenticità del documento firmato, viene riconosciuto un certo valore legale.

Dopo aver precisato che il coordinamento tra la normativa previgente (in particolare il DPR 445/2000) e il D.Lgs. 10/2002 crea diversi problemi interpretativi, ritorniamo all'esame delle disposizioni dell'ultimo decreto: in sintesi si prevede che alla già esistente firma digitale "forte" o "avanzata" si affianchi una tipologia di firma elettronica "debole" (cioè con un livello di sicurezza inferiore) che comunque garantisce al documento sottoscritto il requisito legale della forma scritta e, inoltre, soddisfa gli obblighi previsti dagli artt. 2214 e seguenti del codice civile (sui libri obbligatori e altre scritture contabili); per quanto riguarda l'efficacia probatoria, il documento con firma "debole" è liberamente valutabile dal giudice.

Resta peraltro confermato dal decreto 10/2002 che "il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto".

Al documento informatico sottoscritto con firma elettronica "in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova unicamente a causa del fatto che è sottoscritto in forma elettronica ovvero in quanto la firma non è basata su di un certificato qualificato oppure non è basata su di un certificato qualificato rilasciato da un certificatore accreditato o, infine, perché la firma non è stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura".

Per quanto attiene poi ai documenti informatici mancanti di firma elettronica - sia debole che forte - si prevede che, riguardo ai fatti ed alle cose rappresentate, abbiano l'efficacia probatoria prevista dall'art. 2712 del codice civile e cioè fino al disconoscimento di conformità ai fatti o alle cose medesime da parte di colui contro il quale sono prodotti.

Segnaliamo infine gli altri principali elementi del D.Lgs. 10/2002.

In correlazione con lo "sdoppiamento" tra firma debole e forte, anche i certificatori possono essere semplici o accreditati, e i certificati a loro volta "certificati elettronici" oppure "certificati qualificati"; l'attività dei certificatori semplici è libera e non necessita di autorizzazione preventiva.

È prevista la sostituzione dell'organo di vigilanza e controllo sui certificatori, non più l'Aipa ma il Dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio.

Per quanto riguarda i rapporti con pubbliche amministrazioni e gestori o esercenti di pubblici servizi, le istanze e le dichiarazioni inviate per via telematica sono considerate valide se sottoscritte mediante la firma digitale o "sicura", ovvero "quando l'autore è identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi".

Alcune disposizioni del decreto ridefiniscono proprio caratteristiche e modalità di rilascio e utilizzo della carta d'identità elettronica, del documento d'identità elettronico e della carta nazionale dei servizi.

Siti segnalati

DigitPA

Infocert

Denunce al Registro delle Imprese

Dal 2003 le domande, le denunce e gli atti presentati al Registro delle Imprese presso le Camere di Commercio devono essere inviate per via telematica ovvero presentate su supporto informatico, sottoscritte con firma digitale.

Per maggiori informazioni consigliamo alle Aziende di rivolgersi direttamente alla Camera di Commercio di competenza (per Milano DigiCamere); per il rilascio del dispositivo di firma digitale ci si può rivolgere anche agli enti certificatori elencati nel sito DigitPA.

	Teoria e pratica
	Le modifiche introdotte dal D.Lgs. 10/2002
	Siti segnalati
	Denunce al Registro delle Imprese