Stampa

Firma digitale

Firma elettronica, elettronica avanzata e digitale: vediamo quali sono le differenze e come si possono apporre a un documento elettronico.

giugno 2004 Dal 1997, anno in cui, grazie alla legge Bassanini, viene sancita la validità giuridica dei documenti elettronici, è stata fatta molta strada nella diffusione dell’utilizzo della firma digitale.

Lo scorso marzo, infatti, il Ministro per l’Innovazione e le Tecnologie Lucio Stanca ha rese note le cifre: oltre 1.250.000 card rilasciate dai 13 enti certificatori, ai quali peraltro se ne dovrebbero aggiungere a breve altri cinque.

Una spinta decisiva alla diffusione è stato certamente l’obbligo per le imprese, in vigore dal luglio dello scorso anno, di inviare gli atti societari al Registro delle Imprese esclusivamente per via telematica, la qual cosa implica che le aziende dispongano della smart card per apporre la firma digitale.

Di pari passo sta procedendo la diffusione anche all’interno della stessa pubblica amministrazione centrale, visto che i dirigenti e i funzionari con potere di firma sono stati dotati di smart card.

E oltre alla PA e agli imprenditori, i notai, gli avvocati. l’arma dei carabinieri, il ministero dell’Economia e delle Finanze e il ministero di Grazia e Giustizia sono tra i soggetti che attualmente ne trainano la diffusione. Ma a cosa serve la firma digitale e come funziona?

Gli aspetti giuridici

Partiamo dalla legge: secondo l’articolo 15 della Legge n.59/97 “gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonchè la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”, vale a dire che un documento siglato con firma digitale ha lo stesso valore di quello dotato di firma autografa. Nel 1997 era prevista per legge un solo tipo di firma digitale.

Attualmente, a seguito del recepimento di una direttiva europea in materia, vengono contemplate tre tipologie di firma: la firma elettronica, la firma elettronica avanzata e la firma digitale. Vediamole nello specifico.

La firma elettronica è lo strumento di autenticazione di dati elettronici: può essere realizzata con qualsiasi strumento (password, PIN, digitalizzazione della firma autografa, tecniche biometriche e così via).

La firma elettronica avanzata è ottenuta attraverso una procedura informatica (crittografia) che garantisce la connessione univoca al firmatario e la sua univoca identificazione. I sistemi informatici utilizzati permettono al firmatario di verificare se è avvenuta una qualsiasi modifica dei dati.

E arriviamo alla firma digitale propriamente detta (definita dall’articolo 1 del DPR 445/00) che è il risultato di una procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e l’altra privata, che consente al sottoscrittore, tramite la chiave privata, e al destinatario, tramite la chiave pubblica, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico.

Il sistema di chiavi asimmetriche è certificato da un ente certificatore (Certification Authority, CA), che può essere accreditato o non accreditato: entrambe le certificazioni, sia quelle rilasciate da un certificatore accreditato, il cui elenco è pubblico ed è tenuto e aggiornato dal CNIPA (Centro Nazionale per l’Informatica nella Pubblica Amministrazione: www.cnipa.gov.it), sia quelle rilasciate da certificatore non accreditato hanno lo stesso valore giuridico.

L’unica differenza è che la Pubblica Amministrazione accetta solo documenti digitali muniti di firma rilasciata da una CA certificata.

I certificatori accreditati sono quelli che hanno superato l’istruttoria di accreditamento e sono abilitati ad operare come “terzi di fiducia”, ossia come coloro che ufficialmente possono associare l’identità di una persona (il titolare della firma elettronica) ad una struttura dati riconosciuta da tutti (il certificato digitale di firma) e rendere tale informazione disponibile pubblicamente con tecnologia a prova di frode (infrastruttura a chiave pubblica PKI).

I certificatori non accreditati, per esercitare non hanno bisogno di certificazione preventiva ma sono soggetti alla vigilanza del CNIPA.

Fino a questo punto ci siamo soffermati solo sugli aspetti prettamente giuridici. Ma per comprendere pienamente il processo è importante analizzare anche gli aspetti tecnologici.

La tecnologia in campo

Come abbiamo già affermato, lo strumento tecnologico utilizzato per disporre di una firma digitale è la crittografia, cioè un processo che altera il contenuto originario e leggibile di un testo attraverso l'applicazione di algoritmi che trasformano il contenuto leggibile in un contenuto non leggibile o interpretabile, senza l'utilizzo di strumenti idonei, cioè la conoscenza della chiave di cifratura.

La cifratura può essere di due tipi: simmetrica o a chiave privata e asimmetrica, o a chiave pubblica. Il primo caso prevede di utilizzare una chiave nota solo al mittente e al destinatario. Il secondo caso prevede l'utilizzo di una coppia di chiavi: quella privata, nota solo all'autore del messaggio, e quella pubblica, nota a tutti.

Il processo di crittografia asimmetrica garantisce che il messaggio cifrato con la chiave privata può essere messo in chiaro soltanto attraverso l'utilizzo della chiave pubblica.

Inoltre, da una tipologia di chiave (ad esempio pubblica) non si può risalire in alcun modo all'altra chiave (quella privata).

L'algoritmo più diffuso è l'RSA (Rivest-Shamir e Adleman) che si basa su una lacuna computazionale: non esiste un sistema veloce per scomporre in fattori primi numeri molto grandi (stiamo parlando di centinaia di cifre).

Gli standard di riferimento per la crittografia sono emessi dall'RSA laboratories (www.rsasecurity.com/rsalabs/pkcs) ed iniziano tutti con il prefisso PKCS. Attualmente ne esistono 15 e vengono numerati: PKCS#1, PKCS#2... e via di seguito fino al numero 15.

La cifratura

Vediamo come avviene la cifratura. Il processo di cifratura, applicato a qualsiasi “stringa di caratteri”, cioè qualsiasi documento anche molto esteso, restituisce una “stringa” di valori binari di lunghezza fissa (128 o 160 bit) chiamato hash (impronta).

Quando avviene la firma del documento, viene crittografato l'hash del documento attraverso la chiave privata del mittente. Viene generata l'associazione documento-firma-certificato emesso dalla CA e si produce la busta elettronica (envelope PKCS#7).

Il destinatario riceve la busta elettronica, separa il documento in chiaro dalla firma e calcola l'hash (con lo stesso algoritmo del mittente) e ottiene il suo hash del documento.

Attraverso la chiave pubblica del mittente estrae l'hash generato dal mittente. Confronta le due impronte del documento e se queste risultano identiche, il messaggio si deve ritenere integro.

Wednesday the 13th. Joomla Templates Free.

©

Copyright© 1997-2014 Sartoretto S.a.s.- Via S. Antonino, 209 - 31100 TREVISO - Tel.: 0422.321610 – Fax: 0422.325036
- P.I. 03738100266 - Iscrizione al Registro delle Imprese REA TV–332732