facconti Argomenti trattati
Nel nostro sistema giurisprudenziale, la firma digitale viene definita per la prima volta nel DPR 10 novembre 1997 n. 513 che disciplina la” formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici”.
Firma digitale: regole tecniche
Le regole tecniche per la “ formazione , la trasmissione, la conservazione, la duplicazione, la riproduzione , la validazione temporale dei documenti informatici “ sono descritte nel DPCM 8 febbraio 1999, che, oltre, a definire l’ impronta o “digest “e disciplinarne l’ uso ai fini della generazione della firma digitale , stabilisce quali algoritmi possono essere utilizzati per la generazione e le verifiche delle stesse firme .
Dal punto di vista pratico, cosa significa firmare digitalmente un documento per le pubbliche amministrazioni, ovvero per i dipendenti e per i cittadini? Sino a prova contraria, di solito, la firma apposta in calce ad un documento cartaceo esprime il consenso del firmatario sul contenuto dell’ atto sottoscritto ed attribuisce con certezza la paternità dello stesso all’ autore medesimo.
Nella normale pratica, l’ autenticità della firma apposta ad un documento (dal latino ” docere “ ovvero insegnare, dare una rappresentazione di un fatto giuridico) viene verificata attraverso il confronto con un’ altra firma dello stesso autore , depositata generalmente su un documento certificato da un’ autorità pubblica ( articolo 2699 e 2700 del Codice civile).
Come firmare digitalmente un documento elettronico?
Nel caso di documenti elettronici, per attribuire con certezza la paternità all’ autore, si fa ricorso alla metodologia della doppia chiave o a chiave pubblica. La firma digitale contenuta in una Smart card o in un Token USB è un insieme di bit e si basa su un sistema di crittografia a “chiave doppia”: una pubblica ed una privata. I sistemi di codifica asimmetrici si basano su metodi matematici, che richiedono chiavi diverse per la codifica e per la decodifica di un clear message o di un documento. Ad ogni persona viene assegnata una coppia di chiavi, delle quali una è pubblica, nota a tutti , l’altra è segreta , nota solo all’ interessato.
La coppia di chiavi è unica per ogni persona: caratteristica di univocità, una delle due , quella privata serve per codificare il messaggio, l’altra per decodificarlo. La chiave pubblica consiste in numero estremamente grande, rappresentato in cifre binarie da 1024 bit che risulta essere il prodotto di due numeri primi. L’algoritmo che consentirebbe di risalire alla chiave privata, nota quella pubblica, richiede la conoscenza dei fattori della stessa, ovvero dei suddetti due numeri primi. Non esistono metodi matematici diretti per scomporre la chiave pubblica nei suoi fattori: si può procedere solo per tentativi ma questo richiederebbe, date le dimensioni dei numeri in gioco tempi misurabili in secoli. Risulta praticamente impossibile risalire alla chiave privata nota quella pubblica. Su tale principio si basa l’invulnerabilità dei sistemi di codifica asimmetrici. Nell’ambito degli algoritmi previsti dalle norme, esistono diversi processi informatici per generare le chiavi, codificare e decodificare i messaggi: possono comunicare tra loro senza problemi solo quelle persone che utilizzano lo stesso processo informatico.
La carta ottenuta dall’ autorità di certificazione viene inserita nel lettore. La stessa card ha nel microchip una sorta di “motore crittografico” e genera da sola, automaticamente, le due chiavi, quella privata e quella pubblica. Quella privata resta segreta, all’ interno della carta e quindi tenuta sempre con sé dal firmatario, quella pubblica viene conservata dal certificatore, ente di terza parte ed associata al nome del richiedente ( la nozione di certificato elettronico la rinveniamo nel Codice di amministrazione digitale articolo 1 , comma 1, lettera e) ed articoli dal 26 al 37 del suddetto codice.
Quando il titolare del certificato deve apporre la firma sul documento elettronico (una lettera, un bilancio, un contratto giuridico, un file) inserisce la smart card nel lettore , ed il software ,nel computer, unisce automaticamente il documento alla firma digitale. Il documento, così firmato, viaggia su rete telematica, come una qualsiasi busta elettronica, che contiene anche la chiave pubblica del mittente e l’ identità elettronica dell’ autorità di certificazione.
Per ottenere la doppia chiave occorre recarsi personalmente presso un’ autorità di certificazione , la quale, per essere autorizzata a rilasciare i certificati per la firma digitale , deve avere determinati requisiti sanciti per i soggetti preposti alla direzione , amministrazione e controllo del TUB ( Decreto legislativo del 1993 numero 385) , requisiti di onorabilità e professionalità . Non mancano dubbi relativamente alla certezza dell’identità della persona e della sicurezza dei dati nella comunicazione telematica.
Firma digitale: Riservatezza, autenticità, integrità e certificazione
Riservatezza: Tizio è il mittente di un messaggio e Caio è destinatario. Se Tizio vuole che il suo messaggio venga letto solamente da Caio, lo codifica con la chiave pubblica del destinatario ottenendo una copia protetta del messaggio originale. Caio e solo lui, potrà decodificare questo con la propria chiave privata riottenendo quello originale.
Autenticità: se Tizio vuole garantire a Caio la provenienza di una dichiarazione contrattuale, prima di procedere all’ invio , lo codifica con la chiave privata. Caio, ricevuto il contratto, procederà con la chiave pubblica di Tizio a decodificarlo. Se il file risulterà leggibile significa che il procedimento ha funzionato e pertanto Tizio è realmente il mittente.
Riservatezza ed autenticità: se Tizio vuole garantire riservatezza ed autenticità al destinatario, procederà codificare il messaggio due volte: una prima volta con la chiave pubblica di Caio e poi con quella privata. Caio eseguirà le operazioni inverse , ovvero decodificherà il messaggio ricevuto prima con la chiave privata poi con quella pubblica di Tizio.
Digest o impronta: riassunto, o sequenza di bit, di lunghezza predefinita 160 bit , essa viene ottenuta dal documento informatico mediante applicazione di algoritmi chiamati funzione di Hash (Trapdoor function, di tipo one way). Non è possibile, data l’ impronta, risalire al documento originale. Poiché la lunghezza standard dell’impronta è come detto 160 bit, il numero dei documenti con impronta diversa è enorme e la probabilità che due documenti diversi producano la stessa digest è praticamente nulla.
Integrità: se Tizio vuole garantire a Caio l’integrità , ovvero che il messaggio ricevuto sia identico a quello spedito (pertanto non alterato per incidente o dolo, nel corso della trasmissione) opera nel modo seguente: calcola l’ impronta del messaggio e procede alla cifratura del ” riassunto” con la chiave privata ottenendo una copia , ed invia a Caio congiuntamente il messaggio originale ed impronta codificata. Caio decodifica l’ impronta con la chiave pubblica di Tizio, poi calcola in loco l’ impronta del messaggio originale: se questa impronta calcolata coincide con quella decodificata significa che il messaggio originale non è stato alterato, è genuino.
Certificazione: l’autorità di certificazione è un ente che gestisce un elenco con le chiavi pubbliche di ogni persona. Se per questo motivo , una persona decide di cambiare la propria chiave pubblica, ne deve dare notifica al certificatore ( obblighi posti in capo al titolare del certificato , leggiamo l’ articolo 32 del Cad). Caio , che ha ricevuto un messaggio da Tizio , se non ne conosce la chiave pubblica si rivolge al certificatore che procede ad inviarla. Il fatto stesso che il certificatore invii la chiave pubblica di Tizio, rappresenta per Caio la garanzia che la chiave di Tizio è valida.
Firma digitale: tipologie
Firma elettronica “ debole”: essa assicura solo la provenienza del documento, ma non l’ integrità dello stesso . Si tratta del procedimento visto in precedenza nel caso del processo garante dell’autenticità. Va osservato che nella maggior parte dei casi pratici non interessa codificare l’intero file: è sufficiente che il mittente Tizio codifichi la propria firma. La firma viene codificata con la chiave in privata del mittente ottenendo una copia codificata. Al destinatario Caio vengono inviati il messaggio originale, la firma in chiaro e la firma decodificata. Caio si rivolge all’ ente certificatore richiedendo la chiave pubblica di Tizio, con la quale decodifica la firma, ottenendo un valore che confronta con la firma originale: se i due valori coincidono significa che il mittente è realmente quello che si firma con la quella originale
Firma digitale: essa assicura la provenienza del documento che l’ integrità del contenuto. Il procedimento è quello già spiegato nel caso del processo che garantisce l’ integrità: Tizio ricava l’ impronta del documento , la codifica con la chiave privata ottenendo una copia ed invia a Caio il documento e l’ impronta originale e codificata. Nel messaggio in chiaro figura anche esplicitamente che il mittente “apparente” è Tizio. Con tale informazione Caio è in grado di richiedere all’ autorità di certificazione il valore della chiave pubblica di Tizio con la quale decodificare l’ impronta. Il valore ottenuto va confrontato con l’impronta del messaggio ricalcolata da Caio: se c’ è coincidenza significa che la coppia di chiavi che ha gestito il processo di codifica e di decodifica è veramente quella di Tizio.
Come si appone una firma elettronica?
Per la pubblica amministrazione, l’ introduzione della firma digitale ( articolo 1 comma 1 lettera s) del Cad) necessita di un intervento di reingegnerizzazione dei flussi e delle procedure interne che verrà posto in rilevo nel momento in cui tutti i dirigenti e i funzionari della PA disporranno di una connessione alla rete , attraverso la quale scambiare messaggi di posta elettronica, accedere alle risorse informatiche della Pa, intrattenere rapporti con privati cittadini, associazioni di categoria, ditte ed altri enti pubblici. Nascerà l’esigenza di consentire un migliore sfruttamento delle risorse e di introdurre un livello di sicurezza che permetta ai singoli utenti di comunicare in maniera sicura, riservata e garantita, sia per chi invia sia per chi riceve il messaggio.
Quale può essere l’utilizzo della firma digitale?
La firma digitale può essere apposta su qualunque documento informatico, alcune applicazioni possono essere le seguenti: la sottoscrizione di un documento informatico, la verifica dell’identità del soggetto firmatario, la sicurezza della provenienza e della ricezione del documento, la certezza che l’informazione contenuta, le comunicazioni ufficiali con la PA.
Dal punto di vista operativo, l’utente deve avere a disposizione un dispositivo di firma sicuro, smartcard o token USB, rilasciato da un ente certificatore. Utilizzando la sua carta, attraverso appositi strumenti hardware o software, l’utente è in grado di apporre la propria firma digitale su un qualsiasi documento informatico. La firma digitale sarà in grado di riprodurre le funzioni tipiche della sottoscrizione autografa di cui articolo 2702 codice civile: funzione dichiarativa/identificativa, funzione dichiarativa e funzione probatoria. In tale sede, ricordiamo l’articolo 2702 codice civile, rubricato “Efficacia della scrittura privata“:
“La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”.
La firma risulterà indissolubilmente legata da un lato al soggetto sottoscrittore e dall’ altro al testo sottoscritto. Il destinatario del documento, mediante il proprio sistema informatico, ha la possibilità di verificare l’identità del sottoscrittore, l’integrità del documento e la data ed ora opponibili a terzi.
