La firma digitale: cenni tecnici e giuridici

di Valentina Frediani (consulentelegaleinformatico.it) - Da dove arriva la firma digitale? Perché è rilevante? Quali sono gli strumenti normativi in campo e come si rapportano le leggi italiane a quelle comunitarie? Il punto

La firma digitale: cenni tecnici e giuridiciRoma - Il primo cenno legislativo sulla firma elettronica giunge nel 1997, con la cosiddetta legge Bassanini-1, datata 15 marzo 1997, n. 59, la quale al punto due dell'art. 15 stabilisce: "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge."

Due anni più tardi, con il DPCM datato 8 febbraio 1999, vengono decretate le regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione dei documenti informatici, mediante una serie di disposizioni circa le caratteristiche delle chiavi, la loro modalità di generazione, la loro verifica, il controllo, ecc.

Dunque una posizione precisa sul futuro dei documenti che potranno finalmente essere ufficialmente validi ed assumeranno la dizione di "documenti informatici".
Per documento informatico si intenderà così, la rappresentazione informatica di fatti, atti o dati giuridicamente rilevanti. In tal modo esordisce il DPR n. 445 del 2000.

Questo decreto rappresentando il Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, ci permette di inquadrare esattamente lo spazio di validità ed efficacia del documento informatico.

Il TU dispone che a ciascun documento informatico o a un gruppo di documenti informatici nonché al duplicato o copia di esso, possa essere apposta o associata con separata evidenza informatica, una firma digitale.
Tale apposizione o associazione viene equiparata alla sottoscrizione prevista per gli atti ed i documenti in forma scritta su supporto cartaceo.

Un passaggio essenziale: mediante lo strumento elettronico possiamo apporre una firma che inequivocabilmente sarà riconducibile alla nostra persona, con lo stesso pregio della sottoscrizione fatta di proprio pugno.

È d'obbligo che la firma digitale si riferisca esclusivamente ad una persona, la quale adopererà una chiave privata corrispondente ad una chiave pubblica e la cui validità non risulti scaduta o revocata o sospesa ad opera del soggetto pubblico o privato che l'ha certificata. Di contro, l'utilizzo di una chiave revocata, scaduta o sospesa corrisponderà ad una mancata sottoscrizione.

Abbiamo parlato di validità. Infatti il TU prevede che sulla firma digitale debba vigere un sistema di validazione, ovvero un sistema informatico e crittografico in grado di generare ed apporre la firma digitale e verificarne la validità.

Facciamo anche un cenno alla tipologia di chiavi che vengono utilizzate per la firma.
4 Commenti alla Notizia La firma digitale: cenni tecnici e giuridici
Ordina
  • Ma che problemi si fanno? La firma digitale (non riconosciuta dalle istituzioni) esiste da tempo; basterebbe usare standard de facto come pgp (meglio gpgOcchiolino, mettere su degli sportelli ad esempio in circoscrizione che previa richiesta (presentando un valido documento) rilascino un cd con le chiavi e mettere su dei key-server apposta; nulla di complicato a mio parere. Sinceramente sono poco informato sulla vicenda quindi puo' essere che dica cavolate, ma non capisco dove stiano tutte queste difficolta'.
    non+autenticato
  • Il decollo della firma digitale dipende solo da motivi politici ed economici (chi decide e chi paga).
    Quando si riuscira' a mettersi d'accordo e a sfruttare economicamente questa innovazione, sara' un cambiamento (in positivo) per tutti.

    Putroppo non e' cosi' "semplice" come per PGP.
    La tecnologia c'e' sta anche avanzando molto velocemente. Per fare un esempio:
    - la soluzione al momento piu' abbordabile economicamente consiste in una smart card con un rilevatore biometrico, per consentire al solo proprietario della firma di apporla. L'indicatore biometrico con rapporto affidabilita'/prezzo piu' alto e' il rilevatore di impronte digitali, in grado di rilevare 40 punti di 4/5 impronte differenti (sai se perdo un dito o mi sono tagliato...).
    Il rivelatore dell'impronta retinica e' troppo costoso.

    La coppia di chiavi pubblica/privata dovra' certifica senza ombra di dubbio che tu sei tu e che tu sei l'unico a possedere la chiave privata e in grado di attivarla.
    Percio' niente dischetti o programmini da scaricare. Una smartcard (come dicevo ad attivazione doppia, impronta digitale piu' codice). Una smart card che APPONE la firma (verifica la validita' temporale della chiave, crea hash, e codifica) SENZA trasferire la chiave privata al sistema che propone il documento (PC/Internet).
    I certificatori inoltre devono avere precisi standard di sicurezza dei sistemi.
    Tutto questo a garantire che chi firma e' chi firma: la firma elettronica e' NON RIPUDIABILE per legge, quindi questo apparato tecnologico dovra garantire il fatto nessuno potra' dire: "non sono stato io a mettere quella firma!"

    Ovviamente servono leggi (arrivate o in arrivo), standard (che non ci sono), investimenti (rischiosi perche' un certificato elettronico non e' certo un prodotto vendibile alla massaia, per il momento).
    Cordialmente
    non+autenticato
  • scrive l'autrice:

    >contratti conclusi a migliaia di chilometri di distanza,

    per questo, gia' da ora, c'e' l'ups

    >abolizione di perdite di tempo ed immediatezza nell'apporla,

    i documenti inviati via fax sono validi da almeno 10 anni

    >non più necessità di essere presenti ad un atto per la sua validazione

    questo sara' tutto da vedere: la presenza (mangari am phantasma) e' necessaria per imputare quella firma a quel particolare individuo
    non+autenticato
  • E' opportuno sottolineare che la Direttiva comunitaria 1999/93/CE ha trovato attuazione nel Decreto Legislativo 23 gennaio 2002, n.10. Quest'ultimo ha modificato in più punti il D.P.R. 445/2000 recependo in pieno la disciplina comunitaria e rivoluzionando il precedente sistema nazionale di sottoscrizione digitale.
    non+autenticato