DIREZIONE SISTEMI INFORMATIVI
Ufficio Procedure Informatiche

Firma Digitale

La Firma Digitale è il risultato di una procedura informatica che garantisce l’autenticità e l’integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari di quanto svolto dalla firma autografa per i documenti tradizionali.

La differenza tra firma autografa e firma digitale è che la prima è legata alla caratteristica fisica della persona che appone la firma, vale a dire la grafia, mentre la seconda al possesso di uno strumento informatico e di un PIN di abilitazione, da parte del firmatario.

Che cos'è

La firma digitale è il risultato di una procedura informatica (validazione) che consente al sottoscrittore di rendere manifesta l’ autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità.

In sostanza i requisiti assolti sono:

  • Autenticità: con un documento firmato digitalmente si può essere certi dell'identità del sottoscrittore;
  • Integrità: sicurezza che il documento informatico non è stato modificato dopo la sua sottoscrizione;
  • Non ripudio: il documento informatico sottoscritto con firma digitale, ha piena validità legale e non può essere ripudiato dal sottoscrittore.

Nella carta multiservizi Enac sono presenti due tipi di Firma Digitale:

  • la firma non ripudiabile
  • la firma generica

Entrambe sono in grado di garantire il destinatario sull'autenticità del documento. Tuttavia, solo la firma non ripudiabile ha valore legale. Inoltre, la firma non ripudiabile può essere applicata sia al singolo documento che ai documenti di un'intera cartella, mentre la generica può essere applicata solo a un documento alla volta.

A ciascuna firma (non ripudiabile e generica) è associato un certificato. Ad ogni dipendente dell'Enac vengono inviate da parte del CNIPA (mittente: ca-cnipa@poste.it) due mail a cui sono allegate le chiavi pubbliche dei certificati.

Nel testo delle mail sono riportati i dettagli del certificato, che sono:

  • Titolare del Certificato
  • Numero seriale del certificato
  • utilizzo della chiave
  • Certificatore

Per distinguere i due certificati basta controllare la voce utilizzo della chiave.
Infatti, se è riportata la dicitura:

  • Non Repudiation
    si tratta del certificato della firma non ripudiabile con valore legale
  • Digital Signature, Key Encipherment, Data Encipherment
    si tratta del certificato della firma generica, cifratura e marca temporale

Come funziona

Per generare una firma digitale è necessario possedere una coppia di chiavi digitali asimmetriche, attribuite in maniera univoca ad un soggetto detto Titolare.

  • una chiave privata destinata ad essere conosciuta solo dal Titolare memorizzata sul microchip della carta multiservizi ed utilizzata per la generazione di un documento firmato digitalmente.
  • una chiave pubblica conservata dall'ente certificatore e utilizzata per verificare l’autenticità della firma digitale.

Caratteristica di tale metodo, detto crittografia a doppia chiave, è che firmato il documento con la chiave privata la firma può essere verificata con successo esclusivamente con la corrispondente chiave pubblica. La sicurezza è garantita dalla impossibilità di ricostruire la chiave privata (segreta) a partire da quella pubblica, anche se le due chiavi sono univocamente collegate.

Per maggiori approfondimenti sull'operatività è possibile consultare il manuale utente firma digitale e marca temporale.

La Direzione Organizzazione e Sviluppo Organizzativo in collaborazione con la Direzione Sistemi Informativi curerà la formazione per i responsabili.

La certificazione

Il certificato per le chiavi digitali

Il certificato è un documento elettronico, contenente informazioni relative al titolare e alla sua chiave pubblica di firma. E’ il risultato di una apposita procedura di certificazione che garantisce la corrispondenza biunivoca tra una chiave pubblica ed il soggetto a cui essa appartiene.

L'ente certificatore

Affinché i soggetti possano riporre completa fiducia nei certificati digitali e nei dati in essi contenuti, occorre che una "terza parte fidata" - il Certificatore - garantisca l’affidabilità dei dati contenuti nel certificato, occupandosi quindi del rilascio e della pubblicazione su un apposito registro accessibile online.

Le principali attività del Certificatore sono le seguenti:

  • verificare ed attestare l’identità del richiedente;
  • stabilire il termine di scadenza dei certificati ed il periodo di validità delle chiavi in funzione della loro "robustezza " e degli usi per i quali sono impiegate;
  • emettere e pubblicare il certificato in un archivio pubblico gestito dallo stesso Certificatore;
  • revocare o sospendere i certificati.

Le attività e gli obblighi del certificatore sono descritti nel manuale operativo redatto dal CNIPA.

I certificatori, per l’attuale normativa, sono accreditati presso il CNIPA ed iscritti in un apposito elenco.

Come si ottiene il certificato

Per la legge italiana il Certificatore deve provvedere a verificare l’ identità del soggetto che richiede il certificato attraverso procedure appositamente definite.

  • Il richiedente deve fornire all’Ente di Certificazione la documentazione utile per accertare la sua identità;
  • Il Certificatore, a sua volta, fornisce al richiedente un codice identificativo univoco;
  • A seguito della generazione delle chiavi asimmetriche, quella privata da mantenere segreta e quella pubblica da rendere disponibile per la verifica, quest’ultima chiave viene inviata al Certificatore per l’emissione del certificato;
  • Il Certificatore, infine, genera e pubblica il certificato che contiene i dati del Titolare e la sua chiave pubblica che i destinatari utilizzano per la verifica della firma.

Il documento informatico

La legge n.59 del 1997 - articolo 15 – stabilisce che:

"gli atti, dati e documenti, formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge".

Il DPR 445 del 28 dicembre 2000 ha fissato i requisiti che il documento informatico inteso come "la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti" deve rispettare per avere pieno valore legale.

Con il termine documento cartaceo si intende sia il supporto che il contenuto che in esso viene rappresentato; tramite la sottoscrizione autografa viene identificata la persona che ne assume la paternità.

Un documento informatico può essere invece modificato o riprodotto infinite volte, ottenendo copie assolutamente identiche all’originale in quanto il contenuto è svincolato dal supporto.

Per restituire al documento informatico gli stessi requisiti assolti dalla sottoscrizione autografa di un documento cartaceo occorre, quindi, un tipo di autenticazione come la firma digitale, che attribuisca al contenuto del documento informatico piena validità legale.

Firma digitale di un documento informatico

La firma digitale garantisce, nei confronti dei documenti informatici, la presenza degli stessi requisiti che la firma autografa garantisce nei confronti dei documenti cartacei.

Grazie alla tecnologia della firma digitale e per mezzo del sistema a "chiavi pubbliche", il destinatario del documento ha la garanzia di disporre di un testo integro e proveniente da una fonte ben precisa. La sequenza di simboli che chiamiamo firma digitale, generata da algoritmi matematici, si riferisce univocamente ad i contenuti di un preciso documento, la modifica anche di un solo carattere sarebbe immediatamente rilevata al momento della verifica.

ATTENZIONE
E’ perciò altamente sconsigliabile la sottoscrizione digitale di documenti contenente elementi dinamicamente variabili. Pertanto è preferibile utilizzare, per i documenti da firmare digitalmente, formati il più possibile statici (rtf, pdf, text, tiff, etc.). Gli elementi dinamici (macro, funzioni, campi variabili, script, etc.), che possono essere inseriti in alcuni tipi di documento informatico (.doc, .xls, etc.), possono provocare la visualizzazione di contenuti differenti al momento della sottoscrizione e della successiva verifica.

approfondimenti

Approfondimento firma digitale CNIPA - manuale utente firma digitale e marca temporale CNIPA - manuale operativo per il servizio di certificazione Formazione: interoperabilità e firma digitale per responsabili di Unità Organizzative