FIRMA DIGITALE E
DOCUMENTO ELETTRONICO
PAOLO LOTTI
TAR PIEMONTE
1
QUADRO NORMATIVO RECENTE
• Decreto Legislativo 7 marzo 2005, n. 82,
Codice dell’Amministrazione Digitale
• DPCdM 13 gennaio 2004, Regole tecniche
• Deliberazione CNIPA n.4 del 17 febbraio
2005
• Deliberazione CNIPA n.34 del 18 maggio
2006 con relativo allegato
• Circolare CNIPA n.48 del 6 settembre
2005
2
QUADRO NORMATIVO
ORIGINARIO
• Legge 15 marzo 1997, n. 59
• Decreto del Presidente della Repubblica 10 novembre
1997, n. 513 (abrogato)
• Decreto del Presidente della Repubblica 28 dicembre
2000, n. 445, T.U. Documentazione amministrativa
• Direttiva europea 1999/93/CE sulle firme elettroniche
• Direttiva europea 2000/31/CE sul commercio elettronico
• Decreto legislativo 23 gennaio 2002, n. 10, Attuazione
della Direttiva 1999
• Decreto del Presidente della Repubblica 7 aprile 2003,
n. 137, Regolamento di coordinamento
3
Definizione di firma digitale
• E’ un particolare tipo di firma elettronica
qualificata
• basata su un sistema di chiavi asimmetriche a
coppia, una pubblica e una privata
• Sistema che consente al titolare tramite la
chiave privata e al destinatario tramite la chiave
pubblica,
• rispettivamente, di rendere manifesta e di
verificare la provenienza e l’integrità
• di un documento informatico o di un insieme di
documenti informatici
4
Definizione di firma elettronica
• L’insieme dei dati in forma elettronica
• allegati oppure connessi tramite
associazione logica ad altri dati elettronici
• utilizzati come metodo di autenticazione
informatica
5
FIRMA ELETTRONICA
AVANZATA
• Firma elettronica
• ottenuta attraverso una procedura informatica
• che garantisce la connessione univoca al
firmatario e la sua univoca identificazione
• creata con mezzi sui quali il firmatario può
conservare un controllo esclusivo
• collegata ai dati ai quali si riferisce in modo da
consentire di rilevare se i dati stessi siano stati
successivamente modificati
6
FIRMA ELETTRONICA
QUALIFICATA
• La firma elettronica avanzata
• basata su un certificato qualificato
• Creata mediante un dispositivo sicuro per
la creazione della firma (Insieme di
dispositivi hardware e software che
consentono di sottoscrivere con firma
digitale documenti informatici)
7
FIRMA FORTE E FIRMA
LEGGERA
•
•
•
•
•
•
•
la firma “forte” è quella che il legislatore definisce firma digitale.
Essa è basata su un sistema a chiavi crittografiche asimmetriche e
utilizza un certificato digitale con particolari caratteristiche, rilasciato
da un soggetto con specifiche capacità professionali garantite dallo
Stato e viene creata mediante un dispositivo con elevate
caratteristiche di sicurezza (in genere è una smart card o
tokenUSB?).
L’altra tipologia di firma è complementare.
E’ tutto ciò che non risponde a quanto appena descritto, ma è
compatibile con la definizione giuridica di firma elettronica (firma
“leggera”).
Efficacia giuridica diversa:
Firma digitale è equivalente a una sottoscrizione autografa.
Le altre vengono valutate in fase di giudizio in base a caratteristiche
oggettive di qualità e sicurezza.
8
GARANZIE GIURIDICHE DI
AUTENTICITA’
•
•
•
•
•
•
La firma digitale serve a sottoscrivere una dichiarazione ottenendo
la garanzia di integrità dei dati oggetto della sottoscrizione e di
autenticità delle informazioni relative al sottoscrittore (atti pubblici,
atti amministrativi, autenticazioni).
Garanzia che il documento informatico, dopo la sottoscrizione, non
possa essere modificato: eventuali modifiche sarebbero riscontrate.
Garanzia della certezza che solo il titolare del certificato possa aver
sottoscritto il documento perché possiede il dispositivo di firma
(smartcard/tokenUSB) ed è l’unico a conoscere il PIN (Personal
Identification Number) necessario per utilizzare il dispositivo stesso.
Garanzai derivata dal ruolo del certificatore che garantisce la
veridicità e la correttezza delle informazioni riportate nel certificato
(dati anagrafici del titolare).
Ciò non consente al sottoscrittore di disconoscere la propria firma
digitale (fatta salva la possibilità di querela di falso).
9
FIRMA ELETTRONICA FIRMA
ELETTRONICA AVANZATA E
FIRMA DIGITALE
• A) la firma elettronica generica)può essere realizzata
con qualsiasi strumento (password, PIN,digitalizzazione
della firma autografa, tecniche biometriche, ecc.) in
grado di conferire un certo livello di autenticazione a dati
elettronici;
• B) la firma elettronica avanzata consente di identificare
in modo univoco il firmatario garantendo anche
l’evidenza di modifiche all’oggetto firmato, apportate
dopo la sottoscrizione.
• C) la firma digitale è quella generata secondo il sistema
a chiave asimmetrica stabilito dalla legge nazionale
(NON comunitaria)
10
Direttiva CE 1999
• Queste tipologie sono introdotte nell’articolo 5
della Direttiva.
• Il primo comma di questo articolo introduce la
tipologia di firma più importante dal punto di
vista legale perché equivalente alla
sottoscrizione autografa (firma “forte”).
• Gli addetti ai lavori in campo internazionale la
indicano come “firma 5.1”.
11
•
•
•
•
•
FIRMA FORTE SECONDO LA
DIRETTIVA (NOSTRA FIRMA
DIGITALE)
a) deve essere basata su un sistema a chiavi
asimmetriche;
b) deve essere generata con chiavi certificate con le
modalità previste nell’allegato I della Direttiva;
c) deve essere riconducibile a un sistema di chiavi
provenienti da un certificatore operante secondo
l’allegato II della Direttiva e soggetto a vigilanza da parte
di un organo definito;
(Nel recepimento è stato stabilito che la vigilanza è a
carico del Dipartimento per l’innovazione e le tecnologie
della Presidenza del Consiglio dei Ministri);
d) deve essere generata utilizzando un dispositivo sicuro
che soddisfi i requisiti dell’allegato III della Direttiva.
12
FIRME AVANZATE SECONDO LA
DIRETTIVA
• Il secondo comma dell’articolo 5 della Direttiva
conferisce dignità giuridica alle altre tipologie di firma.
• Non sono definibili tecnologicamente a priori.
• Possono essere generate senza vincoli sugli strumenti e
sulla modalità operative.
• Non offrono garanzie di interoperabilità se non in
particolari condizioni di utilizzo come in gruppi chiusi di
utenti. Infatti, in questo caso, la comunità di utenti
condivide gli strumenti di firma e di verifica della stessa.
• Il giudice, come stabilito nel secondo comma dell’articolo
5 della Direttiva, non potrà rifiutare in giudizio queste
firme “leggere”, ma la loro ammissibilità nascerà dalla
libera convinzione e non dall’obbligo di legge previsto
per le firme cosiddette “forti”.
13
SIGNIFICATO GIURIDICO IN
ITALIA DELLE FIRME DIGITALI
•
•
•
•
•
•
•
•
La firma digitale ha trovato l’impianto legislativo necessario per il proprio
utilizzo con le regole tecniche costituite dal DPCdM 8 febbraio 1999 (oggi
sostituito dal DPCdM 13 gennaio 2004).
In data 27 gennaio 2000 veniva incluso, nell’elenco pubblico dei certificatori,
il primo soggetto autorizzato a rilasciare dispositivi di firma digitale
utilizzabili per poter sottoscrivere documenti informatici con la medesima
validità giuridica della firma autografa.
Validità ex articolo 2702 del codice civile:
“La scrittura privata fa piena prova, fino a querela di falso,
della provenienza delle dichiarazioni da chi l'ha sottoscritta,
se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione,
ovvero se questa è legalmente considerata come riconosciuta”.
La firma digitale era giuridicamente valida, fatta salva la possibilità per il
presunto sottoscrittore di disconoscerne la paternità. In tale evenienza era
la controparte, e non il sottoscrittore, a doverne dimostrare la reale
paternità.
14
FIRMA LEGALMENTE
RICONOSCIUTA
•
•
•
•
•
Con il recepimento della Direttiva europea sulle firme elettroniche
1999/93/CE le cose sono cambiate: decreto legislativo 23 gennaio
2002, n.10, modificando l’articolo 10 ((L) “ Forma ed efficacia del
documento informatico” del DPR 28 dicembre 2000, n.445), in cui è
confluito il DPR 10 novembre 1997, n.513, ha dato valore giuridico
alla sottoscrizione effettuata con firma digitale.
Comma 3: “ Il documento informatico, quando è sottoscritto con
firma digitale o con un altro tipo di firma elettronica avanzata,
e la firma è basata su di un certificato qualificato
ed è generata mediante un dispositivo per la creazione di una firma
sicura,
fa inoltre piena prova, fino a querela di falso, della provenienza delle
dichiarazioni da chi l’ha sottoscritto ”.
15
VERIFICA FIRMA DIGITALE
• Consiste nel verificare che:
• 1. Il documento non sia stato modificato dopo la
firma;
• 2. Il certificato del sottoscrittore sia garantito da
una Autorità di Certificazione (CA) inclusa
nell’Elenco Pubblico dei Certificatori;
• 3. Il certificato del sottoscrittore non sia scaduto;
• 4. Il certificato del sottoscrittore non sia stato
sospeso o revocato.
16
SOGGETTO CERTIFICATORE
• Il certificatore garantisce l’identità dei
soggetti che utilizzano la firma digitale
• E’ soggetto a attività di vigilanza da parte
del CNIPA.
• Al gennaio 2009 si contano 17 certificatori
accreditati.
17
ORGANO DI VIGILANZA
•
•
•
•
•
•
L’articolo 31 del decreto legislativo 7 marzo 2005, n. 82 stabilisce che “Il
CNIPA svolge funzioni di vigilanza e controllo sull'attività dei certificatori
qualificati e accreditati.”
Il Centro nazionale per l’informatica nella pubblica amministrazione è
l’organismo a cui è affidato il compito di espletare quanto prescritto dai
commi 2 e 3 dell’articolo 3 della Direttiva europea 1999/93/CE:
“2. Gli Stati membri possono introdurre o conservare sistemi di
accreditamento facoltativi volti a fornire servizi di certificazione di livello più
elevato.
Tutte le condizioni relative a tali sistemi devono essere obiettive,
trasparenti, proporzionate e non discriminatorie.
Gli Stati membri non possono limitare il numero di prestatori di servizi di
certificazione accreditati per motivi che rientrano nell'ambito di applicazione
della presente direttiva.”
“3. Ciascuno Stato membro provvede affinché venga istituito un sistema
appropriato che consenta la supervisione dei prestatori di servizi di
certificazione stabiliti nel loro territorio e rilascia al pubblico certificati
qualificati”.
18
CERTIFICATORI QUALIFICATI E
ACCREDITATI
•
•
•
•
•
Il CNIPA è l’organismo nazionale di accreditamento e di vigilanza
sulle attività svolte dai certificatori qualificati e accreditati.
I “certificatori qualificati” sono i soggetti che intendono emettere
certificati qualificati secondo la Direttiva europea 1999/93/CE
I “certificatori accreditati” sono coloro, tra i medesimi certificatori
qualificati, che decidono liberamente di sottoporsi ad apposita
istruttoria preventiva volta a verificare il possesso in capo agli stessi
dei requisiti richiesti dalle norme in materia.
Posseggono requisiti di livello più elevato per qualità e sicurezza
(es. SPA con capitale del TU Bancario; requisiti onorabilità di CdA e
Sindaci; qualità procedimenti informatici; personale tecnico
particolarmente qualificato).
E’ quindi possibile che un certificatore qualificato sia anche
accreditato, mentre non è possibile il contrario.
19
ATTIVITA’ VIGILANZA
•
•
•
•
Tutti i certificatori faticano a mantenere aggiornata la
documentazione tecnica e amministrativa depositata presso il
CNIPA, attività necessaria per il mantenimento dell’accreditamento.
La percezione dell’imminenza della visita ispettiva fa scattare
l’attività di aggiornamento (il 75% delle ispezioni è stato preceduto
da un aggiornamento della documentazione).
Ciò si spiega perché il personale utilizzato nell’ambito delle attività
del certificatore ha una competenza fortemente tecnica e quindi, in
genere, poco portata alla gestione di pratiche amministrative.
In nessuno dei casi (alcuni molto gravi) nei quali è stata segnalata
una non conformità, si è rilevata mala fede o attività di elusione.
20
I certificatori
• 1. I certificatori che rilasciano al pubblico
certificati qualificati ai sensi del testo unico
devono fornire al dipartimento PER
L’Innovazione Tech.
• a) dati anagrafici ovvero denominazione o
ragione sociale;
• b) residenza ovvero sede legale;
• c) sedi operative;
• d) rappresentante legale;
• e) certificati delle chiavi di certificazione;
21
- SEGUE • f) piano per la sicurezza contenuto in busta
sigillata;
• g) manuale operativo di cui al successivo art. 38;
• h) dichiarazione di impegno al rispetto delle
disposizioni del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445;
• i) dichiarazione di conformità ai requisiti previsti
nel presente decreto;
• l) relazione sulla struttura organizzativa;
• m) copia di una polizza assicurativa di copertura
dei rischi dell'attività e dei danni causati a terzi.
22
PIANO PER LA SICUREZZA
• Contenuto minimo:
• a) struttura generale, modalità operativa e
struttura logistica;
• b) descrizione dell'infrastruttura di sicurezza per
ciascun immobile rilevante ai fini della sicurezza;
• c) allocazione dei servizi e degli uffici negli
immobili;
• d) elenco del personale e sua allocazione negli
uffici;
• e) attribuzione delle responsabilità;
• f) algoritmi crittografici o altri sistemi utilizzati;
23
- SEGUE • g) descrizione delle procedure utilizzate
nell'attività di certificazione;
• h) descrizione dei dispositivi installati;
• i) descrizione dei flussi di dati;
• l) procedura di gestione delle copie di sicurezza
dei dati;
• m) procedura di gestione dei disastri;
• n) analisi dei rischi;
• o) descrizione delle contromisure;
• p) specificazione dei controlli.
24
FORMATO DELLA FIRMA
DIGITALE – NOVITA’
• Deliberazione CNIPA n. 4/2005: il formato
PDF è stato riconosciuto pienamente
valido per la firma digitale ai sensi dell'Art.
12, comma 9,
• mediante la stipula di un Protocollo
d'Intesa sottoscritto il 16 Febbraio 2006
dal CNIPA e da Adobe Systems Inc.
25
LA FORMA DEL CONTRATTO E
DEGLI ATTI GIURIDICI
• FORMA AD SUBSTANTIAM
• FORMA AD PROBATIONEM
• FORMA INFORMATIVA (Consumatore o
Consob)
26
Documento informatico senza firma
• 2712 c.c.: equivalenza a riproduzioni
meccaniche (caso ANAS – Cass. 11445
del 2001)
27
Documento informatico con firma
elettronica
• Equivalenza non completa con forma
scritta (non vale per la forma ad
probationem!)
28
Documento informatico con firma
elettronica avanzata o digitale
•
•
•
•
•
•
Scrittura privata riconosciuta
Non serve:
- riconoscimento espresso (2702 c.c.);
- riconoscimento tacito (215 c.p.c.);
- autenticazione (2703 c.c.);
- esito positivo verificazione (216 e ss.
c.p.c.).
29
FIRMA DIGITALE AUTENTICATA
• NOTAIO O PUBBLICO UFFICIALE
30
CONTRATTI INFORMATICI E
COMMERCIO ELETTRONICO
• D. Lgs. 9 aprile 2003, n. 70
• Per i consumatori: applicabilità normativa sui contratti
conclusi fuori dai locali commerciali (ius poenitendi)
• Direttiva 2000/31/CE
• Convenzione di Vienna sulla vendita internazionale (art.
13): concetto ampio di scritto (telegramma, telex)
interpretata per includere forma informatica
• Lex mercatoria
• Libro Bianco della Commissione europea del 1997 sul
Commercio elettronico (stimolare crescita e fiducia nel
mercato)
31