Introduzione alla firma digitale
Lezione n. 2
Il documento
L’ordinamento giuridico italiano ne disciplina vari aspetti
ma non prevede una definizione di documento in
generale.
Dottrina: “oggetto corporale che reca una serie di segni
tracciati direttamente dall’uomo o da apparati
predisposti dall’uomo, volti a conferirgli una portata
rappresentativa” (Irti, Sul concetto giuridico di
documento).
Generalmente per documento = tutti quegli oggetti
materiali che sono in qualsiasi maniera idonei a
rappresentare o a dare conoscenza di un fatto (mezzi di
prova)
Il documento
Il documento più frequente è il documento
scritto = normalmente una carta contenente
segni grafici o acustici in forma di parole.
Caratteristica fondamentale del
documento è la sua NON
MODIFICABILITA’
La paternità del documento viene fornita
dalla sottoscrizione autografa che garantisce la
correlazione univoca tra firma e firmatario
La “dematerializzazione” del supporto
Documento tradizionale: contenitore e
contenuto sono inscindibili (es.
carta/inchiostro)
Documento su supporto informatico: i
bit possono essere trasferiti, riprodotti e
memorizzati su infiniti supporti diversi
L’evoluzione normativa
• L. 59/97 affermato il pieno valore giuridico dei
documenti informatici
• attuazione con il dpr 513/97 che ha introdotto la
firma digitale nell’ordinamento italiano.
• abrogata e confluita nel drp 445/2000
• La Direttiva 1999/93/CE è stata attuata in Italia con
il Dlgs 10/2002 sulle firme elettroniche
• dpr 137/2003 con lo scopo di coordinare le
disposizioni
• Codice dell’amministrazione digitale Dlgs.
82/2005 come modificato dal Dlgs 159/2006
Legge 15 marzo 1997 n. 59
Art. 15 comma 2
“Gli atti, i dati e i documenti formati dalla
Pubblica Amministrazione e dai privati
con strumenti informatici e telematici, i
contratti stipulati nelle medesime forme,
nonché la loro archiviazione e
trasmissione con strumenti informatici e
telematici, sono validi e rilevanti ad
ogni effetto di legge”.
Legge 15 marzo 1997 n. 59
• Validità e rilevanza giuridica degli
strumenti informatici e telematici per:
–Formazione di atti, dati e documenti
–Stipulazione di contratti
–Archiviazione e trasmissione
• Stesso principio per la PA e i privati
• Previsione di regolamenti per i criteri di
applicazione
Il documento informatico
• Documento informatico in senso stretto
è quello memorizzato in forma digitale in una delle
memorie dell’elaboratore, la cui peculiarità è data dal
fatto che non può essere letto o comunque percepito in
quanto tale dall’uomo, se non l’ausilio di apposite
macchine traduttrici che rendono comprensibile le
sequenze digitali di cui sono costituiti
• Documento informatico in senso lato
ricomprende in se tutti i documenti formati dall’elaboratore
attraverso i proprio organi di output. In questo senso il
documento informatico non è necessariamente in forma
digitale, ma cmq si caratterizza per la sua immediata
fruibilità, sena l’intervento di altre macchine traduttrici
Il codice dell’amministrazione
digitale (CAD)
Il documento informatico – e così gli strumenti di firma,
di trasmissione, di copia e di conservazione del
medesimo disciplinato dal Codice
Amministrazione Digitale emanato con il dgls
82/2005
Art. 1 comma 1 lett) p)
DOCUMENTO INFORMATICO come “la
rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti
Il codice dell’amministrazione
digitale (CAD)
Ribadisce la rilevanza del documento
informatico:
Art. 20 comma 1
“Il documento informatico da chiunque formato,
la registrazione su supporto informatico e la
trasmissione con strumenti telematici conformi
alle regole tecniche di cui all'articolo 71 sono
validi e rilevanti agli effetti di legge, ai
sensi delle disposizioni del presente codice”
Il codice dell’amministrazione
digitale (CAD)
Resta ampio il campo di applicazione:
Art. 20
comma 2 Le disposizioni del presente codice si
applicano alle pubbliche amministrazioni di cui
all'articolo 1, comma 2, del decreto legislativo 30 marzo
2001, n. 165, salvo che sia diversamente stabilito, nel
rispetto della loro autonomia organizzativa e comunque
nel rispetto del riparto di competenza di cui all'articolo
117 della Costituzione.
Comma 3 Le disposizioni […] concernenti i
documenti informatici, le firme elettroniche, i
pagamenti informatici, i libri e le scritture, […] relative
alla formazione, gestione, alla conservazione, nonché
[…] trasmissione dei documenti informatici si
applicano anche ai privati […]
Firme
la firma elettronica semplice è l’insieme dei
dati in forma elettronica, allegati oppure
connessi tramite associazione logica ad altri
dati elettronici, utilizzati come metodo di
autenticazione informatica;
Firme
la firma elettronica qualificata ottenuta
attraverso una procedura informatica che
garantisce la connessione univoca al firmatario,
creata con mezzi sui quali il firmatario può
conservare un controllo esclusivo e collegata ai
dati ai quali si riferisce in modo da consentire di
rilevare se i dati stessi siano stati
successivamente modificati, che sia basata su un
certificato qualificato e realizzata mediante un
dispositivo sicuro per la creazione della firma.
Firme
La firma digitale un particolare tipo
di firma elettronica qualificata basata su
un sistema di chiavi crittografiche, una
pubblica e una privata, correlate tra loro,
che consente al titolare tramite la chiave
privata e al destinatario tramite la chiave
pubblica, rispettivamente, di rendere
manifesta e di verificare la provenienza e
l’integrità di un documento informatico o
di un insieme di documenti informatici.
Operazioni preliminari
•
la registrazione dell’utente presso un
certificatore
•
la generazione della coppia di chiavi;
•
la certificazione della chiave pubblica;
•
la registrazione della chiave pubblica
Crittografia
• È una tecnica che permette, mediante l’uso di
un algoritmo matematico, di trasformare un file
di dati in un insieme di simboli privi di
significato, quindi in una forma illeggibile da
chiunque e decifrabile esclusivamente dal
soggetto che possiede la chiave per decifrarli.
• È la tecnica alla base della firma digitale.
Può essere c. simmetrica (a chiave segreta) o
asimmetrica (a chiave pubblica).
Crittografia simmetrica
• La stessa chiave è utilizzata prima dal mittente per
cifrare il documento poi dal destinatario per
decifrarlo.
• Occorre un canale di comunicazione sicuro per
scambiare la chiave.
• E’ come se si impiegasse la stessa chiave per aprire
chiudere una porta.
• Sistema non del tutto sicuro e complesso da gestire.
Crittografia asimmetrica
• Detta anche crittografia “a doppia chiave” o “a
chiave pubblica”.
• Sono impiegate due chiavi diverse (una privata
e una pubblica), in grado di funzionare solo
congiuntamente.
• Le chiavi sono stringhe di dati generate
tramite elaboratore sulla base di complessi
algoritmi
Le chiavi
Chiave privata l’elemento della coppia di
chiavi asimmetriche, utilizzato dal soggetto
titolare, mediante il quale si appone la firma
digitale sul documento informatico
Chiave pubblica l’elemento della coppia di
chiavi asimmetriche destinato ad essere reso
pubblico, con il quale si verifica la firma digitale
apposta sul documento informatico dal titolare
delle chiavi asimmetriche
La crittografia a chiavi
asimmetriche
Caratteristiche della crittografia asimmetrica:
• ciascuna chiave può essere indifferentemente
utilizzata per cifrare e decifrare un
documento
•
la chiave utilizzata per cifrare un documento
non può essere utilizzata per decifrare lo
stesso documento
•
la conoscenza di una delle due chiavi non
fornisce alcuna informazione sull’altra.
Il meccanismo di firma digitale 1/2
L’impiego delle chiavi crittografiche per firmare è
speculare rispetto a quello per rendere un documento
illeggibile.
Il mittente firma il documento informatico con la
propria chiave privata (nota solo a lui).
Il destinatario legge il documento con la chiave
pubblica del mittente.
Grazie a questo sistema, il destinatario è in grado di
verificare sia la paternità del documento sia il fatto
che non sia stato modificato.
Il meccanismo di firma digitale 2/2
Il meccanismo è applicato non all’intero documento ma a
una sua “impronta digitale” (stringa di dati che ne
sintetizza in modo univoco il contenuto).
L’impronta è generata mediante algoritmi, le c.d.
“funzioni di hash” che garantiscono che sia impossibile
ottenere la stessa impronta partendo da due file di dati
diversi.
Se il documento sottoscritto digitalmente è modificato
anche di un solo bit l’algoritmo produrrà due impronte
diverse.
La conservazione delle chiavi
Le chiavi private sono conservate in un dispositivo di
firma (smart card).
La chiave privata e il dispositivo non possono essere
duplicati.
Chiave privata e dispositivo devono essere
conservati con diligenza - integrità e riservatezza.
Informazioni di abilitazione alla chiave privata vanno
conservate in luogo diverso dal dispositivo.
Richiedere immediatamente la revoca se si è perso il
possesso della chiave.
La disciplina dettata dal CAD
Articolo 24. Firma digitale.
1. La firma digitale deve riferirsi in maniera univoca ad un
solo soggetto ed al documento o all'insieme di documenti
cui è apposta o associata.
2. L'apposizione di firma digitale integra e sostituisce
l'apposizione di sigilli, punzoni, timbri, contrassegni e
marchi di qualsiasi genere ad ogni fine previsto dalla
normativa vigente.
3. Per la generazione della firma digitale deve adoperarsi
un certificato qualificato che, al momento della
sottoscrizione, non risulti scaduto di validità ovvero non
risulti revocato o sospeso.
4. Attraverso il certificato qualificato si devono rilevare,
secondo le regole tecniche stabilite ai sensi dell'articolo 71,
la validità del certificato stesso, nonché gli elementi
identificativi del titolare e del certificatore e gli eventuali
limiti d'uso.
La certificazione
La firma digitale di per sé non è in grado di garantire
reale identità del firmatario: questi potrebbe nome di un
terzo o con un nome inventato.
È previsto l’intervento di “terze parti fidate”, i
certificatori, che verificano:
- l’identità di un soggetto e corrispondenza con la
titolarità della pubblica di cifratura;
- attestano tali informazioni mediante l’emissione del
certificato;
- pubblicano tempestivamente sospensione del certificato
in apposite liste.
Il certificatore
Articolo 1 comma 1 lett. g)
Il certificatore = “il soggetto che presta servizi
di certificazione delle firme elettroniche o che
fornisce altri servizi connessi con queste ultime”
Sono previsti certificatori semplici e
certificatori qualificati (che devono presentare
maggiori requisiti elencati nell’art. 27) e
certificatori accreditati (art. 29)
Certificatore qualificato
Si distinguono da quelli semplici, perché devono possedere
dei requisiti specifici elencati nel comma 2 dell’art. 27, in
particolare:
a) dimostrare l'affidabilità organizzativa, tecnica e finanziaria
necessaria per svolgere attività di certificazione;
b) utilizzare personale specializzato sulle tecniche della firma
digitale, sulle procedure di sicurezza tecnica e crittografica dei
procedimenti;
c) applicare misure di sicurezza adeguate per prevenire la
contraffazione dei certificati;
d) utilizzare misure tecniche e gestionali idonee a garantire la
riservatezza, l’integrità e la sicurezza nella generazione delle
chiavi private nei casi in cui il certificatore generi tali chiavi
Il certificatore accreditato
È quel soggetto pubblico o privato che, ex art. 29 CAD
intende svolgere l’attività con i parametri del livello più
alto di qualità e sicurezza e per tale ragione presenta
domanda per essere accreditato presso il CNIPA. Egli
deve possedere gli stessi requisiti del certificatore
qualificato ma in aggiunta deve indicare le
specifiche competenze professionali del
personale impiegato
La responsabilità del certificatore
I certificatori che rilasciano un certificato qualificato o
che garantiscono al pubblico l’affidabilità del certificato,
sono responsabili dei danni arrecati a chi ha fatto
ragionevole affidamento su:
a) esattezza e completezza delle informazioni
necessarie per verificare la firma;
b) garanzia che al momento del rilascio del certificato il
firmatario detenesse i dati per la creazione della firma
corrispondenti ai dati per la verifica;
c) garanzia che i dati per la creazione e per la verifica
della firma funzionino in modo complementare (se
entrambi generati dal certificatore);
d) adempimento degli obblighi di legge (art. 32 Codice).
I certificati
Il codice all’art. 1 definisce due tipi di certificati:
il certificato elettronico gli attestati elettronici che
collegano all'identità del titolare i dati utilizzati per
verificare le firme elettroniche;
il certificato qualificato il certificato elettronico
conforme ai requisiti di cui all'allegato I della direttiva
1999/93/CE, rilasciati da certificatori che rispondono ai
requisiti di cui all'allegato II della medesima direttiva
(certificatori qualificati)
Contenuto del certificato qualificato
Articolo 28. Certificati qualificati.
1. I certificati qualificati devono contenere almeno le seguenti
informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato
qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore che ha rilasciato
il certificato e lo Stato nel quale è stabilito;
d) nome, cognome o uno pseudonimo chiaramente identificato come tale e
codice fiscale del titolare del certificato;
e) dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi
crittografiche pubbliche, utilizzati per verificare la firma elettronica
corrispondenti ai dati per la creazione della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del
certificato;
g) firma elettronica del certificatore che ha rilasciato il certificato,
realizzata in conformità alle regole tecniche ed idonea a garantire
l'integrità e la veridicità di tutte le informazioni contenute nel certificato
medesimo.
Revoca e sospensione
• La revoca del certificato elettronico può
definirsi come l’operazione con cui il
certificatore annulla la validità del certificato da
“un dato momento”, non retroattivo, in poi.
• La sospensione è, invece, l’operazione con cui
il certificatore sospende la validità del certificato
elettronico per un “determinato” periodo di
tempo.
Valore giuridico del documento
informatico
Con riguardo alla forma e all’efficacia sono previste
diverse ipotesi:
– Documento informatico non sottoscritto
– Documento informatico sottoscritto con firma
elettronica
– Documento informatico sottoscritto con firma
digitale o con altro tipo di firma qualificata
Valore giuridico del documento
informatico
Documento informatico non sottoscritto e
sottoscritto con firma elettronica c.d. semplice
L’idoneità del documento informatico a soddisfare il
requisito della forma scritta, è liberamente
valutabile in giudizio, tenuto conto delle sue
caratteristiche oggettive di qualità, sicurezza, integrità e
immodificabilità
Valore giuridico del documento
informatico
Documento informatico sottoscritto con firma
digitale o con altro tipo di firma elettronica
qualificata.
Il documento informatico sottoscritto con firma
elettronica qualificata o con firma digitale, in ogni
caso, idoneo a soddisfare il requisito della forma
scritta, anche nei casi nei quali quest’ultima è
prevista sotto pena di nullità
Valore probatorio del documento
informatico
Documento informatico non sottoscritto.
È quello stabilito dall’art. 2712 c.c., ossia quello delle
riproduzioni meccaniche, che formano piena prova
dei fatti e delle cose in esso rappresentate, a
condizione che il soggetto contro il quale è prodotto
non ne disconosca la conformità alle cose e ai fatti
stessi. (art. 23)
Valore probatorio del documento
informatico
Documento informatico sottoscritto con firma
elettronica c.d. semplice.
Il documento informatico, cui è apposta una firma
elettronica è liberamente valutabile in giudizio,
tenuto conto delle sue caratteristiche oggettive di
qualità, sicurezza, integrità e immodificabilità (art.
21)
Valore probatorio del documento
informatico
Documento informatico sottoscritto con firma
digitale o con altro tipo di firma elettronica
qualificata.
Ha l’efficacia prevista dall’art. 2702 c.c., quindi fa piena
prova fino a querela di falso della provenienza da
parte del firmatario. A tale rinvio l’art. 21 aggiunge
anche che l’utilizzo del dispositivo di firma si
presume riconducibile al titolare, salvo che questi
non dia prova contraria