Informatica giuridica e Diritto dell’informatica (IUS 20)
Lezione 16
Firma digitale e firme elettroniche
il quadro normativo
L’Italia si è posta all’avanguardia nell’uso
legale della firma digitale, essendo il primo
paese ad avere attribuito piena validità
giuridica ai documenti elettronici.
a cura di Domenico Condello Avvocato del Foro di Roma
1
Informatica giuridica e Diritto dell’informatica (IUS 20)
Normativa di base
• Fin dal lontano 1997 l’articolo 15 della L. 59/97
stabilisce infatti che "gli atti, dati e documenti formati
dalla Pubblica amministrazione e dai privati con
strumenti informatici o telematici, i contratti stipulati
nelle medesime forme, nonché la loro archiviazione e
trasmissione con strumenti informatici, sono validi e
rilevanti a tutti gli effetti di legge".
a cura di Domenico Condello Avvocato del Foro di Roma
2
Informatica giuridica e Diritto dell’informatica (IUS 20)
Effetti della normativa
• In base a tale norma, un documento siglato con firma
digitale ha lo stesso valore del suo omologo cartaceo.
Le implicazioni sono notevoli anche per il settore
privato: dalla validità dei contratti on line alla
possibilità di emettere fatture commerciali o ordini di
acquisto.
La normativa pre-direttiva sulla firma digitale, la
firma elettronica e la conservazione del documento
elettronico, prevedeva un’unica tipologia di
certificato, di certificatore e di firma digitale.
a cura di Domenico Condello Avvocato del Foro di Roma
3
Informatica giuridica e Diritto dell’informatica (IUS 20)
La direttiva CEE
• Con il recepimento della Direttiva 1999/93/CE e l’emanazione
del D. lgs n. 10/02 e del DPR 7 aprile 2003 n. 137, il quadro
normativo di riferimento ha subito una profonda
trasformazione; in particolare, l’articolo 6 del decreto di
recepimento ha modificato l’articolo 10 del DPR n. 445/00,
stabilendo che il documento informatico (da intendersi, ai
sensi del Testo unico del 2000, come la rappresentazione
informatica di atti, fatti o dati giuridicamente rilevanti e,
quindi, non recante alcuna sottoscrizione elettronica), ha
l’efficacia probatoria prevista dall’articolo 2712 del codice
civile.
a cura di Domenico Condello Avvocato del Foro di Roma
4
Informatica giuridica e Diritto dell’informatica (IUS 20)
Art. 2712.riproduzioni meccaniche
• 1. Le riproduzioni fotografiche o cinematografiche, le
registrazioni otografiche e, in genere, ogni altra
rappresentazione meccanica di fatti e di cose formano
piena prova dei fatti e delle cose rappresentate, se
colui contro il quale sono prodotte non ne disconosce
la conformita` ai fatti o alle cose medesime.
a cura di Domenico Condello Avvocato del Foro di Roma
5
Informatica giuridica e Diritto dell’informatica (IUS 20)
Il Codice dell’amministrazione digitale
• Con l'entrata in vigore del Codice
dell'amministrazione digitale (gennaio 2006),
attraverso il Decreto legislativo 7 marzo 2005, n. 82,
il valore probatorio del documento informatico ha
subito una ulteriore modifica, difatti con il comma 2
dell'articolo 21, come modificato dal D.Lgs. 4 aprile
2006, n. 159, è stabilito che "Il documento
informatico, sottoscritto con firma digitale o con un
altro tipo di firma elettronica qualificata, ha
l'efficacia prevista dall'articolo 2702 del codice
civile.
a cura di Domenico Condello Avvocato del Foro di Roma
6
Informatica giuridica e Diritto dell’informatica (IUS 20)
Art. 2702.efficacia della scrittura privata
• 1. La scrittura privata fa piena prova, fino a querela di
falso, della provenienza delle dichiarazioni da chi l'ha
sottoscritta, se colui contro il quale la scrittura e`
prodotta ne riconosce la sottoscrizione, ovvero se
questa e` legalmente considerata come
riconosciuta.
L'utilizzo del dispositivo di firma si presume
riconducibile al titolare, salvo che questi dia prova
contraria. ".
a cura di Domenico Condello Avvocato del Foro di Roma
7
Informatica giuridica e Diritto dell’informatica (IUS 20)
Le firme elettroniche
tre tipologie di firma:
firma elettronica
firma elettronica qualificata
firma digitale
a cura di Domenico Condello Avvocato del Foro di Roma
8
Informatica giuridica e Diritto dell’informatica (IUS 20)
firma elettronica
• firma elettronica: l'insieme dei dati in forma
elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici,
utilizzati come metodo di identificazione
informatica.
Codice dell’amministrazione digitale (DLgs 82/05)
a cura di Domenico Condello Avvocato del Foro di Roma
9
Informatica giuridica e Diritto dell’informatica (IUS 20)
Firma elettronica qualificata
• firma elettronica qualificata: la firma elettronica
ottenuta attraverso una procedura informatica che
garantisce la connessione univoca al firmatario, creata
con mezzi sui quali il firmatario può conservare un
controllo esclusivo e collegata ai dati ai quali si
riferisce in modo da consentire di rilevare se i dati
stessi siano stati successivamente modificati, che sia
basata su un certificato qualificato e realizzata
mediante un dispositivo sicuro per la creazione della
firma.
Codice dell’amministrazione digitale (DLgs 82/05)
a cura di Domenico Condello Avvocato del Foro di Roma
10
Informatica giuridica e Diritto dell’informatica (IUS 20)
Firma digitale
• firma digitale: un particolare tipo di firma elettronica
qualificata basata su un sistema di chiavi
crittografiche, una pubblica e una privata, correlate
tra loro, che consente al titolare tramite la chiave
privata e al destinatario tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di verificare la
provenienza e l'integrità di un documento informatico
o di un insieme di documenti informatici.
Codice dell’amministrazione digitale (DLgs 82/05)
a cura di Domenico Condello Avvocato del Foro di Roma
11
Informatica giuridica e Diritto dell’informatica (IUS 20)
Valore probatorio
21. Valore probatorio del documento informatico sottoscritto.
apposizione della firma elettronica
• 1. Il documento informatico, cui è apposta una firma
elettronica, sul piano probatorio è liberamente
valutabile in giudizio, tenuto conto delle sue
caratteristiche oggettive di qualità, sicurezza, integrità
e immodificabilità.
a cura di Domenico Condello Avvocato del Foro di Roma
12
Informatica giuridica e Diritto dell’informatica (IUS 20)
Sottoscrizione
Sottoscritto con firma digitale
• 2. Il documento informatico, sottoscritto con
firma digitale o con un altro tipo di firma
elettronica qualificata, ha l’efficacia prevista
dall’articolo 2702 del codice civile. L’utilizzo
del dispositivo di firma si presume
riconducibile al titolare, salvo che questi dia la
prova contraria.
a cura di Domenico Condello Avvocato del Foro di Roma
13
Informatica giuridica e Diritto dell’informatica (IUS 20)
Firma digitale.
Firma digitale.
• 1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed
al documento o all’insieme di documenti cui è apposta o associata.
• 2. L’apposizione di firma digitale integra e sostituisce l’apposizione di
sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni
fine previsto dalla normativa vigente.
• 3. Per la generazione della firma digitale deve adoperarsi un certificato
qualificato che, al momento della sottoscrizione, non risulti scaduto di
validità ovvero non risulti revocato o sospeso.
• 4. Attraverso il certificato qualificato si devono rilevare, secondo le regole
tecniche stabilite ai sensi dell’articolo 71, la validità del certificato stesso,
nonché gli elementi identificativi del titolare e del certificatore e gli
eventuali limiti d’uso.
a cura di Domenico Condello Avvocato del Foro di Roma
14
Informatica giuridica e Diritto dell’informatica (IUS 20)
Firma autenticata.
Firma autenticata.
• 1. Si ha per riconosciuta, ai sensi dell’articolo 2703 del codice civile, la
firma digitale o altro tipo di firma elettronica qualificata autenticata dal
notaio o da altro pubblico ufficiale a ciò autorizzato.
• 2. L’autenticazione della firma digitale o di altro tipo di firma elettronica
qualificata consiste nell’attestazione, da parte del pubblico ufficiale, che la
firma è stata apposta in sua presenza dal titolare, previo accertamento della
sua identità personale, della validità del certificato elettronico utilizzato e
del fatto che il documento sottoscritto non è in contrasto con l’ordinamento
giuridico.
• 3. L’apposizione della firma digitale o di altro tipo di firma elettronica
qualificata da parte del pubblico ufficiale ha l’efficacia di cui all’articolo
24, comma 2.
• 4. Se al documento informatico autenticato deve essere allegato altro
documento formato in originale su altro tipo di supporto, il pubblico
ufficiale può allegare copia informatica autenticata dell’originale, secondo
le disposizioni dell’articolo 23, comma 5.
a cura di Domenico Condello Avvocato del Foro di Roma
15
Informatica giuridica e Diritto dell’informatica (IUS 20)
Certificato revocato scaduto
Certificato revocato scaduto
• 3. L’apposizione ad un documento informatico di una firma
digitale o di un altro tipo di firma elettronica qualificata basata
su un certificato elettronico revocato, scaduto o sospeso
equivale a mancata sottoscrizione.
• La revoca o la sospensione, comunque motivate, hanno effetto
dal momento della pubblicazione, salvo che il revocante, o chi
richiede la sospensione, non dimostri che essa era già a
conoscenza di tutte le parti interessate.
a cura di Domenico Condello Avvocato del Foro di Roma
16
Informatica giuridica e Diritto dell’informatica (IUS 20)
Certificati
Definizioni (DLgs 82/05)
• e. certificati elettronici: gli attestati elettronici che
collegano all’identità del titolare i dati utilizzati per
verificare le firme elettroniche;
• f. certificato qualificato: il certificato elettronico
conforme ai requisiti di cui all’allegato I della
direttiva 1999/93/CE, rilasciato da certificatori che
risponde ai requisiti di cui all’allegato II della
medesima direttiva;
a cura di Domenico Condello Avvocato del Foro di Roma
17
Informatica giuridica e Diritto dell’informatica (IUS 20)
Obblighi fiscali
Obblighi fiscali del documento informatico
• 5. Gli obblighi fiscali relativi ai documenti
informatici ed alla loro riproduzione su diversi tipi di
supporto sono assolti secondo le modalità definite con
uno o più decreti del Ministro dell’economia e delle
finanze, sentito il Ministro delegato per l’innovazione
e le tecnologie.
Circolare del 6 dicembre 2006
a cura di Domenico Condello Avvocato del Foro di Roma
18
Informatica giuridica e Diritto dell’informatica (IUS 20)
I certificati
Le norme continuano a contemplare due
tipologie di certificato
• Qualificato
• e non qualificato
a cura di Domenico Condello Avvocato del Foro di Roma
19
Informatica giuridica e Diritto dell’informatica (IUS 20)
Certificatori
Definizione ((DLgs 82/05)
• g. certificatore: il soggetto che presta servizi di
certificazione delle firme elettroniche o che
fornisce altri servizi connessi con queste
ultime
a cura di Domenico Condello Avvocato del Foro di Roma
20
Informatica giuridica e Diritto dell’informatica (IUS 20)
I certificatori
certificatore
Tre tipi:
• che rilascia certificati qualificati:
• accreditato o notificato;
• che rilascia certificati non qualificati.
a cura di Domenico Condello Avvocato del Foro di Roma
21
Informatica giuridica e Diritto dell’informatica (IUS 20)
Validità dichiarazioni
• Istanze e dichiarazioni inviate per via
telematica da e verso la PA sono valide se
sottoscritte mediante firma digitale basata su
un certificato qualificato rilasciato da un
certificatore accreditato e generata mediante
un dispositivo sicuro per la creazione di firme
elettroniche.
a cura di Domenico Condello Avvocato del Foro di Roma
22
Informatica giuridica e Diritto dell’informatica (IUS 20)
Alcuni esempi di applicazione della firma digitale:
A) Se X vuole inviare a Y un documento riservato
che soltanto Y possa leggere deve: prelevare la
chiave pubblica di Y e cifrare con essa il
documento; soltanto Y potrà decifrare il
documento utilizzando la sua chiave privata.
(In tal caso Y non sarà certo che il documento sia stato inviato
da X.)
a cura di Domenico Condello Avvocato del Foro di Roma
23
Informatica giuridica e Diritto dell’informatica (IUS 20)
……alcuni esempi di applicazione della firma digitale:
B) Se X vuole garantire a tutti che un documento
sia certamente suo deve: cifrare il documento
con la sua chiave privata;
coloro che vogliono vedere il documento lo possono
decifrare utilizzando la sua chiave pubblica essendo
così certi della sua autenticità.
(In tal caso il documento non è riservato.)
a cura di Domenico Condello Avvocato del Foro di Roma
24
Informatica giuridica e Diritto dell’informatica (IUS 20)
… alcuni esempi di applicazione della firma digitale
C) Se X vuole inviare a Y un documento riservato
che certamente sia suo deve: cifrare il documento
con la sua chiave privata e con la chiave pubblica
di Y.
(In tal caso chiunque utilizzi la sua chiave pubblica potrà vedere
che il documento è suo, ma soltanto Y potrà decifrarne il
contenuto.)
a cura di Domenico Condello Avvocato del Foro di Roma
25
Informatica giuridica e Diritto dell’informatica (IUS 20)
Come si verifica una firma digitale?
1. Chi riceve il messaggio firmato si procura il certificato del
mittente (spesso è in allegato al messaggio stesso) e, dopo
averne controllato la validità, ne estrae la chiave pubblica
che è contenuta.
2. Con la chiave pubblica il ricevente può decriptare la
firma digitale ed estrarre l’impronta che il mittente aveva
effettuato per il messaggio.
a cura di Domenico Condello Avvocato del Foro di Roma
26
Informatica giuridica e Diritto dell’informatica (IUS 20)
…..come si verifica una firma digitale?
3.Il ricevente confronta le 2 impronte, quella che ha appena
calcolato e quella estratta dalla firma digitale: se sono uguali
significa che il messaggio non è stato in alcun modo alterato
durante la spedizione.
4.Se l'operazione di crittografia per estrarre l’impronta riesce
significa che era stata criptata, al momento della spedizione,
con la chiave privata corrispondente a quella pubblica
contenuta nel certificato. Ciò garantisce l'identità del mittente.
a cura di Domenico Condello Avvocato del Foro di Roma
27
Informatica giuridica e Diritto dell’informatica (IUS 20)
Come si forma un messaggio digitale?
1) Il firmatario del documento applica un algoritmo di hashing sul
messaggio da firmare e si ottiene un’"impronta” digitale, ossia
una sequenza di bit di lunghezza fissa che ha diverse
caratteristiche che la rendono unica:
-la minima alterazione del messaggio produce un’impronta
diversa;
-è impossibile trovare un altro diverso messaggio che produca
la stessa impronta.
2) Il titolare della chiave privata, dopo aver prodotto l’impronta, lo
cripta con la propria chiave privata. Quella che si ottiene è la
firma digitale relativa a quello specifico messaggio.
a cura di Domenico Condello Avvocato del Foro di Roma
28