“Firma Digitale
e Servizi di Certificazione”
a cura di:
Stefano Masiero
Area Associazioni e Professionisti
Firma digitale
Cos’è e a cosa serve
E’ la possibilità, riconosciuta e normata dal punto
di vista sia giuridico che tecnologico, di fare
proprio, cioè di firmare legalmente, un documento
informatico
Firma digitale
L’universo delle firme elettroniche
“Dati in forma elettronica
- allegati oppure connessi
tramite associazione logica ad altri dati elettronici - utilizzati
come metodo di autenticazione”
• Tecnologia
• Ente Certificatore
• Dispositivo
• Efficacia probatoria
Firma digitale
Al “top” delle firme elettroniche
La firma digitale è il tipo di firma elettronica
più sicura e che ha la maggiore efficacia probatoria
• è
fondata
sulla
CRITTOGRAFIA
ASIMMETRICA
• è garantita da un CERTIFICATORE
ACCREDITATO
(iscritto nell’elenco C.N.I.P.A.)
• è basata su un CERTIFICATO
QUALIFICATO
(conforme ai requisiti della direttiva
Firma digitale
La crittografia
disciplina dei sistemi segreti di scrittura cifrata, ovvero
scrittura segreta, che può essere letta solo se se ne conosce la chiave

Simmetrica (a chiave singola)
unica chiave per cifrare e decifrare

Asimmetrica (a doppia chiave, privata + pubblica)
coppia di chiavi correlate e indipendenti
Firma digitale
La crittografia asimmetrica
Ogni utente dispone di una coppia di chiavi ‘unica’:
chiave privata
(segreta e detenuta solo dal titolare)
1024 bits
chiave pubblica
(nota e accessibile a tutti)
1024 bits
Firma digitale
Proprietà della coppia di chiavi
• Non è possibile ricavare la chiave privata dalla
corrispondente chiave pubblica
• Solo ogni chiave della coppia consente di
sbloccare il codice dell’altra, cioè di effettuare
l’operazione inversa a quella ottenuta con l’altra
Firma digitale
Coppia di chiavi e Certificato digitale
Chiave
Pubblica
Chiave
Privata
Certificato digitale
di Sottoscrizione
ENTE
CERTIFICATORE
Registro dei
Certificati
Firma digitale
La firma digitale
E’ una delle possibili applicazioni del sistema crittografico a
chiavi asimmetriche:
• il soggetto firma il documento con la sua chiave privata
• chiunque può verificare la firma con la chiave pubblica
corrispondente
Vengono garantite:
l’autenticità della firma
(sicurezza della paternità del documento firmato)
l’integrità del documento
(certezza che il documento non sia stato alterato)
Firma digitale
Il certificato di Sottoscrizione
Subject Public Key Info:
Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit):
00:9c:f7:bb:3e:e8:f7:d7:d7:3b:42:5c:88:af:98:
25:15:ce:3c:28:f1:41:78:f7:8a:c0:87:87:b4:2e:
8d:a5:ac:df:b7:b3:3f:e4:bb:c6:c3:17:ca:67:aa: ce:19:0e:6f:a8:a4:ad:3a:ba:37:2a:8a:df:1e:a0:
9b:e4:54:e0:04:85:e8:93:f2:4b:41:6f:6c:61:a0:
1b:3c:81:9a:02:0b:0e:1f:35:a3:b9:42:c8:51:18:
e0:2d:93:9f:a1:fe:8f:f3:bc:e2:6e:2b:91:38:91:
29:43:85:ee:bd:fa:52:99:d9:fd:e8:bd:51:a0:69: 95:fc:24:d7:37:a2:65:da:7f Exponent: 65537
(0x10001)
Firma Digitale
Dispositivi di firma
“Apparati elettronici in grado di:
- conservare in modo protetto le chiavi private
- di generare al loro interno la firma digitale”
Crypto-box
Floppy disks
Hard disk
PC cards
Token
Firma digitale
Il dispositivo di firma: la smart card
È una carta elettronica “intelligente”





dotata di microprocessore
custodisce e rende
inaccessibile dall’esterno la
chiave privata
è fisicamente inattaccabile
esegue all’interno operazioni
di crittografia
richiede l’identificazione con
PIN per accedere alle
funzioni di firma
Firma digitale
Caratteristiche e proprietà
IN
TE
GR
IT
A’
N
NO
DE
I
I
UD
P
RI
O
DA
TI
A
’
TA
I
C
TI
N
E
UT
ID
E
DE NT
L F IFI
IR CA
MA ZI
TA ON
RI E
O
Firma digitale
Riferimenti normativi
Legge 15 marzo 1997 n. 59
(art. 15, comma 2)
D.P.R. 28 dicembre 2000 n. 445
(emendato dal D.P.R. 7/4/2003, n. 137)
D.P.C.M. 13 gennaio 2004
(àbroga il D.P.C.M. 8/2/1999 )
Normativa
Legge 15 marzo 1997 n. 59 (c.d. “Bassanini-1)
art. 15, comma 2
“Gli atti, dati e documenti formati dalla Pubblica
Amministrazione e dai privati con strumenti informatici
o telematici, i contratti stipulati nelle medesime forme,
nonché la loro archiviazione e trasmissione con strumenti
informatici sono validi e rilevanti a tutti gli effetti di
legge”
Normativa
Semplificazione della disciplina in
materia di Registro Imprese
• D.P.R. 14 dicembre 1999, n.558
• Legge 24 novembre 2000, n. 340, art. 31
Le denunce e gli atti presentati all’ufficio del Registro
delle Imprese, ad esclusione di quelle presentate dagli
imprenditori individuali…, sono inviate per via telematica
ovvero presentate su supporto informatico”
Normativa
Direttiva 1999/93/CE
del Parlamento Europeo e del Consiglio
Art. 2
Definizioni di firma elettronica
• Firma elettronica
dati in forma elettronica, allegati oppure connessi tramite associazione
logica ad altri dati elettronici ed utilizzata come metodo di autenticazione
• Firma elettronica avanzata
una firma elettronica che soddisfi i seguenti requisiti:
• essere connessa in maniera unica al firmatario
• essere idonea ad identificare il firmatario
• essere creata con mezzi sui quali il firmatario può conservare il
proprio controllo esclusivo
• essere collegata ai dati cui si riferisce in modo da consentire
l'identificazione di ogni successiva modifica di detti dati
Normativa
Direttiva comunitaria
Art. 2 e allegati I-II
Certificato qualificato
Un attestato elettronico, rilasciato da un prestatore di
servizi di certificazione qualificati, che collega i dati di
verifica della firma ad una persona, conferma l’identità di tale
persona, e che include:
• estremi del prestatore di servizi di certificazione
• inizio e termine del periodo di validità del certificato
• nome ed eventuale attributo del firmatario
• codice d’identificazione del certificato
• dati per la verifica della firma
• firma elettronica avanzata del prestatore di servizi
Normativa
Il Testo Unico (D.P.R. 28/12/2000 n. 445)
Disposizioni legislative e regolamentari
in materia di documentazione amministrativa
Obiettivo: riordinare la normativa in materia di firma
digitale, documentazione elettronica ed amministrativa, in
base ai criteri e princìpi indicati dalla legge 8/3/99 n.50
(sulla predisposizione dei Testi Unici)
• riprende e ingloba il DPR 513/97 (Regolamento attuativo)
• prevede l’applicazione del DPCM 13/01/04 (Regolamento tecnico)
• emendato da D.Lgs. 10/2002 e D.P.R. 137/2003
Normativa
Il T.U. (D.P.R. 28/12/2000 n. 445)
Art. 1 - n)
Definizione di Firma Digitale
“E’ un particolare tipo di firma elettronica qualificata
basata su un sistema di chiavi asimmetriche a
coppia, una pubblica e una privata, che consente al
titolare tramite la chiave privata e al destinatario tramite la
chiave pubblica, rispettivamente, di rendere manifesta e di
verificare la provenienza e l'integrità di un documento
informatico o di un insieme di documenti informatici”
Normativa
Il T.U. (D.P.R. 28/12/2000 n. 445)
Art. 10
Forma ed efficacia del documento informatico
1. Il documento informatico ha l’efficacia probatoria
prevista dall’art. 2712 del c.c., riguardo ai fatti ed alle cose
rappresentate.
2. Il documento informatico, sottoscritto con firma
elettronica, soddisfa il requisito legale della forma
scritta.
Normativa
Il T.U. (D.P.R. 28/12/2000 n. 445)
Art. 10
Forma ed efficacia del documento informatico
3. Il documento informatico, sottoscritto con firma
digitale (o altro tipo di firma qualificata), fa piena
prova, fino a querela di falso, della provenienza delle
dichiarazioni da chi l’ha sottoscritto.
4. Al documento informatico, sottoscritto con firma
elettronica, in ogni caso non può essere negata
rilevanza giuridica né ammissibilità come mezzo di
prova...
Normativa
Il T.U. (D.P.R. 28/12/2000 n. 445)
Art. 27-28
Certificazione delle chiavi
Le attività di certificazione qualificata sono effettuate da
Certificatori inclusi … in apposito elenco pubblico,
consultabile in via telematica, predisposto e tenuto
aggiornato a cura del C.N.I.P.A., e dotati dei seguenti
requisiti:
• forma di società e capitale sociale...
• possesso requisiti di onorabilità...
• competenza responsabili tecnici e personale...
• qualità dei processi e prodotti informatici...
Normativa
Il T.U. (D.P.R. 28/12/2000 n. 445)
Art. 29
Vigilanza sull’attività di certificazione
• La Presidenza del Consiglio dei Ministri - Dipartimento
per l'innovazione e le tecnologie, svolge funzioni di
vigilanza e controllo sull'attività di certificazione
• Il Dipartimento per l'innovazione e le tecnologie provvede
al controllo periodico dei certificatori accreditati
Normativa
Il T.U. (D.P.R. 28/12/2000 n. 445)
Art. 38
Modalità di invio e sottoscrizione delle istanze
Le istanze e le dichiarazioni inviate per via telematica
alla Pubblica Amministrazione sono valide:
• se sottoscritte mediante la firma digitale, basata su di
un certificato qualificato, rilasciato da un certificatore
accreditato, e generata mediante un dispositivo per la
creazione di una firma sicura;
• ovvero quando l’autore è identificato dal sistema
informatico con l’uso della carta d’identità elettronica o
della carta nazionale dei servizi” .
Firma digitale
Valore del documento informatico
… non sottoscritto, ha l’efficacia probatoria
prevista dall’art. 2712 del c.c., riguardo ai
fatti ed alle cose rappresentate.
… sottoscritto con firma elettronica generica,
soddisfa il requisito legale della forma scritta.
… sottoscritto con firma digitale (o altro tipo di
firma qualificata), fa piena prova, fino a querela di
falso, della provenienza delle dichiarazioni da chi
l’ha sottoscritto (art. 2702 del c.c. - stessa validità
giuridica di una firma autografa autenticata da un
pubblico ufficiale)
Firma digitale
Confronto
FIRMA AUTOGRAFA
Riconducibile al soggetto
direttamente
Legata al documento
attraverso il supporto fisico
Verifica diretta e soggettiva
(attraverso il campione)
FIRMA DIGITALE
Riconducibile al soggetto solo
attraverso il possesso di un segreto
Legata indissolubilmente
al contenuto del documento
Verifica indiretta e oggettiva
(tramite una Terza Parte Fidata)
Facilmente falsificabile,
ma il falso è riconoscibile
Non falsificabile senza conoscere il
segreto, ma falso irriconoscibile
In caso di disconoscimento,
l’onere della prova della non autenticità
spetta al titolare della firma
In caso di disconoscimento,
l’onere della prova dell’autenticità
spetta ai terzi
Firma digitale
Da chi è garantita
Enti Certificatori - “Terze Parti Fidate”
accreditate e riconosciute per legge
• verificano l’identità dei titolari
• gestiscono l’attività tecnologica
• rilasciano i dispositivi di firma (s-c)
• pubblicano i certificati digitali
• sospendono o revocano i certificati
“compromessi”
Firma digitale
Gli Enti Certificatori Accreditati
• 06.04.2000 - INFOCAMERE S.C.p.A (Camere di Commercio)
• 20.04.2000 - POSTECOM S.p.A. (Poste Italiane)
• 15.03.2001 - CENTRO TECNICO per la R.U.P.A.
• 22.03.2001 - IN.TE.S.A. S.p.A. (Ibm)
• 07.06.2001 - TRUST ITALIA S.p.A. (VeriSign)
• 15.11.2001 - CEDACRI S.p.A. (Casse di Risparmio e altre banche)
• 28.03.2002 - ACTALIS S.p.A. (ex SIA, SSB, BNL, SECETI)
• 12.09.2002 - CONSIGLIO NAZIONALE DEL NOTARIATO
• 10.04.2003 - COMANDO TRASMISSIONI E INFORMAZ. (Esercito Italiano)
• 11.12.2003 - CONSIGLIO NAZIONALE FORENSE
• 26.02.2004 - SOGEI S.p.A.
• 08.04.2004 - SANPAOLO IMI S.p.A.
• 03.08.2004 - BANCA MONTE DEI PASCHI DI SIENA S.p.A.
• 17.08.2004 - LOMBARDIA INTEGRATA S.p.A.
• 09.09.2004 - BANCA INTESA S.p.A.
• 09.09.2004 - BANCA DI ROMA S.p.A.
• 13.01.2005 - I.T. TELECOM S.R.L. (già Saritel S.p.A. e Telecom S.p.A.)
Firma digitale
Il sito: www.card.infocamere.it
Firma digitale
Come si ottiene e come si usa
Ci si rivolge ad un Ente
Certificatore accreditato
( elenco su www.cnipa.it )
Occorrono
• Personal computer
• Lettore di smart card
• Software di firma
Servizi di Certificazione
Altri certificati digitali
Certificato di Ruolo
permette, oltre a quanto previsto per il certificato di
sottoscrizione:

la specificazione di funzioni, titoli o abilitazioni
professionali e poteri di rappresentanza
Certificato di Autenticazione
permette:


di firmare la propria posta elettronica (S/MIME)
la connessione sicura con un sito web lato client (SSL3)

di autenticarsi ai siti web per identificazione (Ex user/pwd)
Certificato Web Server
permette:

l’autenticazione sicura di un sito web lato server (SSL3)
Certificato CodeSigning
permette:

la verifica della firma apposta su oggetti software
Servizi di Certificazione
Gli Uffici di Registrazione
oltre 400 punti di distribuzione
• 103 Camere di Commercio
• Regioni, Province, Comuni
• Associazioni di Categoria
• Banche, Società di servizi
• Agenzie pratiche
• Ordini professionali
• Università
• U.L.S.S. e Aziende ospedaliere
Servizi di Certificazione
Qualche numero
distribuiti da InfoCamere, su smart card, più di
• 1.500.000 certificati di sottoscrizione
(firma digitale)
• 460.000 certificati di autenticazione
(strong authentication)
Dal 2003 ad oggi oltre
3.000.000 di pratiche
societarie telematiche
sono state inviate e verificate
nelle Camere di Commercio
“InfoCamere”
Società Consortile
di Informatica delle
Camere di Commercio
Italiane per azioni
Direzione Generale:
via G.B. Morgagni, 30H - 00161 Roma
Tel. 06/442851 Fax: 06/44285255
Sede Operativa:
Corso Stati Uniti, 14 - 35127 Padova
Tel. 049/8288111 Fax: 049/8288406
Sito Internet:
www.card.infocamere.it
www.infocamere.it
E-mail:
Call-center:
[email protected]
Tel. 199 / 763645