Tratto dallo speciale:

Firme digitali e ruolo dei certificatori

di Cristina Liberti

Pubblicato 20 Giugno 2013
Aggiornato 28 Settembre 2023 18:50

Processi di e-business e garanzie sulle transazioni e gli atti commerciali: la firma digitale garantisce una risposta certa sulla provenienza dei documenti elettronici.

Nel nostro paese il legislatore si è mosso d’anticipo rispetto agli altri Paesi europei, e ha definito una normativa apposita per la firma digitale fin dal 1997, quando con la c.d. “Legge Bassanini”, veniva sancito che il documento informatico ha lo stesso valore legale di un documento cartaceo e che la firma digitale veniva equiparata a tutti gli effetti alla firma autografa.

=> Leggi di più sul valore legale della firma digitale

Nel tempo la normativa si è arricchita di vari contributi, fino all’ultimo DPCM pubblicato in Gazzetta Ufficiale n. 117 del 21 maggio 2013 con il quale si definiscono le nuove “Regole Tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici”.

=> Leggi il nuovo regolamento per la firma elettronica

Dal giugno 2003 per le aziende è scattato l’obbligo di inviare solo per via telematica gli atti societari al Registro delle Imprese delle Camere di Commercio. È stato il primo passo sancito per legge, volto a diffondere realmente l’utilizzo della firma digitale.

Hanno valore legale la corrispondenza, i contratti, gli ordini, ed in generale i documenti inviati per via telematica su cui viene apposta la firma digitale.

Firma digitale ed elettronica

Soffermiamoci un attimo sul concetto di firma digitale. Esiste una differenza tra firma digitale e firma elettronica? Forse perché alla base c’è comunque una sequenza di “bit”, molto spesso si ha la tendenza a confondere questi due tipi di firme, posti in calce ad un documento scambiato per via telematica.

In realtà si tratta di due cose molto diverse e che hanno valenze giuridiche assolutamente differenti.
La normativa stabilisce che con il termine firma elettronica si definisca semplicemente il fatto che qualcuno abbia apposto la propria firma, o anche uno pseudonimo, ad un certo documento in un determinato momento.

Questa è la firma elettronica debole, redatta senza rispettare requisiti tecnici e organizzativi di sicurezza previsti invece per quella digitale. Il documento redatto con questa firma è equiparato all’equivalente cartaceo, ma ai fini giuridici la sua efficacia probatoria sarà liberamente valutata dal giudice.

La confusione tra firma elettronica e firma digitale può insorgere dal fatto che la normativa ha nel tempo distinto fra tre tipi di firme elettroniche:

  • semplice descritta sopra,
  • avanzata, che identifica univocamente il firmatario e consente di individuare eventuali modifiche a un documento,
  • qualificata, una firma elettronica avanzata certificata e creata mediante un sistema sicuro per la creazione della firma.

Quindi la firma elettronica qualificata e la firma digitale sono praticamente equivalenti.

=> Scopri anche la nuova firma grafometrica

Il caso pratico è d’obbligo: i client di posta elettronica, se si utilizzano programmi come Outlook o Outlook Express, si è già in possesso di un sistema di firma digitale “debole”. Il client di posta, infatti, può creare dei messaggi di posta firmati digitalmente.

La procedura è semplice. Dal menu “Nuovo Messaggio”, File si seleziona Proprietà e quindi Protezione. Qui appare una finestra dove è possibile selezionare “Aggiungi firma digitale al messaggio” ed il gioco è fatto.

Nel caso non si fosse ancora possessori di una ID digitale, Outlook rimanda automaticamente all’area risorse, che mostra dove ottenerla.

VeriSign offre gratuitamente agli utenti di Outlook una ID digitale di prova per due mesi che potrà essere confermata allo scadere del periodo con normali pratiche commerciali.

=> Leggi la nuova normativa UE sulla Firma digitale

Certificati qualificati firma digitale

Altro valore ha la firma digitale: si tratta della trasformazione in digitale della firma tradizionale che comprova univocamente l’identità di chi ha apposto la firma stessa: questa è la firma digitale avanzata o forte, basata su certificati qualificati e creata con dispositivi sicuri. Si tratta di una firma valida per legge a tutti gli effetti soltanto per il fatto di essere stata apposta. Per disconoscerla, il titolare deve attivare il complesso procedimento della querela di falso.

In buona sostanza è costituita da una sequenza alfanumerica, una sorta di interpretazione digitale della firma digitale significa assicurare l’integrità del documento, ovvero garantire che, a partire dalla data che identifica il documento stesso, questo non è stato più modificato. La firma digitale associa il tempo al documento.

Ottenere la firma digitale

Come si può ottenere concretamente la firma digitale? Il titolare deve contattare la CA e quindi rispettare una serie di obblighi di legge rappresentati nel “manuale operativo” della CA, al fine di documentare la sua identità.

Al termine delle operazioni la persona che richiede il certificato di firma si ritrova in possesso di un kit composto da software, hardware e dal dispositivo di firma c.d. smart card o chiave USB.

Il primo passo sarà quello di installarlo nel suo PC. Quindi dovrà installare il software idoneo alla firma elettronica, perché senza di quello il certificato è perfettamente inutile. Alla fine il titolare del certificato digitale di firma elettronica potrà creare delle “envelope PKCS#7” c.d. file codificati con estensione che sono compatibili con null’altro che un software di firma simile, usato nella funzione di verifica. Il costo è di circa 75 euro.

Da un punto di vista pratico, infatti, il codice civile prevede che un documento informatico, inteso come fatti o dati giuridicamente rilevanti gestiti in forma esclusivamente elettronica (per esempio delle fatture):

  • non sottoscritto è considerato una mera riproduzione meccanica (una sorta di fotocopia),
  • sottoscritto con firma elettronica semplice equivale a un documento redatto per iscritto,
  • sottoscritto con firma elettronica avanzata o digitale ha la stessa valenza di un atto notorio.

=> Leggi di più sulla dematerializzazione

Disporre di una firma digitale è fondamentale qualora si decida di gestire ed archiviare tutta o parte della documentazione fiscale o giuridica inerente l’attività della propria impresa in formato elettronico.

In particolare, qualora si desideri attivare un processo di archiviazione dei documenti informatici, ogni volta che viene conclusa una catalogazione, la persona che gestisce l’archivio deve apporre la propria firma digitale corredata da una marca temporale, che associ inequivocabilmente data e ora alla firma stessa.

La medesima persona deve inoltre redigere un manuale del processo di conservazione che spieghi nel dettaglio le procedure seguite.

=> Scopri il ruolo della firma grafometrica nel processo di dematerializzazione

Il legislatore prevede che il supporto utilizzato per l’archiviazione dei documenti informatici debba assicurare la conservazione dei documenti. In questo senso, viene considerato ottimale il supporto ottico; non fa differenza se si tratti di Cd o Dvd.

Chiarite le differenze tra firma digitale e firma elettronica è opportuno provare a comprendere come funziona il sistema della firma digitale.

Crittografia

Per legge, la firma digitale deve utilizzare un sistema di crittografia a doppia chiave asimmetrica, composta da una chiave pubblica ed una privata, in quanto il sistema è in grado di garantire l’integrità e la provenienza dei documenti.

La crittografia è una tecnica di codificazione di messaggi basata su codici, tali da rendere ogni messaggio illeggibile se non da chi possiede la cosiddetta chiave del codice. Chi ha la chiave può cifrare e decifrare il messaggio.

Applicato ai documenti elettronici, questo sistema permette una trasmissione di documenti “segreta”. Tutto ciò fa nascere due problemi, uno di ordine pubblico e uno di natura commerciale. Infatti alcuni Paesi, Stati Uniti in testa, vedono la crittografia come un pericolo perché in grado di veicolare messaggi segreti, magari da parte di terroristi.

Inoltre, i problemi di tipo commerciale non si risolvono: in una transazione non è importante coprire il messaggio e renderlo visibile e modificabile soltanto al lettore. Al contrario, il messaggio può essere visibile da tutti, ma non deve essere modificabile da nessuno, ricevente compreso

Approfondisci => Contratti di appalto: stipula e trasmissione elettronica

La doppia chiave fa in modo che chi scrive il documento abbia una propria chiave di codifica privata e nota soltanto a lui con la quale può intervenire sul documento.

Poi esiste una chiave pubblica, mantenuta dalle autorità di certificazione (certification authority che garantisce la corrispondenza tra questa e l’identità del titolare a sua volta proprietario della seconda) e complementare alla chiave privata, che consente a chiunque la lettura ma non la modifica del documento.

Il sistema a doppia chiave asimmetrica garantisce la ragionevole certezza che il documento non possa essere modificato. Una firma elettronica apposta su documenti di tal genere definisce in maniera certa la paternità dello scritto. In questo modo il documento elettronico è parificato, dal punto di vista legale, a qualsiasi altro documento cartaceo sottoscritto dal mittente.

Certificatori accreditati

Abilitati a rilasciare la firma digitale, sono i certificatori accreditati CA presso l’Agenzia per l’Italia Digitale il cui elenco è pubblico e liberamente consultabile sul sito istituzionale.

A questo punto è chiaro che il ruolo chiave è svolto dai certificatori, i veri erogatori del servizio. Fino ad oggi questi erano iscritti, come si è visto, in un elenco pubblico tenuto dall’Agenzia per l’Italia Digitale.

Tale elenco comprende la lista delle società che hanno superato l’istruttoria di accreditamento e sono abilitate ad operare come “terzi di fiducia“, ossia come coloro che ufficialmente possono associare l’identità di una persona, il titolare della firma elettronica, ad una struttura dati riconosciuta da tutti (il certificato digitale di firma) nonché rendere tale informazione disponibile pubblicamente con tecnologia a prova di frode (infrastruttura a chiave pubblica, c.d. “PKI”).