La firma elettronica e firma digitale

La firma digitale: cos'è e come funziona
Firma elettronica, elettronica avanzata e digitale: vediamo quali sono le differenze
e come si possono apporre a un documento elettronico
Dal 1997 é l’anno in cui, grazie alla legge Bassanini, viene sancita la validità giuridica dei documenti
elettronici, è stata fatta molta strada nella diffusione dell’utilizzo della firma digitale.
Una spinta decisiva alla diffusione è stato certamente l’obbligo per le imprese di inviare gli atti societari al
Registro delle Imprese esclusivamente per via telematica, la qual cosa implica che le aziende dispongano
della smart card per apporre la firma digitale.
Di pari passo sta procedendo la diffusione anche all’interno della stessa pubblica amministrazione centrale,
visto che i dirigenti e i funzionari con potere di firma sono stati dotati di smart card.
E oltre alla PA e agli imprenditori, i notai, gli avvocati. l’arma dei carabinieri, il ministero dell’Economia e delle
Finanze e il ministero di Grazia e Giustizia sono tra i soggetti che attualmente ne trainano la diffusione. Ma a
cosa serve la firma digitale e come funziona?
Gli aspetti giuridici
Partiamo dalla legge: secondo l’articolo 15 della Legge n.59/97 “gli atti, dati e documenti formati dalla
Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle
medesime forme, nonchè la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti
a tutti gli effetti di legge”, vale a dire che un documento siglato con firma digitale ha lo stesso valore di
quello dotato di firma autografa. Nel 1997 era prevista per legge un solo tipo di firma digitale.
Attualmente, a seguito del recepimento di una direttiva europea in materia, vengono contemplate tre
tipologie di firma: la firma elettronica, la firma elettronica avanzata e la firma digitale. Vediamole nello
specifico.
La firma elettronica è lo strumento di autenticazione di dati elettronici: può essere realizzata con
qualsiasi strumento (password, PIN, digitalizzazione della firma autografa, tecniche biometriche e
così via).
La firma elettronica avanzata è ottenuta attraverso una procedura informatica (crittografia) che
garantisce la connessione univoca al firmatario e la sua univoca identificazione. I sistemi informatici
utilizzati permettono al firmatario di verificare se è avvenuta una qualsiasi modifica dei dati.
E arriviamo alla firma digitale propriamente detta (definita dall’articolo 1 del DPR 445/00) che è il
risultato di una procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a
coppia, una pubblica e l’altra privata, che consente al sottoscrittore, tramite la chiave privata, e al
destinatario, tramite la chiave pubblica, di rendere manifesta e di verificare la provenienza e
l’integrità di un documento informatico.
Il sistema di chiavi asimmetriche è certificato da un ente certificatore (Certification Authority, CA), che
può essere accreditato o non accreditato: entrambe le certificazioni, sia quelle rilasciate da un certificatore
accreditato, il cui elenco è pubblico ed è tenuto e aggiornato dal CNIPA (Centro Nazionale per l’Informatica
nella Pubblica Amministrazione: www.cnipa.gov.it) (oggi DigitPA), sia quelle rilasciate da certificatore non
accreditato hanno lo stesso valore giuridico.
L’unica differenza è che la Pubblica Amministrazione accetta solo documenti digitali muniti di firma rilasciata
da una CA certificata.
I certificatori accreditati sono quelli che hanno superato l’istruttoria di accreditamento e sono abilitati ad
operare come “terzi di fiducia”, ossia come coloro che ufficialmente possono associare l’identità di una
persona (il titolare della firma elettronica) ad una struttura dati riconosciuta da tutti (il certificato digitale di
firma) e rendere tale informazione disponibile pubblicamente con tecnologia a prova di frode (infrastruttura
a chiave pubblica PKI).
I certificatori non accreditati, per esercitare non hanno bisogno di certificazione preventiva ma sono soggetti
alla vigilanza del CNIPA.
Fino a questo punto ci siamo soffermati solo sugli aspetti prettamente giuridici. Ma per comprendere
pienamente il processo è importante analizzare anche gli aspetti tecnologici.
La firma digitale: cos'è e come funziona - parte 2
La tecnologia in campo
Come abbiamo già affermato, lo strumento tecnologico utilizzato per disporre di una firma digitale è la
crittografia, cioè un processo che altera il contenuto originario e leggibile di un testo attraverso
l'applicazione di algoritmi che trasformano il contenuto leggibile in un contenuto non leggibile o interpretabile,
senza l'utilizzo di strumenti idonei, cioè la conoscenza della chiave di cifratura.
La cifratura può essere di due tipi: simmetrica o a chiave privata e asimmetrica, o a chiave pubblica. Il
primo caso prevede di utilizzare una chiave nota solo al mittente e al destinatario. Il secondo caso prevede
l'utilizzo di una coppia di chiavi: quella privata, nota solo all'autore del messaggio, e quella pubblica, nota a
tutti.
Il processo di crittografia asimmetrica garantisce che il messaggio cifrato con la chiave privata può essere
messo in chiaro soltanto attraverso l'utilizzo della chiave pubblica.
Inoltre, da una tipologia di chiave (ad esempio pubblica) non si può risalire in alcun modo all'altra chiave
(quella privata).
L'algoritmo più diffuso è l'RSA (Rivest-Shamir e Adleman) che si basa su una lacuna computazionale: non
esiste un sistema veloce per scomporre in fattori primi numeri molto grandi (stiamo parlando di centinaia di
cifre).
Gli standard di riferimento per la crittografia sono emessi dall'RSA laboratories
(www.rsasecurity.com/rsalabs/pkcs) ed iniziano tutti con il prefisso PKCS. Attualmente ne esistono 15 e
vengono numerati: PKCS#1, PKCS#2... e via di seguito fino al numero 15.
La cifratura
Vediamo come avviene la cifratura. Il processo di cifratura, applicato a qualsiasi “stringa di caratteri”, cioè
qualsiasi documento anche molto esteso, restituisce una “stringa” di valori binari di lunghezza fissa (128 o
160 bit) chiamato hash (impronta).
Quando avviene la firma del documento, viene crittografato l'hash del documento attraverso la chiave privata
del mittente. Viene generata l'associazione documento-firma-certificato emesso dalla CA e si produce la
busta elettronica (envelope PKCS#7).
Il destinatario riceve la busta elettronica, separa il documento in chiaro dalla firma e calcola l'hash (con lo
stesso algoritmo del mittente) e ottiene il suo hash del documento.
Attraverso la chiave pubblica del mittente estrae l'hash generato dal mittente. Confronta le due impronte del
documento e se queste risultano identiche, il messaggio si deve ritenere integro.