La firma digitale è uno strumento che permette di scambiare in rete documenti informatici con validità legale. Essa deve riferirsi esclusivamente al suo titolare ed al documento cui è apposta. Possono dotarsi di firma digitale tutte le persone fisiche, rivolgendosi ai prestatori di servizi fiduciari qualificati.
IN BREVE
Indice
COS’È LA FIRMA DIGITALE?
La firma digitale è considerata uno strumento che permette la circolazione in rete di documenti con piena validità legale, ovvero, permette ai soggetti di firmare un documento tramite un apparecchio elettronico, velocizzando di molto le procedure! L’ordinamento giuridico italiano prevede quattro tipi di firma elettronica: la firma elettronica generica, la firma elettronica avanzata, la firma elettronica qualificata e la firma digitale; quest’ultima è un tipo di firma basato su un certificato qualificato rilasciato da un prestatore di servizi fiduciari, costruita da un sistema crittografico a doppia chiave. La firma digitale si propone di soddisfare tre esigenze all’interno del rapporto tra mittente e destinatario, l’autenticazione, ovvero che il destinatario possa verificare l’identità del mittente, il non ripudio, per il quale il mittente non può disconoscere un documento da lui firmato e infine l’integrità del documento. Una firma digitale ha la necessità di essere autenticata, ma come? Una firma per essere riconosciuta dev’essere autenticata dal notaio o da un altro pubblico ufficiale autorizzato a conferirgli validità, ma in che modo avviene? Il titolare della firma digitale la sottoscrive in presenza del pubblico ufficiale, che attesta in questo modo la sua veridicità. Il valore legale nel tempo della firma digitale dipende dal certificato dal quale è stata emessa.
Chi può dotarsi di una firma digitale? Tutte le persone fisiche; coloro che sono intenzionati a procurarsi una firma digitale devono rivolgersi ai prestatori di servizi fiduciari qualificati (vedremo chi sono nei prossimi paragrafi), degli enti pubblici o privati vigilati dall’Agenzia per l’Italia Digitale, che emettono dei certificati qualificati, necessari per ottenere la firma digitale. Attraverso il certificato dev’essere possibile rilevare la sua validità (poiché l’apposizione di una firma relativa a un certificato revocato o scaduto comporterebbe una mancata sottoscrizione), gli elementi identificativi sia del titolare della firma che del certificatore ed eventualmente i relativi limiti d’uso della firma. Una firma digitale è ritenuta valida anche se basata su un certificato qualificato erogato da un prestatore di servizi stabilito in uno stato non facente parte dell’Unione Europea, qualora però ricorra una di queste condizioni, ovvero, il certificatore deve possedere i requisiti conformi al Regolamento eIDAS e dev’essere qualificato in uno stato membro dell’UE, o il certificato o il certificatore hanno ottenuto il riconoscimento in forza di un patto stabilito tra l’Unione Europea e paesi terzi o organizzazioni internazionali, un’altra via, è che il certificato venga garantito da un certificatore stabilito all’interno dell’Unione Europea. Qual è l’obiettivo del Regolamento eIDAS? Questo ha come scopo finale la formazione di una base normativa comune ai paesi membri dell’Unione Europea, per aumentare la sicurezza delle interazioni elettroniche fra soggetti e l’incremento della sicurezza ed efficacia dei servizi elettronici. Concretamente, pone le condizioni alle quali gli stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche rientranti in una normativa di un altro stato membro e stabilisce le norme relative all’attività dei prestatori di servizi fiduciari qualificati. I costi di un dispositivo di firma o delle credenziali per la sottoscrizione remota sono variabili poiché dipendono dall’offerta del mercato e dal dispositivo, ma generalmente è di circa 30€+IVA, per entrambe le modalità.
COME VIENE GENERATA LA FIRMA DIGITALE?
La firma digitale viene creata grazie a un metodo chiamato ‘crittografia a doppia chiave’, un processo che garantisce totale sicurezza poiché permette di rilevare l’eventuale falsificazione o alterazione del messaggio. Quali sono i passaggi? Viene utilizzata una coppia di chiavi digitali: una privata, conosciuta solamente dal titolare, con cui si genera la firma digitale da apporre al documento e si può decifrare il contenuto dei messaggi, ed una pubblica, usata per verificare l’autenticità della firma e cifrare i messaggi da inviare. Per la generazione della firma è possibile percorrere due strade, la si può ottenere in ‘locale’, così viene generata da uno strumento in possesso del titolare, come una smartcard, per attivare questa procedura è necessario inserire un codice PIN, poi l’hash (l’hash è una funzione che dispone di proprietà adatte per l’uso nella crittografia) calcolato a partire dal documento viene inviato alla smartcard, la cui CPU (Central Processing Unit) firma l’hash utilizzando la chiave privata memorizzata al suo interno, restituendo l’hash firmato. In alternativa, da ‘remoto’, ovvero, la firma digitale viene creata utilizzando strumenti che consentono la produzione della firma su un dispositivo custodito dal certificatore, generalmente possono essere un dispositivo OTP, una chiavetta USB o un’applicazione.
Per ogni utente, le chiavi vengono create da un algoritmo che garantisce che la chiave privata sia l’unica a poter decifrare correttamente i messaggi cifrati con la chiave pubblica, ecco un esempio di questo processo: il mittente utilizza la chiave pubblica del destinatario per cifrare il messaggio da spedire, il destinatario riceve il documento cifrato e lo decifra con la chiave privata. Le estensioni dei file firmati elettronicamente sono .p7m per i formati CAdES, .PDF per i formati PAdES e .XML per i formati XAdES. Grazie alle proprietà delle chiavi, questo tipo di sistema a crittografia asimmetrica permette di ottenere anche dei documenti firmati in modalità inversa, ovvero la chiave privata è utilizzata per cifrare e quella pubblica per decifrare, qual è la procedura? Essendo la chiave pubblica di un utente l’unica in grado di poter decifrare i documenti cifrati con quella privata, un soggetto che ha intenzione di creare una firma per un documento potrebbe agire in questo modo, con l’ausilio di una funzione di hash ricava l’impronta digitale del documento, ovvero un file di piccole dimensioni che contiene un codice di controllo relativo al documento in questione, detto message digest, dopo ciò utilizza la propria chiave privata per cifrare l’impronta digitale ed il risultato di questa operazione sarà la firma. È questa l’unica procedura adottabile per generare una firma digitale? La risposta è no, poiché alcuni certificatori come Infocert e Namirial, hanno reso possibile ottenere la firma digitale utilizzando lo SPID come sistema di riconoscimento. Inoltre, Namirial fornisce un ulteriore servizio, ovvero la possibilità di utilizzare la firma una sola volta, la cosiddetta firma ‘usa e getta’.
Vulnerabilità della firma digitale
La vulnerabilità della firma digitale dipende dai metodi e dai dispositivi utilizzati per apporla. Una delle vulnerabilità più conosciute è quella legata alla smartcard, un dispositivo elettronico limitato dalla mancanza dei sistemi input/output, una lacuna che rende insicuro il processo di generazione della firma, influenzato anche dalla potenziale inaccuratezza del computer utilizzato per generare la firma. Il rischio è che alla fine il computer possa ricevere dalla smartcard una firma su un documento diverso da quello scelto dall’utente. Un’altra vulnerabilità scaturisce dalla possibilità per i documenti di contenere delle istruzioni e dei codici eseguibili, il problema in questo caso è che un documento contenente istruzioni è dinamico, cioè la visualizzazione del suo contenuto potrebbe dipendere dalle istruzioni date; possiamo considerare il caso di un contratto che include un valore che dipende dalla data di sistema, così che dopo questa data il valore sia modificato, la firma digitale non è però in grado di rilevare né il comportamento dinamico del documento né i suoi effetti legali, non garantendo l’integrità del documento. Un metodo suggerito per contrastare questa vulnerabilità consiste nel restringere i formati dei documenti a quelli che non supportano l’inclusione di istruzioni.
Sistema a crittografia asimmetrica
Gli elementi di una firma creata con il sistema a crittografia asimmetrica sono l’algoritmo per la generazione della chiave che sceglie una chiave privata partendo da un insieme di possibili valori e restituisce una coppia di chiavi, una privata con la quale firmare il documento e la corrispondente pubblica per verificare la firma, l’algoritmo di firma, che presi in input il messaggio e la chiave privata, calcola il codice hash del messaggio e lo crittografa con la chiave privata producendo la firma, e infine l’algoritmo di verifica, il quale prende in input il messaggio, la chiave pubblica e la firma e accetta o rifiuta la firma che compare nel messaggio. Formalmente, uno schema di una firma digitale è una tripla di algoritmi probabilistici in tempo polinomiale (prendiamo tre elementi G, S, V), ognuno con le sue proprietà: G è l’algoritmo generatore della chiave, crea una chiave pubblica, che chiamiamo pk, e la coincidente chiave privata, chiamandola sk, partendo da un valore in input 1n (1n rappresenta un sistema numerico unario, ovvero un sistema dove tutti i numeri interni sono rappresentati da un’unica cifra che rappresenta l’unità, ed n è il parametro di sicurezza), S è l’algoritmo di firma e restituisce un tag t, elaborando in input la chiave privata sk e una stringa x, e infine, V è l’algoritmo di verifica e valuta i valori dati in input per verificare se la firma sia autentica o meno. Il vantaggio del sistema crittografico è che rende incomprensibile il contenuto dei messaggi a chi non sia in possesso di una chiave per poterli interpretare, garantendone così la riservatezza.
CHI SONO I PRESTATORI DI SERVIZI FIDUCIARI QUALIFICATI?
I prestatori di servizi fiduciari qualificati sono degli enti che forniscono servizi per creare, verificare e convalidare delle autenticazioni informatiche. Come lo si diventa? Per poter svolgere l’attività di prestatore di servizi fiduciari qualificati, bisogna presentare la domanda all’Agenzia per l’Italia Digitale, essere una società di capitali (perciò o S.r.l. o S.p.A.) e avere delle caratteristiche conformi a quelle previste dal Regolamento eIDAS; ma non finisce qui, è infine necessario sottoporsi a una valutazione di conformità da parte degli organismi di valutazione, accreditati in Italia da ACCREDIA. La domanda di qualificazione può essere ritenuta accolta nel caso in cui entro 90 giorni dalla sua presentazione non venga comunicato il rifiuto. Come faccio a sapere se un ente è qualificato o meno? È molto semplice, al momento dell’accoglimento della domanda, il DigitPA provvede ad iscrivere il prestatore di servizi fiduciari qualificati all’interno di un elenco pubblico, quindi consultabile da chiunque.
Cosa succede in caso di cessazione dell’attività?
Cosa deve fare il prestatore di servizi fiduciari qualificati che intende cessare la propria attività? Esso è tenuto a comunicare all’agenzia per l’Italia digitale e ai titolari dei certificati da lui emessi le sue intenzioni, almeno sessanta giorni prima del giorno della cessazione, dovrà impegnarsi a garantire la conservazione delle documentazioni o perlomeno a depositarle presso l’AgID; nel caso in cui fosse possibile, dovrebbe indicare un prestatore sostituto che si impegni a rilevare le documentazioni, così da evitare la revoca dei certificati. Se non rispettasse queste regole? Il prestatore riceverebbe una sollecitazione da parte dell’AgID a compiere quelle azioni entro trenta giorni, dopo i quali sarà sanzionato. In caso di sanzione, a quanto ammonterebbe? La risposta non è sempre la stessa, dipende dalla gravità della violazione e dall’entità del danno provocato agli utenti, comunque, su una somma che oscilla tra i 40.000,00€ e i 400.000,00€. Le violazioni ritenute tendenzialmente più gravi sono quelle che mettono a rischio i diritti e gli interessi degli utenti e quelle relative a carenze organizzative e/o al processo per il quale agisce il fornitore di servizi. Talvolta, in questi casi appena menzionati, la sanzione potrebbe non fermarsi a prevedere il pagamento di una somma di denaro, l’agenzia per l’Italia digitale potrebbe decidere di cancellare il certificatore dall’elenco pubblico dei soggetti qualificati e negargli anche un successivo accreditamento, per un periodo fino a due anni.
Fonte
- Firma elettronica qualificata
Agenzia digitale per l’Italia - Sezione II. Firme elettroniche e certificatori
Codice dell’amministrazione digitale