la firma digitale Tutto su... Normative Massimo Montanile (*) e Stefano Voci (**)

Normative

Massimo Montanile (*) e Stefano Voci (**)

Tutto su...

la firma ^digitale

(*) Lead Auditor ISO/IEC 27001 e Data Protection Officer (**) Progettista Software di Sistemi Elettronici Avanzati, Quality

Manager di Processo Sviluppo Software

“ La diffusione della firma digita- le può essere considerata uno dei simboli della digital transformation.

Sul tema si corre tuttavia il rischio di fare confusione perché esistono più tipi di firma e sono spesso citate impropria- mente. Cogliamo l’occasione della pub- blicazione del monitoraggio che l’agen- zia per l’Italia digitale (Agid) effettua sui dati forniti dai certificatori accreditati per fare un po’ di chiarezza.

L’innovazione tecnologica sta inducendo una profonda metamorfosi che velocemente modifica i processi di pro- duzione e di erogazione dei servizi delle organizzazioni pubbliche e private, ed incide profondamente sui modi in cui ci si relaziona. Sono ormai trascorsi due decenni dall’inizio del ventunesimo secolo e la tecnologia è in progressiva fusione con l’essere umano. Il cambiamen- to radicale che viene proposto muta profondamente la nostra essenza, tanto da rendere indispensabilmente piacevole ai più la convivenza con dispositivi connessi all’interno della nostra daily routine.¹

A tal proposito, la diffusione della firma digitale, entrata prepotentemente nella nostra daily routine, può essere considerata uno dei simboli della digital transforma- tion, testimonianza viva di un cambiamento culturale in piena sintonia con la vision nazionale, in quanto il

1 F. Montanile, M. Montanile, Un modello per la sicurezza dei dati personali nell’era digitale, Tab Edizioni, Ottobre 2020, https://www.tabedizioni.it/shop/product/un-modello-per-la- sicurezza-dei-dati-personali-nell-era-digitale-252

ducibilità all’autore⁶. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito del- la forma scritta e il suo valore probatorio sono libera- mente valutabili in giudizio, in relazione alle caratteri- stiche prima richiamate. [CAD - Art. 20 c.1-bis]

La Firma Elettronica (FE)

La Firma Elettronica è la più semplice fattispecie di sot- toscrizione informatica. Si tratta di una definizione di principio: solo in sede di giudizio, in relazione alle ca- ratteristiche di sicurezza, integrità e immodificabilità, saranno valutabili il valore probatorio e l’idoneità del documento informatico “sottoscritto” con firma elettro- nica al soddisfacimento del requisito della forma scritta.

Una mail ordinaria è un tipico esempio di FE.

La Firma Elettronica Avanzata (FEA)

La FEA è una firma elettronica che soddisfa i requisiti di cui all’articolo 26 del Regolamento eIDAS:

a) è connessa unicamente al firmatario;

b) è idonea a identificare il firmatario;

c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livel- lo di sicurezza, utilizzare sotto il proprio esclusivo controllo; e

d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

Un diffuso esempio di FEA è costituito dalla firma gra- fometrica utilizzata su tablet in molti contesti, tra i quali le banche e le assicurazioni.

La Firma Elettronica Qualificata (FEQ)

Anche la FEQ è definita nell’eIDAS e in particolare nel numero 12) dell’articolo 3. Costituisce la più forte istan- za di sottoscrizione informatica perché può essere uti- lizzata in ogni contesto in sostituzione della sottoscrizio- ne autografa, della quale è giuridicamente equivalente.

Con il Regolamento eIDAS dal 1 luglio 2016 è ricono- sciuta all’interno del Mercato europeo comune (MEC), essendo le regole tecniche comuni a tutti gli Stati mem- bri.

Per favorirne la diffusione si sono sviluppate delle parti- colari modalità di apposizione della FEQ come la firma remota e la firma automatica che, utilizzano dispositivi denominati Hardware Security Module (HSM). Il DPCM 22 febbraio 2013 li definisce come (articolo 1, comma 1, lettera p) “insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in gra- do di gestire in modo sicuro una o più coppie di chiavi

6 Nota del redattore: qui il Legislatore richiama in pratica lo SPID (Sistema Pubblico Identità Digitale).

nostro paese è stato il primo a definire le regole tecni- che della firma digitale (DPCM 8 febbraio 1999²), ripre- se poi a livello europeo nella legislazione comunitaria.

Sul tema delle firme digitali ed elettroniche si corre tut- tavia il rischio di fare confusione perché esistono più tipi di firma e sono spesso citate impropriamente. Co- gliamo l’occasione della pubblicazione del monitorag- gio che l’agenzia per l’Italia digitale (Agid) effettua sui dati forniti dai certificatori accreditati per fare un po’ di chiarezza e fornire una comoda chiave di lettura.

I riferimenti che useremo principalmente come fonti sono il Codice dell’Amministrazione Digitale (CAD³), il testo unico delle norme italiane riguardanti l’informa- tizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese, ed il Regolamento eIDAS⁴, che fornisce una base normativa comune per interazio- ni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni nell’Unione Europea.

Le definizioni contenute nel CAD sono state tutte sop- presse, quindi anche quelle di firma elettronica, firma elettronica avanzata e firma elettronica qualificata, per le quali valgono le definizioni di cui all’articolo 3 del Regolamento eIDAS.

Il documento informatico

Il documento informatico⁵ soddisfa il requisito della for- ma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una Firma Digita- le, altro tipo di Firma Elettronica Qualificata o una Firma Elettronica Avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attra- verso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documen- to e, in maniera manifesta e inequivoca, la sua ricon-

2 Regole tecniche per la formazione, la trasmissione, la conser- vazione, la duplicazione, la riproduzione e la validazione, an- che temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513.

3 Codice dell’Amministrazione Digitale (CAD), D.Lgs. 7 marzo 2005, n. 82, G.U. 16 maggio 2005, n. 112, S.O.

4 Regolamento eIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n° 910/2014 sull’identità digitale.

5 Per una trattazione esaustiva dal punto di vista giuridico del documento informatico si rimanda alla vasta letteratura in ma- teria; suggerisco l’ottimo e chiaro contributo di Paolo Tonini, L’evoluzione delle categorie tradizionali: il documento infor- matico, in Omnia Trattati Giuridici – Cybercrime diretto da A.

Cadoppi, S. Canestrari, A. Manna, M. Papa, pp. 1.307-1.328, UTET Giuridica, Vicenza, 2019.

casi il certificato di Firma Digitale è custodito da remoto dall’Ente certificatore qualificato⁷.

Il Sistema Pubblico di Identità Digitale - SPID Il 27 gennaio 2018 è entrato in vigore l’ultimo CAD, che ha introdotto una nuova fattispecie di formazione del documento informatico, che “è formato, previa iden- tificazione informatica del suo autore”. Si tratta prati- camente dello SPID, il Sistema Pubblico di Identità Di- gitale, che permette di accedere ai servizi online della Pubblica Amministrazione e dei soggetti privati aderen- ti con un’unica Identità Digitale (username e password) utilizzabile da computer, tablet e smartphone. Come sappiamo, l’utilizzo dello SPID è gratuito.

Le identità SPID erogate sono raddoppiate nei primi nove mesi del 2020, passando da circa 5,5 Milioni di identità rilasciate a gennaio a quasi 11 milioni a set- tembre⁸.

7 In Italia i certificatori qualificati per la fornitura di servi- zi fiduciari qualificati ai sensi dell’articolo 29 del CAD sono quei soggetti che rilasciano certificati qualificati a norma del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014 (eIDAS).

8 Vedi Indicatori AgID – “Identità SPID erogate” su https://

avanzamentodigitale.italia.it/it/progetto/spid - consultato il 12.10.2020

crittografiche”.

La Firma Digitale (FD)

La Firma Digitale è un particolare tipo di Firma Elettro- nica Qualificata. Essa è basata su una coppia di chiavi crittografiche di tipo asimmetrico (una pubblica e l’al- tra privata, sotto il controllo esclusivo del sottoscritto- re). Questa firma è utilizzata in tutti gli scenari di sot- toscrizione con il necessario valore probatorio. Essa è disconoscibile solo provando di non aver firmato: il sot- toscrittore ha l’onere della prova. Con il Regolamento eIDAS dal 1 luglio 2016 è di valore europeo e interope- rabile all’interno del mercato interno essendo le regole tecniche comuni a tutti gli Stati membri.

In particolare, la FD garantisce l’identità del sotto- scrittore (Autenticità), assicura che il documento non sia stato modificato dopo la sottoscrizione (Integrità) e attribuisce piena validità legale al documento firmato (Validità legale).

Nelle organizzazioni, i moderni sistemi documentali ECM – Enterprise Content Management - ormai inte- grano nei propri workflow la possibilità di apporre una Firma Digitale Remota (FDR), che consente di appor- re la firma digitale mediante una Otp (One time pas- sword). Rendendo più flessibile la soluzione. In questi

Le firme a confronto

Tipo di firma Cos’è Note

Firma Elettronica (FE) eIDAS, art.3 c.10

Dati in forma elettronica, acclusi oppu- re connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare

L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio⁹

Firma Elettronica Avanzata (FEA) eIDAS, art.3 c.11

È una firma elettronica che soddisfa i requisiti di cui all’articolo 26 del Rego- lamento eIDAS.

La FEA:

a) è connessa unicamente al firmatario;

b) è idonea a identificare il firmatario;

c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e

d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

(9) CAD - Art. 20 c.1-bis

Firma Elettronica Qualificata (FEQ) eIDAS, art.3 c.12

È una firma elettronica avanzata crea- ta da un dispositivo per la creazione di una firma elettronica qualificata e ba- sata su un certificato qualificato per fir- me elettroniche (un certificato di firma elettronica che è rilasciato da un pre- statore di servizi fiduciari qualificato)

La FEQ è giuridicamente equivalente alla sottoscri- zione autografa. In Italia i termini “Firma Elettronica Qualificata” e “Firma Digitale” sono sinonimi. Dal 2016 è riconosciuta in tutti i paesi europei¹⁰.

La norma italiana (CAD) stabilisce che “l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”, prevedendo quindi, per la sola FEQ o Firma Digitale o Firma Digitale Remota, l’inver- sione dell’onere probatorio a carico del titolare del dispositivo di firma, che deve fornire la prova di non averlo utilizzato.

Firma Digitale (FD) e Firma Digitale

Remota (FDR) eIDAS, art.3 c.12

Particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la prove- nienza e l’integrità di un documento informatico.

L’utilizzo della firma digitale richiede una business key o una smart card (una carta simile alla carta di credito), mentre per apporre un firma digitale remota è sufficiente una OTP (One Time Password), generata attraverso un apposito dispositivo (Token o, più spesso, app per Smartphone).

In Italia i termini “Firma Elettronica Qualificata” e

“Firma Digitale” sono sinonimi. Sia l’una che l’altra costituiscono l’equivalente elettronico di una tradizio- nale firma autografa apposta su carta.

La firma digitale o la FEQ apposta su un documento elettronico ne garantisce validità, integrità, autentici- tà e la non ripudiabilità.

La firma digitale, avendo valore legale, può essere usata per sottoscrivere documenti tra privati, come contratti e fatture, oltre che per i documenti della PA.

Il suo funzionamento si basa infatti sui principi fon- damentali di sicurezza, integrità e immodificabilità del documento e la sua riconducibilità all’autore, in quanto assicura l’identità di chi firma un documento e che i documenti firmati non siano stati modificati dopo la firma, assicurando anche che un documento così sottoscritto non potrà essere “disconosciuto” da chi l’ha firmato.

Valore delle firme elettroniche

Abbiamo visto che esistono vari tipi di firma elettronica; esse non sono tutte uguali: qual’è il loro reale valore? In effetti i documenti informatici hanno una diversa efficacia giuridica a seconda del tipo di firma elettronica che viene utilizzato.

Tipo di firma Esempi di applicazione Valore giuridico

Firma Elettronica eIDAS, art.3 c.10;

• Mail ordinaria

• Avanzamento/Rifiuto task nei workflow interni ai sistemi aziendali tipo ERP, PLM, CRM, ECM

• et similia

L’idoneità del documento informatico a

soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio

Firma Elettronica Qualificata (FEQ) eIDAS, art.3 c.12

• Cfr. Firma Digitale

La FEQ è giuridicamente equivalente alla sottoscrizione autografa. La norma italiana (CAD) stabilisce che l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria, prevedendo quindi l’inversione dell’onere probatorio a carico del titolare del dispositivo di firma, che deve fornire la prova di non averlo utilizzato.

(10) Regolamento UE n° 910/2014 – eIDAS

Firma Elettronica Avanzata (FEA) eIDAS, art.3 c.11

• firma grafometrica su tablet (Banca, Assicurazione)

• PEC¹¹

L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.

L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice.⁴ Infatti, La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all’art. 55, comma 2, lettera a).¹²

Firma Digitale (FD) e Firma Digitale Remota (FDR)

eIDAS, art.3 c.12

• Sottoscrizione di contratti, di

dichiarazioni o atti amministrativi nel pubblico e nel privato

La FD e la FDR sono giuridicamente equivalenti alla sottoscrizione autografa

Conclusioni

La Firma Digitale è l’equivalente informatico di una tradizionale firma autografa apposta su carta ed il suo utilizzo permette di sfruttare appieno i vantaggi della trasformazione digitale in atto nel paese, consentendo di snellire significativamente i rapporti tra Pubbliche Amministrazioni, cittadini e imprese, riducendo drasti- camente la gestione in forma cartacea dei documenti.

Tant’è che alcune soluzioni di Firma Digitale integrano l’accesso ai servizi online della Pubblica Amministra- zione.

I dati del recente report sul monitoraggio dell’Agenzia per l’Italia Digitale (Agid) dimostrano il successo della firma digitale in Italia, con oltre tre miliardi di firme digitali remote generate nel 2019 e venti milioni di di- spositivi attivi.

Quanta strada è stata percorsa dal lontano 2008, anno in cui solo in 5 avevano creduto nella firma digitale re- mota…

Per completezza, l’apposizione di una firma median- te l’immagine della firma autografa costituisce più un fatto estetico in quanto non ha valore legale, ma può essere utilizzata per comunicare la propria approvazio- ne. Spesso sui documenti (nell’area riservata alla fir- ma) compare, accanto al riferimento di chi ha redatto/

approvato il testo contenuto, la dicitura “documento firmato digitalmente” (o diciture equivalenti), eventual- mente la funzione/ruolo, nome e cognome “in chiaro”

dell’autore, seguiti dalla scansione della firma autogra- fa. Quest’ultimo elemento ha solo funzione “estetica” e non ha alcun valore probatorio. Ad esempio i comuni- cati organizzativi, spesso gestiti nei sistemi ECM, reca- no in calce l’immagine della firma del Direttore a scopo estetico, in quanto la validità della firma elettronica è garantita dal workflow dell’ECM e dal suo sistema di au- tenticazione che autorizza chi può agire nel ciclo firma.

(11) In Italia la PEC (Posta Elettronica Certificata) è equiparata a una raccomandata con ricevuta di ritorno (DPR 11 Febbraio 2005 n. 68). Non è riconosciuta in Europa.

(12) DPCM 22 febbraio 2013 - Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, com- ma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71. (13A04284) (GU Serie Generale n.117 del 21-05-2013)

Appendice: CRITTOGRAFIA

Stefano Voci

Principi

La Crittografia è la tecnica di nascondere le informazioni, anche se qualsiasi algoritmo crittografico è violabile.

Un semplice esempio di crittografia è il “Cifrario di Cesare” (cifrario a sostituzione o a scorrimento), in cui ogni lettera del testo in chiaro è sostituita nel testo cifrato dalla lettera che si trova un certo numero di posizioni dopo nell’alfabeto.

Nel caso particolare, il “Cifrario di Cesare” utilizzava uno spostamento di 3 posizioni (la chiave era dunque 3), come mostrato nella seguente Figura:

Figura 1 - Schema del Cifrario di Cesare

Come si nota, si effettua uno “shift” di 3 caratteri nell’alfabeto rispetto alle lettere del testo originale.

Un altro modo per cifrare un messaggio è avere una tabella di corrispondenza per ciascuna lettera del testo originale con una lettera del testo cifrato.

Cifratura Simmetrica

Nella Cifratura Simmetrica i due soggetti che comunicano tra loro hanno una chiave in comune che permette la ci- fratura e la decifratura. Deve però esserci un canale sicuro con cui si trasferisce la chiave al mittente e al destinatario:

Figura 2 - Cifratura/Decifratura Simmetrica

Cifratura Asimmetrica

La Cifratura Asimmetrica nasce dall’esigenza di rimuovere il vincolo di condividere una chiave attraverso un canale sicuro.

Chiave pubblica e chiave privata: chiunque può scrivere un messaggio cifrato utilizzando la chiave pubblica del de- stinatario, quest’ultimo ha una chiave privata con cui decodifica il messaggio. Le due chiavi sono strettamente correlate fra loro:

Figura 3 - Cifratura/Decifratura Asimmetrica

La cifratura asimmetrica fa uso appunto di due chiavi diverse per cifrare e decifrare i messaggi o documenti. Questo schema crittografico consente agli utenti di comunicare in maniera sicura attraverso un canale insicuro senza dover concordare in anticipo la chiave. Un algoritmo asimmetrico prevede che ogni utente abbia una coppia di chiavi: la chiave pubblica e la chiave privata, in relazione tra di loro, ma tali che non si posso ricavare l’una dall’altra. La chiave privata deve essere custodita dal proprietario mentre quella pubblica può essere distribuita senza restrizioni a patto che sia autenticata.

Se il mittente vuole inviare un documento riservato al destinatario, deve procurarsi una copia autenticata della chiave pubblica del destinatario (in pratica un certificato digitale di quest’ultimo) e con essa cifrare il messaggio. Il destinatario, dopo aver ricevuto il messaggio, lo decifra utilizzando la sua chiave privata che solo lui conosce. Questo schema garan- tisce la riservatezza del messaggio ma non la sua autenticità ossia che sia stato inviato dal mittente.

Funzioni Hash

Da un insieme di dati (insieme di bit) arbitrariamente grande si determina, tramite una funzione Hash, una stringa di un certo numero di bit (ad es. 160) che rappresenta in modo univoco l’insieme di bit in input alla funzione.

La funzione Hash ha tre proprietà, tutte richieste in ambito di crittografia:

- E’ crittograficamente sicura

- Data una Hash non è possibile risalire al documento che l’ha generata

- Resistenza alle collisioni in senso stretto (non esistono due documenti che hanno la stessa Hash)

Integrità e Autenticità

La verifica dell’integrità del messaggio trasmesso si ottiene tramite la funzione Hash applicata ad una chiave (in comu- ne tra mittente e destinatario, cioè la chiave pubblica) e al messaggio e viene aggiunta a quest’ultimo.

L’autenticità del mittente è garantita tramite la Firma Digitale.

Creazione di una Firma Digitale

Un utente che è in possesso di una chiave privata, può applicare la funzione Hash su un documento in chiaro e poi, tramite la chiave privata, decifra il risultato della funzione Hash, ottenendo la Firma Digitale:

Figura 4 - Creazione di una Firma Digitale

Tutto si basa sul fatto che l’Hash non sia invertibile e non generi collisioni, in modo tale che la Firma generata sia uni- voca per il solo documento su cui si applica l’Hash.

Per verificare che la Firma Digitale sia vera, si cifra con la chiave pubblica del mittente la Firma Digitale che accom- pagna il documento e il risultato deve essere uguale al risultato della funzione Hash applicata al documento in chiaro:

Figura 5 - Verifica di una Firma Digitale