Le firme elettroniche e digitali

Quando parliamo di firma elettronica, è utile sapere che non esiste solo una firma elettronica, ma il Codice dell’Amministrazione Digitale (CAD), ne ha definite quattro

  • La firma  elettronica è l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodi di identificazione
    Art. 1, c.1, lett. q)del Codice dell’Amministrazione Digitale.
  • La firma elettronica avanzata (Art. 1, c.1,  q.bis del CAD) è l’insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.
  • La firma elettronica qualificata (Art. 1, c.1,  r del CAD) è un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma.
  • La firma digitale (Art. 1, c.1,  r del CAD) è un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici; fruibilità di un dato: la possibilità di utilizzare il dato anche trasferendolo nei sistemi informativi automatizzati di un’altra amministrazione.

La firma digitale è, quindi, la manifestazione di un processo di calcolo che, a partire da un oggetto informatico, tipicamente un documento e da un insieme di informazioni associate ad una determinata persona (coppia di chiavi asimmetriche), produce un secondo oggetto informatico (il cosiddetto documento firmato) che attesta la volontà di tale persone nel sottoscrivere l’oggetto originario al quale è stato applicato il processo di firma.

Attraverso la firma digitale si attesta la volontà del titolare della chiave privata di sottoscrivere il documento informatico e di conseguenza di assumersi la piena responsabilità del suo contenuto. Tramite tale processo si attesta da una parte l’autenticità del mittente, dall’altra l’integrità del documento firmato e il cosiddetto principio del non ripudio che non permette di disconoscere quanto firmato.

Per chiavi digitali si intendono delle stringhe di testo che permettono di cifrare e decifrare un messaggio attraverso i processi della crittografia asimmetrica e cioè quel processo che permette di mascherare i dati rendendoli illeggibili se non si dispone, appunto, della chiave di decifratura.

La firma digitale è cosa totalmente diversa dalla digitalizzazione o scansione della firma autografa, ovvero la trasposizione in immagine della propria firma autografa. La procedura per la generazione di un documento firmato digitalmente può avvenire in maniera totalmente automatizzata e consta di varie fasi:

  • calcolo dell’impronta del documento.
  • esecuzione della cifratura dell’impronta del documento utilizzando la chiave privata.
  • inserimento del certificato rilasciato dall’Autorità di certificazione.
  • inserimento del documento in chiaro.
  • spedizione del tutto in una busta (formato standard PKCS#7) al destinatario.

Il destinatario per avere la certezza che il messaggio pervenuto sia autentico e integro effettua una procedura di verifica che consiste nelle fasi seguenti:

  • Aprire la busta
  • Accedere al certificato del mittente
  • Accedere ai servizi dell’Autorità di certificazione che ha rilasciato il certificato verificando che non vi siano atti di revoca o di sospensione nei confronti dello stesso.
  • Decodificare il messaggio con la chiave pubblica del mittente, ottenendo l’impronta del documento originario. Se l’operazione si conclude in maniera positiva, significa che il certificato è valido e che il messaggio ha come paternità il mittente (in quanto esistente e valido l’abbinamento chiave pubblica/privata).

Per garantire ulteriormente l’integrità del messaggio è necessario effettuare queste ulteriori operazioni:

  • Calcolare l’impronta del documento in chiaro allegato.
  • Confrontare l’impronta ottenuta con quella arrivata. Se l’operazione è positiva il documento non è stato manomesso ed è perfettamente corrispondente a quello che il mittente ha firmato.