|
La doppia chiave della firma
digitale
di Giusella
Finocchiaro
Le disposizioni
sulla sottoscrizione del documento
informatico raccolte nel testo unico
riproducono sostanzialmente quelle emanate
nel ’97.
L’esigenza di una normativa in materia è
stata avvertita soprattutto dalla pubblica
amministrazione per la trasmissione degli
atti nell’ambito della sua rete unitaria.
Un sistema di cifratura che si basa su una
coppia di codici
Alla firma digitale
sono dedicati gli articoli da 22 a 29 (capo
II, sezione V) del testo unico sulla
documentazione amministrativa. L'esigenza di
una nuova normativa su documento informatico
e firma digitale fu originariamente
avvertita dalla pubblica amministrazione,
per la trasmissione di documenti informatici
soprattutto nell'ambito della sua rete
unitaria. Le disposizioni emanate, tuttavia,
hanno carattere generale e si applicano
anche ai rapporti fra privati.
La normativa - Le norme su
firma digitale e documento informatico
riproducono quelle del Dpr 10 novembre 1997
n. 513 (Regolamento recante criteri e
modalità per la formazione, l'archiviazione
e la trasmissione di documenti con strumenti
informatici e telematici, a norma
dell'articolo 15, comma 2, della legge 15
marzo 1997 n. 59). Il principio che ne sta
alla base è quello della piena validità e
rilevanza a tutti gli effetti di legge delle
rappresentazioni informatiche, affermato
dall'articolo 15, comma 2, della legge
Bassanini 1. Questa dispone che «gli atti,
dati e documenti formati dalla pubblica
amministrazione e dai privati con strumenti
informatici e telematici, i contratti
stipulati nelle medesime forme, nonché la
loro archiviazione e trasmissione con
strumenti informatici, sono validi e
rilevanti a tutti gli effetti di legge».
L'attuazione di questo principio generale è
stata demandata a specifici regolamenti.
Il Dpr 513/1997 sceglie la tecnica della
firma digitale, fra le molte possibili, e
sancisce l'equivalenza fra la firma digitale
e la sottoscrizione autografa.
Il regolamento non esaurisce la disciplina
della materia, rinviando alle regole
tecniche che sono state emanate con il Dpcm
8 febbraio 1999 (Regole tecniche per la
formazione, la trasmissione, la
conservazione, la duplicazione, la
riproduzione e la validazione, anche
temporale, dei documenti informatici, ai
sensi dell'articolo 3, comma 1, del Dpr
513/1997).
Sono state emanate, inoltre, le regole
tecniche in materia di formazione e
conservazione di documenti informatici delle
pubbliche amministrazioni, ai sensi
dell'articolo 18, comma 3, del Dpr 513/1997,
con la deliberazione Aipa 23 novembre 2000
n. 51.
Nel Dpr 513/1997 si rinvia a un'ulteriore
regolamentazione, ancora da emanarsi,
costituita in particolare dal decreto del
ministero delle Finanze sull'assolvimento
degli obblighi fiscali relativi ai documenti
informatici e alla loro riproduzione
(articolo 4, comma 2).
Con l'espressione «firma digitale» si fa
riferimento a una particolare tecnica
informatica di validazione o di cifratura
dei messaggi, che utilizza un sistema di
crittografia a chiave pubblica.
Il meccanismo si basa su due chiavi
crittografiche (cioè codici informatici),
una pubblica e una privata, che ogni
utilizzatore detiene. Ogni documento cifrato
con una delle due chiavi può essere
decifrato solo con l'altra e la firma
apposta con una chiave può essere verificata
solo con l'altra.
Il sistema asim metrico
- Questo sistema è detto
asimmetrico perché la conoscenza della
chiave di cifratura non fornisce alcuna
informazione rispetto alla chiave di
decifrazione. In particolare, in un sistema
a chiave pubblica, viene resa nota una delle
due chiavi, quella pubblica appunto, senza
che ciò incrini la sicurezza del sistema,
dal momento che la chiave pubblica non
fornisce informazioni sulla chiave privata.
Il sistema, dunque, è computazionalmente
sicuro.
Giova precisare, inoltre, che spesso per
ragioni di rapidità la firma digitale è
calcolata non sull'intero documento, bensì
su un estratto del documento stesso,
calcolato in maniera univoca e non
invertibile. Un processo matematico,
denominato hash function, crea una
rappresentazione digitale compressa del
messaggio, detta message digest o
fingerprint. Il risultato della funzione
hash è di lunghezza prefissata, solitamente
molto più corta di quella del messaggio, ma
correlata univocamente a esso. Qualsiasi
modifica del messaggio produce un risultato
della funzione hash differente. La funzione
hash non invertibile (one-way hash function)
non consente di risalire al messaggio
originale, partendo dal message digest.
La certificazione - La
norma in esame prevede anche le cosiddette
"chiavi biometriche", cioè tecniche di
identificazione dell'utente che utilizzano
caratteristiche fisiche personalissime (ad
esempio, l'impronta digitale). Un ruolo
essenziale, nel sistema di riconoscimento
della firma digitale adottato
nell'ordinamento giuridico italiano, e
delineato dalle disposizioni in esame, è
quello rivestito dal certificatore (o
Autorità di certificazione). La funzione
essenziale del certificatore è quella di
garantire la corrispondenza fra un soggetto
e la sua chiave pubblica, mediante la
certificazione.
Il certificatore è il soggetto pubblico o
privato che effettua la certificazione,
rilascia il certificato della chiave
pubblica, lo pubblica unitamente alla chiave
pubblica, pubblica e aggiorna gli elenchi
dei certificati sospesi e revocati, mantiene
gli elenchi delle chiavi pubbliche. La
certificazione consiste nell'attestazione,
rilevabile mediante sistemi informatici, che
a un determinato soggetto, identificato con
certezza, corrisponde una determinata chiave
pubblica e nell'attestazione del periodo di
validità della chiave.
I certificatori possono essere soggetti
pubblici o soggetti privati. Sono inclusi in
un apposito elenco pubblico, consultabile
per via telematica, predisposto e aggiornato
dall'Aipa (Autorità per l'informatica nella
pubblica amministrazione).
L'articolo 27 del testo unico
(corrispondente all'articolo 8 del Dpr
513/1997), precisa i requisiti dei
certificatori privati.
Per quanto concerne i certificatori
pubblici, si segnala la circolare dell'Aipa
16 febbraio 2001 n. 27, sull'utilizzo della
firma digitale nelle pubbliche
amministrazioni (pubblicata a pagina 64).
Ai fini della sottoscrizione di documenti
informatici di rilevanza esterna le
pubbliche amministrazioni possono anche
svolgere in proprio l'attività di
certificatori, ma limitatamente ai propri
organi e uffici, e che hanno l'obbligo di
iscriversi nell'elenco pubblico dei
certificatori tenuto dall'Aipa.
L'articolo 29 del testo unico (articolo 17
del Dpr 513/1997), dispone che le pubbliche
amministrazioni provvedono autonomamente
alle operazioni di generazione,
conservazione, certificazione e utilizzo
della chiavi di competenza.
Questa disposizione
è stata interpretata dal Dpcm 8 febbraio
1999 nel senso che le amministrazioni
possono certificare solo le chiavi dei
propri organi e uffici, iscrivendosi
nell'elenco pubblico dei certificatori,
oppure possono avvalersi di certificatori
privati o del centro tecnico.
Il certificatore deve attestare la validità
del certificato e procedere alla gestione e,
soprattutto, al tempestivo aggiornamento
della lista dei certificati sospesi e
revocati, la cosiddetta "Crl" (Certificate
revocation list).
Per revoca del certificato si intende
l'operazione con cui il certificatore
annulla la validità del certificato non
retroattivamente. Ciò può accadere su
richiesta del titolare della chiave pubblica
che non intende più utilizzarla: ad esempio,
nel caso in cui la smart card contenente la
chiave privata sia stata rubata o nel caso
in cui il soggetto che detiene la coppia di
chiavi non rappresenti più l'ente per il
quale deteneva la chiave.
Per sospensione del certificato si intende,
invece, l'operazione con cui il
certificatore sospende la validità del
certificato per un determinato periodo di
tempo.
Certificati,
il rompicapo della privacy
I l piano per l'e-government prevede, a
regime, il superamento dell'attuale gestione
cartacea del sistema della documentazione
amministrativa (la cosiddetta "decertificazione");
tuttavia il testo unico non poteva non
dedicare alcune disposizioni - contenute
nella sezione II del capo III - ai
tradizionali strumenti di certezza pubblica,
cioè ai certificati.
Disposizioni che, dunque, assumono un
carattere transitorio, almeno per quanto
concerne l'attività amministrativa, nel
senso che sono destinate a essere superate
dalla definitiva attuazione dei nuovi
istituti giuridico-tecnologici.
Il certificato, così come definito
dall'articolo 1 del Dpr in esame, è il
documento, rilasciato da un'amministrazione
pubblica, avente funzione di ricognizione,
riproduzione e partecipazione a terzi di
stati, qualità personali e fatti contenuti
in albi, elenchi o registri pubblici o,
comunque, accertati da soggetti titolari di
funzioni pubbliche. La definizione, che
include sia le certificazioni proprie che
quelle improprie, codifica così la
ricostruzione dell'istituto effettuata in
dottrina, evidenziando i vari momenti logici
dell'attività posta in essere (ricognizione
o accertamento da un lato, dichiarazione
dall'altro), nonché la funzione della stessa
(destinazione alla conoscenza).
Non si ravvisano, nella sezione in esame,
particolari novità rispetto al previgente
quadro normativo. L'articolo 40 si limita a
riprodurre l'articolo 11 della legge
15/1968, confermando la prescrizione secondo
cui, per intuibili esigenze di economia, le
certificazioni rilasciate da uno stesso
ufficio in ordine a stati, qualità e fatti
concernenti la medesima persona devono
essere contenute in un unico documento. Non
sono state recepite, al riguardo, le
perplessità sollevate dal Garante per la
protezione dei dati personali con il parere
reso il 17 settembre 2000, secondo cui
l'inserimento in un unico documento di una
pluralità di stati, qualità e fatti
concernenti una persona rischia di
affievolire la tutela della privacy, specie
quando il documento debba essere trasmesso e
consultato da soggetti che non devono
conoscere tutte le informazioni in esso
contenute. Non manca nel nuovo testo una
precisazione: il cosiddetto "certificato
contestuale" ha un senso ed è utile solo
qualora le due o più certificazioni debbano
essere utilizzate in un unico procedimento
amministrativo.
Il successivo articolo
41 ripropone, invece, le disposizioni
introdotte dall'articolo 2, commi 3 e 4,
della legge 127/1997, come modificate dalla
legge 191/1998, in tema di validità
temporale. Si ribadisce, quindi, che i
certificati rilasciati dalle pubbliche
amministrazioni hanno, in via generale, una
validità di 6 mesi dalla data di rilascio,
fatte salve le disposizioni di legge o di
regolamento che ne prevedono una superiore.
Quelli attestanti stati, qualità e fatti non
soggetti a modificazioni (ad esempio,
certificato di morte, titolo di studio
eccetera), invece, hanno validità
illimitata.
A tale ultimo riguardo, una precisazione è
doverosa: non possono essere ricompresi
nell'ambito dei certificati comprovanti
situazioni immodificabili - come
generalmente si fa - quelli di nascita, che
sono soggetti a variazioni derivanti da
riconoscimento, disconoscimento di
paternità, adozione eccetera, che
influiscono sul cognome dell'interessato.
L'articolo 41 in esame ripropone,
ovviamente, pure la norma secondo cui i
certificati anagrafici e gli estratti, le
copie integrali e le certificazioni di stato
civile possono essere utilizzati anche oltre
i termini di validità, qualora l'interessato
dichiari, in fondo al documento, che le
relative informazioni non hanno subito
variazioni dalla data di rilascio. Si
tratta, come si è esattamente osservato, di
una fattispecie mista, a metà strada tra il
certificato e la dichiarazione sostitutiva,
che segue - almeno in parte - il regime
proprio di quest'ultima per quanto riguarda
il controllo sulla veridicità e le eventuali
sanzioni.
(Vincenzo
Martorano)
Fra le altre funzioni del certificatore si
ricorda quella di apposizione della
cosiddetta "marca temporale", cioè
l'apposizione di una sorta di timbro
virtuale recante la data e l'ora in cui il
documento informatico è stato digitalmente
firmato dal certificatore. Un soggetto che
voglia assicurare data certa al documento
informatico o presentarlo in via telematica
a una pubblica amministrazione potrà,
quindi, trasmetterlo al certificatore che, a
sua volta, dopo averlo digitalmente firmato
e dopo avervi apposto data e ora, lo
trasmetterà al destinatario.
L'articolo 28 del testo unico (articolo 9
del Dpr 513/1997) dispone circa gli obblighi
dell'utente e del certificatore. Il
principio generale, contenuto nel comma 1 e
successivamente specificato, è che il
soggetto che intenda utilizzare un sistema
di chiavi asimmetriche ha la grave
responsabilità di adottare tutte le misure
organizzative e tecniche idonee a evitare
danno ad altri. Questa disposizione si
riferisce a qualunque soggetto che intenda
utilizzare il sistema di chiavi asimmetriche
di cifratura, quindi sia al certificatore
che all'utente.
L'equivalenza - L'articolo
23 del
testo
unico (articolo 10 del Dpr 513/1997),
ribadisce l'equivalenza di firma digitale e
sottoscrizione autografa. In particolare,
dispone che l'apposizione o l'associazione
della firma digitale al documento
informatico equivale alla sottoscrizione
prevista per gli atti e documenti in forma
scritta su supporto cartaceo. Condizione di
validità della firma digitale è che essa sia
stata apposta con una chiave privata la cui
corrispondente chiave pubblica non sia
scaduta di validità, e non sia stata
revocata o sospesa. La revoca o la
sospensione hanno effetto dalla
pubblicazione.
La firma digitale sostituisce, oltre alla
sottoscrizione autografa, anche timbri,
punzoni, sigilli, contrassegni e marchi di
qualsiasi genere. L'articolo 24 del testo
unico (articolo 16 del Dpr 513/1997)
sancisce l'equivalenza fra il documento
informatico sottoscritto con firma digitale
autenticata e la scrittura privata
autenticata. L'apposizione della firma
digitale davanti al pubblico ufficiale
consente di escludere i casi di
utilizzazione abusiva della chiave privata,
dal momento che il pubblico ufficiale deve
previamente accertare l'identità personale
del firmatario. Al documento informatico
autenticato può essere allegata copia
informatica autenticata di documenti
originariamente in forma diversa. La
presentazione e il deposito del documento
informatico presso la pubblica
amministrazione sono validi se il documento
è digitalmente firmato e munito di marca
temporale, già sopra descritta.
L'articolo 25 del testo unico (articolo 19
del Dpr 513/1997) ribadisce la piena
equivalenza di firma digitale e
sottoscrizione autografa (nonché sigilli,
punzoni, timbri, contrassegni, marchi
comunque previsti) nei documenti informatici
delle pubbliche amministrazioni.
Occorre al riguardo evidenziare che la firma
digitale sostituisce la sottoscrizione
autografa ove quest'ultima sia stata
prevista dal legislatore per la validità
dell'atto. In altri termini, la firma
digitale sarà richiesta per ogni documento
informatico per il quale la sottoscrizione
sia condizione di validità, mentre non sarà
affatto necessaria per quei documenti
informatici il cui corrispondente cartaceo
non richiede la sottoscrizione.
Le pubbliche amministrazioni potranno
comunque utilizzare altri metodi di
identificazione e di autenticazione, per
documenti informatici aventi rilevanza
interna o per documenti informatici per i
quali non è prevista la sottoscrizione, come
conferma, fra l'altro, la circolare dell'Aipa
sull'utilizzo della firma digitale nelle
pubbliche amministrazioni. Si rammenta,
inoltre, che resta comunque in vigore la
disposizione di crui all'articolo 3, comma
2, del
Dlgs 39/1993, che tuttavia riguarda i
documenti predisposti attraverso sistemi
informativi automatizzati e quindi stampati,
e che prevede che la firma autografa sia
sostituita dall'indicazione a stampa, sul
documento prodotto dal sistema
automatizzato, del nominativo del soggetto
responsabile.
[ Precedente ] [ Home ] [ Su ] [ Successiva ]
Ultimo aggiornamento:
16 febbraio 2002
|
