La firma digitale
Con la sempre più capillare diffusione dei documenti informatici, in sostituzione di quelli cartacei, è diventato rilevante il tema della loro validità giuridica. Se nel documento analogico si utilizza la firma autografa per dare certezza alle intenzioni e per essere utilizzata ed esibita in caso di contestazione, per il documento digitale occorre dare le stesse garanzie, assicurando in modo oggettivo le caratteristiche di integrità, sicurezza, autenticità e immodificabilità.
Tali garanzie vengono fornite utilizzando processi informatici che possano attestare la paternità di un documento e preservarne l’integrità; tra questi vi è la firma elettronica.
Si deve a queste esigenze lo sviluppo di nuovi software per firma digitale, importanti e, oramai, imprescindibili soluzioni che consentono ad aziende e studi professionali di ottimizzare, velocizzare e rendere sicura la gestione dei processi di firma.
Nel nostro ordinamento esistono quattro tipologie di firma elettronica (previste dall’art. 1 del CAD):
1. Firma elettronica: è l’insieme dei dati in forma elettronica che identificano informaticamente un soggetto e che sono allegati o connessi tramite associazione logica ad altri dati elettronici (per esempio un PIN collegato ad una carta, oppure le credenziali utente e password per accedere ad un portale);
2. Firma elettronica avanzata: è l’insieme di dati in forma elettronica che sono allegati oppure connessi a un documento informatico e che consentono di identificare e connettere univocamente il firmatario al documento; creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, consentono anche di rilevare se i dati a cui sono associati siano stati successivamente modificati (per esempio la firma su tablet);
3. Firma elettronica qualificata: è un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;
4. Firma digitale: è un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro: tramite la chiave privata, il titolare rende manifesta la provenienza e l’integrità del documento informatico; tramite la chiave pubblica, il destinatario può verificare a sua volta la provenienza e l’integrità del documento stesso. In questo caso, la norma richiede una particolare modalità tecnologica, quella della crittografia a chiavi asimmetriche. Come per la firma elettronica qualificata il mezzo più usato è il token o la smart card.
Approfondiamo il tema della firma digitale, alla quale di fatto sono riconosciute superiori caratteristiche di sicurezza e per questo in molti casi viene esplicitamente richiesta per fornire maggiori garanzie.
Esaminiamo prima di tutto il valore probatorio di un documento informatico dotato di firma digitale analizzandone le caratteristiche giuridiche:
- soddisfa pienamente il requisito della forma scritta, anche quando questa è richiesta a pena di nullità;
- fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto, se colui contro il quale il documento è prodotto ne riconosce la sottoscrizione, o se questo è legalmente considerato come riconosciuto;
- si presume riconducibile al titolare del dispositivo di firma, a meno che quest’ultimo non fornisca prova contraria, ciò in virtù del fatto che il sistema di verifica della firma si basa comunque su un metodo sicuro: il sistema crittografico delle chiavi asimmetriche.
Alla luce di queste caratteristiche, il documento informatico firmato digitalmente sembrerebbe non disconoscibile e quindi avere un’efficacia probatoria maggiore della scrittura privata.
Infatti, se per verificare la firma autografa apposta su un documento cartaceo occorre un esame grafologico che ne accerti la provenienza, per il documento informatico sottoscritto con firma digitale basta verificare la corrispondenza della firma la con la chiave pubblica del presunto sottoscrittore per accertarne la provenienza da quest’ultimo.
L’unica ipotesi di disconoscimento non riguarda la paternità della firma ma l’effettivo utilizzo della firma digitale da parte del titolare (che ha la responsabilità di custodire il dispositivo di firma).
Abbiamo detto che il sistema di verifica della firma digitale si basa sul sistema crittografico delle chiavi asimmetriche, vediamo ora di cosa si tratta.
Il sistema consiste nell’uso di due chiavi diverse: una diretta per cifrare e una inversa per decifrare, generate insieme e correlate univocamente. Una delle due chiavi viene resa pubblica, consentendo al destinatario di controllare che il documento provenga dal titolare della chiave privata e che non sia stato alterato o contraffatto; l’altra chiave deve essere mantenuta segreta, infatti, pur conoscendo una delle due chiavi, non c’è nessun modo di ricostruire l’altra.
In pratica se il documento non fosse firmato con la chiave privata del mittente, non sarebbe decifrabile con la chiave pubblica del destinatario.
La verifica dell’integrità del documento è insita nell’algoritmo della firma digitale, tramite il quale viene cifrato l’intero documento e quindi non è possibile apportare alcuna modifica senza incidere sulla firma di tutto il documento. Considerato che per cifrare e decifrare tutto il documento occorrerebbe molto tempo, si ricorre a una scorciatoia che consiste nel cifrare solo un brevissimo riassunto del testo stesso, ottenuto con una procedura detta “funzione di hash”: tale funzione restituisce una stringa di caratteri che costituisce l’impronta del testo (digest).
Se alla fine della procedura, l’impronta che risulta dalla decifratura con la chiave pubblica del mittente è uguale a quella che si ottiene applicando la funzione di hash al testo chiaro, vuol dire che esso non solo proviene da chi appare come il titolare della chiave pubblica ma anche che non è stato alterato dopo la generazione della firma digitale. In questo modo si garantisce che il documento è rimasto integro e non ha subito manomissioni.
In questa fase è essenziale la presenza di una terza parte fidata, nota come Certificatore o Certification Authority, che garantisce la corrispondenza tra il titolare della coppia di chiavi e un determinato soggetto attraverso un certificato che viene reso pubblico e consultabile on-line.
Il certificatore ha il compito di gestire il database delle chiavi pubbliche e dei relativi certificati delle chiavi, nonché la responsabilità di procedere alla previa identificazione del soggetto che richiede la certificazione.
In Italia l’elenco dei certificatori accreditati attivi è consultabile sul sito dell’AgID.