Tutto quello che vorresti sapere sulla firma digitale
adv

Il mondo paper-less stravolge l’autenticazione dei documenti. Come un gesto semplice (la firma) nasconde calcoli complessi

Quasi tutti conoscono i Bitcoin, ma nessuno sa che sia la cripto valuta che la firma digitale funzionano entrambe grazie ad un algoritmo informatico basato sulla crittografia. Esso associa un numero binario, che costituisce la firma, ad un insieme di bit, che costituisce un documento, in modo indissolubile. La firma digitale conferisce validità legale a documenti in formato elettronico ed è indispensabile per la dematerializzazione di contratti, atti pubblici e di diritto privato. Nella pubblica amministrazione è il cardine per la realizzazione degli uffici paper-less e per l’efficientamento dei processi, oltre ad essere uno strumento che consente a professionisti e cittadini di firmare elettronicamente dei documenti con valore legale, anche a distanza e tramite internet.

La firma digitale e la Legge

Il CAD, Codice dell’Amministrazione Digitale, secondo l’articolo 24 del Decreto Legislativo 82/2005, identifica la  Firma Digitale come indicato al comma primo: “La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata”. Una volta apposta, la firma digitale sostituisce tutti i contrassegni e timbri precedentemente utilizzati, soddisfacendo particolari requisiti di attendibilità che garantiscono validità legale ed autenticità al documento, al pari della firma autografa analogica.

I pilastri su cui poggia la firma digitale sono sostanzialmente tre: autenticità, integrità, non ripudio.

L’autenticità è indispensabile per garantire che il sottoscrittore del documento si assuma la responsabilità di quanto contenuto in esso. L’integrità è una condizione necessaria per attestare che il documento è conforme all’originale che il sottoscrittore intende validare.

Il “non ripudio” indica che il firmatario non può disconoscere né il contenuto del documento né la firma apposta, attribuendosene quindi la paternità.

Sicurezza a doppia chiave

Garantire tutto ciò richiede sofisticati algoritmi di crittografia, che codificano il documento in modo da impedire modifiche non autorizzate. Eventuali alterazioni divengono immediatamente riconoscibili e rendono inutilizzabile il file modificato.

Il metodo comporta l’utilizzo di una codifica a doppia chiave, ciascuna delle quali è un numero digitale la cui lunghezza è di almeno 2.048 bit, rendendo impossibile la decriptazione.

Il metodo prevede due attori, l’utilizzatore (firmatario) e il certificatore (soggetto istituzionalmente qualificato).

Il certificatore, in Italia abilitato a questo dall’Agenzia per l’Italia Digitale, emette al firmatario un certificato digitale (chiave pubblica o anche detta “credenziali digitali”) che lo identifica univocamente, come un codice fiscale digitale. Associata a questa specifica chiave pubblica viene generata una chiave di pari lunghezza che è esclusivamente utilizzabile dal titolare utilizzatore. Tale chiave è installata in una smart card dotata di microchip che può funzionare solo dopo aver digitato un PIN univoco, come per il bancomat.

Come funziona l’algoritmo

Ciascun documento firmato con questo procedimento utilizza un algoritmo di cifratura (generalmente il protocollo RSA) che lo cripta con la chiave privata e che lo decripta con la chiave pubblica.

Prima di procedere con la cifratura, il software di firma digitale analizza l’intero documento e gli associa un unico numero tramite una funzione di hash, che in pratica crea una vera e propria impronta digitale unica ed irripetibile, che viene alterata da qualsiasi modifica, anche minima, al contenuto del documento. A questo punto il documento viene codificato utilizzando congiuntamente tale “impronta digitale” e  la chiave privata contenuta sul chip in possesso del titolare. La firma digitale viene aggiunta al documento cifrato, che potrà essere decodificato solo utilizzando il certificato pubblico.

Certificati con data di scadenza

Ad ogni formato di documento conosciuto corrisponde un formato corrispondente con firma digitale; al formato PDF, ad esempio, corrisponde il formato PAdES. Il destinatario è in grado di verificare la firma apposta attraverso uno specifico programma che estrae la chiave pubblica dal certificato, ricalcola l’impronta ottenuta in origine con la funzione di hash e la confronta con quella indicata dal mittente nel documento, tutto questo utilizzando la chiave pubblica. Se le chiavi coincidono la firma è valida ed il documento è conforme all’originale; in caso contrario,  la firma è fasulla o il documento è stato alterato. Mentre, una volta firmato un documento, la firma non ha scadenza, il certificato rilasciato ad un utente può avere una scadenza, oltre la quale il firmatario non è più abilitato a firmare elettronicamente. Questa accortezza è indispensabile, altrimenti un funzionario potrebbe firmare come autentici documenti anche se non più abilitato a farlo.

Regolamenti europei

Ad oggi la normativa europea relativa alla firma digitale è dettata dal Regolamento europeo eIDAS n. 910 del 2014, che integra la Direttiva Europea 1999/93/EC, che armonizza i vari sistemi nei paesi membri dell’Unione. La normativa definisce le specifiche per tipologie differenti di Firma elettronica: Firma Elettronica Avanzata (FEA), Firma Elettronica Qualificata (FEQ) e Sigillo Elettronico, riservato alle persone giuridiche. Anche il Sigillo Elettronico ha due tipi: Sigillo Elettronico Avanzato e Sigillo Elettronico Qualificato.

Si ricorda, inoltre che la PEC (Posta Elettronica Certificata) assicura una forma di Firma elettronica valida esclusivamente per il messaggio di posta, ma non ai documenti eventualmente allegati, che richiedono una specifica firma digitale apposta separatamente.

Il “Chi è” della Firma digitale

Gli Enti Certificatori abilitati all’assegnazione di certificati digitali in Italia sono in tutto diciotto e nessuno può assegnarli al di fuori dell’elenco. Tra i 18 abilitati spiccano marchi noti quali Aruba (che fornisce Firma digitale, Firma Grafometrica, Firma Digitale massiva per la fatturazione elettronica), Infocert e Banca d’Italia, così come anche il Consiglio Nazionale del Notariato e il Consiglio Nazionale dei Dottori Commercialisti ed esperti contabili.

Come fare a..

Chi vuole iniziare ad utilizzare la Firma Digitale deve acquistare un kit di firma digitale presso i provider abilitati, farsi identificare da un Pubblico Ufficiale nel proprio Comune o nelle altre modalità ammesse ed attivare il kit attraverso le procedure precipue di ciascun provider, così che sui propri dispositivi siano disponibili il software e l’hardware necessari. A questo punto è sufficiente avviare il programma che genera i documenti da firmare digitalmente e poi salvarli nella versione firmata digitalmente tramite l’abilitazione della card e del PIN.

Avatar
Nata a Napoli nel 1993, Federica Amodio è laureata magistrale in Scienze e Tecnologie Genetiche presso il centro di ricerche genetiche BIOGEM 110 con lode. La sua tesi di laurea, verte sui meccanismi di regolazione del gene Zscan4 da parte dell’acido retinoico nelle cellule staminali embrionali murine. L’espressione di questi geni regolano le prime fasi per lo sviluppo degli embrioni. Per lungo tempo ha collaborato con il centro per una pubblicazione scientifica inerente al suo progetto di tesi.