LA FIRMA DIGITALE
NEL DOCUMENTO INFORMATICO
. di  Bertolini  Martina


SOMMARIO

   Il documento informatico ha determinato una rivoluzione nell'ordinamento giuridico e nella scienza del diritto, perché ha introdotto un'innovazione i cui effetti oggi non sono misurabili. Un cambiamento radicale nella concezione e nell'uso del "documento", nella sua natura di res signata, cioè di una "cosa" che riporta dei segni, delle informazioni. Ad esempio, la validazione del documento cartaceo è data dalla presenza di determinati segni sul supporto, tanto che non è possibile separare l'informazione o la validazione dal supporto; con il documento informatico si realizza invece la separabilità dei tre elementi.  

   Ciò che distingue il documento informatico giuridico dal semplice documento informatico è la possibilità di collegare il documento al suo autore, per garantire alla controparte del rapporto negoziale la massima affidabilità sulla sua provenienza. Queste esigenze erano assicurate dalla sottoscrizione, che doveva essere:

Ø autografa (scritta di pugno dall’autore),

Ø nominativa (recante nome e cognome),

Ø leggibile

Ø di non facile riproducibilità

per poter esplicare, secondo la dottrina, tre funzioni tipiche:

Ø indicativa, dell’autore;

Ø  dichiarativa, della paternità e

Ø probatoria dell’autenticità.

Il documento informatico

   Nel nostro ordinamento ci sono varie definizioni diverse e contraddittorie del documento informatico:

Ø La prima, in ordine di tempo, è quella dell'articolo 491-bis del codice penale, introdotto dalla legge 23 dicembre 1993, n. 547: "…per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli". La definizione è confermata dal comma aggiunto all' art. 621: " è considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi".   Il documento informatico, secondo il codice penale, è quindi un "supporto", una res che "contiene" qualcosa, come il documento [1] .

Ø Il DPR 10 novembre 1997, n. 513, che detta le norme fondamentali della nostra materia, afferma all'articolo 1 che il documento informatico è "la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti".

   Il documento informatico, come insieme di bit, esiste solo in relazione a un sistema informatico in grado di visualizzarlo o di trasferirne il contenuto su un supporto materiale: immagine sullo schermo o risultato della stampa che non sono "il documento" e non possono produrre gli effetti giuridici propri del documento stesso. Perché la stampa di un documento informatico possa avere valore legale, è necessario che un pubblico ufficiale ne attesti la corrispondenza all'originale, come prescrive l'articolo 6 del DPR 513/97 [2] .

   Associando alla sequenza di bit che costituisce il contenuto del documento un'altra sequenza, generata con gli algoritmi della firma digitale, si ottiene la validazione del contenuto, in quanto si stabilisce una correlazione biunivoca tra le due sequenze e la seconda è sicuramente riferita al firmatario, in virtù della certificazione. Anche se le due sequenze (evidenze informatiche, secondo la definizione del DPCM 8 febbraio 1999) vengono separate, non si perde la reciproca correlazione, verificabile con le opportune procedure crittografiche. Questo, consente di separare il documento e la firma dal supporto, quindi la distruzione del supporto non comporta necessariamente la distruzione del documento, perché il supporto è solo un "accidente" - sia pure indispensabile - del documento stesso [3] .

   Il documento informatico, anche se in linea di principio è "valido e rilevante a tutti gli effetti di legge", non può sempre sostituire il documento cartaceo perché in molti casi non basta una firma autografa posta in calce a una scrittura per determinare conseguenze giuridicamente rilevanti (ad es. la cambiale). Il motivo è dato dal fatto il documento informatico può essere riprodotto esattamente, compresa la firma digitale, e non è possibile in alcun modo distinguere l'originale dai suoi "cloni" (concetto di duplicato).  Il documento informatico astrattamente è uno solo, in realtà di esso possono coesistere tante "memorizzazioni" su supporti informatici anche diversi e separati. Nel silenzio della norma (data la materiale impossibilità di distinguere tra originale e duplicato) sarà di volta in volta la volontà degli interessati, o la valutazione del giudice, a decidere quale valore probatorio attribuire ai duplicati.

   La mancanza di un elemento caratterizzante dell’originale è invece tipica della copia del documento informatico, così come altrettanto tipica è l’espressa dicitura "copia" apposta alla stessa. La copia costituisce documento autonomo e distinto dall’originale e, sotto l’aspetto pubblicistico, la sua formazione ed il suo rilascio sono ben disciplinati dalla legge, in particolare da quella notarile.

La firma digitale

   Gli articoli 5 e 16 del DPR 513/97 (che qui indichiamo brevemente come "il Regolamento”) contengono disposizioni di grande interesse, che aiutano anche a capire alcuni aspetti essenziali del documento informatico. I commi più importanti:

Art. 5 - Efficacia probatoria del documento informatico
1. Il documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 10, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile.

Art. 16 - Firma digitale autenticata
1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato.
2. L'autenticazione della firma digitale consiste nell'attestazione, da parte del pubblico ufficiale, che la firma digitale è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità della chiave utilizzata e del fatto che il documento sottoscritto risponde alla volontà della parte e non è in contrasto con l'ordinamento giuridico ai sensi dell'articolo 28, numero 1, della legge 16 febbraio 1913, n. 89.
3. L'apposizione della firma digitale da parte del pubblico ufficiale integra e sostituisce ad ogni fine di legge la apposizione di sigilli, punzoni, timbri, contrassegni e marchi comunque previsti.

Per l'articolo 2703 del Codice Civile: "L'autenticazione consiste nell'attestazione da parte del pubblico ufficiale che la sottoscrizione è stata apposta in sua presenza. Il pubblico ufficiale deve previamente accertare l'identità della persona che sottoscrive".

   Differenza essenziale tra la sottoscrizione autografa e la firma digitale:

Ø l'autenticità della sottoscrizione autografa può essere verificata attraverso il confronto con un'altra firma, sicuramente attribuibile al soggetto;

Ø la firma digitale viene verificata con il controllo della chiave pubblica presso il certificatore, il quale "è tenuto a identificare con certezza la persona che fa richiesta della certificazione" (articolo 9 del Regolamento).

   La certificazione della firma digitale non deve essere confusa con l'autenticazione e la validazione:

Ø La certificazione riguarda la chiave pubblica (e cioè l'attribuibilità della firma a chi risulta titolare della chiave stessa), manca l'aspetto fondamentale dell'attestazione, da parte del pubblico ufficiale, che la firma è stata apposta in sua presenza;

Ø L'autenticazione riguarda una singola firma, apposta a un singolo documento. Nella firma digitale è compresa la "impronta" (hash) del documento e quindi la firma attesta anche l'integrità del contenuto. Invece nel documento cartaceo l'integrità risulta da elementi fisici, come l'assenza di cancellazioni o abrasioni del supporto.

Ø La validazione deriva dal fatto che la firma digitale attesta: a) l'identità del sottoscrittore; b) la "non ripudiabilità" del documento, per il fatto che la chiave privata usata per generare la firma è segreta; c) l'integrità del contenuto.

   Autenticazione, certificazione e validazione costituiscono quindi realtà diverse.

   Il secondo comma dell'articolo 16 del Regolamento aggiunge tre requisiti a quelli prescritti per l'autenticazione dall'articolo 2703 del codice civile:

Ø l'accertamento della validità della chiave utilizzata;

Ø la rispondenza del contenuto alla volontà della parte;

Ø l'assenza di contrasto con l'ordinamento giuridico.

   I concetti di idoneità del documento a produrre gli effetti voluti dalle parti, di rispondenza tra contenuto e manifestazione di volontà, di verifica di legittimità, costituiscono il nucleo della funzione notarile, così come nel tempo la giurisprudenza ha sempre più sottolineato: con il DPR 513/97 questi concetti hanno trovato affermazione legislativa e non più dottrinale o giurisprudenziale.      In questo senso l'autenticazione del documento informatico sembra conferire al documento stesso un valore superiore a quello del corrispondente cartaceo.

L'autenticazione

   Per ottenere l'autenticazione della firma digitale, ai sensi dell’ art. 1, L. 16 febbraio 1913, n. 89 ed ex art. 29 Legge Notarile:

Ø l'interessato si recherà dal pubblico ufficiale (tipicamente un notaio) con il documento già predisposto su un dischetto o su un CD scrivibile, oppure sarà il pubblico ufficiale a scriverlo sul proprio PC;

Ø il comparente inserirà nell'apposito lettore il proprio dispositivo di firma e genererà la firma;

Ø il pubblico ufficiale, dopo aver compiuto i prescritti accertamenti sul documento,  verificherà la chiave pubblica del firmatario collegandosi al certificatore, aggiungerà al documento l'attestazione di autenticità,

Ø il comparente inserirà il proprio dispositivo e quindi genererà la propria firma, la cui impronta sarà calcolata sull'insieme costituito dalla scrittura, dalla firma del sottoscrittore e dalla attestazione notarile di autenticità.

   Il documento informatico, di regola, è un documento "in chiaro", il cui contenuto è leggibile da chiunque, e non "criptato" (rectius "cifrato”) per permettere al pubblico ufficiale di verificarne la rispondenza alla volontà del sottoscrittore e all'ordinamento. L’eventuale criptazione potrà avvenire in un secondo momento.

Riproduzioni meccaniche

   Il secondo comma dell'articolo 5 del Regolamento afferma:Il documento informatico munito dei requisiti previsti dal presente regolamento ha l’efficacia probatoria prevista dall'articolo 2712 del codice civile e soddisfa l’obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare”.

   L'articolo 2712 del codice civile afferma: "Le riproduzioni fotografiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose, formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime".

   Il secondo comma dell'articolo 5 equipara alle rappresentazioni meccaniche i documenti digitali che rappresentino, invece che una scrittura, "fatti o cose". La differenza con le scritture previste dall'articolo 2702 del codice civile consiste nel fatto che: a) per le scritture l'eventuale disconoscimento riguarda la firma; b) per le rappresentazioni meccaniche riguarda la conformità ai fatti o alle cose rappresentate.

   Non sembra sostanziale la differenza che si riscontra tra il primo e il secondo comma, per quanto riguarda la natura del documento informatico, nel primo si dice che è "sottoscritto con firma digitale", nel secondo "munito dei requisiti previsti dal presente regolamento": si tratta comunque di un documento informatico, cioè provvisto di firma digitale secondo le regole tecniche del DPCM 8 febbraio 1999.

   L'ipotesi del secondo comma sembra sussistere in funzione di un ipotetico documento informatico non munito di firma digitale ai sensi del regolamento. In questo caso non si tratterebbe di documento informatico "valido e rilevante a tutti gli effetti di legge", perché esso è tale solo se provvisto della firma digitale apposta secondo le disposizioni del Regolamento e delle Regole tecniche. Dunque si tratterebbe di una mera riproduzione meccanica, sottoposta alla disciplina dell'articolo 2712 del codice civile, e non a quella dell'articolo 5 del Regolamento. Potrebbe divenire documento informatico se sottoscritto con firma digitale "non a norma" da parte di un soggetto che se ne riconosca autore. In pratica del documento informatico si potrà disconoscere la firma se il contenuto è una scrittura, o anche il contenuto, se una rappresentazione digitale di fatti o cose.

Firma autenticata e pubblica amministrazione

   Un ulteriore aspetto del documento informatico è previsto nelle previsioni degli ultimi due commi dell' art. 16 del Regolamento:

“5. Ai fini e per gli effetti dell'articolo 3, comma 11, della legge 15 maggio 1997, n. 127, si considera apposta in presenza del dipendente addetto la firma digitale inserita nel documento informatico presentato o depositato presso pubbliche amministrazioni.
6. La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale a norma del presente regolamento.

   La legge 127/97 (nota come "Bassanini 2") semplifica gli adempimenti burocratici nei numerosi casi in cui le norme prevedono che un documento debba essere presentato a una pubblica amministrazione con la firma autenticata: l'autenticazione viene fatta da chi riceve l'atto (naturalmente dopo aver identificato l'identità del soggetto). Il quinto comma estende questa facilitazione al documento informatico.  Il sesto comma risolve il problema dell'impossibilità di autenticazione della firma (non essendo presente l'interessato), con la richiesta di una formalità aggiuntiva: l'apposizione della marca temporale [4] . Tuttavia la certificazione della chiave pubblica "a monte" della firma costituisce una garanzia e la marca temporale aggiunge un ulteriore elemento di certezza.

   Il legislatore regolamentare ha in pratica eliminato l'autenticazione della firma nei documenti diretti alla pubblica amministrazione.

Le "chiavi di cifratura"

   Un elemento essenziale del sistema del documento informatico è la "chiave di cifratura" che serve a generare la firma. Alla base di tutto il sistema vi sono i fondamenti della crittografia a chiave pubblica (o "a chiavi asimmetriche"):

Ø La crittografia tradizionale fondata sull'uso di una sola chiave di cifratura, che deve essere conosciuta dal mittente e dal destinatario del documento cifrato. Il problema di questo sistema è che occorre un canale sicuro per trasmettere la chiave, perché chi la intercetta può decifrare il documento "segreto".

Ø La “crittografia a chiave pubblica". In questo caso le chiavi sono due: una serve a cifrare e una a decifrare il messaggio. In pratica, il messaggio cifrato con la prima chiave (chiave diretta) può essere decifrato solo con la seconda (chiave inversa).

Da notare che: a) le due chiavi possono essere scambiate (si cifra con la seconda e si decifra con la prima); b) da una chiave non si può ricavare l'altra. L'aspetto più interessante è dato dalla possibilità di rendere pubblica una delle due chiavi (per questo si parla di "crittografia a chiave pubblica"). Un soggetto può generare la propria coppia di chiavi e pubblicarne una. In questo modo chi vuole spedirgli un messaggio segreto non deve fare altro che cifrarlo con la chiave pubblica: solo il destinatario può decifrarlo con la propria chiave privata (che deve restare segreta). Il sistema si presta anche alla certificazione del mittente: se questi cifra con la sua chiave privata tutto il messaggio (o anche solo la firma), possiamo essere certi che sia inviato proprio da lui se possiamo decifrare il messaggio o la sua firma attraverso la sua chiave pubblica, contenuta in un elenco accessibile da parte di chiunque.

Ø una terza applicazione fondamentale per il documento informatico ed è la certificazione del momento in cui uno scritto è stato formato o spedito: basta inviare il messaggio a un soggetto "fidato" che lo rispedisce dopo aver apposto, con la sua chiave privata, una firma che contiene anche l'indicazione della data e dell'ora (detta "marca temporale").

   Attraverso il sistema delle chiavi, si possono ottenere tutti i requisiti di un documento "valido e rilevante ad ogni effetto di legge":

Ø autenticità, cioè l'identificazione certa del soggetto che lo ha formato o spedito;

Ø integrità, ossia la sicurezza che il contenuto non è stato alterato dopo l'apposizione della firma (in caso contrario l'operazione di decifratura con la chiave pubblica non va a buon fine);

Ø certezza del momento in cui è stata apposta la "marca temporale";

Ø non ripudiabilità del contenuto (il soggetto non può negare di aver formato o spedito il documento).

   Il presupposto è l’affidabilità dei soggetti, che mettono a disposizione gli elenchi delle chiavi pubbliche e forniscono le marche temporali, perché è matematicamente molto difficile falsificare una firma digitale, ma è relativamente facile far inserire in un elenco una chiave pubblica a nome di un altro soggetto (ingannando il certificatore o con la sua complicità) o ottenere una "marca" falsa.

   Le regole tecniche predisposte dall'Autorità per l'informatica nella pubblica amministrazione, costruiscono un sistema di standard e di controlli che dovrebbero rendere molto sicuro il sistema.

Art. 4 Caratteristiche generali delle chiavi

1. Una coppia di chiavi può essere attribuita ad un solo titolare.

2. Se la firma del titolare viene apposta per mezzo di una procedura automatica, deve essere utilizzata una chiave diversa da tutte le altre in possesso del sottoscrittore.

3. Se la procedura automatica fa uso di più dispositivi per apporre la firma del medesimo titolare, deve essere utilizzata una chiave diversa per ciascun dispositivo.

4. Ai fini del presente decreto, le chiavi ed i correlati servizi, si distinguono secondo le seguenti tipologie:

a.       chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti;

b.      chiavi di certificazione, destinate alla generazione e verifica delle firme apposte ai certificati ed alle loro liste di revoca (CRL) o sospensione (CSL);

c.      chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali.

5. Non è consentito l’uso di una chiave per funzioni diverse da quelle previste dalla sua tipologia.

6. La lunghezza minima delle chiavi è stabilita in 1024 bit.

   Sussistono tre tipi di chiavi, rispettivamente destinate: a) sottoscrizione dei documenti (e quindi alla loro verifica); b) certificazione delle chiavi di sottoscrizioni; c) marcatura temporale. La prima riguarda direttamente l'utente, la seconda e la terza sono fondamentali per l'affidabilità generale del sistema.

 Art. 5 Generazione delle chiavi

1. La generazione della coppia di chiavi deve essere effettuata mediante apparati e procedure che assicurino, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l’unicità e la robustezza della coppia generata, nonché la segretezza della chiave privata.

2. Il sistema di generazione delle chiavi deve comunque assicurare:

a.       la rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione e di verifica utilizzati;

b.      l’equiprobabilità di generazione di tutte le coppie possibili;

c.      l’identificazione del soggetto che attiva la procedura di generazione.

Art. 6 Modalità di generazione delle chiavi

1. La generazione delle chiavi di certificazione e marcatura temporale può essere effettuata esclusivamente dal responsabile del servizio che utilizzerà le chiavi.

2. Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore.

3. La generazione delle chiavi di sottoscrizione effettuata autonomamente dal titolare deve avvenire all’interno del dispositivo di firma.

Art. 7 Generazione delle chiavi al di fuori del dispositivo di firma

1. Se la generazione delle chiavi avviene su un sistema diverso da quello destinato all’uso della chiave privata, il sistema di generazione deve assicurare:

a.       l’impossibilità di intercettazione o recupero di qualsiasi informazione, anche temporanea, prodotta durante l’esecuzione della procedura;

b.      il trasferimento della chiave privata, in condizioni di massima sicurezza, nel dispositivo di firma in cui verrà utilizzata.

2. Il sistema di generazione deve essere isolato, dedicato esclusivamente a questa attività ed adeguatamente protetto contro i rischi di interferenze ed intercettazioni.

3. L’accesso al sistema deve essere controllato e ciascun utente preventivamente identificato. Ogni sessione di lavoro deve essere registrata nel giornale di controllo.

4. Prima della generazione di una nuova coppia di chiavi, l’intero sistema deve procedere alla verifica della propria configurazione, dell’autenticità ed integrità del software installato e dell’assenza di programmi non previsti dalla procedura.

Art. 8 Conservazione delle chiavi

1. Le chiavi private sono conservate e custodite all’interno di un dispositivo di firma. è possibile utilizzare lo stesso dispositivo per conservare più chiavi.

2. è vietata la duplicazione della chiave privata o dei dispositivi che la contengono.

3. Per fini particolari di sicurezza, è consentita la suddivisione della chiave privata su più dispositivi di firma.

4. Il titolare delle chiavi deve:

a.       conservare con la massima diligenza la chiave privata e il dispositivo che la contiene al fine di garantirne l’integrità e la massima riservatezza;

b.      conservare le informazioni di abilitazione all’uso della chiave privata in luogo diverso dal dispositivo contenente la chiave;

c.      richiedere immediatamente la revoca delle certificazioni relative alle chiavi contenute in dispositivi di firma di cui abbia perduto il possesso o difettosi.

   La "regole tecniche" sono un compendio di prescrizioni di sicurezza che possono far testo anche al di fuori delle procedure che riguardano il documento informatico.

   In diverse occasioni, quando si parla di firma digitale, vengono presentati dispositivi per il riconoscimento biometrico, cioè apparecchi che identificano l'utente analizzando l'impronta digitale o quella della retina o dell'iride, il timbro della voce. Si ipotizza addirittura l'introduzione di firme digitali basate su chiavi biometriche, anche se gli standard attuali escludono questa possibilità: la chiave biometrica non ha nulla a che fare con il documento informatico e con la firma digitale. Un sistema di sicurezza, la cui introduzione è prevista dall’articolo 1 del DPR 523/97 quale  meccanismo di sicurezza per verificare l'identità personale:

1. Ai fini del presente decreto si intende:

g) per chiave biometrica, la sequenza di codici informatici utilizzati nell’ambito di meccanismi di sicurezza che impiegano metodi di verifica dell’identità personale basati su specifiche caratteristiche fisiche dell’utente.

   Non è da escludere che, in futuro, la chiave biometrica possa far parte delle procedure di identificazione del titolare adottate, per il momento, è entrata nella normativa sul documento informatico in quanto può essere adottata nell'ambito delle procedure di sicurezza interne dei certificatori.

La certificazione

   I due aspetti della normativa italiana sul documento informatico, molto più restrittivi della prassi comunemente seguita sull'internet sono:

Ø i particolari requisiti e compiti del certificatore;

Ø  l'obbligo di usare un dispositivo di firma.

   Con altre disposizioni, il legislatore italiano ha indicato specifiche che soddisfano gli standard internazionali più accreditati. Si tratta, in particolare, degli algoritmi per generazione e la verifica delle firme e per la generazione dell'impronta del documento (DPCM 8 febbraio 1999, articoli 2 e 3) e del formato del certificato delle chiavi (articolo 12) [5] .

   In realtà, l'utente non vede mai il "vero" certificato, che è costituito da una sequenza di caratteri incomprensibili, ma la sua rappresentazione in un formato leggibile, tipico della singola applicazione in cui possono essere trattati documenti cifrati o provvisti di firma digitale.

   Per il momento non ci sono ancora certificati "a norma" secondo le Regole tecniche; quando saranno operanti i certificatori iscritti all'elenco pubblico dell'AIPA, saranno note le procedure di riconoscimento alle quali si potrà ricorrere per ottenere il certificato ex DPR 513/97 [6] .

   Nella certificazione "libera" i due momenti possono essere separati e, in alcuni casi, si può prima chiedere il certificato (che potrebbe anche essere attribuito semplicemente a un indirizzo di posta elettronica), poi si può andare a farsi riconoscere da una Registration Authority. Questa comunica poi alla Certification Authority l'identità accertata del titolare del certificato.
Con questa procedura la responsabilità viene attribuita a due soggetti diversi:

Ø la Registration Authority per l'accertamento dell'identità del titolare;

Ø  e alla Certification Authority per la gestione e pubblicazione del certificato e per la manutenzione della directory.

   Nell'ordinamento italiano al certificatore sono attribuiti ambedue i compiti. Vi è, in sostanza, una sola responsabilità per tutti gli aspetti della certificazione delle chiavi di firma.

   In Italia i certificatori devono essere iscritti in un elenco presso l’AIPA (Agenzia per l’Informatica nella Pubblica Amministrazione). Nella normativa italiana le caratteristiche del certificatore sono definite con un rigore tale da ridurre sensibilmente il numero dei soggetti che, dopo l'iscrizione nel registro pubblico tenuta dall'AIPA, possono svolgere l'attività di certificazione delle chiavi crittografiche idonee a produrre le firme digitali che conferiscono ai documenti informatici validità e rilevanza a ogni effetto di legge.
Per l'impiego della firma digitale, il
DPR 513/97 e le Regole tecniche contengono prescrizioni molto restrittive, e anche in questo caso con lo scopo di ottenere il più alto livello possibile di sicurezza.

   Principali funzioni della certificazione:

Ø indicativa, della chiave privata e pubblica e, con il certificato, del titolare della firma.

Ø dichiarativa: la firma digitale ha lo stesso valore della firma reale;

Ø probatoria: collegamento tra firma digitale e certificato

   Il nucleo delle disposizioni sull'impiego della firma digitale è nell'obbligo tassativo di usare un "dispositivo di firma" per tutte le operazioni sia di generazione delle chiavi, sia di sottoscrizione dei documenti.  Non però vietati:  a) l'uso di certificati rilasciati da certificatori non iscritti all'elenco dell'AIPA;    b) l’utilizzo di procedure basate su programmi residenti in un computer. Le firme digitali così ottenute possono avere il valore sul quale le parti possono convenire (per es. nel commercio elettronico) e possono avere l'efficacia probatoria che il giudice, di volta in volta, attribuisce a qualsiasi altro mezzo di prova in un processo. I documenti informatici così sottoscritti non sono "validi e rilevanti a tutti gli effetti di legge", cioè non hanno il valore legale degli atti per i quali la legge prescrive la forma scritta e, in particolare, non saranno accettati dalla pubblica amministrazione in sostituzione dei documenti cartacei con sottoscrizione autografa.

Il dispositivo di firma

   L'articolo 1 del DPR 8 febbraio 1999 (le "Regole tecniche") stabilisce che si intende d) per "dispositivo di firma", un apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali.

   Non c'è una definizione del "sistema di validazione", ma è chiaro che si tratta dell'insieme hardware-software utilizzato di volta in volta o per la generazione delle chiavi o per la generazione (e la verifica) della firma digitale.  Il dispositivo di firma è un "apparato elettronico", al cui interno sono presenti almeno la chiave privata del titolare e il software necessario alla generazione delle firme. Questi due elementi sono necessari, ma non sufficienti, al ciclo completo della firma digitale.

   Il dispositivo di firma, nella sua forma più comune è costituito da:

Ø smart card (carta intelligente), un tesserino di plastica delle dimensioni standard di una carta di credito, provvisto di un microprocessore e di una certa quantità di memoria.

Ø cryptobox, una scatola da collegare al computer e contenente altri sistemi di sicurezza.

Ø carte di identità digitali (non ancora realizzate) o quelle attualmente molto diffuse, dei telefoni cellulari.

   La caratteristica fondamentale del dispositivo di firma consiste nel fatto che esso deve essere "programmabile solo all'origine". Questo significa che nel dispositivo di firma devono essere inserite, all'atto della fabbricazione, delle informazioni che non possono essere modificate in seguito (risultato ottenuto attraverso procedure fisiche). Questo è il primo e fondamentale meccanismo di sicurezza delle carte a microprocessore, che rende virtualmente impossibile la loro "clonazione”.

   La chiave privata deve essere conservata "in modo protetto" nel dispositivo di firma.   La protezione della chiave privata ha due aspetti differenti:

Ø la chiave non può essere attivata, per apporre una firma digitale, senza il superamento di un "blocco", costituito da una password o da un'altra procedura di identificazione del titolare;

Ø della chiave non deve restare alcuna traccia all'interno del sistema di validazione usato per la firma.

   Il citato articolo 1 delle Regole tecniche indica la conservazione protetta della chiave privata e la procedura di firma come requisiti minimi del dispositivo. In realtà esso contiene anche altri elementi essenziali, elencati dall'articolo 26 (personalizzazione del dispositivo di firma):

Ø i dati identificativi del titolare presso il certificatore;

Ø il certificato rilasciato al titolare (che deve essere allegato alla firma, come prescrive l'articolo 9, comma 2 delle Regole tecniche);

Ø i certificati relativi alle chiavi di certificazione del certificatore.

   Il dispositivo contiene di solito il software per la generazione della coppia di chiavi, che deve avvenire all'interno del dispositivo stesso nel caso che venga compiuta direttamente dal titolare (articolo 6, comma 3). Se invece la generazione è compiuta da un altro soggetto (in linea di principio, il certificatore), essa può farsi anche al di fuori del dispositivo, ma in particolari condizioni di sicurezza, tassativamente indicate dall'articolo 7.

   In pratica ci sono due possibili schemi di generazione della coppia di chiavi:

Ø il titolare si procura il dispositivo di firma, genera le chiavi e ne invia una (la chiave pubblica) al certificatore;

Ø il certificatore genera le chiavi e consegna al titolare il dispositivo di firma contenente la chiave privata.

   Il senso di tutte queste disposizioni è chiaro: la chiave privata deve essere protetta contro qualsiasi rischio di presa di conoscenza da parte di terzi, compreso lo stesso certificatore, sul cui sistema non deve restare la minima traccia della chiave stessa, nel caso in cui egli provveda alla generazione della coppia.

  Il motivo che ha spinto il legislatore italiano a rendere obbligatorio l'uso del dispositivo di firma è chiaro: con la chiave privata del titolare stabilmente custodita all'interno di un qualsiasi PC, è abbastanza facile apporre firme apocrife, difficili da identificare come tali (questo rischio è particolarmente diffuso negli uffici pubblici).

  Se il titolare può portare con sé la chiave, il livello di sicurezza del sistema è molto più alto e sussiste inoltre un vantaggio pratico: con la chiave privata registrata su un dispositivo portatile, il titolare può sottoscrivere documenti dovunque vada [7] .

   L'attivazione della procedura di firma non può prescindere dall'identificazione del titolare e dall'accertamento della sua volontà di sottoscrivere il documento.

 

La Direttiva UE
 

   Dal 19 luglio 2001 il panorama italiano della firma digitale è, di fatto, condizionato dalla Direttiva 1999/93/CE del Parlamento europeo e del Consiglio del 13 dicembre 1999 "relativa ad un quadro comunitario per le firme elettroniche".
    La direttiva prende in esame i temi fondamentali:

Ø garanzie per l’accesso al mercato comunitario non discriminato dalle legislazioni locali,

Ø valore legale delle firme elettroniche,

Ø responsabilità dei fornitori di certificati, tutela dei dati personali.

   La Commissione ha dato mandato all’industria e ai body di standardizzazione europea, nel quadro di riferimento di ICTSB (Information and Communications Technologies Standard Board), di analizzare le necessità di standard operativi che potessero ben supportare il quadro legislativo delineato dalla direttiva, al fine di favorire lo sviluppo consistente e coerente di prodotti e servizi in materia di firme elettroniche.

   A tale mandato ICTSB ha risposto lanciando nel gennaio 1999 la EESSI: European Electronic Segnature Stanardization Iniziative. In questa iniziativa è confluito il lavoro di un team di esperti appartenenti all’industria e ai body di standardizzazione europei, producendo, nel luglio 1999, il Final Report of the EESSI Export Team. Si tratta di un documento che analizza gli aspetti destinati a beneficiare dall’esistenza di standard di riferimento nell’area della firma elettronica: a) classificazione delle firme, b) requisiti per i certificatori, c) marcatura temporale, d) dispositivi di firma, e) processi e strumenti per la generazione e per la verifica delle firme, f) formati e protocolli, g) valutazioni di conformità.

   Molti concordano sul fatto che gli standard e le regole tecniche non dovrebbero essere un’imposizione governativa; nel contempo la totale assenza di punti di riferimento,  non può che rallentare il decollo di tecnologie e strumenti che hanno ragione di esistere solo se sussistono possibilità di comunicazione ed interoperabilità. La co-regulation è un processo che permette a tutte le parti coinvolte in un certo mercato di cooperare alla delineazione degli standard riferimento cui il mercato stesso ha bisogno di adeguarsi.

   L’attività nel quadro di EESSI è poi proseguita, durante tutto l’anno 2000, in diversi gruppi di lavoro afferenti a CEN/ISSS (Information Society Standardisation System of European Committee for Stanardisation) ed ETSI (European Telecommunication Standard Institute), due enti costituenti di ICTSB.
 ETSI ha prodotto standard che coprono:

Ø policy requirements per le autorità di certificazione che emettono certificati qualificati

Ø profili per i certificati qualificati

Ø profili di marcatura temporale

Ø formati e policy per le firme elettroniche

CEN/ISSS ha prodotto diversi CWA (CEN Workshop Agreement, una forma preliminare allo stato di standard effettivo, soggetto ad ulteriore discussione) che coprono:

Ø requisiti di sicurezza per Trustworthy System che gestiscono certificati di firma

Ø requisiti di sicurezza per Secure Signature Creation Devices (dispositivi di firma sicura)

Ø ambiente e procedure per la creazione della firma

Ø ambiente e procedure per la verifica della firma

Ø guide alle valutazioni di conformità

   Il materiale prodotto è dunque molto ricco e costituisce indubbiamente un quadro di riferimento per i produttori di strumenti ed i fornitori di servizi che operano ad ogni livello delle infrastrutture connesse alla firma digitale.
   Diversi stati membri dell'Unione, che finora sono "ritardatari" non avendo ancora introdotto alcuna norma nazionale in materia di firme elettroniche, ora si trovano avvantaggiati, poiché limitandosi ad un recepimento integrale della direttiva, evitano le difficoltà di adeguamento di norme in conflitto con la direttiva stessa (Italia e Germania).

   Per gli operatori italiani si tratta di seguire il processo di armonizzazione della normativa italiana. Nel frattempo gli operatori più sensibili al prospettato allargamento del mercato sino ai confini dell'Unione europea (ed oltre) stanno già strutturando i propri prodotti e servizi in base a questi standard di matrice comunitaria.

   La Direttiva del Parlamento e del Consiglio Europeo, attribuendo valore giuridico alla firma elettronica, ha stimolato gli Stati membri dell’Unione ad accelerare i tempi per l’introduzione dell’informatica e della telematica nel settore pubblico ed in quello privato. I propositi della direttiva sono indirizzati: all’eliminazione degli ostacoli per il riconoscimento giuridico delle firme elettroniche e la libera circolazione dei servizi di certificazione.

   Le norme europee sono "emanande" e una loro modifica comporterebbe differenti valutazioni. E’ quindi opportuno effettuare un esame comparativo con le disposizioni dal legislatore italiano nel d.P.R. 513/1997 (e nel collegato d.P.C.M 8 febbraio 1999). Il primo dato che si riscontra è che: mentre la disciplina italiana ha per oggetto il documento informatico (i criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici), quella direttiva è dedicata esclusivamente alla firma elettronica.

   "Firma elettronica" è un insieme di "dati in forma elettronica allegati, oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione" (art. 2 n. 1, dir.). La firma digitale è una particolare firma elettronica che si fonda su sistemi digitali. L’intento del legislatore comunitario è di non limitare alla tecnologia basata sulla crittografia asimmetrica (scelta dal legislatore italiano), la possibilità degli Stati membri di adottare strumenti diversi (forse per l’eterogeneo stato della tecnica). L’art. 1 dir. definisce il proprio campo di applicazione alle firme elettroniche ed a taluni servizi di certificazione, escludendo il riconoscimento giuridico dei contratti che richiedono l’apposizione di una firma. La necessità di una firma estremamente "sicura" ha indotto il legislatore ad introdurre la nozione di "firma elettronica avanzata" (art. 2, n. 2, dir.), ossia una firma elettronica connessa in maniera unica al firmatario, idonea ad identificarlo, creata su mezzi sotto il controllo esclusivo del firmatario e tali da permettere l’identificazione di ogni successiva modifica dei dati. Una firma elettronica così strutturata ha caratteri analoghi al sistema di firma digitale fondato sulla crittografia asimmetrica previsto dalla normativa italiana e non sembra difficile ammettere che la disciplina italiana della firma digitale sia conforme e rientri nella definizione di firma elettronica avanzata.

   Per l’Unione, "gli Stati membri non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione"; è tuttavia consentita la conservazione o l’introduzione di sistemi di "accreditamento facoltativi" per servizi di certificazione di livello più elevato, i quali vengano svolti da soggetti con i requisiti previsti dall’allegato III della direttiva e che possono fornire "certificati qualificati".

   La disciplina europea, infatti, distingue due tipi di certificato:

Ø certificato, è un attestato elettronico che colleghi i dati di verifica della firma ad una persona e conferma l’identità di tale persona (art. 2 n. 9 dir.);

Ø  certificato qualificato, è un attestato elettronico con i requisiti previsti dall’allegato I e fornito da un prestatore di servizi di certificazione che soddisfa i requisiti dell’allegato II (art. 2 n. 10 dir.).

   Il legislatore italiano sembra aver scelto una strada diversa prevista dall’art. 8 d.P.R. 513. Il terzo comma afferma che "le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all’inizio dell’attività, in apposito elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura dell’Autorità per l’informatica nella pubblica amministrazione". Questo procedimento è l’unico descritto dal Regolamento e permette il pieno riconoscimento giuridico alla documentazione informatica con firma digitale. La combinazione degli articoli del d.P.R. 513 e del d.P.C.M collegato, che ne stabiliscono i requisiti, permette di considerare il certificatore italiano quale prestatore di servizi di certificazione che rilascia un certificato qualificato.

   In sostanza, la disciplina del nostro Paese prevede solo una firma elettronica basata su un sistema crittografico a chiave pubblica e la possibilità di esercitare l’attività di certificazione al di fuori del sistema di accreditamento. Allo stesso modo la direttiva comunitaria è carente a causa della mancata previsione dei requisiti di un certificato non qualificato o di un soggetto che voglia, senza essere accreditato presso Autorità nazionali, svolgere il ruolo di prestatore di servizi di certificazione.

   Di particolare interesse è l’art. 5 della direttiva, in tema di effetti giuridici delle firme elettroniche, in base al quale gli Stati membri provvedono a che le firme elettroniche avanzate basate su un certificato qualificato e creato mediante un dispositivo per la creazione di una firma sicura posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per quelli cartacei e siano ammesse come prova in giudizio.

   Il secondo comma prevede che gli Stati membri provvedano affinché una firma elettronica non sia considerata legalmente inefficace ed inammissibile come prova in giudizio unicamente a causa della sua forma elettronica, o di non essere basata su un certificato qualificato, o di un certificato rilasciato da un prestatore qualificato o di non essere creata da un dispositivo per la creazione di una firma sicura. Quanto affermato chiarisce che la firma elettronica ha un riconoscimento giuridico da parte dell’Unione. Tuttavia mentre la firma elettronica avanzata va equiparata alla sottoscrizione autografa ai fini sia di forma sia di prova, la firma elettronica (non specificata) deve, in ogni caso, possedere una rilevanza giuridica che avrà meno "forza legale" rispetto alla precedente.

   Il d.P.R 513, crea invece un’equivalenza fra la firma digitale e la sottoscrizione autografa (art. 10, comma 2). Non sembra possibile attribuire, in base alle norme italiane, un riconoscimento giuridico a firme apposte od associate con strumenti differenti da quelli presenti nel Regolamento governativo. Inoltre la figura del certificatore ha dei caratteri estremamente dettagliati che mal si conciliano con il libero esercizio di questa delicata funzione di autenticazione prevista dalla direttiva europea. Mentre quest’ultima consente lo svolgimento dell’attività certificativa tanto a persone giuridiche quanto a persone fisiche (art. 2, n. 11 dir., prestatore di servizi di certificazione è "un’entità o una persona fisica o una persona giuridica che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche"), il decreto italiano ammette esclusivamente a tale qualifica soggetti pubblici o privati con forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione dell’attività bancaria (art. 8, comma 3, (a ). La dottrina aveva sollevato perplessità in merito al rigore dei requisiti perché rendono inevitabile l’esclusione di soggetti che potrebbero svolgere efficacemente l’attività di certificazione proprio per il loro ruolo e le loro funzioni tipiche, ad esempio i fornitori di accesso ad Internet.

   La materia oggetto di studio è una novità per molti degli ordinamenti degli Stati membri dell’Unione e di conseguenza per l’attività legislativa del Parlamento e del Consiglio Europeo, il cui obiettivo non è armonizzare le discipline statuali bensì dettare norme comuni.

 

In sintesi

In senso tecnico la firma digitale è il risultato di una particolare procedura di applicazione della chiave segreta di un cifrario asimmetrico al documento da firmare. Il suo valore è legato sostanzialmente alla serietà del certificatore che pubblica l'altra chiave della coppia - detta appunto "chiave pubblica" - testimoniando l'identità del soggetto al quale essa è attribuita.

   La firma digitale in senso tecnico cioè generata senza il rispetto delle procedure prescritte dalla normativa, ha il valore che di volta in volta le viene riconosciuto da chi riceve il documento [8] .

In senso legale, oggi in Italia, la firma digitale è quella che rispetta la normativa in vigore, cioè il DPR 513/97 e le regole tecniche stabilite con  il DPCM 8 febbraio 1999. Questo tipo di firma, serve a rendere un documento informatico "valido e rilevante a tutti gli effetti di legge". La sua validità deriva dalla pubblicazione del certificato della corrispondente chiave pubblica, da parte di un certificatore iscritto in un apposito elenco tenuto dall'Autorità per l'informatica nella pubblica amministrazione. Dal punto di vista sostanziale è una firma digitale esattamente come quella descritta prima, ma è generata e certificata secondo procedure molto severe che offrono un livello di sicurezza elevato contro possibili contraffazioni. Solo questa firma conferisce validità legale al documento informatico, nel senso che sostituisce tutto firme, timbri, filigrane e quant'altro è stato inventato nei secoli per testimoniare l'autenticità di un documento. Inoltre offre una serie di indicazioni certe sull'autore del medesimo, come si legge nell’articolo 10 delle regole tecniche.  

   Il motivo per cui le transazioni che si svolgono in rete, in tutto il mondo, hanno piena soddisfazioni di venditori, acquirenti e banche, pur non utilizzando la firma ditale "legale" (cioè non sono basate su documenti informatici validi e rilevanti a tutti gli effetti di legge) è da rivedersi nel fatto che il commercio elettronico si svolge attraverso l'uso di "canali sicuri". Un "canale sicuro" di fatto funziona con gli stessi principi di crittografia che sono alla base della firma digitale ma ha il solo scopo di evitare che qualcuno possa intercettare le informazioni che passano sulla rete (in particolare il numero della carta di credito) o di alterare il contenuto dell'ordine.

   Di fatto: a) non ha importanza l'identificazione certa del compratore; b) al venditore interessa solo incassare il corrispettivo e questo gli è garantito dalla banca alla quale si appoggia (o, più esattamente, dall'emittente della carta di credito); c) il compratore ha interesse che nessuno possa intercettare il numero della sua carta e questo è garantito appunto dal "canale sicuro". Solo all'emittente della carta interessa l'identità di chi la usa, e questa è testimoniata dalla banca attraverso la quale la carta è stata rilasciata.

   Questo è il motivo per il quale nel commercio elettronico il numero delle transazioni fraudolente, fino a questo momento, non è molto rilevante.
 Firma digitale (legale) e commercio elettronico potranno incontrarsi per transazioni di valore elevato, come l'acquisto di un'automobile o di una casa.

   Naturalmente un acquirente "certificato" è un cliente più sicuro e più disponibile per il commercio telematico, ed è comprensibile che qualcuno cerchi di allargare la base dei potenziali clienti anche con l'offerta della certificazione della firma digitale.

   Un altro motivo che ostacola la diffusione della firma digitale con valore legale consiste nella complessità delle procedure e negli alti costi. Con le procedure "libere", molto più semplici da realizzare, si ottiene l'effetto del "canale sicuro", che è il requisito essenziale delle transazioni telematiche.

  

 

APPENDICE

LA NORMATIVA IN VIGORE

Ministero delle attività produttive -  Circolare n. 3529/C del 30.10.2001 - Attuazione dell’articolo 31, comma 2, della legge 24 novembre 2000, n. 340 (Deposito degli atti con firma digitale presso le Camere di commercio)

Circolare del 21 giugno 2001, n. AIPA/CR/31 - Art. 7, comma 6, del decreto del Presidente del Consiglio dei ministri del 31 ottobre 2000, recante "Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428" - requisiti minimi di sicurezza dei sistemi operativi disponibili commercialmente

Circolare 18 maggio 2001, n. AIPA/CR/29 - Art. 14, comma 2, del decreto del Presidente del Consiglio dei ministri dell'8 febbraio 1999: codici identificativi idonei per la verifica del valore della chiave pubblica della coppia di chiavi del Presidente dell'Autorità per l'informatica nella pubblica amministrazione

Circolare 7 maggio 2001, n. AIPA/CR/28 - Articolo 18, comma 2, del decreto del Presidente del Consiglio dei ministri 31 ottobre 2000 - Standard, modalità di trasmissione, formato e definizioni dei tipi di informazioni minime ed accessorie comunemente scambiate tra le pubbliche amministrazioni e associate ai documenti protocollati.

Decreto del Presidente del Consiglio dei ministri 20 aprile 2001 - Differimento del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999

Circolare del 16 febbraio 2001, n. AIPA/CR/27 - Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: utilizzo della firma digitale nelle Pubbliche Amministrazioni

Decreto de presidente della Repubblica 28 dicembre 2000 n. 445 - Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa

Decreto del Presidente del Consiglio dei Ministri 7 dicembre 2000 - Proroga del termine che autorizza l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8 febbraio 1999

Deliberazione AIPA n. 51/2000 del 23 novembre 2000 - Regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni ai sensi dell’art. 18, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997, n. 513

Decreto del Presidente del Consiglio dei Ministri 31 ottobre 2000 - Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428

Circolare 19 giugno 2000 n. AIPA/CR/24 - Linee guida per l'interoperabilità dei certificatori

Direttiva del Presidente del Consiglio dei Ministri 28 ottobre 1999 - Gestione informatica dei flussi documentali nelle pubbliche amministrazioni

Decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437 - Regolamento recante caratteristiche e modalità per il rilascio della carta di identità elettronica e del documento di identità elettronico, a norma dell'articolo 2, comma 10, della legge 15 maggio 1997, n. 127, come modificato dall'articolo 2, comma 4, della legge 16 giugno 1998, n. 191

Circolare 3 giugno 1999 dell'Autorità per l'informatica nella pubblica amministrazione - AIPA/CR/22 - Modalità per presentare domanda di iscrizione nell’elenco pubblico dei certificatori

Decreto del Presidente della Repubblica 8 marzo 1999, n. 70 - Regolamento recante disciplina del telelavoro nelle pubbliche amministrazioni, a norma dell'articolo 4, comma 3, delle legge 16 giugno 1998, n. 191

Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 - Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513

Decreto del Presidente della Repubblica 20 ottobre 1998, n. 428 - Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche

Deliberazione 24/98 del 30 luglio 1998 dell'Autorità per l'informatica nella pubblica amministrazione - Regole tecniche per l'uso di supporti ottici

Decreto del Ministero del tesoro, del bilancio e della programmazione economica 18 marzo 1998, n. 161 - Regolamento recante norme per l'individuazione dei requisiti di onorabilità e professionalità degli esponenti aziendali delle banche e delle cause di sospensione

Decreto del Presidente della Repubblica 23 dicembre 1997, n. 522 - Regolamento recante norme per l'organizzazione ed il funzionamento del Centro tecnico per l'assistenza ai soggetti che utilizzano la Rete unitaria della pubblica amministrazione, a norma dell'articolo 17, comma 19, della Legge 15 maggio 1997, n. 127

Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 - Regolamento contenente i criteri e le modalità di applicazione dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59 in materia di formazione, archiviazione e trasmissione di documenti con strumenti informatici e telematici

Legge 15 marzo 1997 n. 59, art. 15, comma 2

Deliberazione 15/95 del 9 novembre 1995 dell'Autorità per l'informatica nella pubblica amministrazione - Regole tecniche per il mandato informatico

Direttiva del Presidente del Consiglio dei Ministri 5 settembre 1995 - Rete unitaria della pubblica amministrazione



[1] Notevoli furono le difficoltà dei giuristi nello spiegare agli informatici che non si poteva parlare di "furto di software" nel caso di copie abusive di programmi, per il fatto che la vittima dell'atto illecito non veniva spossessata dell'oggetto, proprio perché il software non è un "oggetto", una res.

[2] Il risultato di stampa segue quindi le sorti di qualsiasi altro documento cartaceo.

[3]  Prendendo un dischetto sul quale sia registrato un documento informatico e inserendolo nel computer, si visualizza il documento sullo schermo e attiva il programma che, collegandosi automaticamente al sito del certificatore, verifica la firma digitale attraverso la chiave pubblica del firmatario. Queste operazioni permettono di constatare che il dischetto contiene realmente un documento informatico "valido e rilevante a tutti gli effetti di legge". Distruggendo il dischetto, per il codice penale si è distrutto un documento informatico, perché l'articolo 491-bis afferma che per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria. Inserendo il duplicato nel computer, si può constatare che si tratta dello stesso documento di prima, valido e rilevante a tutti gli effetti di legge, come risulta dalla verifica della firma digitale.

 

[4] A stretto rigore autenticazione della firma e marca temporale non sono la stessa cosa, ed è impossibile considerarle in qualche modo equivalenti.

[5] Il certificato X.509 è un piccolo data-base, il cui contenuto è firmato dal certificatore. In sostanza indica la sequenza e le dimensioni dei campi del certificato, sicché tutti i certificati standard presentano la stessa struttura. Possono contenere "estensioni" cioè informazioni non obbligatorie nello standard, utilizzate ad es. per l'indicazione di eventuali poteri di rappresentanza (articolo 11, comma 3); limitazioni di spesa o altro.

[6] Procedure che dovranno essere messe in atto dagli stessi certificatori, evidentemente attraverso strutture delegate, dal momento che la normativa non prevede le entità di registrazione.

 

[7] Va detto però che, almeno nelle soluzioni oggi disponibili, non è sufficiente inserire il dispositivo di firma nel lettore incorporato o collegato a un PC per attivare tutte le operazioni. Nella macchina deve essere presente anche il software necessario per il collegamento "protetto" con il certificatore, che poi è il "sistema di comunicazioni sicuro" previsto dall'articolo 25.

 

[8] A scopo dimostrativo, al Forum della pubblica amministrazione, chiunque si presentasse allo stand di Telecom poteva ottenere un certificato dichiarando qualsiasi nome fittizio, inventando sul momento un codice fiscale. 

Bertolini  Martina


RITORNO ALLA HOME PAGE