Il documento informatico e la Il documento informatico e la
disciplina delle firme disciplina delle firme
elettronicheelettroniche
Prof. Avv. Gianluigi Ciacci
Studio Legale Ciacci
“Il Documento informatico e la prova nel processo civile:
un codice al passo con i tempi ?”
Roma 25 gennaio 2016
Le tecnologie informatiche …
L’elaboratore elettronico è la macchina più efficiente
per la produzione e conservazione delle informazioni;
la gestione informatizzata dell’attività di
documentazione dei privati e della Pubblica
Amministrazione si è quindi sempre più affermata;
questo in particolare poi con l’avvento della
telematica e di Internet, che hanno permesso di
estendere tale efficienza anche alla comunicazione
delle informazioni.
Le tecnologie informatiche …
Grazie all’evoluzione repentina ed esponenziale delle tecnologie informatiche, oggi è possibile, in base a strumenti di acquisizione delle informazioni particolarmente avanzati, rendere una qualsiasi realtà percepibile dai nostri sensi in maniera gestibile dal computer, in particolare quindi attraverso byte, cioè in formato digitale
è proprio il concetto di informazione, a causa dell’interazione con i nuovi strumenti automatici di gestione della stessa, a cambiare, a diventare “informazione automatica”, “informatica” .
Il Documento informatico
alla luce di tale processo e di queste modalità operative, informazione è sicuramente un testo scritto, ma è anche un suono, un odore, un’immagine: oppure tutte queste realtà (testo, immagini e suoni) insieme, tutte elaborabili attraverso un sistema automatizzato
se il computer permette di ampliare a questo livello il concetto di informazione, allora anche il concetto di
“documento” ne risulta altrettanto ampliato
oggi infatti si rileva, accanto al “documento” inteso in
senso tradizionale (cosa rappresentativa di un fatto), anche un nuovo tipo, il “documento informatico”.
Il Documento informatico
“documento informatico” deve quindi essere inteso
come documento, nel senso ampio appena visto,
prodotto da un sistema informatico
La definizione normativa di “documento
informatico” è stata inizialmente legata a ciò che
contiene e non a ciò che è contenuto (art. 3 l.
547/1993):
“qualunque supporto informatico contenente dati o
informazioni aventi efficacia probatoria o
programmi specificamente destinati ad elaborarli”.
Il Documento informatico
Successivamente (D.P.R. 513/1997) si è più
correttamente prestato attenzione alla specificità
del medium: “la rappresentazione informatica di
atti, fatti o dati giuridicamente rilevanti”;
si abbandonò così il legame con il supporto, e si
diede la prevalenza al contenuto (smaterializzato)
sul contenente.
Il Documento nella Delibera
C.N.I.P.A. 19/2/2004
La normativa in materia, dopo aver definito
“documento” la rappresentazione informatica o in
formato analogico di atti, fatti e dati intelligibili
direttamente o attraverso un processo di elaborazione
elettronica, distingue
– documento analogico, a sua volta distinto in “originale” (che
verrà ulteriormente sotto-distinto in “unico” e “non unico”) e
“copia”,
– documento informatico, che viene ancora definito come “la
rappresentazione informatica di atti, fatti o dati giuridicamente
rilevanti”.
Il Documento informatico nel
C.A.D.
Nel Codice dell’Amministrazione Digitale (D.Lgs.
82/2005) si è poi confermata l’impostazione
originaria: “la rappresentazione informatica di atti,
fatti o dati giuridicamente rilevanti”
più di recente, fermo restando il concetto
individuato, l’attenzione definitoria si è più
spostata su realtà e situazioni connesse al
documento informatico (copie, duplicati,
riproduzione, conservazione, …).
Il Documento informatico nel
Regolamento EiDAS
«documento elettronico», qualsiasi
contenuto conservato in forma elettronica, in
particolare testo o registrazione sonora,
visiva o audiovisiva.
Il Il problema del valore
del Documento
informatico
Il Documento informatico e il suo valore
Fino a poco tempo fa i documenti che venivano prodotti e gestiti attraverso il computer non avevano alcun valore giuridico, costringendo ad una duplice gestione dell’attività di documentazione, informatizzata e parallelamente cartacea;
la legge richiedeva infatti la necessaria stampa su carta di quanto era stato scritto con l’elaboratore elettronico e l’attuazione di procedure “tradizionali” (ad es. l’uso della sottoscrizione autografa) per la sua imputazione;
ciò a causa della “sfiducia” del giurista, e del legislatore, a concedere un valore ad un media così facilmente alterabile.
Il Documento informatico e il suo valore
Infatti affinché possa essere attribuita efficacia
giuridica al documento elettronico, deve essere
garantita la sua genuinità e sicurezza, oltre alla
provenienza e non ripudiabilità nel caso questo
venga trasmesso a distanza;
requisiti difficilmente realizzabili usando il
computer per gestire l’attività di documentazione
(come d’altro canto avviene quotidianamente).
Il Documento informatico e il suo valore
tale risultato, dopo anni di intensi dibattiti
dottrinari, si è ottenuto, anche per i
documenti informatici, attraverso
un’applicazione specifica delle tecnologie
crittografiche, che ha reso possibile la c.d.
firma digitale.
La Firma DigitaleLa Firma Digitale
Tale metodologia tecnica costituisce oggi il criterio legale in base al quale è possibile imputare a un determinato soggetto un documento redatto mediante il computer
Diventa cioè il sistema mediante il quale l’ordinamento giuridico riesce ad attribuire il valore di piena prova alla documentazione prodotta, gestita e trasmessa attraverso l’uso del computer, prescindendo dalla necessità della relativa stampa, e quindi della relativa sottoscrizione
Risultato reso possibile da una specifica applicazione delle tecnologie crittografiche insieme all’uso di un algoritmo.
La Firma DigitaleLa Firma Digitale
Si uniscono infatti la tecnica crittografica a doppia
chiave, quindi asimmetrica, all’applicazione della c.d.
funzione di hash
è “firma digitale”, dal punto di vista tecnico, l’impronta
criptata con la chiave privata dell’autore del documento.
con il primo sistema (crittografia asimmetrica) si
raggiunge la certezza della provenienza della
dichiarazione elettronica; con il secondo (funzione di
hash) che il testo della dichiarazione non sia stato
alterato
La Firma DigitaleLa Firma Digitale
In particolare, è un sistema che basa l'imputazione del documento sull'esclusività dell'uso del mezzo, e non sull'univocità della calligrafia di firma.
In questo modo, seppure in presenza di un mediumestremamente alterabile come il documento informatico, è possibile essere certi della provenienza dello stesso e della sua non ripudiabilità (cioè l'impossibilità di non riconoscerlo più come proprio una volta inviato), conferendogli valore giuridico;
ed è poi per questo che si parla di “firma digitale” (anche se più correttamente dovrebbe usarsi l’espressione “sigillo elettronico”).
Sistema che ha visto una genesi estremamente complessa.
Il quadro normativo Il quadro normativo
in materia diin materia di
Firma Digitale Firma Digitale
((e firme elettronichee firme elettroniche))
Fonti in materia
art. 15, c. 2, l. 15 marzo 1997 n. 59: “Gli atti, dati e documenti formati dalla P.A. e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge (…)”
D.P.R. 10 novembre 1997, n. 513;
D.P.C.M. 8 febbraio 1999;
D.P.R. 28 dicembre 2000, n. 445, T.U. delle disposizioni legislative e regolamentari in materia di documentazione amministrativa;
D.Lgs. 23 gennaio 2002 n.10, recepisce Direttiva 1999/93/CE sulle firme elettroniche (Abrogato dal D.Lgs. 82/2005)
Fonti in materia
D.Lgs. 7 marzo 2005 n. 82 (e successive modifiche),
c.d. Codice dell’Amministrazione Digitale
D.P.C.M. 30 marzo 2009, Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici.
Deliberazione n.45 del 21 maggio 2009, Regole per il riconoscimento e la verifica del documento informatico (modificata dalla Determinazione DigitPA 69/2010)
D.P.C.M. 10 febbraio 2010 (Autocertificazione dispositivi automatici di firma)
Fonti in materia
D.Lgs. 30 dicembre 2010 n. 235 (Modifiche ed
integrazioni al C.A.D.)
L. 17 dicembre 2012 n. 221 (converte con modifiche il
D.L. 18 ottobre 2012 n. 179, recante ulteriori misure
urgenti per la crescita del Paese, il c.d. Decreto Crescita
2.0)
D.P.C.M. 22 febbraio 2013 (Regole tecniche in materia
di generazione, apposizione e verifica delle firme
elettroniche avanzate, qualificate e digitali)
Fonti in materia
D.P.C.M. 3 Dicembre 2013 (Regole tecniche per il
protocollo informatico ai sensi degli artt. …)
D.P.C.M. 3 Dicembre 2013 (Regole tecniche in
materia di sistema di conservazione ai sensi degli artt.
…)
D.P.C.M. 13 Novembre 2014 (Regole tecniche in
materia di formazione, trasmissione, copia, duplicazione,
riproduzione e validazione temporale dei documenti
informatici nonché di formazione e conservazione dei
documenti informatici delle pubbliche amministrazioni
ai sensi degli artt. …)
Fonti in materia
REGOLAMENTO (UE) N. 910/2014 del 23 luglio
2014, in materia di identificazione elettronica e servizi
fiduciari per le transazioni elettroniche nel mercato
interno e che abroga la direttiva 1999/93/CE
Riforma P.A. “in corso d’opera”
…..
LL’’evoluzione nelle evoluzione nelle
tipologie di tipologie di
sottoscrizione sottoscrizione
elettronicaelettronica
Le tipologie di firme elettroniche
Direttiva Comunitaria
D. Lgs. 82/2005
D. Lgs. 235/2010
D.P.R. 513/1997 FIRMA DIGITALE
FIRMA ELETTRONICA
FIRMA ELET. AVANZATA
FIRMA DIGITALE
FIRMA ELETTRONICA
FIRMA ELET. QUALIFICATA
FIRMA ELETTRONICA
FIRMA ELET. AVANZATA
FIRMA ELET. QUALIFICATA
FIRMA DIGITALE
D.P.R. 10 novembre 1997, n. 513
“firma digitale”: “il risultato della procedura
informatica (validazione) basata su un sistema di chiavi
asimmetriche a coppia, una pubblica e una privata, che
consente al sottoscrittore tramite la chiave privata e al
destinatario tramite la chiave pubblica, rispettivamente,
di rendere manifesta e di verificare la provenienza e
l'integrità di un documento informatico o di un insieme
di documenti informatici ”
DIRETTIVA COMUNITARIA 1999/93/CE
. “firma elettronica”: “Dati in forma elettronica, allegati o
connessi tramite associazione logica ad altri dati elettronici e
utilizzati come metodo di autenticazione”
“firma elettronica avanzata”: “Una firma elettronica che
rispetti i seguenti requisiti:
a) deve essere connessa in maniera univoca al firmatariob) idonea ad identificarloc) creata con mezzi sui quali il firmatario può conservare il suo
controllo esclusivod) collegata ai dati cui si riferisce in modo da consentire
l’identificazione di ogni successiva modifica di detti dati”
Codice Amministrazione Digitale (D.Lgs. 82/2005)
“firma elettronica”: “L’insieme dei dati in forma elettronica
allegati oppure connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di identificazione informatica”
“firma elettronica qualificata”: La firma elettronica ottenuta
attraverso una procedura informatica che garantisce la connessione
univoca al firmatario, creata con mezzi sui quali il firmatario può
conservare un controllo esclusivo e collegata ai dati ai quali si
riferisce in modo di consentire di rilevare se i dati stessi siano stati
successivamente modificati, che sia basata su un certificato
qualificato e realizzata mediante un dispositivo sicuro per la
creazione della firma.
Codice Amministrazione Digitale (D.Lgs. 82/2005)
“firma digitale”: “Un particolare tipo di firma
elettronica qualificata basata su un sistema di
chiavi crittografiche, una pubblica e una privata
collegate tra loro, che consente al titolare tramite
la chiave privata e al destinatario tramite la
chiave pubblica, rispettivamente, di rendere
manifesta e di verificare la provenienza e
l’integrità di un documento informatico o un
insieme di documenti informatici”
C.A.D. modificato (D. Lgs. 235/2010)
“firma elettronica”: “L’insieme dei dati in forma elettronica
allegati oppure connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di identificazione informatica”
“firma elettronica avanzata”: “Insieme di dati in forma
elettronica, allegati oppure connessi ad un documento informatico
che consentono l’identificazione del firmatario del documento e
garantiscono la connessione univoca al firmatario, creati con
mezzi sui quali il firmatario può conservare un controllo esclusivo,
collegati ai dati ai quali detta firma si riferisce in modo da
consentire di rilevare se i dati stessi siano stati successivamente
modificati”
C.A.D. modificato (D. Lgs. 235/2010)
“firma elettronica qualificata”: “Un particolare tipo di firma
elettronica avanzata che sia basata su un certificato qualificato e
realizzata mediante un dispositivo sicuro per la creazione della
firma”
“firma digitale”: “Un particolare tipo di firma elettronica
avanzata basata su un certificato qualificato e su un sistema di
chiavi crittografiche, una pubblica e una privata, correlate tra loro,
che consente al titolare tramite la chiave privata e al destinatario
tramite la chiave pubblica, rispettivamente, di rendere manifesta e
di verificare la provenienza e l’integrità di un documento
Informatico o un insieme di documenti informatici”
C.A.D. modificato (D. Lgs. 235/2010)
Quindi allo stato attuale si è consolidato un
sistema di firme elettroniche così
schematizzabile:
firma elettronica
firma elettronica avanzata
firma qualificata
firma digitale
Una nuova tipologia di Una nuova tipologia di
firma elettronica firma elettronica
avanzataavanzata::
le firme grafometrichele firme grafometriche
Le firme grafometricheLe firme grafometriche
o Un’altra attività di “documentazione digitale” che sta assumendo
sempre più una rilevante importanza, e che implica un trattamento
di dati personali (tra l’altro di natura particolare) riguarda le c.d.
firme grafometriche
o Queste si inseriscono nel “settore” del valore giuridico del
documento elettronico, delle firme elettroniche, rispetto alle quali
si caratterizza perché consente di essere utilizzato senza nessuna
preventiva predisposizione al sistema, e quindi senza costi, per il
soggetto che firma (uno dei motivi della sua diffusione)
Firme grafometriche come F.E.A.Firme grafometriche come F.E.A.
o Diffusione anche legata al loro riconoscimento
normativo, sia come sistema di sottoscrizione elettronica
valido (rientra nella tipologia di firma elettronica
avanzata introdotta dall’art. 1, comma 1, lett. q-bis del
D.Lgs. 82/2005), sia come metodologia adatta alla
sottoscrizione di una serie di atti giuridici individuati
sulla base dell’art. 1350, n. 13, del codice civile (come si
vedrà oltre)
Firme grafometriche come F.E.A.Firme grafometriche come F.E.A.
o Si ricorda che la firma elettronica avanzata è una firma
elettronica con alcune caratteristiche di sicurezza, non
comporta l’uso di una determinata tecnologia, secondo
una parte della dottrina non è un prodotto, ma un
processo
o la disciplina normativa, indifferente alle modalità,
richiede il soddisfacimento di una serie di condizioni per
darle valore giuridico.
o la firma grafometrica può essere ritenuta una F.E.A.
Firme Firme grafometrichegrafometriche
Le firme grafometriche sono una particolare tipologia di firma che
utilizza il rilevamento dinamico dei dati calligrafici (posizione,
pressione, velocità, tempo, inclinazione della penna, accelerazione,
movimento, …) della sottoscrizione di un individuo, acquisiti
attraverso una penna elettronica, o comunque attraverso un tablet
Posizione Tempo Pressione Velocità Accelerazione
I dati acquisiti in questo modo devono essere considerati
biometrici, e quindi implicano un trattamento di dati personali
Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati
personalipersonali
o le firme grafometriche vengono utilizzate, in tale ambito,
con due diverse finalità:
☞a fini di autenticazione, di identificazione: è la metodologia al
momento più diffusa
☞a fini di imputazione, dichiarativo: è la metodologia che
funziona in maniera diversa dalla precedente, in fase di forte
espansione, fino ad ora bloccata dalle implicazioni relative al
trattamento dei dati personali
Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati
personalipersonali
o Diversa, nelle due finalità indicate, è la gestione dei dati
grafometrici (cioè quelli corrispondenti al rilevamento
dinamico dei dati calligrafici della firma di un
individuo), che abbiamo detto devono comunque essere
considerati di natura biometrica (aspetto che porta ad
applicare la normativa in materia di tutela dei dati
personali, D.Lgs. 30 giugno 2003 n. 196)
Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati
personalipersonali
o nell’uso a scopo di autenticazione, tali dati sono
conservati ed accessibili dal soggetto che riceve la firma,
poiché devono essere ogni volta confrontati con
l’originario spécimen: quindi il soggetto che fa firmare, e
dunque riceve e conserva quei dati (ad esempio una
banca), può accedere, ed anzi accede, sia al dato
grafometrico originario, sia a quello creato nella
specifica occasione (entrambi parametri per effettuare il
confronto e procedere nell’identificazione);
Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati
personalipersonali
o nell’uso a scopo di imputazione, i dati grafometrici non
sono accessibili dal soggetto che riceve la firma (ad
esempio un medico), il cui interesse all’accesso è solo
eventuale, e solo nel caso il soggetto che ha firmato
contesti di aver sottoscritto il modulo del consenso
informato alla prestazione sanitaria: ipotesi legata
comunque all’instaurazione di una procedura giudiziaria,
e quindi legata ad un preciso ordine dell’autorità
giudiziaria che richieda l’acquisizione del dato.
Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati
personalipersonali
o In particolare in tale applicazione interviene una terza
parte, che svolge il compito di rendere inaccessibile il
dato grafometrico al soggetto che lo detiene (usando la
tecnica della crittografia asimmetrica), ed eventualmente
renderlo di nuovo accessibile nel momento in cui si attivi
una procedura giudiziaria.
Il sistema costruito dal
Codice
dell’Amministrazione
Digitale
Il sistema costruito dal C.A.D.
art. 20, c.1: “Il documento informatico da chiunque formato,
la memorizzazione su supporto informatico e la trasmissione
con strumenti telematici conformi alle regole tecniche di cui
all’art. 71 sono validi e rilevanti a tutti gli effetti di legge ai
sensi delle disposizioni del presente codice”
art. 23, quater: Viene inserita la categoria delle
“riproduzioni informatiche” all’interno dell’art. 2712 c.c.
art. 21, c. 1: “Il documento informatico, cui è apposta una
firma elettronica, sul piano probatorio è liberamente
valutabile in giudizio, tenuto conto delle sue caratteristiche
oggettive di qualità, sicurezza, integrità e immodificabilità”
Il sistema costruito dal C.A.D.
art. 21, c. 2 : “Il documento informatico, sottoscritto con
firma elettronica avanzata, qualificata o digitale, formato
nel rispetto delle regole tecniche di cui all’art. 20 comma
3, che garantiscano l’identificabilità dell’autore,
l’integrità e l’immodificabilità del documento, ha
l’efficacia prevista dall’articolo 2702 del codice civile
(Scrittura Privata).
L’utilizzo del dispositivo di firma si presume
riconducibile al titolare, salvo che questi dia prova
contraria.”
Il sistema costruito dal C.A.D.
art. 21, c. 2-bis : “Salvo quanto previsto dall' articolo 25 , le
scritture private di cui all'articolo 1350, primo comma,
numeri da 1 a 12, del codice civile, se fatte con documento
informatico, sono sottoscritte, a pena di nullità, con firma
elettronica qualificata o con firma digitale.
Gli atti di cui all'articolo 1350, numero 13, del codice civile
soddisfano comunque il requisito della forma scritta se
sottoscritti con firma elettronica avanzata, qualificata o
digitale
Il sistema costruito dal C.A.D.
art. 23-ter : “1. Gli atti formati dalle pubbliche
amministrazioni con strumenti informatici, nonché i dati e i
possibile
effettuare, su diversi o identici tipi di supporto, duplicazioni
e copie per gli usi consentiti dalla legge.
2. I documenti costituenti atti amministrativi con rilevanza
interna al procedimento amministrativo sottoscritti con firma
elettronica avanzata hanno l'efficacia prevista dall'art. 2702
del codice civile”
La firma digitale:
aspetti tecnici
48
Le tecnologie crittografiche
Crittografia è la tecnica che permette, con l’aiuto
di un algoritmo matematico, di trasformare un
messaggio leggibile da tutti in una forma illeggibile
per quegli utenti che non possiedano una chiave
segreta di decifrazione.
La funzione è reversibile, per cui l’applicazione
dello stesso algoritmo e della chiave segreta al testo
cifrato restituisce il testo originale
La crittografia esiste fin dall’antichità: se ne
parla nelle “Vite Parallele” di Plutarco
(la “scitala”) e nella “Vita dei Cesari”
di Svetonio.
49
Le Tecniche di crittografia
• Crittografia c.d. Asimmetrica
• Crittografia c.d. Simmetrica:
– si usa una sola modalità per rendere
illeggibile e poi leggibile il testo, una
sola chiave segreta, la stessa per
criptare e decriptare il documento
enigma
50
La Crittografia Simmetrica si usa una sola modalità per rendere illegibile
il testo, una sola chiave segreta, la stessa per
criptare e decriptare il documento
le parti devono scambiarsi la chiave di
criptazione, la cui trasmissione implica
un serio problema di sicurezza
nel caso di comunicazione con diversi
soggetti, si devono adottare chiavi
diverse per ognuno di essi
la sicurezza dell’integrità del
documento, si ottiene nei confronti dei
terzi, ma non tra le parti
Aspetti negativi
51
La Crittografia simmetrica
• si usa una coppia di chiavi, complementari, diverse per
“chiudere” ed “aprire” il documento, di cui una viene
resa pubblica (in appositi elenchi consultabili
telematicamente) e l’altra mantenuta segreta
• può avere 2 distinte applicazioni: a fini di
segretezza, oppure a fini di autenticazione
chiave pubblica chiave privata
52
La Crittografia Asimmetrica a fini di
segretezza
Quando A chiude il documento con la chiave pubblica di B, è
sicuro che solo B, titolare della complementare chiave privata,
potrà aprirlo (in questo modo si ha la sicurezza della riservatezza
del messaggio, fine per cui è stata inventata tale tecnica)
A B
A cifra con la chiave pubblica di B B decifra con la sua chiave privata
Ma la Crittografia
Asimmetrica può avere
anche un’altra interessante
applicazione
54
La Crittografia Asimmetrica a fini di
autenticazione
Se B può aprire con la chiave pubblica di A, vuol dire
che tale documento è stato chiuso dalla chiave privata di
A, e quindi si ha la sicurezza che solo A può esserne
stato l’autore (in questo modo si accerta la provenienza
del messaggio, applicazione ulteriore di tale tecnica)
A B
A cifra con la sua chiave privata B decifra con la chiave pubblica di A
55
La Crittografia Asimmetrica a fini di
autenticazione e di segretezza
E’ l’unione delle due tecniche, permette di ottenere la
riservatezza del messaggio di cui è possibile accertare la
provenienza
A B
1- A cifra con la sua chiave privata 1- B decifra con la sua chiave privata
2- A cifra nuovamente con
la chiave pubblica di B 2- B decifra di nuovo con la
chiave pubblica di A
56
Crittografia Asimmetrica e
autenticazione
Abbiamo detto che caratteristica della crittografia
asimmetrica è il necessario collegamento tra chiave
privata e chiave pubblica (assioma tecnico)
quindi se si riesce ad aprire un determinato testo con
la chiave pubblica di Tizio, vuol dire che quel testo
può essere stato chiuso solo dalla corrispondente
chiave privata di Tizio
ma se è stato chiuso dalla chiave privata di Tizio,
questi, che ne è per definizione l’esclusivo utilizzatore
(presupposto “di sistema”), ne sarà anche stato
l’autore
57
Crittografia Asimmetrica e autenticazione
E’, dunque, un sistema che basa l'imputazione del
documento sull'esclusività dell'uso del mezzo, e non
sull'univocità della calligrafia di firma.
In questo modo, seppure in presenza di un medium
estremamente alterabile come il documento informatico,
è possibile essere certi della provenienza dello stesso e
della sua non ripudiabilità (cioè l'impossibilità di non
riconoscerlo più come proprio una volta inviato),
conferendogli valore giuridico;
ed è poi per questo che si parla di “firma digitale”,
anche se più correttamente dovrebbe usarsi
l’espressione “sigillo elettronico”
58
Alcuni difetti della
crittografia asimmetrica• applicare direttamente la chiave privata ad
un documento può avere alcune
conseguenze negative:
– a livello di efficienza del sistema
– a livello di sicurezza,
entrambi inversamente proporzionali alla
lunghezza del documento
• occorre poi risolvere il problema della
effettiva non ripudiabilità del messaggio
59
La Funzione di Hash
Per tali motivi prima di procedere alla
criptazione del documento si applica allo
stesso la cd “funzione di hash”;
questa, partendo da un certo documento, permette
di ottenere una stringa di testo di lunghezza
prefissata (cd “impronta”), a prescindere dalla
lunghezza del documento originario;
cambiando anche solo un carattere del testo
originario, si avrà un’impronta totalmente
diversa (aspetto che rende impossibile
manomettere il testo clandestinamente)
60
La “Firma Digitale”
Applicando quindi ad un certo documento
prima la funzione di hash, poi la chiave privata,
ottengo come risultato di raggiungere la
sicurezza circa la provenienza e la non
ripudiabilità dello stesso documento;
l’impronta criptata con la chiave privata
dell’autore del documento costituisce la “firma
digitale” (come disciplinata in origine nel
D.P.R. 10 novembre 1997, n. 513 e nel suo
regolamento tecnico, oggi dal D.Lgs. 82/2005).
Vediamo analiticamente Vediamo analiticamente
come si appone e si verifica come si appone e si verifica
una una ““Firma DigitaleFirma Digitale””
62
Accetto di acquistare1 libro a € 20
::,;kkk)//6%%$£ertt uyyytr o’’^????
Accetto di acquistare1 libro a € 20
___________
B
Applico la funzione di hash al
documento originario
Ottengo l’impronta
Applico la chiave privata (di A) all’impronta
Ottengo
la firma digitale
(l’impronta criptata)
Unisco la stringa con la firma digitale
al documento originario
Invio il documento così ottenuto a B
Apposizione di FirmaApposizione di Firma
Digitale ad un documento elettronicoDigitale ad un documento elettronico
63
Accetto di acquistare1 libro a € 20
__________
::,;kkk)//6%%$£ertt uyyytr o’’^????
Applico la funzione di hash al
documento originario
Ottengo l’impronta
Applico la chiave pubblica di A
Estraggo la firma digitale
Confronto le due impronteSe coincidono, ho la sicurezza della provenienza
e della genuinità del documento
Accetto di acquistare1 libro a € 20
::,;kkk)//6%%$£ertt uyyytr o’’^????
Estraggo il documento
originario
Verifica della FirmaVerifica della Firma
DigitaleDigitale
64
Un problema di basilare
importanza
Se il metodo per capire chi è l’autore di un
determinato messaggio riguarda la titolarità
della chiave pubblica, occorre essere sicuri
della corrispondenza chiave-titolare;
questa certezza è raggiunta attraverso una
terza parte che garantisce tale
corrispondenza, il cd Certificatore.
65
Il Certificatore
svolge la funzione di identificare il titolare della chiave
pubblica, rilasciare un certificato digitale che attesti tale
riconoscimento, e in genere metterlo a disposizione dei
terzi insieme alla stessa chiave pubblica, attraverso
l'inserimento in un elenco consultabile on-line;
i Certificatori facevano capo all'A.I.P.A., che certificava
le loro chiavi, gestiva l'elenco pubblico in cui venivano
inseriti e vigilava relativamente alla presenza ed al
mantenimento di specifici requisiti espressamente
previsti dalla legge.
il D.Lgs. 10/2002, poi abrogato e sostituito dal D.Lgs.
82/2005 (Codice dell’Amministrazione Digitale), ha
cambiato tale struttura
66
Il Certificatore
1. Actalis S.p.A. (dal 28/03/2002)
2. Aruba Posta Elettronica Certificata S.p.A. (dal 06/12/2007)
3. Banca d’Italia (dal 24/01/2008)
4. Banca Monte dei Paschi di Siena S.p.A. (dal 03/08/2004)
5. Cedacri S.p.A. (dal 15/11/2001)
6. CNDCEC (dal 10/07/2008)
7. Comando C4 Difesa - Stato Maggiore della Difesa (dal 21/09/2006)
8. Consiglio Nazionale del Notariato (dal 12/09/2002)
9. Consiglio Nazionale Forense (dal 11/12/2003)
10.I.T. Telecom S.r.l. (dal 13/01/2005)
67
Il Certificatore
11. I.T. Telecom S.r.l. (dal 13/01/2005)
12. In.Te.S.A. S.p.A. (dal 22/03/2001)
13. Infocert S.p.A. (dal 19/07/2007)
14. Intesa Sanpaolo S.p.A. (dal 08/04/2004)
15. Lombardia Informatica S.p.A. (dal 17/08/2004)
16. Namirial S.p.A. (dal 2/11/2010)
17. Postecom S.p.A. (dal 20/04/2000)
18. SOGEI S.p.A. (dal 26/02/2004)
Il Certificatore
È essenziale per l’ identificazione del titolare del dispositivo di
firma digitale/qualificata
I certificati elettronici sono “gli attestati elettronici che
collegano all'identità del titolare i dati utilizzati per verificare le
firme elettroniche”
il certificatore è “il soggetto che presta servizi di certificazione
delle firme elettroniche o che fornisce altri servizi connessi con
queste ultime”
Le funzioni del Certificatore
In sintesi, l'attività di certificazione consiste nell’attestare con certezza
il collegamento tra dispositivo di firma e soggetto titolare
II certificatore, perciò, è tenuto a :
1accertare l’identità dei titolari
2rilasciare i certificati
3gestire il pubblico archivio, garantendone la consultabilità e
l’aggiornamento
4comunicare la sospensione/revoca dei certificati.
La responsabilità del Certificatore
Prima dell’entrata in vigore del CAD, ci si era chiesti se la
responsabilità civile del certificatore fosse riconducibile:
oall’art. 2043 c.c.: chi cagiona ad altri dolosamente o
colposamente un danno ingiusto è obbligato a risarcirlo
oall’art. 1218 c.c., il quale stabilisce che il debitore che non
esegue correttamente la prestazione dovuta è tenuto al
risarcimento del danno
oall’art. 2050 c.c, e quindi da ricondurre all’esercizio di attività
pericolose…
La responsabilità del Certificatore
Il CAD ha introdotto la specifica disciplina della responsabilità
civile del certificatore, all’art. 30, il quale si pone come norma
speciale rispetto a quelle, generali, del codice civile
La responsabilità del certificatore diviene così una sintesi
responsabilità contrattuale ed extracontrattuale:
da una parte, il certificatore risponde del mancato o inesatto
adempimento dei suoi compiti (in presenza di un danno concreto)
dall’altra, l’onere della prova grava su di lui (“… è responsabile, se non
prova di aver agito senza dolo o colpa, del danno cagionato …”)