Firma digitale Firma Digitale Documento informatico e firma

Firma digitale

Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata

Premessa Legge 15 marzo 1997 n. 59 (c. d. “Bassanini-1) art. 15, comma 2 “Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge”

Il T. U. in materia di documentazione amministrativa (D. P. R. 28/12/2000 n. 445) Art. 8 Documento informatico Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico.

Il documento informatico “Rappresentazione informatica (sequenza di bit che, elaborata da un sistema informatico, può essere resa visibile su uno schermo, stampata su carta o inviata a distanza) di atti, fatti o dati giuridicamente rilevanti” a differenza del documento cartaceo • è immateriale (la sua esistenza non è legata a un supporto fisico) • non c’è distinzione tra originale e duplicato (molteplicità di originali a pari valore informativo)

Firma elettronica D. Lgs. 23/1/2002, n. 10 Attuazione della Direttiva 1999/93/CE Art. 2 Definizioni Si intende per firma elettronica l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica

Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata

Firma Digitale Definizione corrente: è l’equivalente informatico di una firma autografa su carta tecnico-giuridica: è • • una firma elettronica che si definisce avanzata si basa su un Certificato di Sottoscrizione Qualificato viene rilasciata da un Certificatore Accreditato è generata mediante un dispositivo sicuro (smart card)

Crittografia M A M M A A=O B=C C=M … … M=Z … … z o z z o O C M … … Z … … Chiave Crittografica Simmetrica Singola

Firma Digitale Proprietà generali E’ una delle possibili applicazioni del sistema crittografico a chiavi asimmetriche: il mittente cifra il documento con la sua chiave privata il destinatario decifra con la chiave pubblica del mittente Vengono garantite: l’autenticità del documento (sicurezza della paternità) • l’integrità del documento (certezza che il contenuto non sia stato alterato)

Firma Digitale Caratteristiche e vantaggi

Crittografia Definizioni • Sistema segreto di scrittura in codice • Scrittura segreta, che può essere letta solo se se ne conosce la chiave • Scienza matematica che serve a cifrare un testo in modo da renderlo comprensibile soltanto al destinatario

Crittografia Le due tipologie di base • Simmetrica (a chiave singola) unica chiave per cifrare e decifrare • Asimmetrica (a chiave privata + pubblica) coppia di chiavi correlate e indipendenti

Crittografia simmetrica Chiave singola per cifrare/decifrare • La serratura può essere chiusa/aperta con la stessa chiave • La chiave deve essere duplicata/scambiata tra gli interlocutori • Occorre una chiave per ogni coppia di corrispondenti

Crittografia asimmetrica Coppia di chiavi correlate • La serratura può essere aperta con una chiave ma chiusa solo con l’altra (e viceversa) • Le due chiavi sono indipendenti

Sistema a chiavi asimmetriche Chiavi distinte e complementari Ogni utente ha una coppia di chiavi: chiave privata (segreta e detenuta solo dal titolare) chiave pubblica (nota e accessibile a tutti) • Non è possibile ricavare la chiave privata dalla corrispondente chiave pubblica • Ogni chiave consente di sbloccare il codice dell’altra

Sistema a chiavi asimmetriche Sintesi • La chiave privata (del mittente) si usa per firmare un documento e proteggerlo da alterazioni • La chiave pubblica (del destinatario) si usa per cifrare un documento

Sistema a chiavi asimmetriche “Unicità” delle chiavi • La probabilità di generare due chiavi uguali (lunghe 1024 bit) è una su 10340 (“una su un miliardo di miliardi, …” ripetuto trentasette volte). • Per chiavi di 1024 bit è stato calcolato che, per risalire ad una chiave privata dalla corrispondente chiave pubblica, una rete di centinaia di migliaia di computer impiegherebbe alcuni secoli.

Firma Digitale Dispositivi di firma “Apparati elettronici in grado di conservare in modo protetto le chiavi private e di generare al loro interno la firma digitale. ” Crypto-box Floppy disks Hard disk PC cards

Firma Digitale La smart card: definizione Carta “intelligente” elettronica a microcircuito: risiede su tessera di plastica di dimensioni standard) è dotata di un chip contenente: · un microprocessore CPU · una memoria RAM · una memoria ROM + una memoria EPROM o una memoria EEPROM · interfacce per alimentazione e dialogo con altri sistemi

Firma Digitale La smart card: proprietà · è portabile (dimensioni ridotte) e resistente · può memorizzare dati · può ospitare un sistema operativo (capacità di elaborazione e di processo) · è inattaccabile (ha un elevato livello, fisico e logico, di protezione) · è programmabile all’origine e non clonabile · ha un’accessibilità sicura tramite PIN (Personal Identification Number)

Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata

Firma Digitale Confronto con la firma autografa FIRMA AUTOGRAFA Riconducibile al soggetto direttamente Legata al documento attraverso il supporto fisico Riconducibile al soggetto solo attraverso il possesso di un segreto Legata indissolubilmente al contenuto del documento Verifica diretta e soggettiva (attraverso il campione) Verifica indiretta e oggettiva (tramite una terza parte fidata) Facilmente falsificabile, ma il falso è riconoscibile Non falsificabile senza conoscere il segreto, ma falso irriconoscibile Deve essere autentica per impedire il ripudio Ripudio impossibile FIRMA DIGITALE

Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata

Normativa Il Regolamento attuativo (Testo Unico) Il Regolamento tecnico D. P. R. 28 dicembre 2000 n. 445 (ex D. P. R. 10 novembre 1997 n. 513) D. P. C. M. 8 febbraio 1999

Normativa Il T. U. (D. P. R. 28/12/2000 n. 445) Disposizioni legislative e regolamentari in materia di documentazione amministrativa Obiettivo: riordinare la normativa in materia di firma digitale, documentazione elettronica ed amministrativa, in base ai criteri e princìpi indicati dalla legge 8/3/99 n. 50 (sulla predisposizione dei Testi Unici) • riprende e ingloba il DPR 513/97 (Regolamento attuativo) • mantiene in vigore il DPCM 8/2/99 (Regolamento tecnico)

Normativa Il T. U. (D. P. R. 28/12/2000 n. 445) Art. 1 - n) Definizione di Firma Digitale “Il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”

Normativa Il T. U. (D. P. R. 28/12/2000 n. 445) Ambito di applicazione Le norme concernenti i documenti informatici e la firma digitale si applicano agli organi della pubblica amministrazione, nonché ai gestori di pubblici servizi nei rapporti tra loro e con l’utenza, e anche nei rapporti tra privati.

Normativa Il T. U. (D. P. R. 28/12/2000 n. 445) Art. 10 (modificato dal D. Lgs 23/1/2002, n. 10) Forma ed efficacia del documento informatico 1. Il documento informatico ha l’efficacia probatoria prevista dall’art. 2712 del c. c. , riguardo ai fatti ed alle cose rappresentate. 2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta.

Normativa Il T. U. (D. P. R. 28/12/2000 n. 445) Art. 10 (modificato dal D. Lgs 23/1/2002, n. 10) Forma ed efficacia del documento informatico 3. Il documento informatico, sottoscritto con firma digitale… fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto. 4. Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova. . .

Normativa Il T. U. (D. P. R. 28/12/2000 n. 445) Art. 23 Firma digitale • L’apposizione o l’associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo • Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica non risulti scaduta di validità ovvero non risulti revocata o sospesa ad opera del soggetto pubblico o privato che l’ha certificata • L’uso della firma apposta o associata mediante una chiave revocata, scaduta o sospesa equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione.

Normativa Il T. U. (D. P. R. 28/12/2000 n. 445) Art. 24 Firma digitale autenticata • Si ha per riconosciuta, ai sensi dell’art. 2703 del c. c. , la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato. • La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale a norma del presente testo unico.

Normativa Il T. U. (D. P. R. 28/12/2000 n. 445) Art. 38 (modificato dal D. Lgs 23/1/2002, n. 10) Modalità di invio e sottoscrizione delle istanze Le istanze e le dichiarazioni inviate per via telematica alla Pubblica Amministrazione sono valide: • se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura; • ovvero quando l’autore è identificato dal sistema informatico con l’uso della carta d’identità elettronica o della carta nazionale dei servizi”.

Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata

Certificatori La certificazione: perché? • Il sistema di crittografia asimmetrica, da solo, non assicura l’identificazione del soggetto che utilizza la coppia di chiavi. • Generando coppie di chiavi e utilizzandole per scambiare documenti tramite la posta elettronica, attraverso la mutua certificazione, ogni utente potrebbe spacciarsi per un’altra persona, ovvero usare il nome di un individuo inesistente.

Certificatori La certificazione: definizione • E’ il risultato della procedura informatica… mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene” • Strumento che assicura l’identificazione del soggetto sottoscrittore, garantendo l’appartenenza della chiave in capo al rispettivo titolare”

Certificatori La certificazione: finalità • Risolve il problema dell’identità nel mondo virtuale • Supplisce alla assenza di relazione fisica tra firma digitale e sottoscrittore • Documenta la corrispondenza tra la chiave pubblica ed il suo titolare rigorosamente identificato

Certificatori Trusted Third Parties: le “terze parti fidate”

Certificatori Elenco pubblico AIPA • 27. 01. 2000 - SIA S. p. A. Società Interbancaria per l'Automazione (cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis) • 24. 02. 2000 - SSB S. p. A. Società per i Servizi Bancari-Cedborsa (cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis) • 30. 03. 2000 - BNL Multiservizi S. p. A. (Gruppo BNL) • 06. 04. 2000 - INFOCAMERE S. C. P. A (Camere di Commercio) • 13. 04. 2000 - FINITAL S. p. A. (Finanziaria Italiana) • 20. 04. 2000 - SARITEL S. p. A. (società fusa per incorporazione nella I. T. Telecom S. p. A. ) • 20. 04. 2000 - POSTECOM S. p. A. (Poste Italiane) • 06. 07. 2000 - SECETI S. p. A. (Gruppo Banche Popolari) • 15. 03. 2001 - CENTRO TECNICO per la R. U. P. A. • 22. 03. 2001 - INTESA S. p. A. (Ibm) • 17. 05. 2001 - ENEL. IT S. p. A. (Enel) • 07. 06. 2001 - TRUST ITALIA S. p. A. (Veri. Sign) • 15. 11. 2001 - CEDACRINORD S. p. A. (Casse di Risparmio e altre banche) • 28. 03. 2002 - ACTALIS S. p. A. (SIA e SSB) • 12. 09. 2002 - CONSIGLIO NAZIONALE DEL NOTARIATO • 06. 02. 2003 - I. T. TELECOM S. P. A. (già Saritel S. p. A. )

Certificatori L’Ente di Certificazione: definizione “Soggetto pubblico o privato che effettua la certificazione. . . ” • identifica la persona che richiede il certificato • rende certa l’identità del soggetto fisico che ha generato una firma • rilascia, gestisce, pubblica e revoca i certificati • assicura la corrispondenza tra il titolare e la sua chiave pubblica • impedisce il disconoscimento della propria firma (non ripudio)

Ente Certificatore Struttura organizzativa Infrastruttura Centrale Utente Ufficio di Registrazione

Ente di Certificazione Infrastruttura Centrale • Genera i certificati per i titolari registrati • Pubblica i certificati • Revoca i certificati non più validi – su propria iniziativa – su richiesta del titolare – su richiesta di terza parte interessata. • Rinnova il certificato scaduto

Ente di Certificazione Ufficio di Registrazione • Assiste nella richiesta della certificazione – verifica aspetti formali – garantisce il riconoscimento del soggetto – attiva la procedura di emissione dei certificati • Distribuisce le Smart Card con i certificati • Supporta la C. A. nel rinnovo e nella revoca

Riepilogo

Cos’è e a cosa serve la Firma digitale E’ la possibilità, legalmente riconosciuta e normata dal punto di vista giuridico e tecnologico, di fare proprio, cioè di firmare, un documento digitale ?

Che valore ha la Firma digitale ? • per legge equivale alla firma autografa • rende validi i documenti informatici, la loro archiviazione e trasmissione • rende validi i contratti elettronici, anche stipulati a distanza

Chi avvalora la Firma digitale ? Enti Certificatori - “Terze Parti Fidate” accreditate e riconosciute per legge • verificano l’identità dei titolari • gestiscono l’attività tecnologica • rilasciano i dispositivi di firma (smart card) • pubblicano i certificati digitali • sospendono o revocano i certificati “compromessi”

Sono uguali tutte le Firme? Firme “leggere” e … “pesanti” la firma digitale è il tipo di firma elettronica che ha maggiore efficacia probatoria (art. 2702 c. c. ) • è rilasciata da un CERTIFICATORE ACCREDITATO • mediante un CERTIFICATO QUALIFICATO • su un DISPOSITIVO DI FIRMA SICURO (smart card)

Come si ottiene e come si usa? Ci si rivolge ad un Ente Certificatore Accreditato (elenco su www. aipa. it) Occorrono • Personal computer • Lettore di smart card • Software di firma

La posta elettronica. . . … sta sostituendo, a poco, la posta cartacea tuttavia le comunicazioni ufficiali rimangono su carta, ignorando il T. U. sulla doc. amministrativa

Il documento informatico. . . … trasmesso per via telematica si intende inviato e pervenuto al destinatario, se trasmesso all’indirizzo elettronico da questi dichiarato (art 14. Comma 1 dpr 445 28 dic. 2000)

La trasmissione del documento. . . … informatico per via telematica con modalità che assicurino l’avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge (art 14. Comma 3 dpr 445 28 dic. 2000)

Posta certificata: caratteristiche semplicità: - è una casella e-mail - si utilizzano i normali strumenti di posta (Outlook, …)

Particolarità principali ricevute di invio e di consegna • “timbro” (ora esatta) garanzie: • integrità del messaggio • tracciabilità eventi (log)

Posta certificata Provider di Posta Certificata A Provider di Posta Certificata B Casella di posta Ricevuta di accettazione Ricevuta di consegna Destinatario Mittente

Opponibilità a terzi ricevuta: prova (firmata dal gestore) del contenuto e non solo dell’invio ora esatta traccia mantenuta per anni

Opponibilità a terzi La data e l’ora di formazione, di trasmissione o di ricezione di un documento informatico, redatto in conformità … , sono opponibili ai terzi (art 14. Comma 2 dpr 445 28 dic. 2000)

Messaggi non certificati messaggi scambiati tra caselle di posta certificata e non certificata • mancano: ricevute, tracce, … • non conformi al dpr 445 Facile identificazione

Consegna non prevede la firma del destinatario: basta la consegna nella casella da lui dichiarata (art 14 comma 1 T. U. documentazione amministrativa)

Cosa si certifica? l’avvenuta consegna: con apposita ricevuta (conservare) l’integrità della trasmissione tra i due provider (busta)

In cosa consiste? è una casella di posta elettronica • rilasciata da gestore di posta certificata • in un dominio di posta certificata

Basta la casella? Sì ma. . . : : … se invio documenti importanti li firmo smartcard di firma per • allegati • messaggio

Legalmail: ulteriori funzioni sicurezza e affidabilità • • • antivirus in entrata e in uscita più livelli di firewall controlli anti-intrusioni

Legalmail: domini di posta certificata dominio standard proposto …@cert. legalmail. it altre possibilità: • domini dell’utente • nuovi livelli in legalmail. it Esempio - dominio utente: infocamere. it - posta certificata: cert. infocamere. it

Legalmail Firma / marche temporali Protocollo Informatico Conservazione e condivisione documenti firmati (Repository)