Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...
Presentazione firma elettronica 2010
1. Firme elettroniche
Evoluzione normativa
Avv. Pasquale Lopriore
Specialist in Legal Information Technology
2. La firma digitale è stata introdotta dal
DPR. N. 513/1997 definendola:
Risultato della procedura informatica (validazione) basata
su un sistema di chiavi asimmetriche a coppia, una
pubblica e una privata, che consente al sottoscrittore
tramite la chiave privata e al destinatario tramite la
chiave pubblica, rispettivamente, di rendere manifesta e
di verificare la provenienza e l’integrità di un documento
informatico o di un insieme di documenti informatici.
3. D.M. del 8 febbraio 1999
Regole tecniche per l’utilizzazione della firma digitale
Definizioni introdotte:
"impronta“
sequenza di simboli binari, la sequenza di simboli binari di lunghezza predefinita generata
mediante l’applicazione alla prima di una opportuna funzione di hash;
"funzione di hash“
funzione matematica che genera, a partire da una impronta, una sequenza di simboli binari
che la generi, ed altresì risulti di fatto impossibile determinare una coppia di sequenze di
simboli binari per le quali la funzione generi impronte uguali.
"dispositivo di firma“
apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione,
in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno
firme digitali;
"marca temporale“
evidenza informatica che consente la validazione temporale;
4. DPR. N. 455/2000
Testo unico in materia di documentazione
amministrativa.
Ha assorbito la normativa del 1997 sulla
firma digitale, disciplinando in maniera
organica tutta la materia inerente al
documento informatico.
5. Direttiva 1999/93/CE
del 13 dicembre 1999
Introduce 2 tipi di firme:
"firma elettronica“
dati in forma elettronica, allegati oppure connessi tramite associazione logica
ad altri dati elettronici ed utilizzata come metodo di autenticazione;
"firma elettronica avanzata“
firma elettronica che soddisfi i seguenti requisiti:
• essere connessa in maniera unica al firmatario;
• essere idonea ad identificare il firmatario;
• essere creata con mezzi sui quali il firmatario può conservare il proprio
controllo esclusivo;
• essere collegata ai dati cui si riferisce in modo da consentire l'identificazione
di ogni
• successiva modifica di detti dati;
6. La Direttiva europea, introdotta con il d.lgs. N. 10/2002, ha
comportato la modifica del T.U. 2000 sulla firma digitale
disposta con il DPR n. 137/2003.
Attualmente abbiamo queste forme di firme elettroniche:
DIGITALE
ELETTRONICA SEMPLICE
ELETTRONICA AVANZATA
ELETTRONICA QUALIFICATA
7. art. 1 co.1 lett.n) del DPR. n. 455/2000
FIRMA DIGITALE si intende il risultato della procedura informatica (validazione)
basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che
consente al sottoscrittore tramite la chiave privata e al destinatario tramite la
chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e
l’integrità di un documento informatico o di un insieme di
documenti informatici.
Dopo la modifica disposta dal DPR n. 137/2003 dell’art. 1 co.1 lett.n) del DPR.
n. 455/2000
FIRMA DIGITALE è un particolare tipo di firma elettronica qualificata basata su un
sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al
titolare tramite la chiave privata e al destinatario tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un
documento informatico o di un insieme di documenti informatici;
8. art. 2 co.1 lett. a) DPR n. 10/2002
FIRMA ELETTRONICA l'insieme dei dati in forma elettronica, allegati oppure connessi
tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione
informatica;
art. 2 co.1 lett. g) DPR n. 10/2002
FIRMA ELETTRONICA AVANZATA la firma elettronica ottenuta attraverso una
procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca
identificazione, creata con mezzi sui quali il firmatario può conservare un controllo
esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati
stessi siano stati successivamente modificati;
art. 1 co.1 lett. ee) DPR. n. 137/2003
FIRMA ELETTRONICA QUALIFICATA la firma elettronica avanzata che sia basata su un
certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma.
9. Codice dell’amministrazione digitale
D.Lgs. N. 82/2005
Definisce la firma digitale come un particolare tipo di firma elettronica
qualificata, disciplinandola nel seguente modo:
La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o
all'insieme di documenti cui è apposta o associata.
L'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri,
contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al
momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o
sospeso.
Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai
sensi dell'articolo 71, la validità del certificato stesso, nonché gli elementi identificativi del
titolare e del certificatore e gli eventuali limiti d'uso.
10. APPLICAZIONI DELLA FIRMA
ELETTRONICA
• Dal 3 novembre 2003 la firma digitale è obbligatoria
per l'invio telematico degli atti societari ai registri
camerali (DL 236/02 - DM 20/3/2003)
• dal 1 gennaio 2004 per l'invio della fattura "europea"
via e-mail (direttiva 2001/115/CE, art. 2)
• per le notificazioni dei trattamenti di dati
personali al Garante (DLgs 196/03, art. 38)
• Invio degli atti giudiziari “Processo telematico”
11. Efficacia probatoria di un
documento informatico
Questo argomento è stato oggetto di discussione nella dottrina già prima
dell’introduzione della firma digitale con il d.p.r. n. 513/97, infatti, ci sono
state varie interpretazioni sull’ambito applicativo dell’art. 2712 c.c. per
quanto riguarda i documenti informatici.
Sentenza della Corte di Cassazione Civile n. 11445/2001, ha equiparato i
documenti informatici privi di firma digitale alle rappresentazioni
meccaniche di fatti o cose disciplinate dell’art. 2712 c.c.
Il documento informatico forma piena prova, nel caso in cui non viene
disconosciuto, sotto il profilo della conformità ai fatti o alle cose in esso
rappresentate, dal soggetto contro il quale è prodotto.
12. Documenti informatici
firmati elettronicamente
L’efficacia probatoria è data dal tipo di firma utilizzata e varia proporzionalmente in base
alla sicurezza tradibile dal meccanismo di firma utilizzato.
Per il documento informatico con firma elettronica “c.d. leggera”, seguendo il principio
precedentemente esposto, l’efficacia probatoria sarà liberamente valutabile, in base alle
caratteristiche oggettive di qualità e sicurezza, da parte del giudice nel corso del giudizio,
come affermato nell’art. 10 del d.p.r. n. 445/2000, modif. art. 6 del D.Lgs. n. 10/2002.
Per le firme elettroniche “c.d. pesanti”, come era già stabilito dall’art. 5 del d.p.r. n.
513/1997, hanno la stessa efficacia della scrittura privata ai sensi dell’art. 2702 c.c.
Pertanto, l’intervento del D.Lgs. n. 10/2002 si limita a coordinare con quanto disposto
dalla direttiva 1999/93/CE, aggiungendo accanto alla firma digitale la firma elettronica
avanzata; è interessante rilavare, invece, che il legislatore richiede che la firma deve
essere basata su un certificato qualificato ed deve essere generata mediante un dispositivo
per la creazione di una firma sicura. In altre parole, alla luce del D.Lgs. n. 137/2003, fa
piena prova il documento con la firma elettronica qualificata e non con la generica firma
elettronica avanzata, esigendo, di conseguenza, il livello massimo di sicurezza ricavabile.
13. Valore probatorio del documento informatico
sottoscritto secondo all’art. 21 Codice PA Digitale
Il documento informatico sottoscritto con firma elettronica
Liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza,
integrità e immodificabilità.
Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica
qualificata
Efficacia prevista dall'articolo 2702 del codice civile. (Piena prova fino a querela di falso)
L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria.
L'apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata
basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione.
La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il
revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.
Le disposizioni del presente articolo si applicano anche se la firma elettronica è basata su un certificato qualificato
rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea.
16. Sistema a chiavi simmetriche
Chiave pubblica
Mancanza della segretezza
Possibilità di comunicazione
Chiave privata
Comunicazione con solo determinati soggetti
17. Sistema a chiavi assimetriche
• Chiave privata è detenuta dall’utente e può
essere memorizzata su qualsiasi supporto
informatico (smartcard, chiavetta USB, ecc.)
• Chiave pubblica è inserita in appositi elenchi
gestiti da un’autorità di certificazione
legalmente riconosciuta.
18. Meccanismo di firma utilizzando
solo quella del mittente
• Apposizione della propria chiave privata sul
documento codificandolo
• Il destinatario utilizzando la chiave pubblica, che
corrisponde al nome del mittente, decodifica il
documento
In questo modo si ha la certezza delle paternità del
documento firmato, ma non la segretezza
19. Utilizzo di due chiavi
• Il mittente appone la firma privata e la firma
pubblica del destinatario, doppia codifica.
• Il destinatario decodifica il documento ricevuto
con la chiave pubblica del mittente e una
seconda volta con la sua firma privata.
In questo modo si ottiene anche la
segretezza del documento.
20. Aspetti tecnici
L’integrità del documento, su cui si applica la
firma digitale, è data dall’impiego di una funzione
matematica detta Hash che comprime il
documento realizzando una impronta (stringa
binaria di dati), che sarà unica e diversa dalle altre.
Di conseguenza, si producono 2 impronte che
devono essere uguali tra loro.
21. Soggetto che realizza il
procedimento di codifica dei
documenti informatici
Certificatori
Sono sottoposti alla vigilanza diretta del CNIPA e hanno le
seguenti funzioni:
- Emissione dei certificati, con i quali si controlla la
regolarità della firma digitale utilizzata e del soggetto
utente;
- Pubblicazione e conservazione della chiave pubblica;
- Revoca dei certificati in caso di furto e smarrimento.
22. GRAZIE PER L’ATTENZIONE
ARRIVEDERCI
Avv. Pasquale Lopriore
Specialist in Legal Information Technology
_______________________________________
Sito web: http://p.lopriore.googlepages.com
E-mail: p.lopriore@libero.it