La firma Digitale o firma Elettronica


L’importante fase di sperimentazione per le aziende italiane, che già da quel mese hanno comunicato con il Registro delle Imprese senza usare la carta. Oltre due milioni di soggetti d’impresa dovrebbero già essere dotati di una firma digitale che potranno usare anche per scambiare documenti con clienti, partner e così via.

Per facilitare l’attuazione della nuova legge, le Camere di Commercio hanno messo gratuitamente a disposizione di ciascuna società una Smart Card contenente il certificato digitale, rilasciandolo a uno dei legali rappresentanti.

Ma l’Italia è davvero pronta a siglare digitalmente?

L’iter legislativo è stato compiuto, ma rimangono da sciogliere alcuni dubbi e ambiguità in merito all’applicazione e alla validità della tecnologia. È ormai passato quasi un anno da quando il Consiglio dei ministri ha approvato lo schema di regolamento per la firma digitale, recependo la Direttiva europea numero 93 del 1999.

IL DIGITALE È ANCHE ELETTRONICO?

sistema di autenticazione di documenti digitali La legge ha introdotto i concetti di firma digitale leggera e firma digitale pesante.

In sostanza, la prima servirebbe alla semplice identificazione personale e per accedere ai servizi della Pubblica Amministrazione, la seconda a garantisce la massima sicurezza, consentendo di sottoscrivere documenti importanti. E proprio su questi due termini, secondo molti giuristi (particolarmente agguerriti quelli di interlex.it, uno tra i più frequentati e aggiornati siti italiani che si occupa di diritto e informatica), si gioca l’equivoco: che relazione c’è tra l’aggettivo “digitale” attribuito originariamente alla firma “all’italiana” e quello “elettronico”, che il legislatore europeo ha imposto a una fattispecie che appare sostanzialmente identica.

Nel regolamento che completa l’attuazione della normativa europea, poi, si definiscono ben quattro tipi di firme:

  • digitale
  • elettronica
  • elettronica avanzata
  • elettronica qualificata

contro i tre che pare di identificare nella direttiva e nel decreto legislativo di attuazione, e contro i due originari. Comunque, sul piano tecnico e allo stato dell’arte, anche le firme  ettroniche previste dalla direttiva sono firme digitali in tutto e per tutto: la differenza è esclusivamente sul piano giuridico, e deriva dai diversi livelli di sicurezza assicurati dalla qualità dei certificatori e delle procedure.

Le firme digitali meno sicure in qualche modo corrispondono alle “firme elettroniche” indicate nella normativa. La confusione è generata dalle definizioni di “firma elettronica avanzata” e “firma elettronica qualificata”, perché queste due espressioni si sovrappongono alla “firma digitale (sicura)” senza chiarire i rapporti che intercorrono fra le tre definizioni.

Ci saranno contratti che per essere perfezionati dovranno essere firmati con la cosiddetta “firma qualificata” (quindi certificati di firma digitale emessi dai Certificatori iscritti all’Albo dei Certificatori dell’AIPA), e contratti che per intendersi perfezionati potranno essere firmati con la cosiddetta “firma leggera”.

Dal punto di vista giuridico, la validità dei primi sarà inconfutabile, mentre i secondi potranno considerarsi ammissibili come prova in giudizio. Riguardo a questi, la legge dice infatti “non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova unicamente a causa del fatto che è sottoscritto in forma elettronica, ovvero in quanto la firma non è basata su di un certificato qualificato oppure non è basata su di un certificato qualificato rilasciato da un certificatore accreditato” Questo significa che un documento dotato di firma “leggera” si presta a usi in ambito chiuso e regolamentato da patti e rapporti specifici, mentre la firma digitale vera e propria ha rilevanza a ogni effetto di legge, sostituisce timbri e sigilli e può essere disconosciuta solo con querela di falso.
Nel caso dei certificati già emessi dai soggetti iscritti nell’elenco pubblico, questi avranno la medesima efficacia dei certificati qualificati. I titolari di certificato potranno quindi continuare a utilizzare le chiavi private già certificate per sottoscrivere evidenze informatiche.

LA FIRMA IN PRATICA

Tecnicamente, la firma digitale è un software contenuto in una Smart Card che, inserita in un apposito lettore collegato al computer, permette di firmare documenti elettronici. Il dispositivo di firma si attiva digitando sulla tastiera del computer (al quale è collegato il lettore di Smart Card) il PIN impostato da ciascun titolare di Smart Card. In sostanza, si tratta di un identificatore elettronico che utilizza la crittografia per garantire l’integrità, l’autenticità e la non ricusazione dei dati a cui si riferisce. La firma digitale ha lo scopo di sostituire la firma autografa per documenti elettronici, garantendo che questi siano stati effettivamente “firmati” da chi ha prodotto il documento e che non siano stati alterati.

TUTTO IL NECESSARIO

In pratica, per usufruire dei servizi offerti dalla firma digitale è necessario, oltre a un computer collegato a Internet e a un indirizzo di posta elettronica, un lettore di Smart Card reperibile in commercio. Tra i principali produttori ci sono Schlumberger e IPM. Poi serve un software apposito. Tra questi può essere utilizzato Download software di firma con smart card Per firmare digitalmente un file con la smart card è possibile scaricare il software gratuito File Protector nel proprio PC. Un software gratuito realizzato dall’Ente certificatore Infocamere.

L’ultima versione è scaricabile dal  sito infocamere.it

I kit per redigere e sottoscrivere documenti digitali con valore legale sono anche messi a disposizione dagli stessi enti certificatori, gli organismi pubblici e privati che si occupano di verificare le generalità dei possessori di una firma digitale, il cui ruolo è stato liberalizzato e non necessita più di autorizzazione preventiva.

Poste Italiane per esempio, mette a disposizione tramite PosteCert – Postemail Certificata Il servizio di posta elettronica certificata che fornisce al mittente la prova legale ell’invio e della consegna di documenti informatici.

Comprende:

  • Firma Digitale

L’equivalente informatico della firma autografa con il medesimo valore legale e il vantaggio della sicurezza.

  • Posta elettronica certificata

La posta che fornisce la prova legale di invio e consegna di documenti informatici.

  • I certificati elettronici Postecert

consentono una autenticazione”forte” dell’utente nell’accesso  a servizi web, protetti da certificati web server, con l’uso del (Secure Sockets Layer).

 Il protocollo SSL

è attualmente lo standard di sicurezza per le transazioni via web utilizzato nelle connessioni utente-azienda di massima sicurezza e riservatezza quali le operazioni bancarie, i pagamenti, l’invio di dati sensibili.

certificato di firma digitaleUna Smart Card personalizzata, un lettore di Smart Card da collegare al pc, un CD con un corso di istruzione, il software per firmare, cifrare i documenti e gestire la Smart Card e la possibilità di usare il certificato di firma e quello di cifratura per due anni.

Con Infocamere  la Smart Card può essere prenotata on-line e in un secondo momento essere ritirata presso l’ufficio di registrazione più vicino tra i 400 dislocati su tutto il territorio italiano.

 L’elenco completo degli Enti Certificatori viene mantenuto, per legge, dall’Autorità per l’informatica nella pubblica amministrazione (AIPA). La verifica della firma dell’Autorità e la successiva estrazione degli oggetti firmati può essere effettuata con qualsiasi software in grado di elaborare file in modo conforme alle norme stabilite dall’autorità.

Fra questi, sono stati segnalati dal Centro Tecnico per la R.U.P.A. (il centro tecnico della Presidenza del Consiglio dei Ministri) il software Verifica_ CT, il software Digital Sign della società Comped (www.comped.it), Firma Ok di Postecom (poste.it) e Sign’ncrypt di Digitaltrust www.signncrypt.it, disponibili gratuitamente per uso personale.

A leggere la normativa, sembra abbastanza chiaro: dato personale è qualunque informazione direttamente o indirettamente associabile ad una ben precisa persona fisica o giuridica.

Cos’è un dato personale

Assolutamente sì. In effetti, sono potenzialmente infiniti i beni della vita, gli oggetti, i files che potrebbero rientrare nella nozione di dato personale.

Mentre resterebbero fuori soltanto le informazioni anonime (visto che anche i dati pubblici, possono comunque essere dei dati personali, assoggettabili, pertanto, alla relativa disciplina).
Ma anche qui, se è possibile, associandoli ad altri dati, individuare un soggetto ben preciso, allora ci troviamo di fronte a dati personali (pensiamo a targhe, insegne, pin, password, pseudonimi, nickname, etc.).
A fugare i residui dubbi degli scettici (in Italia quanto mai numerosi, specie se devono applicare norme di legge) è intervenuto un recente documento dei Garanti dell’Unione Europea che ha incluso all’interno della categoria dei dati personali anche i filmati dei writers, i disegni dei bambini, i filmati delle videocamere di sorveglianza, purchè sa essi si traggano informazioni riconducibili ad un interessato.

«Qualsiasi informazione» spiega un comunicato del Garante, «significa, ad esempio, che le istruzioni impartite dal cliente alla propria banca e registrate su nastro sono un dato personale». Ma allora, logica conseguenza di ciò dovrebbe essere il riconoscimento della responsabilità delle banche nei fenomeni di furti di identità digitale tramite phishing.

Il Documento dei Garanti UE

Uno dirà, e che c’azzecca? L’art. 31 del codice privacy (D.Lgs. n. 196/2003) prescrive a tutti i titolari di trattamenti di dati (e pertanto anche alle banche che registrano le informazioni relative ai propri correntisti al fine di attivare servizi di home banking) deve custodire e proteggere i dati tramite tecniche che siano adeguate alla luce del progresso tecnico.
Sinceramente non crediamo che una password ed un used ID siano strumenti estremamente progrediti rispetto ad altre misure di sicurezza quali firme digitali, badge abbinati a hardware esterni, password biometriche, etc., tecniche ormai adeguatamente studiate, sperimentate ed impiegate da diversi anni in diversi ambiti.
Perché continuare a proteggere i dati degli utenti tramite strumenti (password ed userID) che hanno ormai fatto il loro tempo e che, alla luce della normativa vigente, non dovrebbero essere più utilizzati quali sistemi di protezione per evitare accessi abusivi o non autorizzati ai dati degli utenti-correntisti. comunicato del Garante