La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il documento informatico e la firma digitale Informatica per le Professioni Legali 17 maggio 2007 Avv. Chiara Rabbito.

Presentazioni simili


Presentazione sul tema: "Il documento informatico e la firma digitale Informatica per le Professioni Legali 17 maggio 2007 Avv. Chiara Rabbito."— Transcript della presentazione:

1 Il documento informatico e la firma digitale Informatica per le Professioni Legali 17 maggio 2007 Avv. Chiara Rabbito

2 La crittografia e la firma elettronica

3 Crittografia e firma elettronica La crittografia La “crittologia” viene definita come “la disciplina scientifica il cui fine è la trasmissione sicura e la protezione dell’informazione”. Della crittologia fanno parte due settori distinti: la crittografia, la cosiddetta “scienza delle scritture segrete” (dal greco kryptos = nascosto e graphein = scrivere), e la crittoanalisi. La crittografia si occupa della fase costruttiva di un sistema crittografico: essa, cioè, studia le tecniche attraverso le quali è possibile scomporre il testo di un documento accessibile a chiunque, in modo da ricavarne una sequenza di caratteri non immediatamente comprensibili. La “crittoanalisi” studia, invece, i metodi per forzare tale sistema.

4 Crittografia e firma elettronica Secondo la nomenclatura crittologica, un testo leggibile (“testo in chiaro”) diventa un testo “cifrato” dopo l’operazione di “cifratura”. E’ scorretto, invece, usare termini quali “crittazione” e “crittografazione”. La “chiave” consiste nel “codice” attraverso il quale un “sistema di crittografia” (o “cifrario”) viene applicato ad un determinato testo. Chi dispone della chiave è in grado di “cifrare” o “mettere in cifra” il testo in chiaro e di “decifrare” il testo cifrato. Chi tenta di leggere fraudolentemente il testo compie una “decrittazione”, non, invece, una “decifratura”, che, invece, indica l’atto di chi, legittimamente in possesso della chiave del cifrario, la usa correttamente per mettere in chiaro un testo cifrato a lui regolarmente destinato.

5 Crittografia e firma elettronica cifratura letterale a repertorio algebrici E’ possibile distinguere tre categorie di sistemi crittografici: quelli a cifratura letterale, nei quali si effettuano delle operazioni di sostituzione, trasposizione e sovrapposizioni di lettere; quelli cosiddetti “a repertorio”, che prevedono la sostituzione delle parole del testo in chiaro con codici equivalenti ottenuti consultando un apposito dizionario, il cosiddetto “repertorio”, la segretezza del quale è fondamentale per il successo del sistema; quelli algebrici, che trasformano il testo in chiaro in una sequenza di numeri ed eseguono delle operazioni matematiche con gli stessi.

6 Crittografia e firma elettronica Da quanto si può apprendere dalle fonti classiche, già i Greci e i Cartaginesi utilizzavano primitivi sistemi di scrittura nascosta, ad esempio coprendo di cera le tavolette sulle quali avevano precedentemente scritto mediante incisione. Il passaggio da una scrittura semplicemente nascosta ad una cifrata si fa risalire a Giulio Cesare.

7 Crittografia e firma elettronica Egli, secondo quanto riporta Svetonio nell’opera “De vita duodecim Caesarum Libri VIII” si avvaleva di un suo cifrario, per tenere riservata la corrispondenza domestica, basato sull’utilizzo di lettere diverse rispetto a quelle necessarie per dare un senso compiuto alla parola, in modo da privare di significato l’intera frase. Più precisamente egli applicava la regola di scrivere la lettera collocata tre posizioni più avanti nell’alfabeto romano (lettera iniziale inclusa) rispetto a quella che avrebbe dovuto utilizzare. In tal modo, ad esempio, la lettera “A” diventava la lettera “D”, la “B” diventava la “E”.

8 Crittografia e firma elettronica Nel Rinascimento pare che gli ambasciatori della Repubblica di Venezia e i messi pontifici recassero in alcuni casi messaggi cifrati, per proteggerne la lettura da parte di nemici del loro Stato. La crittografia assurge a rango di vera scienza a partire dai primi anni del ‘900, con l’ampio ricorso ai metodi matematici, quando, cioè, le modalità di cifratura e di decifratura del messaggio vengono fondate sulla soluzione di un problema matematico e il testo del messaggio viene tradotto in una sequenza di cifre numeriche.

9 Crittografia e firma elettronica In una fase ancora successiva, ci si occupa di trasformare il valore numerico di un determinato testo in un altro numero, attraverso una funzione matematica e di trovare la funzione inversa che permetta di riottenere il testo originario. Le funzioni matematiche che permettono di compiere tali operazioni vengono dette “chiavi”. Esistono due principali modalità di cifratura mediante una “chiave”: quella a “chiave simmetrica” e quella a “chiave asimmetrica”.

10 Crittografia e firma elettronica La crittografia classica utilizza cifrari cosiddetti “a chiave simmetrica”. I due concetti fondamentali che ne sono alla base sono quello di algoritmo e quello di chiave. Più specificamente, la cifratura comporta l’applicazione di una funzione matematica (algoritmo di codifica), a sua volta azionabile mediante un apposito codice (la chiave). Ne discende la formazione di una sequenza di simboli incomprensibile a chi non possieda la chiave di decifratura.

11 Crittografia e firma elettronica Nel caso della cifratura a chiave simmetrica, la funzione matematica è reversibile. Ciò comporta che l’applicazione dello stesso algoritmo e della stessa chiave al testo cifrato restituisce il testo originale. I sistemi asimmetrici possono non essere di facile decifratura se non si è in possesso del codice, ma presentano il grave inconveniente che in essi si prevede l’utilizzo di una sola chiave. Generalmente il mittente e il destinatario del messaggio si scambiano anticipatamente l’unica chiave, che essi potranno utilizzare indifferentemente per cifrare e per decifrare i messaggi.

12 Crittografia e firma elettronica Un sistema di questo tipo è, per esempio, quello consistente nel sommare ad ogni numero di una stringa un valore determinato (la chiave), conosciuto anche da chi deve decifrare il messaggio. Per esempio, se il testo da inviare è la stringa “12345” e la chiave è data dall’insieme delle cifre “77342”, il messaggio cifrato sarà “89687”. Per leggerlo occorrerà semplicemente eseguire l’operazione inversa: =

13 Crittografia e firma elettronica Proprio in ciò consiste il punto debole del sistema: nella necessità per gli interlocutori di scambiarsi la chiave. Nel caso più semplice è necessario fornire la chiave a tutti gli interlocutori di una rete, affinché questi possano cifrare e decifrare i messaggi; nel caso più complesso, ogni utente deve dotarsi di una chiave differente con cui codificare e decodificare i messaggi da e per ogni diverso corrispondente. In tal caso, tuttavia, il sistema pecca gravemente dal punto di vista della garanzia di provenienza del documento. Un singolo utente potrebbe inviare il documento a se stesso o ad altri spacciandosi per un altro e non ci sarebbe alcuna possibilità di identificare il reale mittente del documento, essendo la chiave unica.

14 Crittografia e firma elettronica Ma se la rete è insicura, se gli interlocutori sono molto numerosi, sono distanti o non si conoscono tra loro, non è difficile che qualcuno si impadronisca abusivamente della chiave e sia, così, in grado non solo di decifrare i messaggi, ma anche di alterarli e di generarne dei nuovi. Affinché il sistema di crittografia a chiave simmetrica sia sufficientemente sicuro sia dal punto di vista della provenienza del documento, sia della sua integrità, risulta, quindi, particolarmente importante che, almeno in sede di trasmissione della chiave di cifratura, il canale utilizzato sia assolutamente sicuro.

15 Crittografia e firma elettronica La cifratura a chiave simmetrica ha avuto ampia applicazione nel settore della sicurezza militare e dei servizi segreti. Un noto esempio è il sistema “Enigma” utilizzato dei tedeschi durante la seconda guerra mondiale.

16 Crittografia e firma elettronica Il passaggio dalla crittografia classica alla crittografia moderna è consistito in un tentativo di superamento del meccanismo della chiave unica. Le basi della crittografia moderna risalgono agli anni settanta, epoca in cui vengono effettuate le prime ricerche da James Ellis, del quartier generale governativo delle comunicazioni britanniche. Da questi studi è nata la crittografia cosiddetta “a chiave asimmetrica”, nella quale cioè la chiave di cifratura e quella di decifratura sono differenti.

17 Crittografia e firma elettronica Si tratta di una classe di cifrari di nuova concezione, basati su principi matematici tali per cui è praticamente impossibile applicarli con sistemi manuali o meccanici e che, quindi, solo l’avvento del computer ha permesso di utilizzare nella pratica. Le tecniche studiate dallo scienziato inglese Ellis vengono poi sviluppate da due crittologi americani, Whitfield Diffie e Martin Hellmann, i quali per primi nel 1976 utilizzano l’espressione di “crittografia a chiave pubblica”.

18 Crittografia e firma elettronica Essi pubblicarono uno studio teorico sulla trasmissione di un numero segreto attraverso un canale non sicuro, studio nel quale ipotizzavano di disporre di due chiavi distinte di cui una fosse usata per la cifratura e l’altra per la decifratura del messaggio o viceversa. Fondamentale requisito di tale sistema era che la conoscenza di una delle due chiavi non dovesse fornire alcuna informazione utile per la ricostruzione dell’altra.

19 Crittografia e firma elettronica Questa nuova classe di cifrari è diventata realizzabile grazie a tre ricercatori statunitensi del MIT (Massachusetts Institute of Tecnology), Ronald Rivest, Adi Shamir e Leonard Adleman, i quali misero a punto il cifrario detto RSA (dalle iniziali dei cognomi dei tre studiosi). Essi sfruttarono per il loro sistema di cifratura una particolare proprietà dei numeri primi (ossia dei numeri divisibili solo per se stessi e per uno): il fatto che non esista un sistema matematico che, partendo dal numero “n”, sia in grado di calcolare in tempi rapidi i fattori primi (cioè i numeri indivisibili) che, moltiplicati fra loro, formano lo stesso numero “n”. Allo stato delle attuali conoscenze l’algoritmo RSA è ancora ritenuto affidabile e costituisce la base dei sistemi crittografici contemporanei. Una variante del sistema RSA è utilizzata nel diffusissimo pacchetto PGP (Pretty Good Privacy), ideato da Philip Zimmermann e liberamente scaricabile da Internet. Oggi, dunque, l’algoritmo RSA costituisce il fondamento dei sistemi crittografici su cui si basano i meccanismi di sicurezza e di autenticazione di Internet.

20 Crittografia e firma elettronica E’, infatti, necessario eseguire una per una tutte le divisioni per scoprire se un numero è divisibile per un altro senza che ci sia resto. Questo è dovuto alla mancanza, finora, di un apposito algoritmo per il calcolo dei numeri primi: non esiste una formula generale che permetta di calcolare la serie di tutti i numeri primi. Se il numero è molto grande, nell’ordine delle centinaia di cifre, occorre un tempo lunghissimo. Utilizzando questa “lacuna” matematica elaborarono l’algoritmo RSA.

21 Crittografia e firma elettronica Tale sistema di cifratura non è sicuro in termini matematicamente dimostrabili, dato che esiste sempre la possibilità di rompere il cifrario per decrittare il testo, mediante un calcolatore che provi, una dopo l’altra, tutte le combinazioni possibili. Ma se il numero è abbastanza grande, anche un calcolatore di notevole potenza impiega un tempo molto lungo per mettere in chiaro il testo cifrato. Tale intervallo di tempo va riducendosi con gli sviluppi della tecnologia, che mette a disposizione elaboratori con potenze di calcolo sempre maggiori a basso costo.

22 Crittografia e firma elettronica Ne consegue che le chiavi utilizzate dovranno essere periodicamente aggiornate affinché possano ritenersi ragionevolmente sicure: la loro lunghezza, calcolata in bit, dovrà garantirle dalle potenze di calcolo disponibili. Ad esempio, nel 1997, gli RSA Laboratories degli Stati Uniti hanno stimato che una chiave lunga 512 bit generata con l’algoritmo RSA poteva essere forzata con il sistema informatico in possesso di una grande impresa in tempi abbastanza brevi; per una chiave a 1024 bit sarebbero stati necessari tutti i computer del governo degli Stati Uniti al lavoro per qualche mese, mentre una chiave a 2048 bit poteva ritenersi ragionevolmente sicura.

23 La crittografia asimmetrica La tecnica crittografica moderna si affida agli elaboratori elettronici, che sono in grado effettuare processi automatici di cifratura. Si parla di sistema asimmetrico o a chiave pubblica nel caso in cui l’algoritmo utilizzato richieda la generazione e l’utilizzo di una coppia inscindibile di chiavi, una complementare all’altra: il documento codificato con una delle due chiavi può essere decodificato solo usando l’altra e viceversa. Tali chiavi possono essere generate e gestite solo mediante un apposito programma informatico.

24 La crittografia asimmetrica Le due chiavi sono indicate come “diretta” e “inversa” o chiave “pubblica” e chiave “privata”. Esse sono tra loro complementari, perché se una è usata per cifrare, l’altra deve essere usata per decifrare e viceversa. Sono, però, indipendenti perché la conoscenza di una chiave non consente di risalire alla conoscenza dell’altra. La chiave pubblica deve essere resa nota a tutti i potenziali interlocutori della rete, laddove per “rete” si intende una qualunque rete informatica, chiusa o aperta, e quindi anche la rete Internet.

25 La crittografia asimmetrica A fini di pubblicità, le chiavi pubbliche potranno essere collocate in un apposito archivio reso disponibile on line (key repository), simile ad un elenco telefonico, a cui tutti gli utenti del sistema potranno avere libero accesso. La chiave privata resterà, invece, segreta, ad esclusiva conoscenza e disponibilità del titolare. La differenza fondamentale rispetto al sistema di crittografia simmetrica sta proprio nel fatto che nella asimmetrica le chiavi pubbliche devono essere necessariamente rese note, dunque non si pone alcun problema in relazione alla sicurezza o meno dei canali di trasmissione delle chiavi stesse.

26 La crittografia asimmetrica segreto garantirne la provenienzaassicurarne l’integrità La crittografia asimmetrica può avere tre differenti utilizzi: può essere usata per rendere segreto un documento, per garantirne la provenienza e per assicurarne l’integrità.

27 La crittografia asimmetrica Qualora ci si prefigga l’obiettivo della segretezza, si dovrà cifrare il messaggio da inviare con la chiave pubblica del destinatario, che potrà eventualmente reperire in appositi elenchi on line. Ricevuto il messaggio cifrato, il destinatario, per poterlo leggere, dovrà decifrarlo mediante la sua chiave privata, a lui solo nota. Ne discende che essendo il destinatario (o dovendo essere) il solo a conoscenza della sua chiave privata, egli sarà l’unico a poter decifrare il messaggio, garantendone in tal modo la segretezza. Questa operazione garantisce la segretezza del documento, ma non la sua paternità o integrità, poiché chiunque può cifrare e inviare il documento, utilizzando la chiave pubblica del destinatario, oppure intercettarlo e modificarlo, cifrarlo e inviarlo.

28 La crittografia asimmetrica La cifratura asimmetrica può poi essere usata a scopo di autenticazione. Supponendo che Tizio voglia inviare un messaggio a Caio in modo che quest’ultimo sia sicuro che il messaggio proviene effettivamente da lui, potrà procedere in questo modo: Tizio cifra il messaggio con la propria chiave privata e lo invia a Caio; questi consulta l’archivio on line e recupera la chiave pubblica di Tizio; con tale chiave pubblica procede a decifrare il messaggio. In tal modo, Caio avrà la certezza che il messaggio gli è stato effettivamente mandato da Tizio, in quanto per decifrare il messaggio è stata necessaria la sua chiave pubblica, quindi il messaggio doveva essere stato necessariamente cifrato con la chiave privata dello stesso.

29 La crittografia asimmetrica Nel caso sopra esposto, sia il mittente che il destinatario hanno avuto la certezza, inoltre, che il messaggio è giunto integro, cioè che non ha subito alterazioni nel corso della trasmissione, e questo in quanto se il messaggio fosse stato anche minimamente modificato il meccanismo chiave privata - chiave pubblica non avrebbe potuto funzionare. Sarebbe stata, infatti, sufficiente anche la più piccola modifica del testo codificato per impedire che la funzione matematica alla base del sistema di cifratura potesse essere ricalcolata mediante la chiave ad essa complementare (pubblica o privata a seconda dei casi), essendo le due chiavi perfettamente in grado di combaciare solo se il risultato della cifratura non subisca alterazioni anche solo di un solo bit. Ne discende che qualora il meccanismo di applicazione della chiave di decifratura non funzioni deve sorgere il fondato sospetto che il messaggio sia stato intercettato ed alterato.

30 La crittografia asimmetrica Esiste, naturalmente, la possibilità di combinare tra loro i due schemi sopra esemplificati, per ottenere l’invio di documenti informatici per via telematica assicurandone contemporaneamente la riservatezza del loro contenuto e la provenienza certa. Se, infatti, il mittente A utilizza la chiave pubblica di B per cifrare il documento e successivamente la propria chiave privata, chiunque potrà, utilizzando la chiave pubblica di A, appurare la provenienza del documento da A, ma soltanto il destinatario B potrà, utilizzando la propria chiave privata, decifrare il contenuto del messaggio.

31 La crittografia asimmetrica Il meccanismo appena descritto presenta, tuttavia, due punti deboli. Il primo è relativo alla segretezza della chiave privata: la sua eventuale conoscenza da parte di chi non ne sia titolare può vanificare l’intero sistema crittografico. A fini di segretezza, la chiave privata può essere inserita nella memoria di un computer o in una carta magnetica e l’accesso a entrambi potrà essere protetto da un codice personale (la cosiddetta passphrase) o da un sistema di riconoscimento biometrico, il quale a sua volta utilizza apposite chiavi. Le chiavi di riconoscimento biometrico sono sequenze di codici informatici utilizzate, generalmente nell’ambito di meccanismi di sicurezza, per la verifica dell’identità di un individuo attraverso una sua caratteristica fisica. Le caratteristiche fisiche che è possibile misurare con le tecnologie biometriche sono, ad esempio, l’impronta digitale, la voce, la retina, l’iride dell’occhio.

32 La crittografia asimmetrica Il secondo punto debole è relativo all’attendibilità dell’attribuzione della chiave pubblica: il possessore di una chiave pubblica potrebbe spacciarsi per una persona diversa, in tal modo inducendo in errore il destinatario del messaggio. Per garantire l’identità di coloro che utilizzano le chiavi pubbliche la soluzione più efficace è quella di affidarsi a soggetti terzi imparziali che certifichino la corrispondenza biunivoca tra l’identità del titolare della chiave pubblica e la titolarità della stessa. Si tratta delle cosiddette “autorità di certificazione” o, secondo la terminologia anglosassone “certification authority”.

33 La crittografia asimmetrica La loro attività di certificazione è indispensabile ai fini del funzionamento di questo particolare sistema di cifratura: data la sua delicatezza, essa deve essere attribuita a soggetti affidabili e dotati di adeguati requisiti tecnici. Il soggetto interessato all’utilizzo di una coppia di chiavi asimmetriche si rivolgerà al “certificatore”, il quale a seguito dell’accertamento della sua identità, lo metterà in grado di generare le chiavi privata e pubblica attraverso un apposito programma informatico, oppure sarà lo stesso certificatore a generarle.

34 La crittografia asimmetrica A seguire, il certificatore produrrà un apposito certificato da cui risulta che un determinato utente identificato è abilitato all’utilizzo di una certa chiave pubblica. Mentre la chiave privata sarà conservata dall’utente, la chiave pubblica verrà depositata presso il certificatore, affinché possa metterla a disposizione di tutti coloro che, nel sistema, sono autorizzati ad inviare messaggi a quel particolare utente. Questo potrà avvenire, per esempio, mediante un apposito elenco consultabile telematicamente dagli interessati.

35 La crittografia asimmetrica Il certificato, abbinato al messaggio e cifrato insieme a questo, garantirà la corrispondenza biunivoca tra la titolarità della chiave pubblica e l’identità del soggetto titolare. Per questioni di sicurezza, le chiavi asimmetriche dovranno avere una durata limitata nel tempo. Il certificatore provvederà alla loro sostituzione, quando necessario, e alla pubblicazione dei certificati revocati o sospesi per vari motivi e che, quindi, non sono più validi (revocati) o che non lo sono per un certo periodo (sospesi). La procedura di certificazione permette, così, al messaggio di acquisire un’ulteriore importante qualità: la non ripudiabilità del messaggio da parte del titolare della chiave pubblica con cui quello stesso messaggio è stato cifrato.

36 La firma elettronica basata sulla crittografia asimmetrica Qualora il mittente A intenda inviare un messaggio a B e avere la sicurezza che B sia il solo a leggerlo (quindi garantendone la segretezza), dovrà cifrarlo con la chiave pubblica dello stesso B. Se, invece, A volesse rassicurare B sulla provenienza del messaggio da A stesso, dovrebbe cifrarlo con la sua chiave privata, in questo modo permettendo ad B di accertarne l’autenticità, ma non garantendone la segretezza, poiché la chiave pubblica di A, nel sistema delineato, è messa a disposizione di una molteplicità di interlocutori. Qualora A voglia inviare un messaggio tanto segreto quanto autentico, potrà cifrarlo prima con la sua chiave privata per garantirne l’autenticità, poi con la chiave pubblica di B, per garantirne la riservatezza.

37 La firma elettronica basata sulla crittografia asimmetrica Se A inviasse semplicemente a B del testo in chiaro su una rete insicura, non sarebbe assolutamente garantita l’integrità del messaggio, che potrebbe essere alterato o contraffatto durante il percorso dal mittente al destinatario. Ma se A spedisse a B, oltre al testo in chiaro per la comodità di lettura di B, lo stesso testo cifrato con la sua chiave privata, questo permetterebbe a B di essere sicuro della provenienza del messaggio da A e, anche, confrontando i due testi (quello in chiaro e quello cifrato), della integrità del messaggio in chiaro che ha letto. Infatti applicando la chiave pubblica di A, B potrebbe constatare tanto la provenienza del messaggio quanto la sua integrità, provata dal fatto che le due chiavi combaciano perfettamente.

38 La firma elettronica basata sulla crittografia asimmetrica In termini semplificati, il testo cifrato con la chiave privata del mittente costituisce la sua “firma elettronica”, che, grazie al sistema di cifratura, consente al destinatario di essere certo della provenienza e dell’integrità del messaggio.

39 La firma elettronica basata sulla crittografia asimmetrica Tuttavia il sistema appena descritto ha l’inconveniente di essere lento, particolarmente nel caso in cui il documento da inviare sia piuttosto lungo, in quanto richiede la codifica di tutto il suddetto documento. Sarebbe, quindi, necessario un certo lasso di tempo (variabile a seconda delle dimensioni del messaggio) per cifrarlo e per decifrarlo. Per accelerare il processo, il codice di cifratura non viene applicato a tutto il documento, ma solo ad un estratto di questo, detto “impronta” o “message digest”, ricavata dal testo, a prescindere dalle sue dimensioni, mediante un procedimento crittografico particolare. L’impronta è definibile come una rappresentazione compressa “con perdita” del documento. Essa consiste in una stringa binaria di lunghezza costante e piccola, normalmente 128 o 160 bit.

40 La firma elettronica basata sulla crittografia asimmetrica L’impronta costituisce una sorta di “sintesi matematica” del messaggio, ottenuta applicando ad esso la cosiddetta “funzione di hash” o “algoritmo di compressione”, in grado di generare, a partire da una generica sequenza di simboli binari, una stringa di caratteri di dimensioni fisse e di lunghezza inferiore alla chiave di cifratura, abbinata in modo univoco al documento, ma tale che sia impossibile, partendo da quest’ultima, risalire alla sequenza di simboli binari che l’ha generata (quindi, “con perdita” del documento) e tale che sia impossibile determinare una coppia di sequenze di simboli binari per le quali la funzione generi impronte uguali. Dpcm 13 gennaio 2004, Regole tecniche per la formazione dei documenti informatico Il regolamento tecnico indica le funzioni di hash che dovranno essere utilizzate per generare l’impronta: - Dedicated Hash- Function 1, corrispondente alla funzione RIPEMD- 160; Dedicated Hash- Function 3, corrispondente alla funzione SHA- 1 (Secure Hash Algorithm).

41 La firma elettronica basata sulla crittografia asimmetrica Nella pratica, qualora il mittente intenda inviare un documento garantendone la provenienza al destinatario e contestualmente la sua integrità, potrà applicare al documento la funzione di hash al fine di calcolarne l’impronta, cifrare con la sua chiave privata la stessa impronta e allegare l’impronta cifrata al testo in chiaro. Da parte sua, il ricevente dovrà applicare la chiave pubblica all’impronta ricevuta e applicare la funzione di hash al testo ricevuto in chiaro.

42 La firma elettronica basata sulla crittografia asimmetrica Se le due impronte coincidono, egli avrà la sicurezza che 1) il testo in chiaro non ha subito modifiche, in quanto in caso contrario l’impronta cifrata ricevuta e quella da lui calcolata non corrisponderebbero, 2) il messaggio proviene effettivamente da chi dice di averlo mandato, perché è stato possibile decifrare l’impronta ricevuta proprio mediante la chiave pubblica complementare alla chiave privata del sedicente mittente.

43 La firma elettronica basata sulla crittografia asimmetrica La firma elettronica basata su un sistema di crittografia asimmetrica consiste, quindi, in una sequenza di testo cifrato con la chiave privata del mittente e comprendente: le generalità del mittente, l’eventuale certificazione e l’impronta del documento. In più, è possibile che l’intero testo sia codificato con la chiave pubblica del destinatario e, quindi, solo da lui leggibile. Essa può essere apposta allo stesso documento firmato oppure in un documento separato, ma deve mantenere una forma di associazione con lo stesso.

44 La firma elettronica basata sulla crittografia asimmetrica Chi riceve il documento, mediante un apposito programma informatico, se necessario, lo decifra utilizzando la propria chiave privata nel caso in cui il testo fosse stato codificato con la chiave pubblica del destinatario per garantirne la segretezza, e ciò gli consente di conoscere il contenuto del messaggio. Procede, poi, a decifrare la firma elettronica, utilizzando la chiave pubblica del mittente, che può essere allegata al testo in chiaro per agevolare il ricevente ed è comunque disponibile in appositi elenchi reperibili in rete.

45 La firma elettronica basata sulla crittografia asimmetrica Viene poi calcolata la funzione di hash del testo in chiaro: se l’impronta calcolata con la funzione di hash corrisponde all’impronta contenuta nel testo decifrato, è garantita l’integrità del documento, cioè il fatto che durante il percorso in un canale insicuro il documento non abbia subito né alterazioni né contraffazioni, infatti è sufficiente che un solo carattere sia stato modificato per determinare la non coincidenza delle impronte. La disponibilità del valore dell’impronta e della funzione impiegata all’interno del messaggio semplifica l’operazione. Tutte queste operazioni vengono effettuate da un computer dotato di apposito programma nel giro di pochi secondi.

46 La firma elettronica basata sulla crittografia asimmetrica Infine, la segretezza del messaggio è eventualmente attestata dal fatto che il destinatario abbia potuto decifrare il testo con la sua chiave privata; l’eventuale certificazione collega l’uso della firma all’identità del titolare della chiave pubblica; l’eventuale marca temporale consente di determinare con certezza la data e l’ora dell’apposizione della firma.

47 La firma elettronica basata sulla crittografia asimmetrica Sono evidenti, quindi, i vantaggi conseguibili rispetto ai sistemi di crittografia simmetrica: in primis viene eliminata la necessità della trasmissione della chiave segreta e si consegue, quindi, un maggior grado di sicurezza, in secondo luogo attraverso l’impiego della chiave privata i sistemi asimmetrici consentono l’accertamento dell’imputabilità e dell’integrità del messaggio e ne assicurano il non ripudio, non potendo il mittente negare di aver inviato quel determinato messaggio una volta che esso sia stato cifrato con la sua chiave.

48 Il documento informatico

49 Il riconoscimento del valore giuridico del documento informatico Nell’ordinamento giuridico italiano manca una definizione generale di documento. Vari tentativi sono stati fatti da parte della dottrina per colmare tale lacuna, dai quali è emersa una concezione di documento come di “un oggetto corporale che reca una serie di segni tracciati direttamente dall’uomo o da apparati predisposti dall’uomo, volti a conferirgli una portata rappresentativa”.

50 Il riconoscimento del valore giuridico del documento informatico La dottrina individua due componenti del documento: una materiale, costituita da un oggetto fisico che reca segni volti a conferirgli una portata rappresentativa (res signata) e una immateriale, corrispondente al contenuto informativo. Si veda in proposito F. Carnelutti, voce Documento- teoria moderna, Novissimo digesto italiano, Torino, 1968, VI.

51 Il riconoscimento del valore giuridico del documento informatico L’oggetto per secoli e fino ad ora più frequentemente utilizzato per produrre un documento è stata la carta, il mezzo più comune per modificare tale “res” la scrittura, ne è derivato che il legislatore e la dottrina abbiano in genere identificato il concetto di “documento” con il documento cartaceo scritto.

52 Il riconoscimento del valore giuridico del documento informatico Il codice civile considera quali documenti di importanza particolare gli atti pubblici (artt del codice civile) e le scritture private (artt cod. civ.), mentre sono previsti quali documenti non scritti le riproduzioni meccaniche (art cod. civ.) e le copie fotografiche di scritture (art cod. civ.). L’attività di produzione del documento viene indicata come “documentazione”: tale attività può essere svolta da notai o da altri pubblici ufficiali autorizzati oppure da privati. Nel primo caso la documentazione costituisce esercizio di una pubblica funzione, dando luogo alla formazione del cosiddetto atto pubblico.

53 Il riconoscimento del valore giuridico del documento informatico Nel caso della scrittura privata, al fine di attribuire la paternità del documento l’ordinamento considera come decisiva la sottoscrizione, che assolve, secondo la dottrina, alle seguenti funzioni: funzione indicativa, in quanto identifica la persona che sottoscrive; funzione dichiarativa, di assunzione della paternità del documento; funzione probatoria, in quanto fornisce il mezzo per provare l’autenticità del documento; funzione presuntiva, derivando dalla sottoscrizione autografa una presunzione iuris tantum di consenso del sottoscrittore nei confronti del contenuto del documento.

54 Il riconoscimento del valore giuridico del documento informatico Tuttavia, in conseguenza del sempre maggiore uso di apparati meccanici per le comunicazioni a distanza, si è verificata quella che una autorevole dottrina ha definito una “profonda lacerazione” del nesso tra scrittura privata e firma autografa. In proposito si può richiamare l’art del codice civile, che stabilisce che il telegramma acquisisce l’efficacia probatoria della scrittura privata a prescindere dalla sottoscrizione del mittente “se è stato consegnato o fatto consegnare dal mittente medesimo anche senza sottoscrizione”, o la normativa in materia di titoli di credito, che consente l’uso di sottoscrizioni apposte a stampa o con altri mezzi meccanici e, quindi, in mancanza dell’autografia delle stesse.

55 Il riconoscimento del valore giuridico del documento informatico A partire dagli anni sessanta, le metodologie di redazione dei documenti sono state sempre più legate all’utilizzazione di nuove tecnologie e, in particolare, dell’informatica. Hanno fatto così la loro comparsa documenti prodotti da elaboratori elettronici, definiti “documenti elettronici” o “informatici”. Si noti in proposito che mentre parte della dottrina considera i due termini come sinonimi, altra parte preferisce l’uso dell’uno o dell’altro a seconda dei contesti o predilige l’uso dell’uno o dell’altro in generale.

56 Il riconoscimento del valore giuridico del documento informatico In ogni caso, può ritenersi che per documento elettronico si debba intendere un documento prodotto da un sistema informatico, documento che grazie alle conquiste della tecnologia può consistere in una qualsiasi realtà percepibile dai nostri sensi e gestita dal computer: non solo un testo, ma anche un’immagine, un suono e un testo, suoni e immagini insieme (si tratta del cosiddetto documento multimediale).

57 Il riconoscimento del valore giuridico del documento informatico Una prima nozione di documento informatico è stata introdotta nel nostro ordinamento dall’art. 3 della legge 23 dicembre 1993, n. 547, in materia di criminalità informatica, con il quale il legislatore ha inserito nel codice penale l’art. 491 bis relativo alla falsità in atti. Tale articolo recita: “Se alcune delle falsità previste dal presente capo riguardano un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati a elaborarli”.

58 Il riconoscimento del valore giuridico del documento informatico Nel caso in esame, il legislatore conserva un’impostazione legata al documento cartaceo concentrando la sua attenzione sul supporto, infatti identifica il documento con la cosa corporale e non col suo contenuto immateriale, rappresentato da dati e informazioni, e per di più si riferisce al momento statico dell’attività di elaborazione elettronica. Il supporto cui ci si riferisce è costituito da ogni memoria leggibile da parte di un computer: memorie magnetiche e ottiche (cosiddette ausiliarie) e memorie elettroniche (memorie circuitali interne all’unità centrale dell’elaboratore). I segni oggetto di elaborazione sono espressi in bit e sono di tipo magnetico, elettronico od ottico.

59 Il riconoscimento del valore giuridico del documento informatico Per quanto riguarda l’interpretazione di tale articolo, la dottrina ritiene che con esso il legislatore abbia inteso tutelare penalmente solo quei documenti informatici ai quali debba essere riconosciuta efficacia probatoria in forza di altre disposizioni normative: esso non costituirebbe, pertanto, un riconoscimento generale del valore giuridico del documento elettronico. Secondo la stessa impostazione dell’art. 3 della legge 547/93 deve leggersi anche l’art. 7, che nel modificare l’art. 621 del codice penale ai fini della configurabilità di alcune fattispecie di reato riguardanti la rivelazione del contenuto di documenti segreti, definisce documento “anche qualunque supporto informatico contenente dati, informazioni o programmi”.

60 Il riconoscimento del valore giuridico del documento informatico Si deve menzionare, inoltre, l’art. 234 codice di procedura penale, concernente la prova documentale, anch’esso modificato ad opera della legge 547, il quale dispone che “è consentita l’acquisizione di scritti o di altri documenti che rappresentano fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo”, da cui si evince che anche il documento elettronico può costituire prova documentale.

61 Il riconoscimento del valore giuridico del documento informatico Tuttavia, nonostante la pluralità dei riferimenti normativi, in mancanza di una disposizione di carattere generale, il quadro disciplinare che emergeva dal complesso risultava notevolmente frammentato. Alcune norme fornivano una definizione molto ampia di documento, tale da comprendere, direttamente o indirettamente, il documento informatico; altre facevano riferimento all’atto predisposto attraverso un sistema informatico e successivamente stampato su supporto cartaceo. Vi erano, poi, norme che riguardavano il documento informatico in senso stretto, inteso come un insieme di dati in forma digitale, memorizzato su apposito supporto, magnetico od ottico. Alcuni articoli disponevano esclusivamente in relazione all’archiviazione e alla conservazione dei documenti e non si occupavano della loro produzione.

62 Il riconoscimento del valore giuridico del documento informatico Di fronte a tale mancanza di organicità, si era cercato di risolvere le problematiche specifiche che via via si ponevano all’attenzione del giurista mediante interpretazioni giurisprudenziali e dottrinarie. Ma le stesse posizioni giurisprudenziali e dottrinarie risultavano discordanti. La giurisprudenza penale aveva ammesso, senza eccessivi contrasti, questi nuovi mezzi di prova sulla base del principio del libero convincimento del giudice; la giurisprudenza e la dottrina civili erano molto più esitanti nell’attribuire al documento elettronico il valore della scrittura privata o dell’atto pubblico.

63 Il riconoscimento del valore giuridico del documento informatico Il fondamentale quesito cui la dottrina tentava di rispondere era quello relativo all’equivalenza tra “forma scritta” e “forma elettronica”, sia sotto il profilo della validità dell’atto che sotto quello della sua efficacia probatoria. In caso contrario, il documento elettronico avrebbe potuto essere assimilato ad altri tipi di rappresentazione, quali le riproduzioni meccaniche o fotografiche, previste dall’articolo 2712 del codice civile e le copie fotografiche di scritture, di cui all’articolo 2719 cod.civ. I vari autori che si cimentarono intorno al problema arrivarono in genere a riconoscere, anche se attraverso differenti percorsi logici, al documento elettronico il valore di documento scritto.

64 Il riconoscimento del valore giuridico del documento informatico Più chiusa era la posizione di quella parte della dottrina che tendeva ad assimilare il documento informatico alle riproduzioni meccaniche e fotografiche di cui agli articoli 2712 e 2719 del codice civile. Le impostazioni dottrinarie più formalistiche, se arrivavano ad attribuire al documento informatico la natura di documento scritto, non ritenevano però potesse essere assimilato né all’atto pubblico, mancando le formalità richieste dalla legge, né alle scritture private, per l’impossibilità di accettare una sottoscrizione non apposta di propria mano dal dichiarante.

65 Il riconoscimento del valore giuridico del documento informatico Infatti, con riferimento all’equivalenza tra la firma elettronica e la sottoscrizione autografa, la dottrina prevalente era concorde nel ritenere che esse non potessero, come principio generale, essere considerate equivalenti: nonostante i progressi dell’informatica, per attribuire piena rilevanza giuridica ad atti formati o ricevuti mediante computer, era necessario sottoscriverli solo dopo averli riversati su supporto cartaceo, apponendo sulla carta eventuali timbri o sigilli richiesti dalla legge.

66 Il riconoscimento del valore giuridico del documento informatico Con l’espressione “firma elettronica” si intende qui far riferimento alla firma apposta mediante un sistema informatico, ad esempio con l’indicazione del nominativo del sottoscrittore, o con l’inserimento di caratteri o simboli con funzione di autenticazione di uno scritto e logicamente associati a questo.

67 Il riconoscimento del valore giuridico del documento informatico La sostituzione della sottoscrizione autografa con la firma apposta mediante sistemi automatizzati poteva considerarsi ammessa soltanto nel caso in cui fosse stata espressamente prevista dalla legge. Si tratta, per esempio, della previsione contenuta nel decreto legislativo 12 febbraio 1993, n. 39, Norme in materia di sistemi informativi automatizzati delle Amministrazioni Pubbliche, a norma dell’art. 12, comma 1°, lettera m), della l. 23 ottobre 1992, n. 421

68 Il riconoscimento del valore giuridico del documento informatico La vera svolta è, invece, rappresentata dall’articolo 15, secondo comma, della legge 15 marzo 1997, n. 59, intitolata Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa, che ha introdotto nell’ordinamento italiano alcuni principi di portata fortemente innovativa. Tale norma stabilisce: “Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici e telematici, sono validi e rilevanti a tutti gli effetti di legge”. Con pieno riconoscimento del valore dell’innovazione tecnologica, il legislatore sancisce, quindi, che ogni dato giuridicamente rilevante possa essere formato, trasmesso e archiviato con strumenti informatici e telematici.

69 Il riconoscimento del valore giuridico del documento informatico La succitata disposizione menziona entità disomogenee dal punto di vista giuridico, quali, appunto, atti, dati, documenti e contratti, cui viene riconosciuta piena validità e rilevanza a ogni effetto di legge, nella loro veste di rappresentazioni informatiche. Queste non comprendono solo testi scritti, ma anche rappresentazioni di suoni e d’immagini, fisse o in movimento. Vengono, pertanto, considerate giuridicamente rilevanti anche le riprese o le registrazioni in formato digitale, e in genere, qualunque informazione digitalizzabile, il che si pone decisamente in sintonia con le innovazioni tecnologiche.

70 Il riconoscimento del valore giuridico del documento informatico L’ambito di applicazione della norma si estende sia ai privati sia alla Pubblica Amministrazione, in relazione alla costituzione, modificazione ed estinzione di rapporti giuridici che coinvolgano tali soggetti. E bisogna sottolineare che la scelta del legislatore di regolamentare in maniera omogenea i due settori, pubblico e privato, ha già in sé un elemento innovativo, data la tendenza del nostro ordinamento a prevedere discipline separate.

71 Un nuovo modello di Pubblica Amministrazione : la legge 241/1990 Vediamo come si è arrivati all’art. 59/1997 L’articolo 22, il cui primo comma riconosce il diritto di accesso del cittadino, nel secondo comma e ai fini di tale accesso, definisce “documento amministrativo” “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni, formati dalle Pubbliche Amministrazioni, comunque utilizzati ai fini dell’attività amministrativa”.

72 Un nuovo modello di Pubblica Amministrazione : la legge 241/1990 La portata innovativa di tale norma è indubbia, in quanto il legislatore, includendo in un’ampia tipologia di documenti amministrativi anche le “rappresentazioni elettromagnetiche” prende chiaramente atto dell’evoluzione tecnologica. Tuttavia per ormai consolidata opinione interpretativa si ritiene che essa non contenga ancora il riconoscimento formale degli atti amministrativi emessi in forma elettromagnetica.

73 Un nuovo modello di Pubblica Amministrazione : la legge 241/1990 In particolare, il definire il documento amministrativo quale “rappresentazione elettromagnetica del contenuto di un atto” finisce per porre l’accento sull’elemento materiale, fisico del documento, sul supporto, ammettendosi che esso possa presentarsi anche in forma elettromagnetica. La norma va dunque letta in funzione del diritto d’accesso e interpretata nel senso che tale diritto si estende tanto agli originali cartacei, quanto alle loro riproduzioni, qualsiasi forma esse abbiano.

74 Un nuovo modello di Pubblica Amministrazione : la legge 241/1990 Ben diversa portata deve essere riconosciuta invece alla norma secondo cui “gli atti formati con strumenti informatici, i dati e i documenti informatici delle Pubbliche Amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni o copie per gli usi consentiti dalla legge”. Si tratta dell’art. 9 del T.U. 445/00 (già art.18 del D.P.R. 513/97).

75 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione Il 12 febbraio 1993 viene emanato il decreto legislativo n. 39, intitolato “Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche a norma dell’art.2, comma 1, lettera mm) della legge 23 ottobre 1992, n.421”, il quale costituisce un passo decisivo ai fini dell’attuazione dei principi di la riforma della Pubblica Amministrazione già esplicitati nella legge 421 del 1992 e nel decreto legislativo 29 dell’anno successivo.

76 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione sistemi informativi automatizzatimiglioramento dei servizi trasparenza dell’azione amministrativapotenziamento dei supporti conoscitivi per le decisioni pubblichecontenimento dei costi Il d. Lgs. 39/93 emanato in attuazione della delega contenuta nella legge 421 disciplina le modalità con le quali “le amministrazioni dello Stato (…) devono intraprendere la progettazione, lo sviluppo e la gestione dei propri sistemi informativi automatizzati” al fine di perseguire “il miglioramento dei servizi, la trasparenza dell’azione amministrativa, il potenziamento dei supporti conoscitivi per le decisioni pubbliche, il contenimento dei costi dell’azione amministrativa”.

77 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione Di grande rilevanza l’articolo 3, primo comma, il quale contiene un primo riconoscimento giuridico della validità degli atti amministrativi in forma elettronica, in quanto prevede che “gli atti amministrativi adottati da tutte le pubbliche amministrazioni sono di norma predisposti tramite i sistemi informativi automatizzati”. Completa il secondo comma dello stesso articolo a norma del quale “Nell’ambito delle Pubbliche Amministrazioni, l’immissione, la riproduzione su qualsiasi supporto e la trasmissione di dati, informazioni e documenti mediante strumenti informatici o telematici nonché l’emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnati dall’indicazione della fonte e del responsabile della immissione, riproduzione, trasmissione o emanazione”. Infine: “Se per la validità di tali operazioni e degli atti emessi sia prevista l’apposizione di firma autografa, la stessa è sostituita dall’indicazione a stampa sul documento prodotto dal sistema informatizzato, del nominativo del soggetto responsabile”.

78 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione In linea con tale disposizione l’art. 6 secondo comma della legge 30 dicembre 1991, n. 412 già prevedeva: “Salvo che per gli atti aventi valore normativo, le comunicazioni tra Amministrazioni Pubbliche, Enti Pubblici, Regioni ed Enti locali che avvengano via TELEFAX sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza”. Si noti che all’epoca dell’emanazione del d. lgs. 39 del 1993 era già in vigore l’art. 6 quater del d.l. 12 gennaio 1991, n. 6, il quale per gli enti locali autorizzava “l’emanazione di atti amministrativi mediante sistemi informatici” nei quali la firma autografa del funzionario fosse “sostituita dall’indicazione a stampa” e che tale documento era “valido fino a querela di falso”. L’art. 6 quater del decreto legge 12 gennaio 1991, n. 6 ha consentito il rilascio dei certificati anagrafici attraverso sportelli automatici e che ha costituito il presupposto, rispetto a tutte le Amministrazioni pubbliche, per l’emanazione dell’art. 3 comma 2 del decreto legislativo 39 del Inoltre, l’art. 15 quinquies del d.l. 28 dicembre 1989, n. 415, aggiunto dalla legge di conversione 28 febbraio 1990, n. 38 in materia di sistemi automatici per il rilascio delle certificazioni dell’anagrafe e di stato civile da parte delle amministrazioni comunali prevede la sostituibilità della firma autografa dell’ufficiale con quella in formato grafico del sindaco. Si ricordi anche che gli articoli 2705 e 2706 c.c. già riconoscevano l’efficacia probatoria dei telegrammi.

79 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione L’articolo 3 è ritenuto da parte della dottrina il fondamento normativo dell’attività amministrativa in forma elettronica, in quanto riconoscerebbe la validità e la rilevanza giuridica tanto dell’atto amministrativo ad elaborazione elettronica, quanto dell’atto amministrativo in forma elettronica. Infatti il riferirsi tanto alla “predisposizione” quanto alla “emanazione” comporterebbe una implicita ammissione da parte del legislatore tanto della possibilità dell’utilizzo di processi di elaborazione elettronica esclusivamente al fine della redazione automatica degli atti amministrativi quanto della possibilità di formare un atto valido direttamente in forma elettronica. Altri invece inquadrano la funzione del suddetto articolo esclusivamente al fine della legittimazione degli atti amministrativi “predisposti ed elaborati elettronicamente”, mentre per quanto concerne l’ammissibilità della “forma elettronica” si tratterebbe di una norma puramente programmatica

80 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione formati con strumenti informatici e telematici archiviazionetrasmissione L’art. 15 comma 2 della L. 15 marzo 1997 n. 59 (Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa) stabilisce: “Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici e telematici, sono validi e rilevanti a tutti gli effetti di legge”. validità e la rilevanza giuridica a tutti gli effetti di legge Esso prevede, dunque, la validità e la rilevanza giuridica a tutti gli effetti di legge di atti, dati, documenti e contratti formati, archiviati e trasmessi con strumenti informatici e telematici da parte della pubblica amministrazione e dei privati.

81 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione appositi regolamenti La l. 59/97 stabilisce altresì che “i criteri e le modalità per l’archiviazione e la trasmissione con strumenti informatici degli atti, dati, documenti e contratti formati dalla pubblica amministrazione e dai privati saranno stabiliti con appositi regolamenti, da emanarsi ai sensi dell’art.17, comma 2 della legge n. 400/1988”.

82 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione Ne è conseguita l’emanazione del Decreto del Presidente della Repubblica 513 del 1997 e del regolamento tecnico cui quest’ultimo rinvia, il Decreto del Presidente del Consiglio dei Ministri dell’8 febbraio Decreto del Presidente della Repubblica del 10 novembre 1997, n.513, “Regolamento contenente i criteri e le modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell’articolo 15, comma secondo della legge 15 marzo 1997, n.59”. “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale dei documenti informatici ai sensi dell’art. 3, comma 1 del d.p.r. 513 del 1997”.

83 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione L’articolo 1 comma 1 lettera a) del decreto 513 definisce documento informatico “la rappresentazione informatica di atti, fatti e dati giuridicamente rilevanti”. Il regolamento ribadisce, quindi, il principio della validità e della rilevanza del documento informatico a tutti gli effetti giuridici, già espresso nella legge 59 del 1997, a condizione che lo stesso sia conforme alle disposizioni del regolamento medesimo.

84 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione L’art. 18 del decreto in esame testualmente recita: “Gli atti formati con strumenti informatici, i dati e i documenti informatici delle Pubbliche Amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, utilizzando diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge”. E’ tuttavia ovvio che in questo caso l’utilizzo del termine “copia” da parte del legislatore rappresenta una improprietà tecnica, in quanto, essendo il documento informatico una sequenza di informazioni binarie perfettamente riproducibile in maniera sempre identica un numero infinito di volte, non ha alcun senso distinguere tra copia e originale.

85 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione L’articolo 18 del regolamento attuativo è dedicato al “documento informatico amministrativo”: l’atto o il provvedimento amministrativo saranno costituiti, nel loro originale, nella forma di documento informatico; il supporto cartaceo, ovvero ogni altro supporto utile messo a disposizione dall’evolvere della tecnologia, saranno destinati a costituire il semplice mezzo idoneo a contenere la riproduzione delle informazioni originali recate dal documento informatico.

86 Il documento informatico nell’ambito della riforma della Pubblica Amministrazione La suddetta norma realizza la cosiddetta “smaterializzazione” dell’informazione amministrativa: l’informazione, svincolata dal supporto cartaceo, potrà essere elaborata e trasmessa per via telematica in tempo reale e, infine, riversata su supporto informatico o cartaceo, qualora ve ne sia la necessità, per esempio a fini di archiviazione. Il supporto materiale, qualunque esso sia, sarà destinato a costituire il semplice mezzo idoneo a contenere la riproduzione delle informazioni originali recate dal documento informatico.

87 Il documento amministrativo informatico Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa” (come modificato DPR 137/03) Art.1 Definizioni Comma 1 Ai fini del presente testo unico si intende per: DOCUMENTO AMMINISTRATIVO a) DOCUMENTO AMMINISTRATIVO ogni rappresentazione, comunque formata, del contenuto di atti, anche interni, delle pubbliche amministrazioni o, comunque, utilizzati ai fini dell’attività amministrativa (…), DOCUMENTO INFORMATICO b) DOCUMENTO INFORMATICO la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (…).

88 Il documento amministrativo informatico Art. 9 Documenti informatici delle pubbliche amministrazioni Comma 1 costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie Gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge.

89 La firma digitale

90 Il decreto 513/1997 La “firma digitale” è definita dall’articolo 1 comma 1 lettera b) del DPR 513/97 come “il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica rispettivamente di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

91 Il decreto 513/1997 Il legislatore italiano, dunque, effettua a fini di sottoscrizione del documento informatico una precisa scelta tecnica nel senso del sistema di cifratura dei documenti informatici a “chiave pubblica” o a “chiave asimmetrica”. Le regole tecniche individuano poi gli algoritmi delle funzioni di cifratura che possono essere utilizzati per la generazione e la verifica delle firme digitali, nonché per la generazione dell’ “impronta” del documento. Art. 2, dpcm 8 febbraio 1999, Algoritmi di generazione e verifica delle firme digitali: “Per la generazione e la verifica delle firme digitali possono essere utilizzati i seguenti algoritmi: a. RSA (Rivest-Shamir-Adleman Algorithm). DSA (Digital Signature Algorithm)”. Art. 3 del dpcm 8 febbraio 1999, Algoritmi di hash: “La generazione dell’impronta si effettua impiegando una delle seguenti funzioni di hash, definite nella norma ISO/IEC :1998: Dedicated Hash-Function 1, corrispondente alla funzione RIPEMD- 160; Dedicated Hash-Function 3, corrispondente alla funzione SHA-1”.

92 Il decreto 513/1997 Il DPCM 8 febbraio 1999 distingue tre tipi di chiavi: di sottoscrizione, di certificazione e di marcatura temporale. Soltanto le prime potranno essere utilizzate dai relativi titolari per apporre o per verificare la firma digitale. Le altre chiavi, di certificazione e di marcatura temporale, saranno, invece, utilizzate dai certificatori, rispettivamente, per generare e verificare le firme apposte ai certificati e alle loro liste di revoca (Crl) o di sospensione (Csl), e per generare e verificare le marche temporali.

93 Il decreto 513/1997 La firma a scopo di autenticazione è equiparata dal legislatore alla sottoscrizione autografa, pertanto il documento informatico sottoscritto con firma digitale è equivalente al documento firmato con sottoscrizione autografa, a tutti gli effetti di legge. L’articolo 5, comma primo, del DPR 513/97 dispone circa l’efficacia probatoria del documento informatico sottoscritto con firma digitale, al quale viene riconosciuta l’efficacia della scrittura privata ai sensi dell’articolo 2702 del codice civile. Si ricordi, in proposito, che colui nei cui confronti è prodotta in giudizio una scrittura privata, per disconoscerla, deve negare formalmente la propria scrittura o sottoscrizione, determinando così, nella controparte che intende avvalersene, la necessità della proposizione di istanza di verificazione (articoli 214 e 215 del Cod. proc. civ.). Qualora la scrittura privata sia stata, invece, riconosciuta dal sottoscrittore o legalmente abbia tale valore, farà piena prova fino alla querela di falso (articolo 2702 del codice civile).

94 Il Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa Art. 23 Firma digitale Comma 1 1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed all’insieme di documenti cui è apposta o associata. certificato qualificato 2. Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica sia stata oggetto dell’emissione di un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero revocato o sospeso. 3. (…). L’apposizione della firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere 4. L’apposizione della firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere.

95 Il Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa L’articolo 19 del decreto 513 stabilisce che la firma autografa del funzionario responsabile o la sua riproduzione a stampa sarà sostituita dalla sua firma digitale. A fini di trasparenza e di conoscenza da parte di coloro che vi abbiano un interesse giuridicamente rilevante, si richiede che in tutti gli atti amministrativi emanati o trasmessi con strumenti informatici e telematici siano “indicati e resi facilmente individuabili sia i dati relativi alle amministrazioni interessate sia il soggetto che ha effettuato l’operazione”. Art. 25 Testo Unico Firma di documenti informatici delle pubbliche amministrazioni Comma 1 In tutti i documenti informatici delle pubbliche amministrazioni è sostituita dalla firma digitale In tutti i documenti informatici delle pubbliche amministrazioni la firma autografa o la firma, comunque prevista, è sostituita dalla firma digitale, in conformità alle norme del presente testo unico. Comma 2 L’uso della firma digitale integra e sostituisce ad ogni fine di legge l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi comunque previsti L’uso della firma digitale integra e sostituisce ad ogni fine di legge l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi comunque previsti.

96 La funzione di certificazione Il sistema di crittografia asimmetrica impiegato per l’apposizione della firma digitale garantisce che la firma sia stata generata impiegando la chiave privata corrispondente a quella pubblica usata per la verifica e che il documento ricevuto non venga modificato a partire dal momento della apposizione della firma stessa Tuttavia, la verifica non dà alcuna certezza circa la corrispondenza tra l’identità del soggetto che ha inviato il documento e la titolarità della firma utilizzata per sottoscriverlo. Infatti, l’apposizione della firma digitale può essere effettuata da chiunque sia in possesso della chiave privata, anche se persona diversa da titolare della chiave stessa.

97 La funzione di certificazione Al fine di certificare la corrispondenza tra la titolarità di una determinata coppia di chiavi e l’identità del soggetto titolare della stessa ci si deve affidare a soggetti imparziali che agiscano in qualità di “terza parte fidata” (con definizione anglosassone Thrusted Third Party o TTP ): si tratta dei cosiddetti certificatori o Autorità di Certificazione. Nella dizione angloamericana: C.A., Certification Authority. Le TTP in genere si distinguono dalle CA in quanto hanno anche compiti di archiviazione delle chiavi private, preclusi, invece, alle prime.

98 La funzione di certificazione Il deposito della chiave pubblica deve essere effettuato presso un soggetto in grado di assicurare la corretta manutenzione del sistema di certificazione e di garantire l’accesso telematico al registro delle chiavi pubbliche, consultabile da chiunque. A questo fine l’articolo 8 del DPR 513 del 1997 stabilisce che le attività di certificazione devono essere effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all’inizio dell’attività, in un apposito elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato a cura dell’Autorità per l’Informatica nella Pubblica Amministrazione (ora CNIPA).

99 La funzione di certificazione La certificazione consiste nell’attestazione che ad un determinato soggetto, identificato, corrisponde una determinata chiave pubblica e nell’attestazione del periodo di validità della chiave e del termine di scadenza del certificato. Il certificatore determina i termini di scadenza del certificato e il periodo di validità delle chiavi in funzione degli algoritmi impiegati, della lunghezza delle chiavi e dei servizi cui esse sono destinate.

100 Obblighi e responsabilità del certificatore e dell’utente Il certificatore deve specificare, su richiesta dell’istante, e con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza e di altri titoli relativi all’attività professionale o a cariche rivestite: si pensi al caso in cui il titolare di una chiave unica sia autorizzato a firmare digitalmente in rappresentanza di un ente Deve generare e rilasciare il certificato, rendere pubblici il certificato medesimo, la chiave pubblica e il nominativo del titolare nell’apposito registro telematico; deve, inoltre, effettuare la personalizzazione del dispositivo di firma, nel caso in cui la chiave sia prodotta autonomamente dal titolare Rientra ancora nelle funzioni precipue del certificatore gestire l’archivio dei certificati e garantirne la permanente consultabilità; attestare la validità dei certificati mediante la pubblicazione e l’aggiornamento degli elenchi dei certificati sospesi e revocati, cosiddette liste CRL (Certificate Revocation List) e CSL (Certificate Suspension List).

101 Obblighi e responsabilità del certificatore e dell’utente Per “revoca” del certificato, s’intende l’operazione con cui il certificatore annulla la validità del certificato a partire da un determinato momento, in modo non retroattivo. Ciò può accadere, ad esempio, su richiesta del titolare della chiave pubblica, se non intende più utilizzarla, perché la corrispondente chiave privata gli è stata sottratta o perché è cessato dall’incarico di rappresentanza in conseguenza del quale deteneva la chiave privata di un ente (Ad esempio, l’amministratore di una società che cessi dalle sue funzioni). Per “sospensione” del certificato s’intende, invece, l’operazione con cui il certificatore sospende la validità del certificato per un determinato periodo di tempo.

102 La direttiva europea sulle firme elettroniche A seguito della emanazione del D.P.R. 513 del 1997 e del relativo regolamento tecnico, l’Italia acquista una posizione di avanguardia in Europa per quanto concerne la disciplina del valore giuridico e dell’efficacia probatoria del documento informatico digitalmente firmato. Si tratta, infatti, del paese in cui è stata approvata la prima e più organica disciplina della firma digitale, con pieno riconoscimento dei suoi effetti giuridici.

103 La direttiva europea sulle firme elettroniche L’obiettivo primario del legislatore in materia di firma digitale è dunque quello di fornire uno strumento tanto al cittadino quanto alla stessa Pubblica Amministrazione che consenta un superamento delle inefficienze e farraginosità che caratterizzano il sistema amministrativo nazionale. Il legislatore comunitario non tarda, tuttavia, ad intervenire, soprattutto in considerazione della necessità di disciplinare tale fenomeno nel contesto dello sviluppo della comunicazione e del commercio elettronico, in piena diffusione su scala mondiale. Ma la direttiva europea sulle firme elettroniche (direttiva 1999/93/CE), emanata due anni dopo il nostro regolamento sulla firma digitale, introduce regole assai più flessibili di quelle italiane. Scopo della direttiva è, infatti, introdurre una disciplina di base sulle firme elettroniche, per favorirne l’utilizzo e contribuire alla diffusione del commercio elettronico, garantendo maggior sicurezza nelle transazioni.

104 La direttiva europea sulle firme elettroniche Mentre il legislatore italiano ha optato per la crittografia asimmetrica, la norma comunitaria adotta un sistema tecnologicamente neutro. La direttiva attribuisce alla firma elettronica valore legale e stabilisce che essa non possa essere discriminata giuridicamente rispetto alla firma autografa a causa della sua forma. L’art. 2 n. 1 della direttiva definisce “firma elettronica” dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati come metodo di autenticazione.

105 La direttiva europea sulle firme elettroniche Per firma elettronica avanzata si intende “una firma elettronica che soddisfi i seguenti requisiti: a) essere connessa in maniera unica al firmatario; b) essere idonea ad identificare il firmatario; c) essere creata con i sistemi sui quali il firmatario può conservare il proprio controllo esclusivo; d) essere collegata ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica dei detti dati”.

106 La direttiva europea sulle firme elettroniche L’art. 5 della direttiva stabilisce che la firma elettronica avanzata se basata su un certificato qualificato e creata mediante un dispositivo per la creazione di una firma sicura sia equiparata, dal punto di vista degli effetti giuridici, alla firma autografa, anche dal punto di vista probatorio. In ogni caso, il comma secondo dell’art. 5, esclude che la firma elettronica possa non essere considerata legalmente efficace e non ammissibile come prova in giudizio unicamente a causa della sua forma elettronica, o per non essere basata su un certificato qualificato o su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato o per il fatto che non sia stata creata da un dispositivo per la creazione della firma sicura.

107 La direttiva europea sulle firme elettroniche La direttiva definisce “prestatore di servizi di certificazione” un’entità o una persona fisica o giuridica che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche (art. 2, punto 11); distingue, inoltre, tra “certificato” (un attestato elettronico che collega i dati di verifica della firma ad una persona e conferma l’identità di tale persona) e “certificato qualificato” (un certificato conforme ai requisiti di cui all’allegato I e fornito da un prestatore di servizi di certificazione che soddisfi i requisiti di cui all’allegato II).

108 La direttiva europea sulle firme elettroniche Le Autorità di certificazione che rilasciano certificati qualificati saranno responsabili dell’esattezza delle informazioni contenute nel certificato a partire dalla data del rilascio; dovranno garantire che, al momento del rilascio del certificato, i dati per la creazione della firma relativi al firmatario identificato dal certificato stesso corrispondano ai dati per la verifica della firma riportati nel certificato e che i dati per la creazione della firma e quelli per la sua verifica possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi.

109 La direttiva europea sulle firme elettroniche Di particolare rilievo il fatto che, in base alla normativa comunitaria, gli stati membri non possono subordinare l’esercizio del servizio di certificazione ad una autorizzazione preventiva. Ci si affida, infatti, ai meccanismi che regolano il libero mercato, auspicando che essi stimoleranno le imprese ad adottare sistemi sempre più evoluti dal punto di vista tecnologico e sempre più affidabili, ma a costi contenuti, per soddisfare il consumatore, ma senza necessità di una regolamentazione particolarmente restrittiva. Gli stati membri, tuttavia, sono lasciati liberi di introdurre o mantenere dei sistemi di accreditamento volontari[1] per i servizi di certificazione di livello più elevato e di indicare misure e livelli speciali di sicurezza, a tutela dell’utente. Ciò non escluderà, tuttavia, la validità giuridica dei certificati forniti da autorità che non hanno richiesto l’accreditamento.[1] [1] Art. 2, punto 13: è “accreditamento facoltativo”, qualsiasi permesso che stabilisca diritti ed obblighi specifici della fornitura di servizi di certificazione, il quale sia concesso, su richiesta del prestatore di servizi di certificazione interessato, dall’organismo pubblico o privato preposto all’elaborazione e alla sorveglianza del rispetto di tali diritti e obblighi, fermo restando che il prestatore di servizi di certificazione non è autorizzato ad esercitare i diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da parte dell’organismo”.

110 Il recepimento della direttiva europea nel nostro ordinamento L’emanazione della direttiva comunitaria 1999/93/CE e dei relativi decreti di attuazione complica notevolmente lo scenario della disciplina italiana sulla firma digitale, poiché la normativa comunitaria, finalizzata alla realizzazione di un quadro uniforme in ambito europeo per le firme elettroniche, non rispecchia a pieno le scelte operate dal legislatore italiano due anni prima. L’aspetto innovativo più rilevante è che mentre il legislatore italiano in relazione alla firma digitale aveva effettuato una scelta ben precisa, attribuendo un valore legale equiparabile alla sottoscrizione ad una procedura informatica i cui requisiti tecnici erano dettagliatamente specificati e di livello molto elevato, la posizione della Commissione europea è invece tecnologicamente neutra. Il legislatore comunitario, infatti, non prende posizione in merito alle caratteristiche tecniche della semplice “firma elettronica” e descrive in maniera volutamente generica i requisiti della firma elettronica avanzata.

111 Il recepimento della direttiva europea nel nostro ordinamento Al fine del recepimento della direttiva comunitaria, vengono emanati il decreto legislativo n. 10 del 23 gennaio 2002, contenente i principi per l’attuazione della direttiva 1999/93/CE, e il decreto del Presidente della Repubblica n. 137 del 2003, recante disposizioni di coordinamento delle norme in materia di firme elettroniche contenute nel decreto legislativo n. 10 del 2002 con il Testo Unico sulla documentazione amministrativa, a norma dell’art.13 del predetto decreto legislativo.

112 Il recepimento della direttiva europea nel nostro ordinamento Aderendo alla posizione del legislatore comunitario, che distingue una firma elettronica tout court e “firma elettronica avanzata”, l’articolo 2 del decreto legislativo 23 gennaio 2002, n. 10 stabilisce che: per “firma elettronica” si intende “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica” e per “firma elettronica avanzata” la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

113 La firma digitale Decreto legislativo 23 gennaio 2002, n.10 “Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche” Art. 2 Comma 1 Ai fini del presente decreto si intende per: firma elettronica a) “firma elettronica” l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica; (…) firma elettronica avanzata b) “firma elettronica avanzata” la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

114 La firma digitale Il legislatore italiano si trova a questo punto nella necessità di collocare nel panorama giuridico europeo la “propria” firma digitale, come prevista e disciplinata prima dal D.P.R. 513 e poi dal Testo Unico 445. La firma digitale, per le sue peculiari caratteristiche tecniche, viene considerata rientrante nella categoria delle firme elettroniche qualificate, la quale rappresenta a sua volta un sottoinsieme delle firme elettroniche avanzate. Si tratterebbe infatti di “un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Laddove è “firma elettronica qualificata” la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma”.

115 La firma digitale certificatori accreditati servizi di certificazione di livello più elevato “certificatori accreditati” i certificatori accreditati in Italia ovvero in altri Stati membri dell’Unione europea, ai sensi dell’art. 3, paragrafo 2, della direttiva 1999/93/CE (… gli Stati membri possono introdurre o conservare sistemi di accreditamento facoltativi volti a fornire servizi di certificazione di livello più elevato. Tutte le condizioni relative a tali sistemi devono essere obiettive, trasparenti, proporzionate e non discriminatorie); accreditamento facoltativo diritti ed obblighi specifici il prestatore di servizi di certificazione non è autorizzato ad esercitare i diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da parte dell’organismo “accreditamento facoltativo” il riconoscimento del possesso, da parte del certificatore che lo richieda, dei requisiti del livello più elevato, in termini di qualità e sicurezza (Si veda Dir. 1999/93/CE, Art. 2, Definizioni, num.13: “Accreditamento facoltativo”, qualsiasi permesso che stabilisca diritti ed obblighi specifici della fornitura di servizi di certificazione, il quale sia concesso, su richiesta del prestatore di servizi di certificazione interessato, dall’organismo pubblico o privato preposto all’elaborazione e alla sorveglianza del rispetto di tali diritti ed obblighi, fermo restando che il prestatore di servizi di certificazione non è autorizzato ad esercitare i diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da parte dell’organismo).

116 La firma digitale Art. 5 possono chiedere di essere accreditati 1. I certificatori che intendono conseguire dal Dipartimento il riconoscimento del possesso dei requisiti del livello più elevato in termini di qualità e sicurezza, possono chiedere di essere accreditati. dotato di ulteriori requisiti, sul piano tecnico, nonché in ordine alla solidità finanziaria e alla onorabilità 2. Il richiedente deve essere dotato di ulteriori requisiti, sul piano tecnico, nonché in ordine alla solidità finanziaria e alla onorabilità, rispetto a quelli richiesti per gli altri certificatori (…). Art. 6 Comma 1 Punto 3 firma digitale o con altro tipo di firma elettronica avanzata (…) Il documento informatico, quando è sottoscritto con firma digitale o con altro tipo di firma elettronica avanzata, e la firma è basata su un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.

117 La firma digitale Decreto del Presidente della Repubblica 7 aprile 2003, n.137 “Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell’art.13 del decreto legislativo 23 gennaio 2002, n.10” Art. 1 Modifiche all’articolo 1 del decreto del Presidente della Repubblica 28 dicembre 2000, n.445 Lettera n FIRMA DIGITALE è unparticolare tipo di firma elettronica qualificata FIRMA DIGITALE è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.

118 La firma digitale Per quanto concerne la funzione di certificazione, è riscontrabile in merito un’altra differenza di rilievo tra l’impostazione italiana, che prevede l’iscrizione del certificatore ad un elenco pubblico a seguito di apposita autorizzazione, e l’approccio molto più sensibile alle ragioni del libero mercato del legislatore comunitario, il quale anzi fa divieto di qualsiasi sistema autorizzatorio e ammette al più sistemi di accreditamento facoltativo. L’art. 3 della direttiva 1999/93/CE, infatti, stabilisce che “Gli Stati membri non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione”. Tuttavia, fatto salvo il paragrafo 1, “gli Stati membri possono introdurre o conservare sistemi di accreditamento facoltativi volti a fornire servizi di certificazione di livello più elevato. Tutte le condizioni relative a tali sistemi devono essere obiettive, trasparenti, proporzionate e non discriminatorie”.

119 La firma digitale Secondo la definizione data dalla direttiva per “accreditamento facoltativo” deve intendersi “qualsiasi permesso che stabilisca diritti ed obblighi specifici per la fornitura di servizi di certificazione, il quale sia concesso, su richiesta del prestatore di servizi di certificazione interessato, dall’organismo pubblico o privato preposto all’elaborazione e alla sorveglianza del rispetto di tali diritti ed obblighi, fermo restando che il prestatore di servizi di certificazione non è autorizzato ad esercitare i diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da parte dell’organismo”. E’, dunque, prevista la possibilità di istituire un organismo pubblico o privato, cui spetti di stabilire diritti e obblighi specifici in relazione alla fornitura di servizi di certificazione, ma ai fini della validità della certificazione non è necessaria l’esistenza di un ente pubblico con compiti di supervisore.

120 La firma digitale L’art. 26 del D.P.R. 445 recepisce l’art. 3 della direttiva, stabilendo che gli Stati non possono subordinare la prestazione di servizi di certificazione ad un’autorizzazione preventiva, ma possono prevedere sistemi di accreditamento facoltativo per quelli di livello più elevato in termini di qualità e sicurezza. Viene introdotto, in tal modo, anche nel nostro ordinamento il principio del libero accesso al mercato dei certificatori. L’obiettivo del legislatore comunitario, cui quello interno si adegua, è quello di lasciare alla libera scelta dell’utente, in base alle esigenze che egli si trova a dover soddisfare, il grado di sicurezza del sistema di certificazione. Tutti i certificati emessi devono, comunque, garantire la validità probatoria del documento informatico sottoscritto con firma elettronica.

121 La firma digitale A seguito del recepimento della direttiva esistono nel nostro ordinamento due tipologie di certificati: il certificato elettronico e il certificato elettronico qualificato. Il primo è definito dall’art. 1 comma 1 lett. t del Testo Unico, che recepisce l’art. 2 della direttiva, come un attestato elettronico che collega i dati di verifica della firma elettronica ad una persona e ne conferma l’identità di tale persona. Il secondo, ex art. 1 comma 1 lett. v, è definito “qualificato” in quanto si richiede che esso sia conforme ai requisiti di cui all’allegato I e rilasciato da un prestatore di servizi di certificazione che soddisfi i requisiti di cui all’allegato II.

122 La firma digitale Al certificatore accreditato si richiede l’adozione della forma di società di capitali e un capitale sociale non inferiore a quello previsto per l’autorizzazione allo svolgimento dell’attività bancaria. I certificatori in forma di società di capitali sono soggetti imprenditori operanti in libera concorrenza che, nel rispetto dei servizi e dei requisiti minimi legislativamente previsti, possono fornire servizi ulteriori, lasciando all’utente la libertà di scegliere il certificatore più idoneo alle proprie esigenze.

123 La firma digitale Linee Guida CNIPA Versione maggio 2004 Firma elettronica qualificatala firma elettronica avanzata che sia basata su un certificato qualificato Firma elettronica qualificata: la firma elettronica avanzata che sia basata su un certificato qualificato, creata mediante un dispositivo sicuro per la creazione della firma. Certificato qualificato Certificato qualificato: Certificato elettronico conforme ai requisiti di cui all’allegato I della direttiva 1999/93/CE, rilasciato da certificatori che rispondono ai requisiti di cui all’allegato II della stessa direttiva. Dispositivo sicuro sicuro Dispositivo sicuro (SSCD): Per “dispositivo di firma” si intende l’apparato strumentale hardware e software che consente di sottoscrivere un documento informatico. Il dispositivo è sicuro se soddisfa particolari requisiti di sicurezza (Allegato III della direttiva 1999/93/CE).

124 La firma digitale Firme elettroniche Firme elettroniche avanzate Firme elettroniche qualificate Firme digitali

125 La firma digitale Il regime transitorio D.Lgs. 10/2002 Art. 11 Comma 1 I documenti sottoscritti con firma digitale basata su certificati rilasciati da certificatori iscritti nell’elenco pubblico tenuto dall’Autorità per l’informatica nella pubblica amministrazione producono gli effetti previsti dagli articoli 6, capoversi 1°, 2° e 3° e 9 I documenti sottoscritti con firma digitale basata su certificati rilasciati da certificatori iscritti nell’elenco pubblico tenuto dall’Autorità per l’informatica nella pubblica amministrazione ai sensi dell’art. 27, comma 3, del testo unico approvato con il decreto del Presidente della Repubblica n. 445 del 2000, producono gli effetti previsti dagli articoli 6, capoversi 1°, 2° e 3° (n.d.r. Forma ed efficacia del documento informatico), e 9 (n.d.r. Modalità di invio e sottoscrizione delle istanze) del presente decreto.

126 La firma digitale Il regime transitorio Linee Guida CNIPA Versione maggio 2004 solo il sistema a chiavi asimmetriche definito per la firma digitale nella legge italianasoddisfa i requisiti richiesti per la firma elettronica avanzata “Allo stato dell’arte, solo il sistema a chiavi asimmetriche definito per la firma digitale nella legge italiana “pre-Direttiva”, soddisfa i requisiti richiesti per la firma elettronica avanzata”.

127 L’attività di certificazione Il regime transitorio D.Lgs. 10/2002 Art. 11 Comma 2 risultano iscritti nell’elenco pubblico sono iscritti d’ufficio nell’elenco pubblicoCertificatori accreditatied hanno facoltà di proseguire l’attività già svolta o di iniziarne l’esercizio, se non precedentemente avviato I certificatori che, alla data di entrata in vigore del regolamento di cui all’art. 13, risultano iscritti nell’elenco pubblico previsto dall’articolo 27, comma 3, del testo unico approvato con il decreto del Presidente della Repubblica n. 445 del 2000, sono iscritti d’ufficio nell’elenco pubblico previsto dall’articolo 5 del presente decreto (Certificatori accreditati), ed hanno facoltà di proseguire l’attività già svolta o di iniziarne l’esercizio, se non precedentemente avviato, con gli effetti di cui al comma 1 del presente articolo.

128 L’attività di certificazione Il regime transitorio Linee Guida CNIPA Versione maggio 2004 accreditati “I certificatori già iscritti nell’elenco pubblico dei certificatori hanno di fatto le caratteristiche per essere considerati “accreditati” secondo quanto previsto dall’articolo 3, comma 2 della Direttiva”.

129 L’impiego della firma digitale da parte di una pubblica amministrazione Cosa prescrive la legge a proposito dell’impiego della firma digitale da parte delle pubbliche amministrazioni?

130 L’impiego della firma digitale da parte di una pubblica amministrazione T.U. 445/00 Art. 29 Chiavi di cifratura della pubblica amministrazione Comma 1 provvedono autonomamente Le pubbliche amministrazioni provvedono autonomamente, con riferimento al proprio ordinamento, alla generazione, alla conservazione, alla certificazione ed all’utilizzo delle chiavi pubbliche di competenza. Comma 2 Con il decreto di cui all’articolo 8 (n.d.r. Regole tecniche) sono disciplinate le modalità di formazione, di pubblicità, di conservazione, certificazione e di utilizzo delle chiavi pubbliche delle amministrazioni.

131 L’impiego della firma digitale da parte di una pubblica amministrazione Art. 15 Modifiche al decreto del Presidente della Repubblica 28 dicembre 2000, n.445 Art. 29 quinquies (Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati) 1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di rilevanza esterna, le pubbliche amministrazioni: direttamente l’obbligo di accreditarsi a) possono svolgere direttamente l’attività di rilascio dei certificati qualificati avendo a tale fine l’obbligo di accreditarsi ai sensi dell’articolo 28; tale attività può essere svolta esclusivamente nei confronti dei propri organi e uffici, nonché di categorie di terzi, pubblici o privati. I certificati qualificati rilasciati in favore di categorie di terzi possono essere utilizzati soltanto nei rapporti con l’Amministrazione certificante, al di fuori dei quali sono privi di ogni effetto (…); certificatori accreditati b) possono rivolgersi a certificatori accreditati, secondo la vigente normativa in materia di contratti pubblici.

132 L’impiego della firma digitale da parte di una pubblica amministrazione Art. 15 Modifiche al decreto del Presidente della Repubblica 28 dicembre 2000, n.445 Art. 29 quinquies (Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati) 2. Per la formazione, gestione e sottoscrizione di documenti informatici aventi rilevanza esclusivamente interna ciascuna amministrazione può adottare, nella propria autonomia organizzativa, regole diverse di quelle contenute nelle regole tecniche di cui all’art.8, comma 2.

133 La funzione di certificazione La questione della Registration Authority Dir. 1999/93/CE Articolo 2 Definizioni Ai fini della presente direttiva, valgono le seguenti definizioni: (…) fornisce altri servizi connessi alle firme elettroniche 11) “prestatore di servizi di certificazione”, un’entità o una persona fisica o giuridica che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche.

134 La funzione di certificazione La questione della Registration Authority Decreto Legislativo 23 gennaio 2002, n. 10 Articolo 2 Comma 1 “Ai fini del presente decreto si intende per: (…) forniscono altri servizi connessi alle firme elettroniche”. b) “certificatori” coloro che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche”. Articolo 3 Comma 1 “L’attività dei certificatori stabiliti in Italia o in un altro Stato membro dell’Unione Europea è libera e non necessita di autorizzazione”.

135 La funzione di certificazione La questione della Registration Authority Art. 26 DPR 445/00 come modificato dal DPR 137/03 Certificatori è libera e non necessita di autorizzazione preventiva 1. L’attività dei certificatori stabiliti in Italia o in un altro Stato membro dell’Unione europea è libera e non necessita di autorizzazione preventiva, ai sensi dell’art. 3 del decreto legislativo 23 gennaio 2002, n. 10. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all’amministrazione, devono inoltre possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all’art. 26 del testo unico delle leggi in materia bancaria e creditizia, approvato con decreto legislativo 1° settembre 1993, n L’accertamento successivo dell’assenza o del venir meno dei requisiti di cui al comma 1 comporta il divieto di prosecuzione dell’attività intrapresa.

136 La funzione di certificazione La questione della Registration Authority Linee guida per l’utilizzo della Firma Digitale Versione maggio 2004 I cittadini l’autorità di registrazione (RA) “I cittadini che intendono utilizzare la firma digitale dovranno recarsi presso l’autorità di registrazione (RA) del certificatore per l’identificazione, la sottoscrizione del contratto di servizio e fornitura, per consegnare eventuale documentazione comprovante il possesso dei titoli qualora desideri che detti titoli siano riportati all’interno del certificato”.

137 La questione della Registration Authority Le imprese “E’ piuttosto frequente che vi siano accordi al fine di demandare all’impresa stessa l’attività di registrazione e di verifica dell’identità del titolare del certificato. Questa pratica viene spesso utilizzata in quanto comporta diversi benefici per tutti i soggetti coinvolti (dipendente, impresa, certificatore). Il dipendente non deve recarsi fisicamente presso l’autorità di registrazione del certificatore, l’impresa ha un risparmio notevole in termini di ore di lavoro spese dai dipendenti per recarsi presso il certificatore oltre al controllo diretto dei certificati emessi per i propri dipendenti con procedure snelle e rapide che consentono di richiedere sospensioni e revoche dei certificati stessi. Il certificatore trae vantaggio dal fatto che non deve impegnare risorse umane per il riconoscimento dei titolari, la verifica dei titoli e di eventuali incarichi o ruoli svolti per l’impresa richiedente”.

138 La questione della Registration Authority Le Pubbliche Amministrazioni “Le Pubbliche Amministrazioni possono agire come descritto nel paragrafo precedente per le imprese o, in alternativa, possono richiedere di essere accreditate (iscritte, quindi, nell’elenco pubblico dei certificatori) utilizzando in realtà le infrastrutture tecnologiche di uno dei soggetti già iscritti nell’elenco pubblico dei certificatori. In questo caso, oltre ai vantaggi descritti nel paragrafo precedente, ottengono il vantaggio di risultare, nella fase di verifica di un documento informatico sottoscritto con firma digitale da un proprio dipendente, quali soggetti che emettono e garantiscono le informazioni inerenti il dipendente stesso”.

139 Il nuovo codice delle Amministrazioni Digitali

140 Il documento informatico Art. 20: Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici sono validi e rilevanti agli effetti di legge. Art. 20 comma 1 bis: L’idoneità del documento informatico a soddisfare il requisito della forma scritta è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

141 Il documento informatico Art. 20, comma 2 Il documento informatico sottoscritto con firma elettronica qualificata o con firma digitale, formato nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, si presume riconducibile al titolare del dispositivo di firma ai sensi dell’articolo 21, comma 2, e soddisfa comunque il requisito della forma scritta, anche nei casi previsti, sotto pena di nullità, dall’articolo 1350, primo comma, numeri da 1 a 12 del codice civile (atti che devono farsi per atto scritto a pena di nullità).

142 L’efficacia probatoria dei documenti informatici Art.21: Valore probatorio del documento informatico sottoscritto 1. Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità e di sicurezza. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data la prova contraria. 2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’art del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data la prova contraria. Art. 2702: La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale è prodotta ne riconosce la sottoscrizione (riconoscimento tacito o espresso), ovvero se questa è legalmente considerata come riconosciuta (autenticazione del notaio o altro pubblico ufficiale o a seguito del giudizio di verificazione).

143 L’efficacia probatoria dei documenti informatici “L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria”. QUINDI: Poiché il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata si presume, fino a querela di falso, proveniente da chi l’ha sottoscritto… Chi intende proporre querela di falso (per dimostrare che non ha firmato) dovrà provare il mancato utilizzo o la perdita incolpevole dello strumento di firma. A questo punto all’altra parte spetta l’onere di provare che il documento è stato sottoscritto dall’autore apparente

144 Efficacia probatoria In sintesi: Il documento informatico con firma digitale o comunque qualificata è equiparato al documento cartaceo con sottoscrizione tradizionale, Il documento informatico sottoscritto con altro tipo di firma elettronica è rimesso alla libera valutazione del giudice, Il documento non firmato è equiparato alla riproduzione meccanica, con modifica dell’art c.c.

145 Documenti amministrativi informatici Art. 22: Gli atti formati con strumenti informatici, i dati e i documenti informatici delle PA costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge.

146 La funzione di certificazione 26. Certificatori. 1. L’attività dei certificatori stabiliti in Italia o in un altro Stato membro dell’Unione europea è libera e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all’amministrazione, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all’articolo 26 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, e successive modificazioni

147 I CERTIFICATORI QUALIFICATI 27. Certificatori qualificati. 1. I certificatori che rilasciano al pubblico certificati qualificati devono trovarsi nelle condizioni previste dall’articolo I certificatori di cui al comma 1, devono inoltre: a. dimostrare l’affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione; b. utilizzare personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate e che sia in grado di rispettare le norme del presente codice e le regole tecniche di cui all’articolo 71; c. applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;

148 I CERTIFICATORI QUALIFICATI d. utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all’articolo 35, comma 5; e. adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l’integrità e la sicurezza nella generazione delle chiavi private nei casi in cui il certificatore generi tali chiavi.

149 I CERTIFICATORI QUALIFICATI 3. I certificatori di cui al comma 1 (CERTIFICATORI QUALIFICATI), devono comunicare, prima dell’inizio dell’attività, anche in via telematica, una dichiarazione di inizio di attività al CNIPA, attestante l’esistenza dei presupposti e dei requisiti previsti dal presente codice. 4. Il CNIPA procede, d’ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la sussistenza dei presupposti e dei requisiti previsti dal presente codice e dispone, se del caso, con provvedimento motivato da notificare all’interessato, il divieto di prosecuzione dell’attività e la rimozione dei suoi effetti, salvo che, ove ciò sia possibile, l’interessato provveda a conformare alla normativa vigente detta attività ed i suoi effetti entro il termine prefissatogli dall’amministrazione stessa.

150 CERTIFICATI QUALIFICATI 28. Certificati qualificati. 1. I certificati qualificati devono contenere almeno le seguenti informazioni: a. indicazione che il certificato elettronico rilasciato è un certificato qualificato; b. numero di serie o altro codice identificativo del certificato; c. nome, ragione o denominazione sociale del certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito; d. nome, cognome o uno pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato; e. dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare; f. indicazione del termine iniziale e finale del periodo di validità del certificato; g. firma elettronica del certificatore che ha rilasciato il certificato realizzata in conformità alle regole tecniche ed idonea a garantire l’integrità e la veridicità di tutte le informazioni contenute nel certificato medesimo.

151 CERTIFICATI QUALIFICATI 3. Il certificato qualificato può contenere, ove richiesto dal titolare o dal terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto: a. le qualifiche specifiche del titolare, quali l’appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza; b. i limiti d’uso del certificato, inclusi quelli derivanti dalla titolarità delle qualifiche e dai poteri di rappresentanza di cui alla lettera a) ai sensi dell’articolo 30, comma 3. c. limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili.

152 CERTIFICATORI ACCREDITATI 29. Accreditamento. 1. I certificatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono di essere accreditati presso il CNIPA. 2. Il richiedente deve rispondere ai requisiti di cui all’articolo 27, ed allegare alla domanda oltre ai documenti indicati nel medesimo articolo il profilo professionale del personale responsabile della generazione dei dati per la creazione e per la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati nonché l’impegno al rispetto delle regole tecniche. 3. Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal comma 2, deve inoltre: a. avere forma giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione alla attività bancaria ai sensi dell’articolo 14 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385; b. garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell’articolo 26 del decreto legislativo 1° settembre 1993, n. 385.

153 CERTIFICATORI ACCREDITATI 4. La domanda di accreditamento si considera accolta qualora non venga comunicato all’interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa. 6. A seguito dell’accoglimento della domanda, il CNIPA dispone l’iscrizione del richiedente in un apposito elenco pubblico, tenuto dal CNIPA stesso e consultabile anche in via telematica, ai fini dell’applicazione della disciplina in questione. 7. Il certificatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni.

154 La funzione di certificazione Art. 32, comma 3, lett. a: “Il certificatore deve provvedere con certezza alla identificazione della persona che fa richiesta della certificazione”; anche se tale attività è delegata a terzi” Comma 4: “Il certificatore è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma, anche se tale attività è delegata a terzi” Norma discussa: legittima la prassi di effettuare il riconoscimento tramite intermediari. La possibilità è ampiamente prevista nelle Linee guida per l’utilizzo della firma digitale del CNIPA del maggio l’autorità di registrazione (RA) “I cittadini che intendono utilizzare la firma digitale dovranno recarsi presso l’autorità di registrazione (RA) del certificatore per l’identificazione, la sottoscrizione del contratto di servizio e fornitura, per consegnare eventuale documentazione comprovante il possesso dei titoli qualora desideri che detti titoli siano riportati all’interno del certificato”.

155 La responsabilità del certificatore A quale regime di responsabilità è assoggettato il certificatore? Normale responsabilità civile? Inversione dell’onere della prova? Esercizio attività pericolose? A regimi diversi a seconda dei diversi obblighi? Si rischia il caos… Si vedano le norme: Art. 32 comma 4:”Il certificatore è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi” se non prova d’aver agito senza colpa o dolo Art. 30: “Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l’affidabilità del certificato è responsabile, se non prova d’aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto ragionevole affidamento (…). …ancora Art. 32 comma 2: il certificatore è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi (assimilato al 2050 c.c.)

156 La responsabilità dell’utente Al pari del certificatore l’utente… Art. 32 comma 1: Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma e a adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri (responsabilità gravosa), inoltre …è tenuto ad utilizzare personalmente il dispositivo di firma.


Scaricare ppt "Il documento informatico e la firma digitale Informatica per le Professioni Legali 17 maggio 2007 Avv. Chiara Rabbito."

Presentazioni simili


Annunci Google