1 Fonsa Nicola Seminario di sicurezza a.a. 2002/2003. La legislazione italiana e la firma digitale.

2 Fonsa Nicola Indice : INTRODUZIONE DPR 513/97 e DPR 445/2000 Definizioni Dove può essere usata la firma digitale Certificazione di chiavi Obblighi del certificatore nella creazione e gestione della firma digitale Le responsabilità del certificatore durante il periodo di validità della firma Datazione di documenti informatici

3 Fonsa Nicola La firma digitale fa la sua comparsa in modo organico all'interno dell'ordinamento giuridico italiano nel 1997 con l'articolo 15 comma secondo della legge 15 marzo 1997 n°59 che a tutt'oggi costituisce la norma base su cui poggia la legislazione in materia di firma digitale, anche dopo aver recepito

4 Fonsa Nicola la direttiva comunitaria (D.Lgs. 23 gennaio 2002), in quanto in esso viene riconosciuta la piena validità legale dei documenti realizzati, archiviati o trasmessi per mezzo di strumenti informatici, purché tali attività siano conformi a quanto descritto nella disciplina giuridica di dettaglio emessa con il DPR 513/1997,

5 Fonsa Nicola successivamente integrata con alcune significative precisazioni contenute nel DPR 445 del 28 dicembre 2000.

6 Fonsa Nicola Inoltre a questo contesto puramente giuridico va aggiunto il DCPM dell 8 febbraio 1999 che nei suoi allegati stabilisce le modalità tecniche con cui devo essere svolte tali attività.

7 Fonsa Nicola il D.P.R. 513/97 regolamento recante criteri e modalità per la formazione, larchiviazione e la trasmissione di documenti con strumenti informatici e il D.P.R 445/2000 testo unico delle disposizioni legislative e regolamenti in materia di documentazione amministrativa

8 Fonsa Nicola Entrambi i documenti legislativi iniziano definendo i termini usati al loro interno, che verranno ripresi nel proseguo di questa presentazione ; pertanto allo scopo di facilitare la comprensione di quanto sto per descrivere essi saranno riportati e definiti nei lucidi che seguiranno

9 Fonsa Nicola TermineDefinizione documento informatico rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

10 Fonsa Nicola TermineDefinizio ne Firma digitale risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite le chiavi pubbliche rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento o di un insieme di documenti informatici.

11 Fonsa Nicola TermineDefinizio ne Sistema di validazione sistema informatico e crittografico in grado di generare ed apporre la firma digitale e di verificarne la validità.

12 Fonsa Nicola TermineDefinizio ne Chiavi asimmetriche coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici.

13 Fonsa Nicola TermineDefinizio ne Chiave privata l'elemento della coppia di chiavi asimmetriche destinato a essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante corrispondente chiave pubblica.

14 Fonsa Nicola TermineDefinizione Chiave pubblica l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica-digitale apposta sul documento informatico dal titolare delle chiavi assimetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi.

15 Fonsa Nicola TerminiDefinizioni Chiave biometrica la sequenza di codici informatici utilizzati dell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell'utente.

16 Fonsa Nicola TerminiDefinizioni Certificazione risultato delle procedure informatica, applicata alla chiave pubblica e rilevabile dai sistemii,di validazione mediante la quale si garantisce la corrispondenza biunivoca tra chiave la pubblica e il soggetto titolare a cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a 3 anni TerminiDefinizioni Certificazione risultato delle procedure informatica, applicata alla chiave pubblica e rilevabile dai sistemii,di validazione mediante la quale si garantisce la corrispondenza biunivoca tra chiave la pubblica e il soggetto titolare a cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a 3 anni TerminiDefinizioni Certificazione risultato delle procedure informatica, applicata alla chiave pubblica e rilevabile dai sistemii,di validazione mediante la quale si garantisce la corrispondenza biunivoca tra chiave la pubblica e il soggetto titolare a cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a 3 anni

17 Fonsa Nicola Termine Definizione validazione temporale il risultato della procedura, con cui si attribuiscono, ad uno o più documenti informatici, una data e un orario opponibili a terzi

18 Fonsa Nicola Termine Indirizzo elettronico Definizione l'identificazione di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici.

19 Fonsa Nicola Termine Definizione Certificatore soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitariamente a quest'ultima ed aggiorna gli elenchi dei certificati sospesi o revocati.

20 Fonsa Nicola Termine Definizione revoca del certificato l'operazione con cui il certificatore annulla la validità da un dato momento in poi un certificato azione non retroattiva

21 Fonsa Nicola Termine Definizione Sospensione del certificato l'operazione in cui il certificatore sospende la validità del certificato per un determinato periodo di tempo

22 Fonsa Nicola Termine Definizione Validità del certificato l'efficacia l'opponibilità al titolare della chiave pubblica, dei dati in esso contenuti

23 Fonsa Nicola Termine Definizione Regole tecniche le specifiche di carattere tecnico, ivi compresa ogni disposizione che ad esse si applichi

24 Fonsa Nicola La firma digitale può essere apposta su qualsiasi documento informatico compresi eventuali duplicati per mezzo della chiave privata purché il certificato associato alla corrispondente chiave pubblica non sia soggetto ad alcun provvedimento di sospensione o revoca, l'apposizione di firma integra o sostituisce l'uso di timbri e marchi di qualsiasi genere e può

25 Fonsa Nicola essere usata ai sensi dellarticolo 2703 del codice civile, previa autenticazione notarile;inoltre se al documento informatico devono essere allegati documenti cartacei essi possono essere sostituiti dalla versione informatica autenticata secondo quanto stabilito dallarticolo 20 comma 3 del presente documento

26 Fonsa Nicola il quale da mandato al notaio di verificare la conformità della copia informatica rispetto a quella esibita su supporto originale e di autenticarla, da quel momento la copia informatica e valida a tutti gli effetti di legge e può essere esibita in sostituzione delloriginale.

27 Fonsa Nicola Se la si vuole usare per la presentazione di istanze alla pubblica amministrazione la firma deve essere inserita nel documento alla presenza del dipendente adetto alla firma digitale.

28 Fonsa Nicola La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale.

29 Fonsa Nicola Nella pubblica amministrazione la firma digitale sostituisce la firma autografa comunque prevista ad ogni fine di legge e luso di timbri contrassegni punzoni,sigilli ove erano previsti in precedenza

30 Fonsa Nicola Il titolare di una coppia di chiavi asimmetriche può ottenere il deposito in forma segreta della chiave privata presso un notaio o altro pubblico deposito autorizzato. La chiave privata di cui si richiede il deposito può essere registrata su qualsiasi tipo

31 Fonsa Nicola di supporto idoneo a cura del depositante e deve essere consegnata racchiusa in un involucro sigillato in modo che le informazioni non possono essere lette, conosciute ed estratte senza provocare evidenti rotture od alterazioni. Le modalità del deposito sono quelle regolate dalle disposizioni dellarticolo 605 del codice civile

32 Fonsa Nicola Certificazione di chiavi

33 Fonsa Nicola La procedura di certificazione deve esse effettuata da un certificatore inserito nella bancadati del apia che e consultabile anche da via web allurl o da un certificatore operante sulla base di licenza rilasciata da un altro paese della comunità europeawww.apia.it

34 Fonsa Nicola sono escluse dallutilizzo obbligatorio dei certificatori le pubbliche amministrazioni che sulla base allarticolo 29 del presente documento hanno facoltà di provvedere autonomamente alla generazione e alla conservazione al utilizzo delle chiavi pubbliche di competenza

35 Fonsa Nicola Obblighi del certificatore nella creazione e gestione della firma digitale

36 Fonsa Nicola il certificatore è tenuto a: conservare le chiavi pubbliche per almeno dieci anni identificare con certezza la persona che fa richiesta della certificazione rilasciare e rendere pubblico il certificato avente le caratteristiche fissate dallarticolo 8 comma 2 che rimanda al DCPM del

37 Fonsa Nicola Deve specificare, con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza o di altri titoli relativi ad altre attività o a cariche rivestite ed attenersi alle regole tecniche di cui allarticolo 8 comma 2 Informare sulla procedura di certificazione e sui necessari requisiti per accedervi

38 Fonsa Nicola attenersi alle misure minime di sicurezza per il trattamento dei dati personali non rendersi depositario di chiavi private procedere tempestivamente alla revoca o alla sospensione del certificato in caso di richiesta da parte del titolare

39 Fonsa Nicola rendere pubblico tale provvedimento inserendo il certificato nella apposita lista. In caso di cessazione di attività deve darne comunicazione scritta con 6 mesi di anticipo sia allapia che gli utenti che erano sotto la sua responsabilità

40 Fonsa Nicola Le responsabilità del certificatore durante il periodo di validità della firma

41 Fonsa Nicola Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico laffidabilità del certificato è responsabile, se non prova di aver agito senza colpa, del danno cagionato a chi abbia fatto ragionevole affidamento sullesattezza delle informazioni

42 Fonsa Nicola in esso contenute dalla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati, sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati della creazione della firma corrispondenti

43 Fonsa Nicola ai dati per la verifica della firma possono essere usati in modo complementare, nei casi in cui il certificatore generi entrambi. Il certificatore è responsabile nei confronti di terzi che fanno ragionevolmente affidamento sul certificato stesso, dei danni provocati per effetto della mancata

44 Fonsa Nicola registrazione della revoca o sospensione del certificato, salvo che provi daver agito senza colpa

45 Fonsa Nicola Il certificatore può indicare di un certificato qualificato i limiti duso dello stesso ovvero un valore limite per i negozi per i quali può essere usato il certificato, purché i limiti duso o il valore limite siano riconoscibili da terzi; il certificatore non è responsabile di eventuali violazioni dei limiti dichiarati nel certificato

46 Fonsa Nicola Datazione di documenti informatici

47 Fonsa Nicola Questo problema e importante al punto che il DPCM gli dedica un capitolo denominato regole per la validazione temporale e protezione di documenti. la firma digitale certifica l'identità di chi ha formato o trasmesso il documento,

48 Fonsa Nicola nonché l'integrità del documento stesso, ma non offre un'indicazione sicura sul momento in cui è stato firmato. Quindi, ogni volta che è necessario certificare il momento in cui il documento informatico è stato formato o spedito occorre

49 Fonsa Nicola un'indicazione della data e dell'ora apposta (meglio, "associata") da un sistema "sicuro". Questa indicazione è definita dalla normativa come "marca temporale" (time stamping) che viene generata da un soggetto certificatore

50 Fonsa Nicola Le marche temporali

51 Fonsa Nicola La marca temporale è in sostanza una firma digitale che viene apposta a una "evidenza informatica" e che deve contenere almeno le seguenti informazioni: a. identificativo dellemittente; b. numero di serie della marca temporale;

52 Fonsa Nicola c. algoritmo di sottoscrizione della marca temporale; d. identificativo del certificato relativo alla chiave di verifica della marca;

53 Fonsa Nicola e.data ed ora di generazione della marca; f. identificatore dellalgoritmo di hash utilizzato per generare limpronta dellevidenza informatica sottoposta a validazione temporale; g. valore dellimpronta dellevidenza informatica

54 Fonsa Nicola Lora assegnata ad una marca temporale deve corrispondere, con una differenza non superiore ad un minuto secondo rispetto alla scala di tempo UTC(IEN), di cui al Decreto del Ministro dellIndustria, del Commercio e dellArtigianato 30 novembre 1993, n. 591, al momento della sua generazione.

55 Fonsa Nicola Riferimenti utilizzati legge15 marzo 1997 n°59 Decreto del Presidente della Repubblica 513/1997 Decreto del Presidente della Repubblica 445/2000 Decreto della Presidenza del Consiglio dei Ministri del 8/299