Firma digitale
Firma Digitale Documento informatico e firma elettronica generica Firma digitale, crittografia e smart card Raffronto firma autografa / firma digitale Legislazione italiana e normativa di riferimento Gli Enti Certificatori Posta certificata
Legge 15 marzo 1997 n. 59 (c.d. “Bassanini-1) Premessa Legge 15 marzo 1997 n. 59 (c.d. “Bassanini-1) art. 15, comma 2 “Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge” L’Italia è stato il primo paese europeo (uno dei primi a livello mondiale) a legiferare sulla materia. In Germania sono partiti dall’applicazione pratica, puntando sulla realizzazione di una piattaforma sicura, che hanno corredato a posteriori di una normativa, comunque ancora molto approssimativa; l’approccio italiano è stato esattamente l’opposto: la pratica dovrà far seguito e adeguarsi ad una normativa già molto specifica. Negli Stati Uniti si registra, per prima, una norma dello Utah risalente al 1995 sulla Firma Digitale. Al contrario della nostra, che è più restrittiva, la legislazione europea è molto più vaga: non esprime scelte sul sistema e parma di “firma elettronica” come di un meccanismo che consente il riconoscimento di un soggetto mediante un codice, in modo molto simile a quanto avviene per l’accesso con userid/password.
Documento informatico Il T.U. in materia di documentazione amministrativa (D.P.R. 28/12/2000 n. 445) Art. 8 Documento informatico Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico.
Il documento informatico “Rappresentazione informatica (sequenza di bit che, elaborata da un sistema informatico, può essere resa visibile su uno schermo, stampata su carta o inviata a distanza) di atti, fatti o dati giuridicamente rilevanti” a differenza del documento cartaceo è immateriale (la sua esistenza non è legata a un supporto fisico) non c’è distinzione tra originale e duplicato (molteplicità di originali a pari valore informativo)
Firma elettronica D. Lgs. 23/1/2002, n Firma elettronica D.Lgs. 23/1/2002, n. 10 Attuazione della Direttiva 1999/93/CE Art. 2 Definizioni Si intende per firma elettronica l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica
Firma Digitale Documento informatico e firma elettronica generica Firma digitale, crittografia e smart card Raffronto firma autografa / firma digitale Legislazione italiana e normativa di riferimento Gli Enti Certificatori Posta certificata
Firma Digitale Definizione corrente: è l’equivalente informatico di una firma autografa su carta tecnico-giuridica: è una firma elettronica che si definisce avanzata si basa su un Certificato di Sottoscrizione Qualificato viene rilasciata da un Certificatore Accreditato è generata mediante un dispositivo sicuro (smart card)
Crittografia MAMMA zozzo Chiave Crittografica Simmetrica Singola A=O O B=C C=M … M=Z MAMMA O C M … Z zozzo Chiave Crittografica Simmetrica Singola
Firma Digitale Proprietà generali E’ una delle possibili applicazioni del sistema crittografico a chiavi asimmetriche: il mittente cifra il documento con la sua chiave privata il destinatario decifra con la chiave pubblica del mittente Vengono garantite: l’autenticità del documento (sicurezza della paternità) l’integrità del documento (certezza che il contenuto non sia stato alterato)
Firma Digitale Caratteristiche e vantaggi
Crittografia Definizioni Sistema segreto di scrittura in codice Scrittura segreta, che può essere letta solo se se ne conosce la chiave Scienza matematica che serve a cifrare un testo in modo da renderlo comprensibile soltanto al destinatario
Crittografia Le due tipologie di base Simmetrica (a chiave singola) unica chiave per cifrare e decifrare Asimmetrica (a chiave privata + pubblica) coppia di chiavi correlate e indipendenti
Crittografia simmetrica Chiave singola per cifrare/decifrare La serratura può essere chiusa/aperta con la stessa chiave La chiave deve essere duplicata/scambiata tra gli interlocutori Occorre una chiave per ogni coppia di corrispondenti
Crittografia asimmetrica Coppia di chiavi correlate La serratura può essere aperta con una chiave ma chiusa solo con l’altra (e viceversa) Le due chiavi sono indipendenti
Sistema a chiavi asimmetriche Chiavi distinte e complementari Ogni utente ha una coppia di chiavi: chiave privata (segreta e detenuta solo dal titolare) chiave pubblica (nota e accessibile a tutti) Non è possibile ricavare la chiave privata dalla corrispondente chiave pubblica Ogni chiave consente di sbloccare il codice dell’altra
Sistema a chiavi asimmetriche Sintesi La chiave privata (del mittente) si usa per firmare un documento e proteggerlo da alterazioni La chiave pubblica (del destinatario) si usa per cifrare un documento
Sistema a chiavi asimmetriche “Unicità” delle chiavi La probabilità di generare due chiavi uguali (lunghe 1024 bit) è una su 10340 (“una su un miliardo di miliardi, di miliardi, di miliardi, …” ripetuto trentasette volte). Per chiavi di 1024 bit è stato calcolato che, per risalire ad una chiave privata dalla corrispondente chiave pubblica, una rete di centinaia di migliaia di computer impiegherebbe alcuni secoli.
Firma Digitale Dispositivi di firma “Apparati elettronici in grado di conservare in modo protetto le chiavi private e di generare al loro interno la firma digitale.” Crypto-box Floppy disks Hard disk PC cards
Firma Digitale La smart card: definizione Carta “intelligente” elettronica a microcircuito: risiede su tessera di plastica di dimensioni standard) è dotata di un chip contenente: un microprocessore CPU una memoria RAM una memoria ROM + una memoria EPROM o una memoria EEPROM interfacce per alimentazione e dialogo con altri sistemi
Firma Digitale La smart card: proprietà è portabile (dimensioni ridotte) e resistente può memorizzare dati può ospitare un sistema operativo (capacità di elaborazione e di processo) è inattaccabile (ha un elevato livello, fisico e logico, di protezione) è programmabile all’origine e non clonabile ha un’accessibilità sicura tramite PIN (Personal Identification Number)
Firma Digitale Documento informatico e firma elettronica generica Firma digitale, crittografia e smart card Raffronto firma autografa / firma digitale Legislazione italiana e normativa di riferimento Gli Enti Certificatori Posta certificata
Firma Digitale Confronto con la firma autografa Riconducibile al soggetto direttamente Riconducibile al soggetto solo attraverso il possesso di un segreto Legata al documento attraverso il supporto fisico Legata indissolubilmente al contenuto del documento Verifica diretta e soggettiva (attraverso il campione) Verifica indiretta e oggettiva (tramite una terza parte fidata) Facilmente falsificabile, ma il falso è riconoscibile Non falsificabile senza conoscere il segreto, ma falso irriconoscibile Deve essere autentica per impedire il ripudio Ripudio impossibile
Firma Digitale Documento informatico e firma elettronica generica Firma digitale, crittografia e smart card Raffronto firma autografa / firma digitale Legislazione italiana e normativa di riferimento Gli Enti Certificatori Posta certificata
Normativa Il Regolamento attuativo (Testo Unico) Il Regolamento tecnico D.P.R. 28 dicembre 2000 n. 445 (ex D.P.R. 10 novembre 1997 n. 513) D.P.C.M. 8 febbraio 1999
Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Disposizioni legislative e regolamentari in materia di documentazione amministrativa Obiettivo: riordinare la normativa in materia di firma digitale, documentazione elettronica ed amministrativa, in base ai criteri e princìpi indicati dalla legge 8/3/99 n.50 (sulla predisposizione dei Testi Unici) riprende e ingloba il DPR 513/97 (Regolamento attuativo) mantiene in vigore il DPCM 8/2/99 (Regolamento tecnico)
Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 1 - n) Definizione di Firma Digitale “Il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”
Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Ambito di applicazione Le norme concernenti i documenti informatici e la firma digitale si applicano agli organi della pubblica amministrazione, nonché ai gestori di pubblici servizi nei rapporti tra loro e con l’utenza, e anche nei rapporti tra privati.
Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10) Forma ed efficacia del documento informatico 1. Il documento informatico ha l’efficacia probatoria prevista dall’art. 2712 del c.c., riguardo ai fatti ed alle cose rappresentate. 2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta.
Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10) Forma ed efficacia del documento informatico 3. Il documento informatico, sottoscritto con firma digitale… fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto. 4. Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova...
Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 23 Firma digitale L’apposizione o l’associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica non risulti scaduta di validità ovvero non risulti revocata o sospesa ad opera del soggetto pubblico o privato che l’ha certificata L’uso della firma apposta o associata mediante una chiave revocata, scaduta o sospesa equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione.
Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 24 Firma digitale autenticata Si ha per riconosciuta, ai sensi dell’art. 2703 del c.c. , la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato. La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale a norma del presente testo unico.
Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 38 (modificato dal D.Lgs 23/1/2002, n. 10) Modalità di invio e sottoscrizione delle istanze Le istanze e le dichiarazioni inviate per via telematica alla Pubblica Amministrazione sono valide: se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura; ovvero quando l’autore è identificato dal sistema informatico con l’uso della carta d’identità elettronica o della carta nazionale dei servizi” .
Firma Digitale Documento informatico e firma elettronica generica Firma digitale, crittografia e smart card Raffronto firma autografa / firma digitale Legislazione italiana e normativa di riferimento Gli Enti Certificatori Posta certificata
Certificatori La certificazione: perché? Il sistema di crittografia asimmetrica, da solo, non assicura l’identificazione del soggetto che utilizza la coppia di chiavi. Generando coppie di chiavi e utilizzandole per scambiare documenti tramite la posta elettronica, attraverso la mutua certificazione, ogni utente potrebbe spacciarsi per un’altra persona, ovvero usare il nome di un individuo inesistente.
Certificatori La certificazione: definizione E’ il risultato della procedura informatica… mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene” Strumento che assicura l’identificazione del soggetto sottoscrittore, garantendo l’appartenenza della chiave in capo al rispettivo titolare”
Certificatori La certificazione: finalità Risolve il problema dell’identità nel mondo virtuale Supplisce alla assenza di relazione fisica tra firma digitale e sottoscrittore Documenta la corrispondenza tra la chiave pubblica ed il suo titolare rigorosamente identificato
Certificatori Trusted Third Parties: le “terze parti fidate” Certification Authority Ente Certificatore
Certificatori Elenco pubblico AIPA 27.01.2000 - SIA S.p.A. Società Interbancaria per l'Automazione (cessata attività dal01/01/2003 - certificatore sostitutivo Actalis) 24.02.2000 - SSB S.p.A. Società per i Servizi Bancari-Cedborsa (cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis) 30.03.2000 - BNL Multiservizi S.p.A. (Gruppo BNL) 06.04.2000 - INFOCAMERE S.C.P.A (Camere di Commercio) 13.04.2000 - FINITAL S.p.A. (Finanziaria Italiana) 20.04.2000 - SARITEL S.p.A. (società fusa per incorporazione nella I.T. Telecom S.p.A.) 20.04.2000 - POSTECOM S.p.A. (Poste Italiane) 06.07.2000 - SECETI S.p.A. (Gruppo Banche Popolari) 15.03.2001 - CENTRO TECNICO per la R.U.P.A. 22.03.2001 - INTESA S.p.A. (Ibm) 17.05.2001 - ENEL.IT S.p.A. (Enel) 07.06.2001 - TRUST ITALIA S.p.A. (VeriSign) 15.11.2001 - CEDACRINORD S.p.A. (Casse di Risparmio e altre banche) 28.03.2002 - ACTALIS S.p.A. (SIA e SSB) 12.09.2002 - CONSIGLIO NAZIONALE DEL NOTARIATO 06.02.2003 - I.T. TELECOM S.P.A. (già Saritel S.p.A.)
Certificatori L’Ente di Certificazione: definizione “Soggetto pubblico o privato che effettua la certificazione...” identifica la persona che richiede il certificato rende certa l’identità del soggetto fisico che ha generato una firma rilascia, gestisce, pubblica e revoca i certificati assicura la corrispondenza tra il titolare e la sua chiave pubblica impedisce il disconoscimento della propria firma (non ripudio)
Ente Certificatore Struttura organizzativa Infrastruttura Centrale Utente Ufficio di Registrazione
Ente di Certificazione Infrastruttura Centrale Genera i certificati per i titolari registrati Pubblica i certificati Revoca i certificati non più validi su propria iniziativa su richiesta del titolare su richiesta di terza parte interessata. Rinnova il certificato scaduto
Ente di Certificazione Ufficio di Registrazione Assiste nella richiesta della certificazione verifica aspetti formali garantisce il riconoscimento del soggetto attiva la procedura di emissione dei certificati Distribuisce le Smart Card con i certificati Supporta la C.A. nel rinnovo e nella revoca
Riepilogo
Cos’è e a cosa serve la Firma digitale ? E’ la possibilità, legalmente riconosciuta e normata dal punto di vista giuridico e tecnologico, di fare proprio, cioè di firmare, un documento digitale Così come la firma autografa sul documento cartaceo, la firma digitale può esser apposta ad un documento informatico. La tecnologia alla base della firma digitale garantisce, inoltre, che il documento non sia stato successivamente modificato, e consente di associare al documento una data ed un’ora certe, attraverso il meccanismo della cosiddetta marca temporale. Ci sono molte altre differenze – vantaggi e svantaggi - tra firma digitale e la firma tradizionale
Che valore ha la Firma digitale ? per legge equivale alla firma autografa rende validi i documenti informatici, la loro archiviazione e trasmissione rende validi i contratti elettronici, anche stipulati a distanza La legislazione italiana, all'avanguardia in campo internazionale, ha rivoluzionato il mondo burocratico-amministrativo, attribuendo alla firma digitale lo stesso valore della firma autografa scritta e rendendo validi ai fini di legge documenti, atti e contratti realizzati e trasmessi tramite mezzi informatici e telematici. I principali testi di riferimento sono i seguenti: · L. 15/3/1997, n. 59 · DPCM 8/2/1999 · DIR. 1999/93/CE · DPR 28/12/2000, n.445 DLGS 23/1/2002, n.10
Chi avvalora la Firma digitale ? Enti Certificatori - “Terze Parti Fidate” accreditate e riconosciute per legge verificano l’identità dei titolari gestiscono l’attività tecnologica rilasciano i dispositivi di firma (smart card) pubblicano i certificati digitali sospendono o revocano i certificati “compromessi” Chi me la da? Chi me la garantisce?
Sono uguali tutte le Firme? Firme “leggere” e … “pesanti” la firma digitale è il tipo di firma elettronica che ha maggiore efficacia probatoria (art. 2702 c.c.) è rilasciata da un CERTIFICATORE ACCREDITATO mediante un CERTIFICATO QUALIFICATO su un DISPOSITIVO DI FIRMA SICURO (smart card) Sono tutte uguali?
Come si ottiene e come si usa? Ci si rivolge ad un Ente Certificatore Accreditato (elenco su www.aipa.it) Occorrono Personal computer Lettore di smart card Software di firma
La posta elettronica ... … sta sostituendo, a poco a poco, la posta cartacea tuttavia le comunicazioni ufficiali rimangono su carta, ignorando il T.U. sulla doc. amministrativa
Il documento informatico ... … trasmesso per via telematica si intende inviato e pervenuto al destinatario, se trasmesso all’indirizzo elettronico da questi dichiarato (art14. Comma 1 dpr 445 28 dic. 2000)
La trasmissione del documento ... … informatico per via telematica con modalità che assicurino l’avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge (art14. Comma 3 dpr 445 28 dic. 2000)
Posta certificata: caratteristiche semplicità: - è una casella e-mail - si utilizzano i normali strumenti di posta (Outlook, …)
Particolarità principali ricevute di invio e di consegna “timbro” (ora esatta) garanzie: integrità del messaggio tracciabilità eventi (log)
Posta certificata Accettazione Consegna Ricevuta di accettazione Provider di Posta Certificata B Provider di Posta Certificata A Casella di posta Ricevuta di accettazione Ricevuta di consegna Destinatario Mittente
Opponibilità a terzi ricevuta: prova (firmata dal gestore) del contenuto e non solo dell’invio ora esatta traccia mantenuta per anni
Opponibilità a terzi La data e l’ora di formazione, di trasmissione o di ricezione di un documento informatico, redatto in conformità … , sono opponibili ai terzi (art14. Comma 2 dpr 445 28 dic. 2000)
Messaggi non certificati messaggi scambiati tra caselle di posta certificata e non certificata mancano: ricevute, tracce, … non conformi al dpr 445 Facile identificazione
Consegna non prevede la firma del destinatario: basta la consegna nella casella da lui dichiarata (art 14 comma 1 T.U. documentazione amministrativa)
Cosa si certifica? l’avvenuta consegna: con apposita ricevuta (conservare) l’integrità della trasmissione tra i due provider (busta)
In cosa consiste? è una casella di posta elettronica rilasciata da gestore di posta certificata in un dominio di posta certificata
Basta la casella? Sì ma ... … se invio documenti importanti li firmo smartcard di firma per allegati messaggio ::
Legalmail: ulteriori funzioni sicurezza e affidabilità antivirus in entrata e in uscita più livelli di firewall controlli anti-intrusioni
Legalmail: domini di posta certificata dominio standard proposto …@cert.legalmail.it altre possibilità: domini dell’utente nuovi livelli in legalmail.it Esempio - dominio utente: infocamere.it - posta certificata: cert.infocamere.it
Legalmail Firma / marche temporali Protocollo Informatico Conservazione e condivisione documenti firmati (Repository)