LA FIRMA DIGITALENEL
DOCUMENTO INFORMATICO
|
�� Il documento informatico
ha determinato una rivoluzione nell'ordinamento giuridico e nella scienza
del diritto, perché ha introdotto un'innovazione i cui effetti oggi non sono
misurabili. Un cambiamento radicale nella concezione e nell'uso del "documento",
nella sua natura di res signata, cioè di una "cosa" che riporta
dei segni, delle informazioni. Ad esempio, la validazione del documento cartaceo
è data dalla presenza di determinati segni sul supporto, tanto che non è possibile
separare l'informazione o la validazione dal supporto; con il documento informatico
si realizza invece la separabilità dei tre elementi.��
�� Ciò che distingue il documento informatico
giuridico dal semplice documento informatico è la possibilità di collegare
il documento al suo autore, per garantire alla controparte del rapporto negoziale
la massima affidabilità sulla sua provenienza. Queste esigenze erano assicurate
dalla sottoscrizione, che doveva essere:
�
autografa (scritta di pugno dall�autore),
�
nominativa (recante nome e cognome),
�
leggibile
�
di non facile riproducibilità
per poter
esplicare, secondo la dottrina, tre funzioni tipiche:
�
indicativa, dell�autore;
�
�dichiarativa, della paternità e
�
probatoria dell�autenticità.
Il documento informatico
�� Nel nostro ordinamento ci sono varie definizioni
diverse e contraddittorie del documento informatico:
�
La prima, in ordine di tempo, è quella dell'articolo 491-bis del
codice penale, introdotto dalla legge 23 dicembre 1993, n. 547: "�per documento informatico si intende qualunque supporto informatico
contenente dati o informazioni aventi efficacia probatoria o programmi specificamente
destinati ad elaborarli". La definizione è confermata dal comma aggiunto
all' art. 621: " è considerato documento anche qualunque supporto
informatico contenente dati, informazioni o programmi".��
Il documento informatico, secondo il codice penale, è quindi un
"supporto", una res che "contiene" qualcosa, come
il documento
[1]
.
�
Il DPR 10 novembre 1997, n. 513, che detta le norme fondamentali della
nostra materia, afferma all'articolo 1 che il documento informatico è "la rappresentazione informatica
di atti, fatti o dati giuridicamente rilevanti".
�� Il documento informatico, come insieme di bit,
esiste solo in relazione a un sistema informatico in grado di visualizzarlo
o di trasferirne il contenuto su un supporto materiale: immagine sullo schermo
o risultato della stampa che non sono "il documento" e non possono
produrre gli effetti giuridici propri del documento stesso. Perché la stampa
di un documento informatico possa avere valore legale, è necessario che un
pubblico ufficiale ne attesti la corrispondenza all'originale, come prescrive
l'articolo 6 del DPR
513/97
[2]
.
�� Associando alla sequenza di bit che costituisce
il contenuto del documento un'altra sequenza, generata con gli algoritmi della
firma digitale, si ottiene la validazione del contenuto, in quanto si stabilisce
una correlazione biunivoca tra le due sequenze e la seconda è sicuramente
riferita al firmatario, in virtù della certificazione. Anche se le due sequenze
(evidenze informatiche, secondo la definizione del DPCM 8 febbraio 1999) vengono separate, non si perde la reciproca correlazione, verificabile
con le opportune procedure crittografiche. Questo, consente di separare il
documento e la firma dal supporto, quindi la distruzione del supporto non
comporta necessariamente la distruzione del documento, perché il supporto
è solo un "accidente" - sia pure indispensabile - del documento
stesso
[3]
.
�� Il documento informatico, anche
se in linea di principio è "valido e rilevante a tutti gli effetti di
legge", non può sempre sostituire il documento cartaceo perché in molti
casi non basta una firma autografa posta in calce a una scrittura per determinare
conseguenze giuridicamente rilevanti (ad es. la cambiale). Il motivo è dato
dal fatto il documento informatico può essere riprodotto esattamente, compresa
la firma digitale, e non è possibile in alcun modo distinguere l'originale
dai suoi "cloni" (concetto di duplicato).� Il documento informatico astrattamente
è uno solo, in realtà di esso possono coesistere tante "memorizzazioni"
su supporti informatici anche diversi e separati. Nel silenzio della norma
(data la materiale impossibilità di distinguere tra originale e duplicato)
sarà di volta in volta la volontà degli interessati, o la valutazione del
giudice, a decidere quale valore probatorio attribuire ai duplicati.
�� La mancanza di un elemento caratterizzante
dell�originale è invece tipica della copia del documento informatico, così come altrettanto tipica è
l�espressa dicitura "copia" apposta alla stessa. La copia costituisce
documento autonomo e distinto dall�originale e, sotto l�aspetto pubblicistico,
la sua formazione ed il suo rilascio sono ben disciplinati dalla legge, in
particolare da quella notarile.
La firma digitale
�� Gli articoli 5 e 16 del DPR 513/97 (che qui indichiamo brevemente come "il Regolamento�) contengono
disposizioni di grande interesse, che aiutano anche a capire alcuni aspetti
essenziali del documento informatico. I commi più importanti:
Art. 5 - Efficacia probatoria del documento informatico
1. Il documento informatico, sottoscritto con firma
digitale ai sensi dell'articolo 10, ha efficacia di scrittura privata ai sensi
dell'articolo 2702 del codice civile.
Art. 16 - Firma digitale autenticata
1. Si ha per riconosciuta, ai sensi dell'articolo
2703 del codice civile, la firma digitale, la cui apposizione è autenticata
dal notaio o da altro pubblico ufficiale autorizzato.
2. L'autenticazione della firma
digitale consiste nell'attestazione, da parte del pubblico ufficiale, che
la firma digitale è stata apposta in sua presenza dal titolare, previo accertamento
della sua identità personale, della validità della chiave utilizzata e del
fatto che il documento sottoscritto risponde alla volontà della parte e non
è in contrasto con l'ordinamento giuridico ai sensi dell'articolo 28, numero
1, della legge 16 febbraio 1913, n. 89.
3. L'apposizione della firma
digitale da parte del pubblico ufficiale integra e sostituisce ad ogni fine
di legge la apposizione di sigilli, punzoni, timbri, contrassegni e marchi
comunque previsti.
Per l'articolo 2703 del Codice Civile: "L'autenticazione
consiste nell'attestazione da parte del pubblico ufficiale che la sottoscrizione
è stata apposta in sua presenza. Il pubblico ufficiale deve previamente accertare
l'identità della persona che sottoscrive".
�� Differenza
essenziale tra la sottoscrizione autografa e la firma digitale:
�
l'autenticità della sottoscrizione autografa può essere verificata attraverso
il confronto con un'altra firma, sicuramente attribuibile al soggetto;
�
la firma digitale viene verificata con il controllo della chiave pubblica
presso il certificatore, il quale "è tenuto a identificare con certezza
la persona che fa richiesta della certificazione" (articolo 9 del Regolamento).
�� La certificazione della firma digitale non deve
essere confusa con l'autenticazione e la validazione:
�
La certificazione riguarda la chiave pubblica (e cioè l'attribuibilità
della firma a chi risulta titolare della chiave stessa), manca l'aspetto fondamentale
dell'attestazione, da parte del pubblico ufficiale, che la firma è stata apposta
in sua presenza;
�
L'autenticazione riguarda una singola firma, apposta a un singolo documento.
Nella firma digitale è compresa la "impronta" (hash) del documento e quindi la
firma attesta anche l'integrità del contenuto. Invece nel documento cartaceo
l'integrità risulta da elementi fisici, come l'assenza di cancellazioni o
abrasioni del supporto.
�
La validazione deriva dal fatto che la firma digitale attesta: a) l'identità
del sottoscrittore; b) la "non ripudiabilità" del documento, per
il fatto che la chiave privata usata per generare la firma è segreta; c) l'integrità
del contenuto.
�� Autenticazione, certificazione e validazione
costituiscono quindi realtà diverse.
�� Il secondo comma dell'articolo 16 del Regolamento
aggiunge tre requisiti a quelli prescritti per l'autenticazione dall'articolo
2703 del codice civile:
�
l'accertamento della validità della chiave utilizzata;
�
la rispondenza del contenuto alla volontà della parte;
�
l'assenza di contrasto con l'ordinamento giuridico.
�� I concetti di idoneità del documento a produrre
gli effetti voluti dalle parti, di rispondenza tra contenuto e manifestazione
di volontà, di verifica di legittimità, costituiscono il nucleo della funzione
notarile, così come nel tempo la giurisprudenza ha sempre più sottolineato:
con il DPR 513/97 questi concetti hanno trovato affermazione legislativa e
non più dottrinale o giurisprudenziale.����� In questo senso l'autenticazione del documento
informatico sembra conferire al documento stesso un valore superiore a quello
del corrispondente cartaceo.
L'autenticazione
�� Per ottenere l'autenticazione della firma digitale,
ai sensi dell� art. 1, L. 16 febbraio 1913, n. 89 ed ex art. 29 Legge Notarile:
�
l'interessato si recherà dal pubblico ufficiale (tipicamente un notaio)
con il documento già predisposto su un dischetto o su un CD scrivibile, oppure
sarà il pubblico ufficiale a scriverlo sul proprio PC;
�
il comparente inserirà nell'apposito lettore il proprio dispositivo di
firma e genererà la firma;
�
il pubblico ufficiale, dopo aver compiuto i prescritti accertamenti sul
documento, verificherà la chiave pubblica del firmatario collegandosi
al certificatore, aggiungerà al documento l'attestazione di autenticità,
�
il comparente inserirà il proprio dispositivo e quindi genererà la propria
firma, la cui impronta sarà calcolata sull'insieme costituito dalla scrittura,
dalla firma del sottoscrittore e dalla attestazione notarile di autenticità.
�� Il documento informatico, di regola, è un documento
"in chiaro", il cui contenuto è leggibile da chiunque, e non "criptato"
(rectius "cifrato�)
per permettere al pubblico ufficiale di verificarne la rispondenza alla volontà
del sottoscrittore e all'ordinamento. L�eventuale criptazione potrà avvenire
in un secondo momento.
Riproduzioni meccaniche
�� Il
secondo comma dell'articolo 5 del Regolamento afferma:
�Il
documento informatico munito dei requisiti previsti dal presente regolamento
ha l�efficacia probatoria prevista dall'articolo 2712 del codice civile e
soddisfa l�obbligo previsto dagli articoli 2214 e seguenti del codice civile
e da ogni altra analoga disposizione legislativa o regolamentare�.
�� L'articolo
2712 del codice civile afferma: "Le riproduzioni fotografiche o cinematografiche,
le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica
di fatti e di cose, formano piena prova dei fatti e delle cose rappresentate,
se colui contro il quale sono prodotte non ne disconosce la conformità ai
fatti o alle cose medesime".
�� Il secondo comma dell'articolo 5 equipara alle
rappresentazioni meccaniche i documenti digitali che rappresentino, invece
che una scrittura, "fatti o cose". La differenza con le scritture
previste dall'articolo 2702 del codice civile consiste nel fatto che: a) per
le scritture l'eventuale disconoscimento riguarda la firma; b) per le rappresentazioni
meccaniche riguarda la conformità ai fatti o alle cose rappresentate.
�� Non sembra sostanziale la differenza che si
riscontra tra il primo e il secondo comma, per quanto riguarda la natura del
documento informatico, nel primo si dice che è "sottoscritto con firma
digitale", nel secondo "munito dei requisiti previsti dal presente
regolamento": si tratta comunque di un documento informatico, cioè provvisto
di firma digitale secondo le regole tecniche del DPCM 8 febbraio 1999.
�� L'ipotesi del secondo comma sembra sussistere
in funzione di un ipotetico documento informatico non munito di firma digitale
ai sensi del regolamento. In questo caso non si tratterebbe di documento informatico
"valido e rilevante a tutti gli effetti di legge", perché esso è
tale solo se provvisto della firma digitale apposta secondo le disposizioni
del Regolamento e delle Regole tecniche. Dunque si tratterebbe di una mera
riproduzione meccanica, sottoposta alla disciplina dell'articolo 2712 del
codice civile, e non a quella dell'articolo 5 del Regolamento. Potrebbe divenire
documento informatico se sottoscritto con firma digitale "non a norma"
da parte di un soggetto che se ne riconosca autore. In pratica del documento
informatico si potrà disconoscere la firma se il contenuto è una scrittura,
o anche il contenuto, se una rappresentazione digitale di fatti o cose.
Firma autenticata e pubblica amministrazione
�� Un ulteriore aspetto del documento informatico
è previsto nelle previsioni degli ultimi due commi dell' art. 16 del Regolamento:
�5. Ai fini e per gli effetti dell'articolo
3, comma 11, della legge 15 maggio 1997, n. 127, si considera apposta in presenza
del dipendente addetto la firma digitale inserita nel documento informatico
presentato o depositato presso pubbliche amministrazioni.
6. La presentazione o il deposito
di un documento per via telematica o su supporto informatico ad una pubblica
amministrazione sono validi a tutti gli effetti di legge se vi sono apposte
la firma digitale e la validazione temporale a norma del presente regolamento.
� �La legge 127/97 (nota come "Bassanini
2") semplifica gli adempimenti burocratici nei numerosi casi in cui le
norme prevedono che un documento debba essere presentato a una pubblica amministrazione
con la firma autenticata: l'autenticazione viene fatta da chi riceve l'atto
(naturalmente dopo aver identificato l'identità del soggetto). Il quinto comma
estende questa facilitazione al documento informatico.�
Il sesto comma risolve il problema dell'impossibilità di autenticazione
della firma (non essendo presente l'interessato), con la richiesta di una
formalità aggiuntiva: l'apposizione della marca temporale
[4]
. Tuttavia la certificazione della chiave pubblica "a
monte" della firma costituisce una garanzia e la marca temporale aggiunge
un ulteriore elemento di certezza.
�� Il legislatore regolamentare ha in pratica
eliminato l'autenticazione della firma nei documenti diretti alla pubblica
amministrazione.
Le "chiavi di cifratura"
�� Un elemento essenziale del sistema del documento
informatico è la "chiave di cifratura" che serve a generare la firma.
Alla base di tutto il sistema vi sono i fondamenti della crittografia a chiave
pubblica (o "a chiavi asimmetriche"):
�
La crittografia tradizionale fondata sull'uso di una sola chiave di cifratura,
che deve essere conosciuta dal mittente e dal destinatario del documento cifrato.
Il problema di questo sistema è che occorre un canale sicuro per trasmettere
la chiave, perché chi la intercetta può decifrare il documento "segreto".
�
La �crittografia a chiave pubblica". In questo caso le chiavi sono
due: una serve a cifrare e una a decifrare il messaggio. In pratica, il messaggio
cifrato con la prima chiave (chiave diretta) può essere decifrato solo con
la seconda (chiave inversa).
Da notare
che: a) le due chiavi possono essere scambiate (si cifra con la seconda e
si decifra con la prima); b) da una chiave non si può ricavare l'altra. L'aspetto
più interessante è dato dalla possibilità di rendere pubblica una delle due
chiavi (per questo si parla di "crittografia a chiave pubblica").
Un soggetto può generare la propria coppia di chiavi e pubblicarne una. In
questo modo chi vuole spedirgli un messaggio segreto non deve fare altro che
cifrarlo con la chiave pubblica: solo il destinatario può decifrarlo con la
propria chiave privata (che deve restare segreta). Il sistema si presta anche
alla certificazione del mittente: se questi cifra con la sua chiave privata
tutto il messaggio (o anche solo la firma), possiamo essere certi che sia
inviato proprio da lui se possiamo decifrare il messaggio o la sua firma attraverso
la sua chiave pubblica, contenuta in un elenco accessibile da parte di chiunque.
�
una terza applicazione fondamentale per il documento informatico ed è la
certificazione del momento in cui uno scritto è stato formato o spedito: basta
inviare il messaggio a un soggetto "fidato" che lo rispedisce dopo
aver apposto, con la sua chiave privata, una firma che contiene anche l'indicazione
della data e dell'ora (detta "marca temporale").
�� Attraverso il sistema delle chiavi, si possono
ottenere tutti i requisiti di un documento "valido e rilevante ad ogni
effetto di legge":
�
autenticità, cioè l'identificazione certa
del soggetto che lo ha formato o spedito;
�
integrità, ossia la sicurezza che il
contenuto non è stato alterato dopo l'apposizione della firma (in caso contrario
l'operazione di decifratura con la chiave pubblica non va a buon fine);
�
certezza del momento in cui
è stata apposta la "marca temporale";
�
non ripudiabilità del contenuto
(il soggetto non può negare di aver formato o spedito il documento).
�� Il presupposto è l�affidabilità dei soggetti,
che mettono a disposizione gli elenchi delle chiavi pubbliche e forniscono
le marche temporali, perché è matematicamente molto difficile falsificare
una firma digitale, ma è relativamente facile far inserire in un elenco una
chiave pubblica a nome di un altro soggetto (ingannando il certificatore o
con la sua complicità) o ottenere una "marca" falsa.
�� Le regole tecniche predisposte dall'Autorità
per l'informatica nella pubblica amministrazione, costruiscono un sistema
di standard e di controlli che dovrebbero rendere molto sicuro il sistema.
Art.
4 Caratteristiche generali delle chiavi
1. Una coppia di chiavi può essere attribuita
ad un solo titolare.
2. Se la firma del titolare viene apposta per
mezzo di una procedura automatica, deve essere utilizzata una chiave diversa
da tutte le altre in possesso del sottoscrittore.
3. Se la procedura automatica fa uso di più
dispositivi per apporre la firma del medesimo titolare, deve essere utilizzata
una chiave diversa per ciascun dispositivo.
4. Ai fini del presente decreto, le chiavi
ed i correlati servizi, si distinguono secondo le seguenti tipologie:
a.
chiavi
di sottoscrizione, destinate alla generazione e verifica delle firme apposte
o associate ai documenti;
b.
chiavi
di certificazione, destinate alla generazione e verifica delle firme apposte
ai certificati ed alle loro liste di revoca (CRL) o sospensione (CSL);
c.
chiavi
di marcatura temporale, destinate alla generazione e verifica delle marche
temporali.
5. Non è consentito l�uso di una chiave per
funzioni diverse da quelle previste dalla sua tipologia.
6. La lunghezza minima delle chiavi è stabilita
in 1024 bit.
�� Sussistono tre tipi di chiavi, rispettivamente
destinate: a) sottoscrizione dei documenti (e quindi alla loro verifica);
b) certificazione delle chiavi di sottoscrizioni; c) marcatura temporale.
La prima riguarda direttamente l'utente, la seconda e la terza sono fondamentali
per l'affidabilità generale del sistema.
�Art. 5 Generazione delle chiavi
1. La generazione della coppia di chiavi deve
essere effettuata mediante apparati e procedure che assicurino, in rapporto
allo stato delle conoscenze scientifiche e tecnologiche, l�unicità e la robustezza
della coppia generata, nonché la segretezza della chiave privata.
2. Il sistema di generazione delle chiavi deve
comunque assicurare:
a.
la
rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione
e di verifica utilizzati;
b.
l�equiprobabilità
di generazione di tutte le coppie possibili;
c.
l�identificazione
del soggetto che attiva la procedura di generazione.
Art.
6 Modalità di generazione delle chiavi
1. La generazione delle chiavi di certificazione
e marcatura temporale può essere effettuata esclusivamente dal responsabile
del servizio che utilizzerà le chiavi.
2. Le chiavi di sottoscrizione possono essere
generate dal titolare o dal certificatore.
3. La generazione delle chiavi di sottoscrizione
effettuata autonomamente dal titolare deve avvenire all�interno del dispositivo
di firma.
Art.
7 Generazione delle chiavi al di fuori del dispositivo di firma
1. Se la generazione delle chiavi avviene su
un sistema diverso da quello destinato all�uso della chiave privata, il sistema
di generazione deve assicurare:
a.
l�impossibilità
di intercettazione o recupero di qualsiasi informazione, anche temporanea,
prodotta durante l�esecuzione della procedura;
b.
il
trasferimento della chiave privata, in condizioni di massima sicurezza, nel
dispositivo di firma in cui verrà utilizzata.
2. Il sistema di generazione deve essere isolato,
dedicato esclusivamente a questa attività ed adeguatamente protetto contro
i rischi di interferenze ed intercettazioni.
3. L�accesso al sistema deve essere controllato
e ciascun utente preventivamente identificato. Ogni sessione di lavoro deve
essere registrata nel giornale di controllo.
4. Prima della generazione di una nuova coppia
di chiavi, l�intero sistema deve procedere alla verifica della propria configurazione,
dell�autenticità ed integrità del software installato e dell�assenza di programmi
non previsti dalla procedura.
Art.
8 Conservazione delle chiavi
1. Le chiavi private sono conservate e custodite
all�interno di un dispositivo di firma. è possibile utilizzare lo stesso dispositivo
per conservare più chiavi.
2. è vietata la duplicazione della chiave privata
o dei dispositivi che la contengono.
3. Per fini particolari di sicurezza, è consentita
la suddivisione della chiave privata su più dispositivi di firma.
4. Il titolare delle chiavi deve:
a.
conservare
con la massima diligenza la chiave privata e il dispositivo che la contiene
al fine di garantirne l�integrità e la massima riservatezza;
b.
conservare
le informazioni di abilitazione all�uso della chiave privata in luogo diverso
dal dispositivo contenente la chiave;
c.
richiedere
immediatamente la revoca delle certificazioni relative alle chiavi contenute
in dispositivi di firma di cui abbia perduto il possesso o difettosi.
�� La "regole tecniche" sono un compendio
di prescrizioni di sicurezza che possono far testo anche al di fuori delle
procedure che riguardano il documento informatico.
�� In diverse occasioni, quando si parla di firma
digitale, vengono presentati dispositivi per il riconoscimento biometrico,
cioè apparecchi che identificano l'utente analizzando l'impronta digitale
o quella della retina o dell'iride, il timbro della voce. Si ipotizza addirittura
l'introduzione di firme digitali basate su chiavi biometriche, anche se gli
standard attuali escludono questa possibilità: la chiave biometrica non ha
nulla a che fare con il documento informatico e con la firma digitale. Un
sistema di sicurezza, la cui introduzione è prevista dall�articolo 1 del DPR
523/97 quale� meccanismo di sicurezza
per verificare l'identità personale:
1. Ai fini del presente decreto si intende:
g) per chiave biometrica, la sequenza di codici
informatici utilizzati nell�ambito di meccanismi di sicurezza che impiegano
metodi di verifica dell�identità personale basati su specifiche caratteristiche
fisiche dell�utente.
�� Non è da escludere che, in futuro, la chiave
biometrica possa far parte delle procedure di identificazione del titolare
adottate, per il momento, è entrata nella normativa sul documento informatico
in quanto può essere adottata nell'ambito delle procedure di sicurezza interne
dei certificatori.
La certificazione
�� I due aspetti della normativa italiana sul
documento informatico, molto più restrittivi della prassi comunemente seguita
sull'internet sono:
�
i particolari requisiti e compiti del certificatore;
�
�l'obbligo di usare un dispositivo di firma.
�� Con altre disposizioni, il legislatore italiano
ha indicato specifiche che soddisfano gli standard internazionali più accreditati.
Si tratta, in particolare, degli algoritmi per generazione e la verifica delle
firme e per la generazione dell'impronta del documento (DPCM 8 febbraio 1999,
articoli 2 e 3) e del
formato del certificato delle chiavi (articolo 12)
[5]
.
�� In realtà, l'utente non vede mai il "vero"
certificato, che è costituito da una sequenza di caratteri incomprensibili,
ma la sua rappresentazione in un formato leggibile, tipico della singola applicazione
in cui possono essere trattati documenti cifrati o provvisti di firma digitale.
�� Per il momento non ci sono ancora certificati
"a norma" secondo le Regole tecniche; quando saranno operanti i
certificatori iscritti all'elenco pubblico dell'AIPA, saranno note le procedure
di riconoscimento alle quali si potrà ricorrere per ottenere il certificato
ex DPR 513/97
[6]
.
�� Nella certificazione "libera" i due
momenti possono essere separati e, in alcuni casi, si può prima chiedere il
certificato (che potrebbe anche essere attribuito semplicemente a un indirizzo
di posta elettronica), poi si può andare a farsi riconoscere da una Registration Authority. Questa
comunica poi alla Certification
Authority l'identità accertata del titolare del certificato.
Con questa procedura la responsabilità viene attribuita a due soggetti diversi:
�
la Registration Authority
per l'accertamento dell'identità del titolare;
�
�e alla Certification Authority per la
gestione e pubblicazione del certificato e per la manutenzione della directory.
�� Nell'ordinamento italiano al certificatore
sono attribuiti ambedue i compiti. Vi è, in sostanza, una sola responsabilità
per tutti gli aspetti della certificazione delle chiavi di firma.
�� In Italia i certificatori devono essere iscritti
in un elenco presso l�AIPA (Agenzia per l�Informatica nella Pubblica Amministrazione).
Nella normativa italiana le caratteristiche del certificatore sono definite con un rigore tale da ridurre sensibilmente il numero dei
soggetti che, dopo l'iscrizione nel registro pubblico tenuta dall'AIPA, possono
svolgere l'attività di certificazione delle chiavi crittografiche idonee a
produrre le firme digitali che conferiscono ai documenti informatici validità
e rilevanza a ogni effetto di legge.
Per l'impiego della firma digitale, il DPR 513/97 e le Regole tecniche contengono prescrizioni molto restrittive, e anche in questo caso con
lo scopo di ottenere il più alto livello possibile di sicurezza.
�� Principali funzioni della certificazione:
�
indicativa, della chiave privata e pubblica
e, con il certificato, del titolare della firma.
�
dichiarativa: la firma digitale ha lo
stesso valore della firma reale;
�
probatoria: collegamento tra firma digitale
e certificato
�� Il nucleo delle disposizioni sull'impiego della
firma digitale è nell'obbligo tassativo di usare un "dispositivo di firma"
per tutte le operazioni sia di generazione delle chiavi, sia di sottoscrizione
dei documenti.� Non però vietati:�
a) l'uso di certificati rilasciati da certificatori non iscritti all'elenco
dell'AIPA;��� b) l�utilizzo di procedure basate su programmi
residenti in un computer. Le firme digitali così ottenute possono avere il
valore sul quale le parti possono convenire (per es. nel commercio elettronico)
e possono avere l'efficacia probatoria che il giudice, di volta in volta,
attribuisce a qualsiasi altro mezzo di prova in un processo. I documenti informatici
così sottoscritti non sono "validi e rilevanti a tutti gli effetti di
legge", cioè non hanno il valore legale degli atti per i quali la legge
prescrive la forma scritta e, in particolare, non saranno accettati dalla
pubblica amministrazione in sostituzione dei documenti cartacei con sottoscrizione
autografa.
Il dispositivo di firma
�� L'articolo 1 del DPR
8 febbraio 1999 (le "Regole
tecniche") stabilisce che si intende d) per "dispositivo di firma", un
apparato elettronico programmabile solo all�origine, facente parte del sistema
di validazione, in grado almeno di conservare in modo protetto le chiavi private
e generare al suo interno firme digitali.
�� Non c'è una definizione del "sistema di
validazione", ma è chiaro che si tratta dell'insieme hardware-software
utilizzato di volta in volta o per la generazione delle chiavi o per la generazione
(e la verifica) della firma digitale.� Il dispositivo di firma è un "apparato
elettronico", al cui interno sono presenti almeno la chiave privata del
titolare e il software necessario alla generazione delle firme. Questi due
elementi sono necessari, ma non sufficienti, al ciclo completo della firma
digitale.
�� Il dispositivo di firma, nella sua forma più
comune è costituito da:
�
smart card (carta intelligente), un tesserino
di plastica delle dimensioni standard di una carta di credito, provvisto di
un microprocessore e di una certa quantità di memoria.
�
cryptobox, una scatola da collegare
al computer e contenente altri sistemi di sicurezza.
�
carte di identità digitali (non ancora realizzate) o quelle attualmente
molto diffuse, dei telefoni cellulari.
�� La caratteristica fondamentale del dispositivo
di firma consiste nel fatto che esso deve essere "programmabile solo
all'origine". Questo significa che nel dispositivo di firma devono essere
inserite, all'atto della fabbricazione, delle informazioni che non possono
essere modificate in seguito (risultato ottenuto attraverso procedure fisiche).
Questo è il primo e fondamentale meccanismo di sicurezza delle carte a microprocessore,
che rende virtualmente impossibile la loro "clonazione�.
�� La chiave privata deve essere conservata "in
modo protetto" nel dispositivo di firma.�� La protezione della chiave privata ha due aspetti
differenti:
�
la chiave non può essere attivata, per apporre una firma digitale, senza
il superamento di un "blocco", costituito da una password o da un'altra
procedura di identificazione del titolare;
�
della chiave non deve restare alcuna traccia all'interno del sistema di
validazione usato per la firma.
�� Il citato articolo 1 delle Regole tecniche
indica la conservazione protetta della chiave privata e la procedura di firma
come requisiti minimi del dispositivo. In realtà esso contiene anche altri
elementi essenziali, elencati dall'articolo 26 (personalizzazione del dispositivo di firma):
�
i dati identificativi del titolare presso il certificatore;
�
il certificato rilasciato al titolare (che deve essere allegato alla firma,
come prescrive l'articolo 9, comma 2 delle Regole tecniche);
�
i certificati relativi alle chiavi di certificazione del certificatore.
�� Il dispositivo contiene di solito il software
per la generazione della coppia di chiavi, che deve avvenire all'interno del
dispositivo stesso nel caso che venga compiuta direttamente dal titolare (articolo 6, comma 3). Se invece la generazione è compiuta da un altro soggetto (in
linea di principio, il certificatore), essa può farsi anche al di fuori del
dispositivo, ma in particolari condizioni di sicurezza, tassativamente indicate
dall'articolo 7.
�� In pratica ci sono due possibili schemi di
generazione della coppia di chiavi:
�
il titolare si procura il dispositivo di firma, genera le chiavi e ne invia
una (la chiave pubblica) al certificatore;
�
il certificatore genera le chiavi e consegna al titolare il dispositivo
di firma contenente la chiave privata.
�� Il senso di tutte queste disposizioni è chiaro:
la chiave privata deve essere protetta contro qualsiasi rischio di presa di
conoscenza da parte di terzi, compreso lo stesso certificatore, sul cui sistema
non deve restare la minima traccia della chiave stessa, nel caso in cui egli
provveda alla generazione della coppia.
� Il motivo che ha spinto il legislatore italiano
a rendere obbligatorio l'uso del dispositivo di firma è chiaro: con la chiave
privata del titolare stabilmente custodita all'interno di un qualsiasi PC,
è abbastanza facile apporre firme apocrife, difficili da identificare come
tali (questo rischio è particolarmente diffuso negli uffici pubblici).
� Se il titolare può portare con sé la chiave,
il livello di sicurezza del sistema è molto più alto e sussiste inoltre un
vantaggio pratico: con la chiave privata registrata su un dispositivo portatile,
il titolare può sottoscrivere documenti dovunque vada
[7]
.
�� L'attivazione della procedura
di firma non può prescindere dall'identificazione del titolare e dall'accertamento
della sua volontà di sottoscrivere il documento.
La Direttiva UE
�
�� Dal 19 luglio 2001 il panorama italiano della
firma digitale è, di fatto, condizionato dalla Direttiva 1999/93/CE del Parlamento
europeo e del Consiglio del 13 dicembre 1999 "relativa ad un quadro comunitario
per le firme elettroniche".
��� La direttiva prende in esame i temi
fondamentali:
�
garanzie per l�accesso al mercato comunitario non discriminato dalle legislazioni
locali,
�
valore legale delle firme elettroniche,
�
responsabilità dei fornitori di certificati, tutela dei dati personali.
�� La Commissione ha dato mandato all�industria
e ai body di standardizzazione europea, nel quadro di riferimento di
ICTSB (Information and Communications Technologies Standard Board),
di analizzare le necessità di standard operativi che potessero ben supportare
il quadro legislativo delineato dalla direttiva, al fine di favorire lo sviluppo
consistente e coerente di prodotti e servizi in materia di firme elettroniche.
�� A tale mandato ICTSB ha risposto lanciando
nel gennaio 1999 la EESSI: European Electronic Segnature Stanardization
Iniziative. In questa iniziativa è confluito il lavoro di un team di esperti
appartenenti all�industria e ai body di standardizzazione europei,
producendo, nel luglio 1999, il Final Report of the EESSI Export Team.
Si tratta di un documento che analizza gli aspetti destinati a beneficiare
dall�esistenza di standard di riferimento nell�area della firma elettronica:
a) classificazione delle firme, b) requisiti per i certificatori, c) marcatura
temporale, d) dispositivi di firma, e) processi e strumenti per la generazione
e per la verifica delle firme, f) formati e protocolli, g) valutazioni di
conformità.
�� Molti concordano sul fatto che gli standard
e le regole tecniche non dovrebbero essere un�imposizione governativa; nel
contempo la totale assenza di punti di riferimento,� non può che rallentare il decollo di tecnologie
e strumenti che hanno ragione di esistere solo se sussistono possibilità di
comunicazione ed interoperabilità. La co-regulation è un processo che
permette a tutte le parti coinvolte in un certo mercato di cooperare alla
delineazione degli standard riferimento cui il mercato stesso ha bisogno di
adeguarsi.
�� L�attività nel quadro di EESSI è poi proseguita,
durante tutto l�anno 2000, in diversi gruppi di lavoro afferenti a CEN/ISSS
(Information Society Standardisation System of European Committee for Stanardisation)
ed ETSI (European Telecommunication Standard Institute), due enti costituenti
di ICTSB.
�ETSI ha prodotto standard che coprono:
�
policy requirements per le autorità di certificazione
che emettono certificati qualificati
�
profili per i certificati qualificati
�
profili di marcatura temporale
�
formati e policy per le firme elettroniche
CEN/ISSS ha prodotto diversi
CWA (CEN Workshop Agreement, una forma preliminare allo stato di standard
effettivo, soggetto ad ulteriore discussione) che coprono:
�
requisiti di sicurezza per Trustworthy System che gestiscono certificati
di firma
�
requisiti di sicurezza per Secure Signature Creation Devices (dispositivi
di firma sicura)
�
ambiente e procedure per la creazione della firma
�
ambiente e procedure per la verifica della firma
�
guide alle valutazioni di conformità
�� Il materiale prodotto è dunque molto ricco
e costituisce indubbiamente un quadro di riferimento per i produttori di strumenti
ed i fornitori di servizi che operano ad ogni livello delle infrastrutture
connesse alla firma digitale.
�� Diversi stati membri dell'Unione,
che finora sono "ritardatari" non avendo ancora introdotto alcuna
norma nazionale in materia di firme elettroniche, ora si trovano avvantaggiati,
poiché limitandosi ad un recepimento integrale della direttiva, evitano le
difficoltà di adeguamento di norme in conflitto con la direttiva stessa (Italia
e Germania).
�� Per gli operatori italiani si tratta di seguire
il processo di armonizzazione della normativa italiana. Nel frattempo gli
operatori più sensibili al prospettato allargamento del mercato sino ai confini
dell'Unione europea (ed oltre) stanno già strutturando i propri prodotti e
servizi in base a questi standard di matrice comunitaria.
�� La Direttiva
del Parlamento e del Consiglio Europeo, attribuendo valore giuridico alla
firma elettronica, ha stimolato gli Stati membri dell�Unione ad accelerare
i tempi per l�introduzione dell�informatica e della telematica nel settore
pubblico ed in quello privato. I propositi della direttiva sono indirizzati:
all�eliminazione degli ostacoli per il riconoscimento giuridico delle firme
elettroniche e la libera circolazione dei servizi di certificazione.
�� Le norme europee sono "emanande"
e una loro modifica comporterebbe differenti valutazioni. E� quindi opportuno
effettuare un esame comparativo con le disposizioni dal legislatore italiano
nel d.P.R. 513/1997 (e nel collegato d.P.C.M 8 febbraio 1999). Il primo dato
che si riscontra è che: mentre la disciplina italiana ha per oggetto il documento
informatico (i criteri e modalità per la formazione, l�archiviazione e la
trasmissione di documenti con strumenti informatici e telematici), quella
direttiva è dedicata esclusivamente alla firma elettronica.
�� "Firma elettronica" è un insieme
di "dati in forma elettronica allegati, oppure connessi tramite associazione
logica ad altri dati elettronici ed utilizzata come metodo di autenticazione"
(art. 2 n. 1, dir.). La firma digitale è una particolare firma elettronica
che si fonda su sistemi digitali. L�intento del legislatore comunitario è
di non limitare alla tecnologia basata sulla crittografia asimmetrica (scelta
dal legislatore italiano), la possibilità degli Stati membri di adottare strumenti
diversi (forse per l�eterogeneo stato della tecnica). L�art. 1 dir. definisce
il proprio campo di applicazione alle firme elettroniche ed a taluni servizi
di certificazione, escludendo il riconoscimento giuridico dei contratti che
richiedono l�apposizione di una firma. La necessità di una firma estremamente
"sicura" ha indotto il legislatore ad introdurre la nozione di "firma
elettronica avanzata" (art. 2, n. 2, dir.), ossia una firma elettronica
connessa in maniera unica al firmatario, idonea ad identificarlo, creata su
mezzi sotto il controllo esclusivo del firmatario e tali da permettere l�identificazione
di ogni successiva modifica dei dati. Una firma elettronica così strutturata
ha caratteri analoghi al sistema di firma digitale fondato sulla crittografia
asimmetrica previsto dalla normativa italiana e non sembra difficile ammettere
che la disciplina italiana della firma digitale sia conforme e rientri nella
definizione di firma elettronica avanzata.
�� Per l�Unione, "gli Stati membri non subordinano
ad autorizzazione preventiva la prestazione di servizi di certificazione";
è tuttavia consentita la conservazione o l�introduzione di sistemi di "accreditamento
facoltativi" per servizi di certificazione di livello più elevato, i
quali vengano svolti da soggetti con i requisiti previsti dall�allegato III
della direttiva e che possono fornire "certificati qualificati".
�� La disciplina
europea, infatti, distingue due tipi di certificato:
�
certificato, è un attestato elettronico
che colleghi i dati di verifica della firma ad una persona e conferma l�identità
di tale persona (art. 2 n. 9 dir.);
�
�certificato qualificato, è un attestato
elettronico con i requisiti previsti dall�allegato I e fornito da un prestatore
di servizi di certificazione che soddisfa i requisiti dell�allegato II (art.
2 n. 10 dir.).
�� Il legislatore italiano sembra aver scelto
una strada diversa prevista dall�art. 8 d.P.R. 513. Il terzo comma afferma
che "le attività di certificazione sono effettuate da certificatori inclusi,
sulla base di una dichiarazione anteriore all�inizio dell�attività, in apposito
elenco pubblico, consultabile in via telematica, predisposto tenuto e aggiornato
a cura dell�Autorità per l�informatica nella pubblica amministrazione".
Questo procedimento è l�unico descritto dal Regolamento e permette il pieno
riconoscimento giuridico alla documentazione informatica con firma digitale.
La combinazione degli articoli del d.P.R. 513 e del d.P.C.M collegato, che
ne stabiliscono i requisiti, permette di considerare il certificatore italiano
quale prestatore di servizi di certificazione che rilascia un certificato
qualificato.
�� In sostanza, la disciplina del nostro Paese
prevede solo una firma elettronica basata su un sistema crittografico a chiave
pubblica e la possibilità di esercitare l�attività di certificazione al di
fuori del sistema di accreditamento. Allo stesso modo la direttiva comunitaria
è carente a causa della mancata previsione dei requisiti di un certificato
non qualificato o di un soggetto che voglia, senza essere accreditato presso
Autorità nazionali, svolgere il ruolo di prestatore di servizi di certificazione.
�� Di particolare interesse è l�art. 5 della direttiva,
in tema di effetti giuridici delle firme elettroniche, in base al quale gli
Stati membri provvedono a che le firme elettroniche avanzate basate su un
certificato qualificato e creato mediante un dispositivo per la creazione
di una firma sicura posseggano i requisiti legali di una firma in relazione
ai dati in forma elettronica così come una firma autografa li possiede per
quelli cartacei e siano ammesse come prova in giudizio.
�� Il secondo comma prevede che gli Stati membri
provvedano affinché una firma elettronica non sia considerata legalmente inefficace
ed inammissibile come prova in giudizio unicamente a causa della sua forma
elettronica, o di non essere basata su un certificato qualificato, o di un
certificato rilasciato da un prestatore qualificato o di non essere creata
da un dispositivo per la creazione di una firma sicura. Quanto affermato chiarisce
che la firma elettronica ha un riconoscimento giuridico da parte dell�Unione.
Tuttavia mentre la firma elettronica avanzata va equiparata alla sottoscrizione
autografa ai fini sia di forma sia di prova, la firma elettronica (non specificata)
deve, in ogni caso, possedere una rilevanza giuridica che avrà meno "forza
legale" rispetto alla precedente.
�� Il d.P.R 513, crea invece un�equivalenza fra
la firma digitale e la sottoscrizione autografa (art. 10, comma 2). Non sembra
possibile attribuire, in base alle norme italiane, un riconoscimento giuridico
a firme apposte od associate con strumenti differenti da quelli presenti nel
Regolamento governativo. Inoltre la figura del certificatore ha dei caratteri
estremamente dettagliati che mal si conciliano con il libero esercizio di
questa delicata funzione di autenticazione prevista dalla direttiva europea.
Mentre quest�ultima consente lo svolgimento dell�attività certificativa tanto
a persone giuridiche quanto a persone fisiche (art. 2, n. 11 dir., prestatore
di servizi di certificazione è "un�entità o una persona fisica o una
persona giuridica che rilascia certificati o fornisce altri servizi connessi
alle firme elettroniche"), il decreto italiano ammette esclusivamente
a tale qualifica soggetti pubblici o privati con forma di società per azioni
e capitale sociale non inferiore a quello necessario ai fini dell�autorizzazione
dell�attività bancaria (art. 8, comma 3, (a ). La dottrina aveva sollevato
perplessità in merito al rigore dei requisiti perché rendono inevitabile l�esclusione
di soggetti che potrebbero svolgere efficacemente l�attività di certificazione
proprio per il loro ruolo e le loro funzioni tipiche, ad esempio i fornitori
di accesso ad Internet.
�� La materia oggetto di studio è una novità per
molti degli ordinamenti degli Stati membri dell�Unione e di conseguenza per
l�attività legislativa del Parlamento e del Consiglio Europeo, il cui obiettivo
non è armonizzare le discipline statuali bensì dettare norme comuni.
In
sintesi
In
senso tecnico la firma digitale è il risultato
di una particolare procedura di applicazione della chiave segreta di un cifrario
asimmetrico al documento da firmare. Il suo valore è legato sostanzialmente
alla serietà del certificatore che pubblica l'altra chiave della coppia -
detta appunto "chiave pubblica" - testimoniando l'identità del soggetto
al quale essa è attribuita.
�� La firma digitale in senso tecnico cioè generata
senza il rispetto delle procedure prescritte dalla normativa, ha il valore
che di volta in volta le viene riconosciuto da chi riceve il documento
[8]
.
In
senso legale, oggi in Italia, la firma
digitale è quella che rispetta la normativa in vigore, cioè il DPR 513/97
e le regole tecniche stabilite con� il
DPCM 8 febbraio 1999. Questo tipo di firma, serve a rendere un documento informatico
"valido e rilevante a tutti gli effetti di legge". La sua validità
deriva dalla pubblicazione del certificato della corrispondente chiave pubblica,
da parte di un certificatore iscritto in un apposito elenco tenuto dall'Autorità
per l'informatica nella pubblica amministrazione. Dal punto di vista sostanziale
è una firma digitale esattamente come quella descritta prima, ma è generata
e certificata secondo procedure molto severe che offrono un livello di sicurezza
elevato contro possibili contraffazioni. Solo questa firma conferisce validità
legale al documento informatico, nel senso che sostituisce tutto firme, timbri,
filigrane e quant'altro è stato inventato nei secoli per testimoniare l'autenticità
di un documento. Inoltre offre una serie di indicazioni certe sull'autore
del medesimo, come si legge nell�articolo 10 delle regole tecniche.��
�� Il motivo per cui le transazioni che si svolgono
in rete, in tutto il mondo, hanno piena soddisfazioni di venditori, acquirenti
e banche, pur non utilizzando la firma ditale "legale" (cioè non
sono basate su documenti informatici validi e rilevanti a tutti gli effetti
di legge) è da rivedersi nel fatto che il commercio elettronico si svolge
attraverso l'uso di "canali sicuri". Un "canale sicuro"
di fatto funziona con gli stessi principi di crittografia che sono alla base
della firma digitale ma ha il solo scopo di evitare che qualcuno possa intercettare
le informazioni che passano sulla rete (in particolare il numero della carta
di credito) o di alterare il contenuto dell'ordine.
�� Di fatto: a) non ha importanza l'identificazione
certa del compratore; b) al venditore interessa solo incassare il corrispettivo
e questo gli è garantito dalla banca alla quale si appoggia (o, più esattamente,
dall'emittente della carta di credito); c) il compratore ha interesse che
nessuno possa intercettare il numero della sua carta e questo è garantito
appunto dal "canale sicuro". Solo all'emittente della carta interessa
l'identità di chi la usa, e questa è testimoniata dalla banca attraverso la
quale la carta è stata rilasciata.
�� Questo è il motivo per il quale nel commercio
elettronico il numero delle transazioni fraudolente, fino a questo momento,
non è molto rilevante.
�Firma digitale (legale) e commercio
elettronico potranno incontrarsi per transazioni di valore elevato, come l'acquisto
di un'automobile o di una casa.
�� Naturalmente un acquirente "certificato"
è un cliente più sicuro e più disponibile per il commercio telematico, ed
è comprensibile che qualcuno cerchi di allargare la base dei potenziali clienti
anche con l'offerta della certificazione della firma digitale.
�� Un altro motivo che ostacola la diffusione
della firma digitale con valore legale consiste nella complessità delle procedure
e negli alti costi. Con le procedure "libere", molto più semplici
da realizzare, si ottiene l'effetto del "canale sicuro", che è il
requisito essenziale delle transazioni telematiche.
APPENDICE
LA NORMATIVA IN VIGORE
Ministero delle attività produttive - Circolare n. 3529/C del 30.10.2001 - Attuazione dell�articolo 31, comma 2, della legge 24 novembre 2000, n. 340 (Deposito degli atti con firma digitale presso le Camere di commercio)
Circolare del 21 giugno 2001,
n. AIPA/CR/31 - Art. 7, comma 6, del decreto del Presidente del Consiglio
dei ministri del 31 ottobre 2000, recante "Regole tecniche per il protocollo
informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998,
n. 428" - requisiti minimi di sicurezza dei sistemi operativi disponibili
commercialmente
Circolare 18 maggio 2001, n.
AIPA/CR/29 - Art. 14, comma 2, del decreto del Presidente del Consiglio
dei ministri dell'8 febbraio 1999: codici identificativi idonei per la verifica
del valore della chiave pubblica della coppia di chiavi del Presidente dell'Autorità
per l'informatica nella pubblica amministrazione
Circolare 7 maggio 2001,
n. AIPA/CR/28 - Articolo 18, comma 2, del decreto del Presidente del Consiglio
dei ministri 31 ottobre 2000 - Standard, modalità di trasmissione, formato
e definizioni dei tipi di informazioni minime ed accessorie comunemente scambiate
tra le pubbliche amministrazioni e associate ai documenti protocollati.
Decreto del Presidente del
Consiglio dei ministri 20 aprile 2001 - Differimento del termine che autorizza
l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole
tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8
febbraio 1999
Circolare del 16 febbraio
2001, n. AIPA/CR/27 - Art. 17 del decreto del Presidente della Repubblica
10 novembre 1997, n. 513: utilizzo della firma digitale nelle Pubbliche Amministrazioni
Decreto de presidente della Repubblica 28 dicembre
2000 n. 445 - Testo unico delle disposizioni legislative
e regolamentari in materia di documentazione amministrativa
Decreto del Presidente del
Consiglio dei Ministri 7 dicembre 2000 - Proroga del termine che autorizza
l'autocertificazione della rispondenza ai requisiti di sicurezza nelle regole
tecniche di cui al decreto del Presidente del Consiglio dei Ministri dell'8
febbraio 1999
Deliberazione AIPA n. 51/2000
del 23 novembre 2000 - Regole tecniche in materia di formazione e conservazione
di documenti informatici delle pubbliche amministrazioni ai sensi dell�art.
18, comma 3, del Decreto del Presidente della Repubblica 10 novembre 1997,
n. 513
Decreto del Presidente del Consiglio
dei Ministri 31 ottobre 2000 - Regole tecniche per il protocollo informatico
di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428
Circolare 19 giugno 2000 n. AIPA/CR/24
- Linee guida per l'interoperabilità dei certificatori
Direttiva del Presidente del Consiglio
dei Ministri 28 ottobre 1999 - Gestione informatica dei flussi documentali
nelle pubbliche amministrazioni
Decreto del Presidente del Consiglio
dei Ministri 22 ottobre 1999, n. 437 - Regolamento recante caratteristiche
e modalità per il rilascio della carta di identità elettronica e del documento
di identità elettronico, a norma dell'articolo 2, comma 10, della legge 15
maggio 1997, n. 127, come modificato dall'articolo 2, comma 4, della legge
16 giugno 1998, n. 191
Circolare 3 giugno 1999 dell'Autorità
per l'informatica nella pubblica amministrazione - AIPA/CR/22 - Modalità
per presentare domanda di iscrizione nell�elenco pubblico dei certificatori
Decreto del Presidente della Repubblica
8 marzo 1999, n. 70 - Regolamento recante disciplina del telelavoro nelle
pubbliche amministrazioni, a norma dell'articolo 4, comma 3, delle legge 16
giugno 1998, n. 191
Decreto del Presidente del Consiglio
dei Ministri 8 febbraio 1999 - Regole tecniche per la formazione, la trasmissione,
la conservazione, la duplicazione, la riproduzione e la validazione, anche
temporale, dei documenti informatici ai sensi dell�articolo 3, comma 1,
del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513
Decreto del Presidente della
Repubblica 20 ottobre 1998, n. 428 - Regolamento recante norme per la
gestione del protocollo informatico da parte delle amministrazioni pubbliche
Deliberazione 24/98 del 30 luglio
1998 dell'Autorità per l'informatica nella pubblica amministrazione -
Regole tecniche per l'uso di supporti ottici
Decreto del Ministero del tesoro,
del bilancio e della programmazione economica 18 marzo 1998, n. 161 -
Regolamento recante norme per l'individuazione dei requisiti di onorabilità
e professionalità degli esponenti aziendali delle banche e delle cause di
sospensione
Decreto del Presidente della
Repubblica 23 dicembre 1997, n. 522 - Regolamento recante norme per l'organizzazione
ed il funzionamento del Centro tecnico per l'assistenza ai soggetti che utilizzano
la Rete unitaria della pubblica amministrazione, a norma dell'articolo 17,
comma 19, della Legge 15 maggio 1997, n. 127
Decreto del Presidente della
Repubblica 10 novembre 1997, n. 513 - Regolamento contenente i criteri
e le modalità di applicazione dell'articolo 15, comma 2, della legge 15 marzo
1997, n. 59 in materia di formazione, archiviazione e trasmissione di documenti
con strumenti informatici e telematici
Legge 15 marzo 1997 n.
59, art. 15, comma 2
Deliberazione 15/95 del 9 novembre
1995 dell'Autorità per l'informatica nella pubblica amministrazione -
Regole tecniche per il mandato informatico
Direttiva del Presidente del Consiglio
dei Ministri 5 settembre 1995 - Rete unitaria della pubblica amministrazione
[1] Notevoli furono le difficoltà dei giuristi nello spiegare agli informatici che non si poteva parlare di "furto di software" nel caso di copie abusive di programmi, per il fatto che la vittima dell'atto illecito non veniva spossessata dell'oggetto, proprio perché il software non è un "oggetto", una res.
[2] Il risultato di stampa segue quindi le sorti di qualsiasi altro documento cartaceo.
[3] �Prendendo un dischetto sul quale sia registrato un
documento informatico e inserendolo nel computer, si visualizza il documento
sullo schermo e attiva il programma che, collegandosi automaticamente al sito
del certificatore, verifica la firma digitale attraverso la chiave pubblica del
firmatario. Queste operazioni permettono di constatare che il dischetto
contiene realmente un documento informatico "valido e rilevante a tutti
gli effetti di legge". Distruggendo il dischetto, per il codice penale si
è distrutto un documento informatico, perché l'articolo 491-bis afferma
che per documento informatico si intende qualunque supporto informatico
contenente dati o informazioni aventi efficacia probatoria. Inserendo il
duplicato nel computer, si può constatare che si tratta dello stesso documento
di prima, valido e rilevante a tutti gli effetti di legge, come risulta dalla
verifica della firma digitale.
[4] A stretto rigore autenticazione della firma e marca temporale non sono la stessa cosa, ed è impossibile considerarle in qualche modo equivalenti.
[5] Il certificato X.509 è un
piccolo data-base, il cui contenuto è firmato dal certificatore. In sostanza
indica la sequenza e le dimensioni dei campi del certificato, sicché tutti i
certificati standard presentano la stessa struttura. Possono contenere
"estensioni" cioè informazioni non obbligatorie nello standard,
utilizzate ad es. per l'indicazione di eventuali poteri di rappresentanza (articolo 11, comma 3); limitazioni di spesa o
altro.
[6] Procedure che dovranno essere messe in atto dagli
stessi certificatori, evidentemente attraverso strutture delegate, dal momento
che la normativa non prevede le entità di registrazione.
�
[7] Va detto però che, almeno nelle soluzioni oggi
disponibili, non è sufficiente inserire il dispositivo di firma nel lettore
incorporato o collegato a un PC per attivare tutte le operazioni. Nella
macchina deve essere presente anche il software necessario per il collegamento
"protetto" con il certificatore, che poi è il "sistema di
comunicazioni sicuro" previsto dall'articolo 25.
[8]
A scopo dimostrativo, al Forum
della pubblica amministrazione, chiunque si presentasse allo stand di Telecom
poteva ottenere un certificato dichiarando qualsiasi nome fittizio, inventando
sul momento un codice fiscale.�
Bertolini�
Martina