La firma digitale

La firma digitale non è, come taluni credono, quell'insieme d'informazioni personali che i programmi di posta elettronica consentono di aggiungere in calce ad ogni messaggio che inviamo, e neanche una firma scannerizzata.
Secondo il D.P.R. 455/2000 ( le cui modalità tecniche sono contenute nel D.P.C.M 8 febbraio 1999), la firma digitale è il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Alla base di una firma digitale ci sono precisi algoritmi matematici che ne assicurano precisione e affidabilità (per esempio RSA, SSL, etc): si tratta di quella parte della matematica che si occupa di crittografia basata su chiavi asimmetriche.
Questo particolare modo di codificare un testo o qualsiasi altro oggetto informatico, si fonda su un’idea piuttosto semplice: permettere a due soggetti di trasmettersi informazioni riservate, senza la necessità di doversi scambiare prima il codice che occorre per cifrare e decifrare i messaggi.
La soluzione ottimale è data da una coppia di chiavi asimmetriche, di cui una privata e una pubblica.
Gli algoritmi crittografici evitano che chiunque entri in possesso di una sola delle chiavi possa risalire all’altra, e fanno in modo che il possessore della chiave privata possa codificare un’informazione in modo tale che solo il possessore della corrispondente chiave pubblica possa decodificare il messaggio, e viceversa.
Cosa avviene in pratica?
Ipotizziamo che la società X voglia stipulare un contratto di fornitura con la società Y. La società Y avrà bisogno di verificare una serie di requisiti del documento per avere la certezza che:

  • il contratto non sia stato modificato dopo l’invio da parte della società X;
  • il contratto non possa essere ripudiato dalla società X;
  • il contratto sia stato effettivamente firmato dalla società X.

Con la firma digitale, se il documento dovesse essere modificato dalla società X o da un’altra persona dopo l’apposizione della firma, in una qualsiasi delle sue parti, la firma verrebbe rifiutata, e occorrerebbe apporre una nuova firma per ripristinare la validità del documento.
Questo accade perché nella firma digitale è contenuta "un’immagine" di quel determinato documento, chiamata hash: se qualcosa cambia nel documento, l’immagine hash non corrisponde più al documento originale e la firma viene rifiutata.
La società X non potrà ripudiare il proprio documento digitale, perché nessun altro possiede la chiave privata necessaria alla generazione della propria firma.
La non ripudiabilità è data dalle formule matematiche che assicurano l’impossibilità di imitare o contraffare una firma digitale.
L’identità della società X firmataria è assicurata da un certificato.
Il certificato garantisce la corrispondenza biunivoca tra un determinato paio di chiavi asimmetriche e una persona fisica o giuridica.
Il certificato digitale viene rilasciato da una terza parte detta Certificatore, che è un soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest’ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati.

Apposizione della firma digitale e verifica

La società X possiede dunque due chiavi asimmetriche, una privata e una pubblica: con la prima può apporre una firma a un documento, che potrà essere letta solo con la corrispondente chiave pubblica.
La chiave privata dovrà essere custodita con diligenza, mentre quella pubblica sarà invece messa a disposizione di chiunque attraverso elenchi consultabili via Internet.
A questo punto, la società X scriverà il testo del contratto di fornitura che intende inviare alla società Y e lo firmerà con la propria chiave privata.
Per dare la possibilità alla società Y di fidarsi della firma apposta al documento, la società X allegherà al messaggio anche un certificato digitale che conterrà i dati del Certificatore, il nome della società X (titolare del certificato) e la chiave pubblica.
Una volta che il messaggio arriverà alla società Y, questa dovrà procurarsi la chiave pubblica della società X per verificare l’autenticità della firma.
Se la chiave pubblica, che la società Y utilizzerà per leggere la firma della società X, è identica a quella contenuta nel Certificato Digitale, la firma digitale sarà certamente autentica.
Questo procedimento complicato, si attua, nella realtà, semplicemente attraverso due operazioni di apposizione e verifica della firma digitale, che le società X e Y compiono automaticamente con l’ausilio dei browser Web, già pronti per utilizzare questo strumento.

Validità legale del certificato digitale

La legge italiana con il D.P.R. 455/2000 (che ha abrogato il D.P.R. 513/97) prevede la validità legale per quei certificati rilasciati da soggetti riconosciuti dallo Stato (AIPA: Autority per l’Informatica della Pubblica Amministrazione) e in possesso di determinati requisiti.
Pertanto, si potrebbe pensare che i certificati rilasciati da altri soggetti diversi da questi enti non avranno alcun valore, né legale né tecnico.
Al contrario, la faccenda è più complicata.
Per l’Unione Europea i certificati che rispettano standard internazionali e assicurano il perfetto funzionamento delle firme digitali, anche qualora non siano rilasciati da Certification Authority riconosciute dai singoli Stati, hanno un valore intrinseco tecnologico e legale.
Nel mondo vi sono certificati come quello di "Verisign" che è leader del mercato nord americano e certificati GlobalSign che sono validi in tutta l’Europa, e altri ancora.
Questi certificati sono riconosciuti da società internazionali come Netscape e Microsoft e acquisiscono, di fatto, validità globale anche se, per la legge italiana, rimangono privi di valore legale.
I certificati assicurano tutti, in linea di principio, la stessa funzionalità e affidabilità, purché contengano determinate informazioni e siano strutturati, in una forma prestabilita.
La diversa destinazione d’uso potrà richiedere alcuni controlli più stringenti sulla verifica e l’identità del titolare, ma certamente non sulla creazione del certificato stesso.
Sicuramente in Italia la situazione sarà quella indicata dall’art. 10 del D.P.R 455/2000, che stabilisce, in sostanza, che i documenti informatici sottoscritti con la firma digitale soddisfano i requisiti legali della forma scritta ed hanno validità probatoria ai sensi dell’art. 2712 del codice civile, ed inoltre che hanno efficacia di scrittura privata ai sensi dell’art. 2702 del codice civile e soddisfano l’obbligo previsto dagli articoli 2214 e seguenti del codice civile.