Che cos’è e perchè utilizzare la Firma digitale

Tipi di firme elettroniche

In informatica, firma elettronica e firma digitale vengono spesso utilizzate nel linguaggio comune come sinonimi, ma vi è una differenza sostanziale nell’usare l’una o l’altra per la sottoscrizione di un documento informatico.
Il Codice dell’amministrazione digitale entrato in vigore nel gennaio 2006 (D.lgs 7 marzo 2005, n 82) ha individuato tre tipologie di firma elettronica:

1. firma elettronica: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica: per esempio nome utente e password.
2. firma elettronica qualificata: una firma elettronica basata su una procedura che permette di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario detenga il controllo esclusivo, e la cui titolarità sia certificata da un soggetto terzo.
3. firma digitale: un particolare tipo di firma elettronica qualificata, basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.

Firma digitale

Talvolta per essere sicuri che nessuno intercetti i dati e le informazioni che due soggetti si stanno scambiando, è utile avere un mezzo per poter verificare che nessuno li abbia modificati durante la trasmissione. Il documento che è stato inviato dall’identità digitale dichiarata, deve poter essere verificato e giudicato autentico in modo veloce, sicuro e garantito.

L’autenticità nei documenti legali o finanziari in formato cartaceo è garantita dalla presenza della firma autografa autorizzata originale. Fotocopie a tali documenti non sono ritenute valide a fini legali e giuridici. È quindi necessario disporre di un metodo analogo di firma certificata, anche per i documenti elettronici. Nasce quindi l’idea di introdurre una firma digitale nei documenti elettronici che vengono scambiati con mezzi informatici. La firma digitale è il risultato di una sorta di validazione informatica che permette al sottoscrittore di provare l’ autenticità del documento informatico ed al destinatario di verificarne la provenienza e l’integrità.
Finora si è partito dal presupposto che solo un intruso esterno abbia l’intenzione di modificare il contenuto di un documento. In realtà ci sono svariati motivi per i quali sia il destinatario, che il mittente, possano avere interesse nel modificare delle parti del messaggio. Si prenda come esempio un agente di borsa che opera con compravendita on-line di azioni. Questi invia alla propria banca l’ordine di comprare un certo numero di azioni. Poco dopo le azioni crollano, e l’agente cercando di imbrogliare la banca, dichiara di non aver mai compiuto l’ordine. In questo caso il disonesto sarebbe l’agente di borsa, ovvero il mittente.

Continuando con l’esempio precedente, si ipotizzi invece il caso in cui le azioni invece che crollare, fossero salite vertiginosamente. La banca potrebbe affermare che l’agente di borsa avesse ordinato un numero molto inferiore di azioni rispetto a quello reale, e tenersi il resto del guadagno. In questo caso il disonesto sarebbe la banca, quindi il destinatario.
In formato cartaceo, per ovviare a questo tipo di frodi, solitamente si tiene questa tipologia di documenti in duplice copia, ognuno debitamente firmato da entrambi.
Invece nei documenti elettronici, la struttura e gli schemi della firma digitale assicurano ed implementano il principio del non ripudio: chi ha firmato il documento trasmesso non può negare di averlo inviato, ed il destinatario non può negare di averlo ricevuto. L’informazione quindi non può essere disconosciuta.
La garanzia che il documento informatico non possa essere stato modificato dopo la sua sottoscrizione, senza accorgersene, deriva dal fatto che una specifica procedura di verifica del contenuto del messaggio mostrerebbe subito le eventuali modifiche.

La firma digitale solitamente è inserita all’interno di una smart card o di un certificato digitale, che contiene informazioni del titolare, la sua chiave pubblica di firma, ed eventuali altri attributi. Perché queste informazioni siano qualificate, debbono essere validate da un ente certificatore, che ne controlla il rilascio e la pubblicazione su un apposito registro.
La certezza che solo il titolare della firma possa aver sottoscritto il documento, deriva dal fatto che è l’unico in possesso di essa e del dispositivo di firma associato, ed è anche l’unico a conoscere il PIN segreto per utilizzare il dispositivo stesso. Inoltre l’ente che ha certificato le informazioni ne garantisce la loro veridicità.
Esempi tipici dell’utilizzo della firma digitale possono essere tutti gli adempimenti da effettuare verso le amministrazioni: denunce, dichiarazioni di cambi di residenza, di domicilio, richieste di contributi, di esenzioni a pagamenti a causa del reddito o di altre condizioni particolari, ricorsi, ecc.
Fra privati, può trovare impiego nella sottoscrizione di contratti, verbali di riunioni, ordini di acquisto, risposte a bandi di gara, ecc. La firma digitale trova già da tempo applicazione nel protocollo informatico, nella procedura di archiviazione documentale, nel mandato informatico di pagamento, nei servizi camerali, nelle procedure telematiche d’acquisto, ecc.

La firma digitale sta avendo sempre più successo su scala mondiale e nella comunità europea in quanto la firma digitale è uno strumento molto potente e come tale deve essere utilizzato nei modi e nei casi appropriati. Infine, non è corretto il suo utilizzo solo come sistema di identificazione e autenticazione in rete, per il quale esistono strumenti quali la carta d’identità elettronica e le carte di accesso ai servizi che meglio svolgono questo compito.