Differenza tra firma elettronica, elettronica qualificata e digitale

L’identità digitale

Il numero dei servizi offerti in rete in modo automatizzato esiste da numerosi anni ed è sempre più sviluppato. Di questi, qualcuno può essere anonimo, altri necessitano di una registrazione direttamente on-line inserendo solamente un username ed una password da utilizzare, altri ancora invece richiedono esplicitamente informazioni personali come nome, cognome, indirizzo ecc.
Un utente che intende registrarsi ad una chat o ad un forum di discussione, può di norma decidere se inviare o meno i propri dati personali. Quando invece i servizi richiesti utilizzano dati sensibili, ovvero dove ci sono dei pagamenti, le informazioni personali, oltre ad essere obbligatorie, dovrebbero anche essere veritiere.
L’importanza di avere un identità elettronica in rete acquisisce quindi una notevole importanza, sia dalla parte dell’utente in questo caso il consumatore, sia dalla parte del fornitore dei servizi, che può così avere una garanzia che il suo cliente sia veramente chi dice di essere. La rappresentazione dell’identità digitale deve essere tanto più completa, quanto è complessa la transazione in cui è coinvolta. Infatti il grado di affidabilità e le quantità di informazioni richiesti possono variare molto a seconda del tipo di transazione.
L’identità digitale è importante anche all’interno di una singola organizzazione. Queste talvolta utilizzano personale “mobile”, quindi una gestione corretta delle identità digitali diventa critica anche per gli affari e per la protezione del patrimonio aziendale. Le identità digitali vanno gestite in modo opportuno perché sono una parte integrante del business.
L’identità digitale però non è solo un username e una password. E’ anche un sistema complesso di gestione di identità, autenticazioni, autorizzazioni, profili e informazioni biometriche. Ad oggi è un’architettura a parte nel mondo sempre più complesso dell’ICT.

Normalmente per accedere a una risorsa un soggetto deve usare delle credenziali. Tramite il concetto di identità digitale, le credenziali vengono presentate a un’autorità di sicurezza o a un Policy Enforcement Point che le valida o le rigetta. Nella maggior parte dei casi, queste si presentono sotto forma di username e password, certificati digitali di tipo X.509, una smart card con relativo PIN, o informazioni biometriche. Le metodologie che stanno prendendo maggiormente campo sono quelle dei certificati digitali e delle smart card.
Inoltre utilizzando uno di questi concetti, l’autenticazione è più sicura e più flessibile. Quando si hanno queste garanzie di appartenenza delle proprie credenziali proposte, si parla quindi di autenticazione “forte”.
L’identità digitale in Italia è regolamentata da particolari norme giuridiche. Queste sono comprese nel “Codice dell’Amministrazione Digitale”, un decreto legislativo emanato nel 7 marzo 2005, n°82, con lo scopo di fissare regole per l’uso dell’informazione digitale per i singoli cittadini, le pubbliche amministrazioni e le aziende. Questo è stato rivisitato e corretto con il decreto legislativo del 4 aprile 2006, n°159, “Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n.82 recante codice dell’amministrazione digitale”.
Questi due decreti, hanno anche lo scopo di regolamentare il concetto di firma elettronica digitale, operazione fondamentale per assicurare autenticità ad un documento in formato elettronico.

Tipi di firme elettroniche

Firma elettronica e firma digitale vengono spesso utilizzate nel linguaggio comune come sinonimi, ma vi è una differenza sostanziale nell’usare l’una o l’altra per la sottoscrizione di un documento informatico.
Il Codice dell’amministrazione digitale entrato in vigore nel gennaio 2006 (D.lgs 7 marzo 2005, n 82) ha individuato tre tipologie di firma elettronica:

1. firma elettronica: l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica: per esempio nome utente e password.
2. firma elettronica qualificata: una firma elettronica basata su una procedura che permette di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario detenga il controllo esclusivo, e la cui titolarità sia certificata da un soggetto terzo.
3. firma digitale: un particolare tipo di firma elettronica qualificata, basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.