ER Nozioni di informatica

Firma elettronica e firma digitale

Firma elettronica

Nell’ordinamento italiano la firma elettronica è definita come[1] “un insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica“: è quindi la forma più debole di firma in ambito informatico, in quanto non prevede di per sé meccanismi di autenticazione del firmatario o di integrità del dato firmato.

Differenza con la firma autografa[modifica | modifica wikitesto]

Un qualsiasi atto scritto di tipo tradizionale fa prova in giudizio fino al disconoscimento della firma. Per una firma autenticata, cioè apposta in presenza di un notaio, non è possibile il disconoscimento, ma solo la querela di falso.

Viceversa, nel caso delle firme elettroniche si deve distinguere tra “firma elettronica”, “firma elettronica qualificata” e “firma digitale” (cfr. art. 1 del Codice dell’Amministrazione digitale):

  1. Per firma elettronica la legge intende l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.
  2. La firma elettronica qualificata è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un certificato qualificato. È inoltre richiesto l’uso del dispositivo di firma sicuro, capace cioè di proteggere efficacemente la segretezza della chiave privata. Inoltre, la firma stessa deve essere in grado di rilevare qualsiasi alterazione del documento avvenuta dopo l’apposizione della firma stessa. Qualunque tecnologia che permetta tale identificazione univoca, rientra nel concetto di “firma elettronica qualificata”.
  3. La firma digitale è considerata dalla legge come una particolare specie di “firma elettronica qualificata”, basata sulla tecnologia della crittografia a chiavi asimmetriche

.————————————–

Per svolgere questa funzione risponde a tre requisiti fondamentali:

  • Autenticità: perché assicura l’identità della persona o impresa che firma
  • Integrità: garantisce che i documenti non sono stati modificati dopo essere stati firmati
  • Non ripudio: assicura che un documento firmato con FEQ non può essere ripudiato da chi lo ha firmato.

Bisogna precisare che, questi attributi, non possono essere associati a tutti i tipi di firma elettronica, ognuna con le sue caratteristiche e peculiarità.

 

La firma elettronica rappresenta la più semplice fattispecie di sottoscrizione informatica. E’ definita nel regolamento europeo 910/2014 (eIDAS) al numero 10 dell’articolo 3 che contiene tutte le definizioni.

Proprio perché è una definizione di principio e quindi non è la definizione di un preciso prodotto o servizio l’idoneità del documento informatico al soddisfacimento del requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. Un tipico esempio di firma elettronica è un messaggio di posta elettronica ordinaria o una sottoscrizione che non ha tutti i requisiti delle altre sottoscrizioni elettroniche di livello superiore.

La differenza tra firma elettronica e firma digitale

Attenzione: non sono sinonimi. La firma elettronica è un principio giuridico generale: dati connessi ad altri dati utilizzati per firmare, per esempio una mail tradizionale (considerata in giudizio firma elettronica), il bancomat e la firma per un pacco di un corriere (secondo il regolamento europeo 910/2014 Eidas “L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”). Un principio giuridico specifico è la firma elettronica qualificata.

La firma digitale, prevista solo in Italia (nel Cad), è un particolare tipo di firma elettronica qualificata (“un particolare tipo di Firma Elettronica Avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici“). E’ la realizzazione tecnologica basata su una coppia di chiavi crittografiche di tipo asimmetrico (una pubblica e l’altra privata, sotto il controllo esclusivo del sottoscrittore) della firma elettronica qualificata. Questa ha il più ampio spettro di utilizzo rispetto alle altre tipologie di sottoscrizioni informatiche. Può essere utilizzata in tutti gli scenari di sottoscrizione con il necessario valore probatorio. E’ disconoscibile solo provando di non aver firmato ovvero il sottoscrittore ha l’onere della prova.

La firma elettronica avanzata (FEA)

La definizione contenuta nel numero 11) dell’articolo 3 è identica a quella del Codice dell’amministrazione digitale (CAD) ma ci sono alcune differenze giuridiche e tecnico/organizzative. In particolare la fattispecie comunitaria rappresenta un principio base che insieme al certificato qualificato e al dispositivo per la creazione di una firma qualificata (tipicamente una smart card) contribuisce a definire la firma elettronica qualificata.

Nella normativa nazionale la FEA rappresenta una semplificazione della firma elettronica qualificata a fronte del soddisfacimento di una serie di requisiti stabiliti nel Titolo V del DPCM 22 febbraio 2013. Se questi requisiti sono soddisfatti la FEA può essere utilizzata con gli stessi effetti giuridici e efficacia probatoria della firma qualificata. Un diffuso esempio di FEA è costituito dalla firma grafometrica utilizzata su tablet in molti contesti tra i quali le banche e le assicurazioni

La firma elettronica qualificata (FEQ)

 Anche la FEQ è definita nell’eIDAS e in particolare nel numero 12) dell’articolo 3. Costituisce la più forte istanza di sottoscrizione informatica perché può essere utilizzata in ogni contesto in sostituzione della sottoscrizione autografa della quale è giuridicamente equivalente.

Con il Regolamento eIDAS dal 1 luglio 2016 è di valore europeo e interoperabile all’interno del mercato interno essendo le regole tecniche comuni a tutti gli Stati membri.

Per favorirne la diffusione e la semplicità o l’efficacia di utilizzo si sono sviluppate delle particolari modalità di apposizione della FEQ come la firma remota e la firma automatica. Queste fattispecie di sottoscrizioni utilizza nella pressoché totalità dei casi dei dispositivi denominati Hardware Security Module (HSM). Il DPCM 22 febbraio 2013 li definisce come (articolo 1, comma 1, lettera p ) “insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche”.

Vediamo adesso come una FEQ si specializza in firma remota.

La firma remota è definita nel DPCM 22 febbraio 2013 (articolo 1, comma 1, lettera q) come “particolare procedura di firma elettronica qualificata o firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”.

La firma remota è nata circa 10 anni fa per superare il problema dell’instabilità tecnologica nell’utilizzo tra PC, lettori di smart card e smart card. L’avvento dei microchip in formato SIM telefonica installati nei token USB ha mitigato questi problemi ma l’esigenza di abbattere il TCO nella gestione dei dispositivi di firma e la disponibilità di numerosi HSM conformi alle norme di sicurezza previste da eIDAS hanno consentito alla questa fattispecie di sottoscrizione di diffondermi in modo elevatissimo.

I dati forniti da AgID ci dicono che i certificati digitali rilasciati per la firma remota sono l’82% del totale inoltre nel 2017 sono state generate 1.876.379.223 firme digitali remote.

E’ utile sottolineare che la firma remota è una FEQ a tutti gli effetti e una volta apposta non è distinguibile da una qualunque altra FEQ apposta in altro modo. Questo fatto richiede meccanismi di controllo esclusivo per il titolare della sottoscrizione. L’apposizione di una FEQ in modalità remota che utilizzi solo un PIN è consentito esclusivamente a fronte di esplicita autorizzazione scritta di AgID a fronte di una richiesta del prestatore di servizi fiduciari qualificato che intende utilizzare la procedura di sicurezza semplificata.

Come fare la firma elettronica automatica

La firma automatica è definita nell’articolo 1, comma 1, lettera r del DPCM 22 febbraio 2013. Questa definizione sviluppa i principi stabiliti nei commi 2 e 3 dell’articolo 35 del CAD.

La firma apposta con procedura automatica diventa tecnicamente firma automatica definita come “particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo”.

Nella realtà la firma automatica non sempre è utilizzata con piena rispondenza ai suoi requisiti di legge ovvero al principio della consapevolezza della sottoscrizione da parte del titolare.

La firma automatica è nata per la sottoscrizione di documenti informatici che per loro natura non richiedono di essere presentati al titolare della firma, prima dell’apposizione della stessa chiaramente e senza ambiguità. Questo consente di firmare flussi documentali omogenei e in grande quantità. La procedura è utilizzata dal titolare previo consenso e viene avviata sotto il suo controllo esclusivo anche senza presidio puntuale e continuo.

Il titolare che non vede quello che sottoscrive e ne ha dato consenso è tutelato da quanto stabilito nel più volte citato DPCM nell’articolo 5, comma 2. Il certificato qualificato utilizzato per la procedura automatica contiene chiavi specializzate per tale procedura e estensione esplicita per referenziare tale utilizzo. Ogni dispositivo utilizzato per la procedura automatica richiede una specifica e diversa referenza.

In alcuni scenari tale procedura viene utilizzata per sottoscrivere flussi non omogenei di documenti ovvero il sottoscrittore non ha la percezione granulare di quello che sta sottoscrivendo.

In altre parole firma alla cieca con i conseguenti rischi professionali.

L’operazione non è di per sé illegale ma in alcuni casi lo diventa se la firma con procedura automatica snatura la funzione dichiarativa della sottoscrizione. Cioè l’assunzione della paternità del documento e in modo traslato l’espressione del consenso relativo al documento.

Il rischio è basso per fatture o atti di routine; elevato per referti clinici, contratti specifici o comunque documenti non identificabili a priori in un flusso omogeneo.

La firma automatica è comunque una FEQ ma distinguibile da una firma remota. Nel gergo è anche chiamata firma massiva perché viene utilizzata per sottoscrivere flussi copiosi di documenti ma la sua vera origine giuridica è nel fatto che non vedo quello che sottoscrivo.

Fare una firma verificata o certificata

La firma verificata è poco nota. Essa è applicabile quando il dispositivo di firma (generalmente un HSM) è pienamente sotto il controllo del prestatore di servizi fiduciari che emette certificati qualificati e genera la sottoscrizione.

La sua applicazione comporta che in applicazione della Determinazione Commissariale n. 63/2014 dell’AgID è possibile stabilire al momento della sottoscrizione che il certificato era in corso di validità. La determinazione stessa stabilisce come evidenziare questa circostanza nel medesimo certificato qualificato.

Come fare la firma di una cartella

La firma di una cartella è la sottoscrizione di un insieme di documenti informatici. Di fatto è una sottoscrizione utilizzata per sottoscrivere un numero non elevatissimo di documenti informatici in una modalità che simula il libro firma. Non è una firma automatica perché il sottoscrittore ha l’opzione di presentazione chiara e senza ambiguità dei singoli documenti. Può essere una firma remota. La sua caratterizzazione pratica è quella della possibilità di inserire in una cartella tutti i documenti che si vuole firmare e di attivare la firma tramite una sola digitazione del PIN.

Qualora ci siano i presupposti giuridici e organizzativi i documenti sottoscritti con questa modalità sono firmati tramite FEQ e sono indistinguibili da altri documenti firmati in altra modalità qualificata.

Cos’è il sigillo elettronico

Il sigillo elettronico è ancora poco noto e diffuso. E’ definito nell’articolo 3, numero 25 del regolamento eIDAS. Il suo scopo è quello di garantire l’origine e l’integrità dei dati che ha “sigillato”. Per analogia, tutto quanto detto per le sottoscrizioni è applicabile al sigillo.

Quindi è possibile sigillare con procedura automatica ovvero sigillare documenti in modalità remota.

Il Legislatore nazionale non ha stabilito nulla sull’efficacia e il valore probatorio del sigillo quindi si applicano le norme europee. Numerose regole tecniche dovranno essere aggiornate all’interno delle Linee guida previste dal CAD per coordinare gli specifici aspetti comunitari con quelli nazionali.

Normativa e informazioni istituzionali sulla firma elettronica

Firma elettronica qualificata

a firma che consente di scambiare in rete documenti con piena validità legale.

La firma elettronica qualificata  (FEQ) – o digitale – è il risultato di una procedura informatica, detta validazione, che garantisce l’autenticità, l’integrità e il non ripudio dei documenti informatici.

Possono dotarsi di firma digitale tutte le persone fisiche: cittadini, amministratori e dipendenti di società e pubbliche amministrazioni. È possibile rivolgersi ai prestatori di servizi fiduciari qualificati autorizzati da AgID che garantiscono l’identità dei soggetti che utilizzano la firma digitale. L’elenco dei prestatori di servizi fiduciari qualificati stabiliti nell’Unione Europea è disponibile qui.

Dal 2006, è inoltre possibile usare il formato di firma Portable Document Format (PDF): il sito web di Adobe System illustra le specifiche del formato PDF necessarie per lo sviluppo di ulteriori prodotti di verifica e generazione della firma digitale.

L’Agenzia per l’Italia Digitale mette a disposizione una guida per l’apposizione di firme e informazioni su documenti firmati, che illustra anche la firma in formato pdf (PAdES).

SPID e la firma digitale

La firma digitale può essere ottenuta anche utilizzando lo SPID come sistema di riconoscimento. Tra i certificatori che hanno reso disponibile questa possibilità, sono attualmente attivi Infocert, Namirial (fornisce anche la possibilità di effettuare una sola firma (firma usa e getta)) e Intesi Group.

I servizi prevedono l’accesso con credenziali SPID di livello 2, in questo modo il cittadino ha la possibilità di dimostrare con certezza la sua l’identità e ottenere la firma digitale.

Ottenere la firma elettronica

Coloro che desiderano dotarsi di un dispositivo di firma digitale devono rivolgersi ai prestatori di servizi fiduciari accreditati, soggetti pubblici o privati che, sotto la vigilanza di AgID, emettono certificati qualificati (per la firma digitale) e certificati di autenticazione (per le carte nazionali dei servizi).

La firma digitale viene generata grazie ad una coppia di chiavi digitali asimmetriche attribuite in maniera univoca ad un soggetto, detto titolare:

  • chiave privata è conosciuta solo dal titolare ed è usata per generare la firma digitale da apporre al documento;
  • la chiave da rendere pubblica è usata per verificare l’autenticità della firma.

Questo metodo è conosciuto come crittografia a doppia chiave e garantisce la piena sicurezza visto che la chiave pubblica non può essere utilizzata per ricostruire la chiave privata

L’uso della firma digitale

Vi sono due modalità di utilizzare la firma digitale:

  • in “locale”: si intende la firma digitale generata in uno strumento nel possesso fisico del titolare, smartcard o token
  • da “remoto”: si intende la firma digitale generata usando strumenti di autenticazione (tipicamente user id+ password +OTP o telefono cellulare) che consentono la generazione della propria firma su un dispositivo (HSM) custodito dal certificatore (in terminologia europea, prestatore del servizio fiduciario qualificato).

 

L’app IO è un’applicazione per i dispositivi mobili sviluppata dalla società pubblica PagoPA con l’obiettivo di integrare tutti i servizi pubblici. L’obiettivo è renderne più semplice e veloce l’accesso e l’utilizzo da parte dei cittadini italiani. Portata al debutto ad aprile 2020, come abbiamo spiegato nella guida all’app IO, l’applicazione mette il cittadino nelle condizioni di ricordare eventi e scadenze importanti: sono gli enti pubblici a mettersi in contatto con ciascun soggetto interessato. E non più il viceversa. Firma con IO rappresenta un ulteriore nuovo passo in avanti nella stessa direzione.

Firmare i documenti dal proprio smartphone, con un’unica applicazione

Il nuovo strumento chiamato Firma con IO si propone come una soluzione particolarmente utile per i cittadini che devono scambiare documenti con la Pubblica Amministrazione. Utilizzando esclusivamente l’app IO, è possibile apporre una firma elettronica qualificata (FEQ) e sottoscrivere qualunque documento senza mai uscire di casa o dall’ufficio. Il cittadino non deve quindi più prendere un appuntamento e recarsi fisicamente presso gli sportelli dell’ente pubblico.

Abbiamo già visto le differenze tra firma digitale, firma qualificata e firma elettronicaFirma con IO consente di apporre una firma con il massimo valore legale. La firma elettronica qualificata “one shot” corrisponde infatti a una specifica tipologia di firma elettronica utilizzata per consentire la firma di un documento digitale in modo rapido e conveniente. È definita one shot proprio perché è applicata una sola volta senza la necessità di ulteriori passaggi o autenticazioni.

La firma elettronica qualificata “one shot” si basa sull’uso di una chiave crittografica privata che è strettamente associata all’identità del firmatario. Quando il firmatario applica la sua firma elettronica one shot sul documento digitale, la chiave crittografica è utilizzata per creare una firma digitale univoca e non alterabile. La firma digitale attesta l’integrità del documento e l’identità del firmatario.

L’utilizzo di questo tipo di firma è previsto nel Regolamento eIDAS (Electronic Identification, Authentication, and Trust Services) europeo e nel caso dell’app IO sono i meccanismi di autenticazione basati su CIE e SPID a fornire garanzia dell’identità di ciascun utente.

Firma con IO: l'applicazione

Come funziona la firma dei documenti digitali con l’app IO

La procedura di apposizione della firma digitale è molto semplice con l’app IO. L’ente pubblico chiede al cittadino di firmare un documento inviando un messaggio sull’app IO. L’ente può gestire la richiesta di firma anche da Web, attraverso la pubblicazione di un pulsante dedicato. Tale pulsante provoca l’apertura dei documenti mediante l’app IO che è in ogni caso necessaria per completare l’operazione di firma. Per chi utilizza sistemi desktop, il sistema di firma mostra un codice QR da inquadrare con lo smartphone. Seguendo l’URL che si apre sul dispositivo mobile, è possibile seguire la procedura guidata.

A questo punto, l’utente può visualizzare i documenti da firmare sul suo smartphone, consultare le clausole presenti e le condizioni del fornitore del servizio. Dopo aver selezionato le firme da apporre e accettato termini e condizioni del servizio, l’utente completa l’operazione – ad ulteriore garanzia – tramite riconoscimento biometrico o l’inserimento del codice di sblocco del telefono.

documenti firmati sono restituiti dalla stessa app IO. Essi possono essere condivisi e scaricati in locale. Anzi, è bene farlo perché l’app IO conserva i documenti soltanto per 90 giorni. Trascorso tale periodo di tempo non saranno più disponibili. La conservazione del certificato di firma qualificata one shot spetta invece al QTSP (Qualified Trusted Service Provider), che è tenuto a conservarlo per 20 anni.

L’applicazione IO è ufficialmente pronta per consentire la gestione del processo di firma dei documenti digitali. In queste settimane è tuttavia in corso l’onboarding degli enti pubblici: la Pubblica Amministrazione deve aderire al progetto e indicare esplicitamente le finalità per le quali è richiesta l’attivazione del nuovo meccanismo di firma.

Come firmare documenti digitali tramite app IO

I dettagli tecnici sul processo di firma

Il manuale operativo contiene tutti i dettagli tecnici sulla prassi che la Pubblica Amministrazione deve applicare per richiedere l’apposizione di una firma, per verificare lo stato dei documenti e l’avvenuta sottoscrizione.

Innanzi tutto, il cittadino deve ricevere esclusivamente documenti PDF standard, in formato PDF/A-2A o file già firmati con una firma PAdES. Ne abbiamo parlato nell’articolo su come verificare la firma digitale sui documenti. I documenti firmati PAdES conservano l’estensione PDF perché la firma è inserita nel file stesso, senza l’utilizzo di alcuna busta a fungere da “contenitore”. Non è consentito l’utilizzo e l’invio di documenti scannerizzati.

Oltre a supportare la doppia firma (sottoscrizione di documenti già firmati PAdES), il sistema permette la gestione di più FEQ one shot: si pensi ai genitori chiamati a siglare uno stesso documento (vedere più avanti).

Utilizzando le API “ad hoc” e un approccio aperto, ciascun ente pubblico deve quindi creare un dossier, individuare il cittadino interessato tramite il suo ID univoco (a sua volta connesso con il codice fiscale), creare una richiesta di firma, inviare i documenti da firmare e spedire la richiesta così composta. Per verificare lo stato della firma ed ottenere i documenti firmati, è sufficiente predisporre e inviare una specifica richiesta via HTTP GET.

L’alternativa all’utilizzo di Firma con IO resta sempre, ai sensi del Codice dell’amministrazione digitale (CAD), la presentazione di istanze online ai vari enti pubblici previa autenticazione mediante CIE o SPID.

Quali sono i possibili campi applicativi

Il sistema Firma con IO è utilizzabile per molteplici finalità. Lo scambio di documenti tra enti e cittadini è infatti pratico e immediato. Si può gestire qualunque pratica con la Pubblica Amministrazione, i Comuni possono gestire a distanza le richieste di cambio di residenza, attivare le richieste di erogazione della nuova carta d’identità (comprese quelle dei minori) e di altri documenti personali. Con il nuovo meccanismo di firma si possono inoltre, ad esempio, stipulare contratti per la fornitura di servizi (acqua, gas, luce) attraverso le multiutility sotto il controllo pubblico.

Nel mondo accademico si possono siglare contratti da remoto per servizi occasionali, tirocini, dottorati, assegni di ricerca o borse di studio. Allo stesso modo, le scuole di qualunque ordine e grado possono richiedere agli studenti o ai genitori degli alunni documenti da firmare all’inizio e nel corso dell’anno scolastico.

In tutti i casi, la cosiddetta liability shift offre massima garanzia sulla firma e sull’integrità dei documenti sottoscritti evitando qualsiasi rischio di disconoscimento.