Parte la firma digitale europea

Come usare la via telematica per ridurre la mole dei documenti. Le varie tipologie di firme digitali e il ruolo dei certificatori.

16 aprile 2003. Entro fine giugno scatterà per le aziende
l’obbligo di inviare solo per via telematica gli atti societari al Registro
delle Imprese delle Camere di Commercio
: si tratta di un primo passo
sancito per legge, volto a diffondere l’utilizzo della firma digitale. Di
firma digitale se ne sente parlare da anni, per la precisione dal 1997, quando
con la cosiddetta legge Bassanini, viene sancito che il documento
informatico ha lo stesso valore legale di un documento cartaceo
. La stessa
legge introduce nel nostro ordinamento il concetto di firma digitale, che viene
equiparata a tutti gli effetti alla firma autografa. Pertanto, la corrispondenza,
i contratti, gli ordini ed in generale i documenti inviati per via telematica
su cui viene apposta la firma digitale hanno valore legale.
Per la legge, la firma digitale deve utilizzare un sistema di crittografia
a doppia chiave asimmetrica
, composta da una chiave pubblica e una privata,
in quanto il sistema è in grado di garantire l’integrità e
la provenienza dei documenti.
Abilitati a rilasciare la firma digitale, fino ad oggi, sono stati solo i tredici
certificatori accreditati (CA) presso l’AIPA
(Autorità per
l’Informatica nella Pubblica Amministrazione) il cui elenco è pubblico
e recuperabile all’indirizzo http://www.aipa.it.

Le “firme europee”
Così fino ad oggi. Più attuale è invece la notizia che
a breve avremo a disposizione una firma digitale europea, o, per essere più
precisi, più firme digitali. Ma procediamo con ordine e vediamone i dettagli.
E' dello scorso febbraio l’approvazione, da parte del Consiglio
dei Ministri, del regolamento di attuazione della direttiva europea relativa
al quadro comunitario per le firme elettroniche
, messo a punto dal
Ministro per l’Innovazione e le Tecnologie.
Ad oggi il provvedimento è all’esame della Corte dei Conti, ma
diventerà, in breve tempo, definitivo con la sua pubblicazione sulla
Gazzetta Ufficiale, dove si troveranno anche le “regole tecniche”
(gli standard) sui documenti informatici che il ministero dell’Innovazione
sta ultimando.
Cosa cambia rispetto al passato? “Per gli utenti non cambierà
nulla
” risponde Giovanni Manca, responsabile funzione certificazione
AIPA
Il cittadino che avesse acquistato la firma digitale
in passato presso uno dei certificatori accreditati potrà continuare
a utilizzarla. Quello che cambia è il rapporto tra certificatori e istituzioni
e che viene data una normazione ufficiale anche a quelle che gli addetti ai
lavori hanno definito “firme deboli”
”.
Diciamo subito che la direttiva distingue la firma
elettronica generica
(definita dal secondo comma dell’articolo
5 della direttiva e pertanto chiamata anche “firma 5.2”),
strumento di autenticazione di dati elettronici, e che può essere realizzata
con qualsiasi strumento (password, PIN, digitalizzazione delle firma autografa,
tecniche biometriche e così via), da una firma elettronica avanzata
(per lo stesso motivo definita anche “firma 5.1”),
più sofisticata, che consente di identificare in modo univoco il firmatario,
permettendo anche la scoperta di modifiche all’oggetto firmato apportate
dopo la sottoscrizione. Queste caratteristiche sono garantite dal certificatore.

Da qui il concetto di “firma forte” e “firma
debole
”, che non appare citato nella direttiva, ma che è
stato introdotto dagli addetti ai lavori per semplicità di utilizzo.
In realtà” prosegue Giovanni Manca “si
avranno due tipologie: una firma elettronica avanzata, basata su un sistema
di chiavi asimmetriche, le quali possono essere certificate da un certificatore
accreditato o non accreditato, entrambe con lo stesso valore giuridico, con
l’unica differenza che la PA accetta solo documenti digitali muniti di
firma rilasciata da certificatori accreditati. Tutte le altre firme elettroniche
rientreranno nella generica accezione di “firma debole” o “leggera”
”.
La scelta di utilizzare un tipo o l’altro di firma dipenderà
esclusivamente dalle esigenze degli utenti.
Se, ad esempio, un’azienda
dovrà presentare atti societari al Registro delle Imprese della Camera
di Commercio, necessiterà di una firma digitale “forte”,
nel caso in cui, invece, si vorrà mandare una e-mail, certificando proprio
l’identità del mittente si potrà utilizzare una firma “debole”.

Il ruolo dei certificatori
E' chiaro, a questo punto, il ruolo chiave svolto dai certificatori, i veri
erogatori del servizio. Fino ad oggi questi erano iscritti, come abbiamo visto,
in un elenco pubblico tenuto dall’AIPA. “Tale elenco”,
afferma Libero Marconi, responsabile Dipartimento Consulting & Deliver
Servizio di Certificazione di Trust Italia
(affiliata italiana di VeriSign)
provider di servizi per la sicurezza su Internet, dal 2001 CA presso AIPA “comprende
la lista delle società che hanno superato l’istruttoria di accreditamento
e sono abilitati ad operare come “terzi di fiducia”, ossia come
coloro che ufficialmente possono associare l’identità di una persona
(il titolare della firma elettronica) ad una struttura dati riconosciuta da
tutti (il certificato digitale di firma) nonché rendere tale informazione
disponibile pubblicamente con tecnologia a prova di frode (infrastruttura a
chiave pubblica, PKI)
”. Con la nuova normativa, i certificatori già
iscritti nell’elenco, ora affidato al Dipartimento per l’innovazione
e le tecnologie, saranno considerati “certificatori accreditati”,
che verranno affiancati da “certificatori notificati”,
che per esercitare non avranno bisogno di certificazione preventiva, ma saranno
soggetti alla vigilanza del Dipartimento.
Una liberalizzazione, quindi, del settore, che potrebbe dare un colpo di acceleratore
all’utilizzo della firma digitale, ma che per la sua più capillare
diffusione avrà bisogno di importanti killer application, rivolte certo,
al mondo delle imprese e dei professionisti, sicuramente in prima linea nell’adozione
dello strumento, ma anche ai singoli cittadini, per agovolare il rapporto quotidiano
con la PA.

Dalla teoria alla pratica: ottenere una firma
debole e una forte

Utilizziamo Trust Italia, in quanto CA in grado di erogare entrambe le tipologie
di certificati. E partiamo con un esempio che sta sotto gli occhi di tutti:
se utilizzate Outlook o Outlook Express siete già in possesso
di un sistema di firma digitale “debole”
. Il client di
posta, infatti, può creare dei messaggi di posta firmati digitalmente.

La procedura è semplice. Dal menu Nuovo Messaggio, File si seleziona
Proprietà e quindi Protezione. Qui appare una finestra: basterà
selezionare la voce Aggiungi firma digitale al messaggio e il gioco è
fatto.
Nel caso non foste ancora possessori di una ID digitale Outlook rimanda automaticamente
all’area risorse che elenca dove ottenerla. VeriSign offre gratuitamente
agli utenti di Outlook una ID digitale di prova per due mesi
che potrà
essere confermata allo scadere del periodo con normali pratiche commerciali.

E passiamo alla “firma forte”, e vediamo come si può
ottenere
. Il titolare deve contattare la CA e quindi rispettare una serie
di obblighi di legge rappresentati nel “manuale operativo” della CA,
al fine di documentare la sua identità. Al termine delle operazioni la
persona che richiede il certificato di firma si ritrova in possesso di un kit
composto da software, hardware e dal dispositivo di firma (smart card o chiave
USB). Il primo passo sarà quello di installarlo nel suo PC. Quindi dovrà
installare il software idoneo alla firma elettronica, perché senza di quello
il certificato è perfettamente inutile. Alla fine il nostro titolare di
certificato digitale di firma elettronica potrà creare delle “envelope
PKCS#7” (file codificati con estensione .p7m, vedi immagine) che sono compatibili
con null’altro che un software di firma simile usato nella funzione di verifica.
Il costo è di circa 75 euro.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome