Dirittosuweb a cura dell'Avv. Giustino Sisto

Le firme elettroniche (parte I)

1. Premessa

Il riconoscimento della validità e della rilevanza giuridica del documento informatico nel nostro ordinamento si deve all'art. 15, comma 2, della legge 15 marzo 1997, n. 59 (c.d. Bassanini uno)(1) , il cui testo dispone che gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge.

A seguito di tale disposizione, venne emanato il noto D.P.R. 513/1997, "Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59" (2), il cui testo è poi recentemente confluito nel D.P.R. 445/2000 (testo unico sulla documentazione amministrativa) (3).

A completamento della disciplina, è stato infine emesso il D.P.C.M. 8 febbraio 1999, recante le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici (4).

Con il D.L.vo 23 gennaio 2002, n. 10, il legislatore italiano è intervenuto sulla normativa sopra citata per dare attuazione alla direttiva 1999/93/CE, relativa ad un "quadro comunitario per le firme elettroniche" (G.U.C.E. n. L 13 del 19 gennaio 2000)(5).

Verranno nel prosieguo analizzate brevemente le novità introdotte con il provvedimento, con riguardo in particolare alla forma ed efficacia del documento informatico, previo accenno al sistema di firma digitale adottato dal legislatore italiano con il D.P.R. 513/1997 - oggi trasfuso nel D.P.R. 445/2000.

2. Documento informatico e firma digitale

Ai sensi dell'art. 1, lett. b, del D.P.R. 445/2000, per documento informatico deve intendersi la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

Ai sensi dell'art. 8, comma 1, D.P.R. 445/2000, il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del medesimo provvedimento (6).

L'art. 23 del testo unico sulla documentazione amministrativa prevede che a ciascun documento informatico, o a un gruppo di documenti informatici, nonché al duplicato o copia di essi, possa essere apposta, o associata con separata evidenza informatica, una firma digitale.

La firma digitale è definita dal testo unico come il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici (art. 1, lett. n, D.P.R. 445/2000).

L'apposizione o associazione della firma digitale al documento informatico equivale, secondo il testo unico, alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo (art. 23, comma 2). Essa deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata (art. 23, comma 3).

2.1. La crittografia asimmetrica

Il sistema di firma digitale adottato dal legislatore italiano è basato sulla tecnologia della crittografia a chiave pubblica, che consente di ottenere uno strumento idoneo ad assicurare le stesse funzioni svolte dalla sottoscrizione autografa del documento cartaceo, vale a dire le funzioni indicativa, dichiarativa e probatoria (G. Rognetta) (7).

Tale sistema prevede l'attribuzione al soggetto che voglia servirsi della firma digitale di una coppia di chiavi, una chiave privata e una chiave pubblica.

La chiave privata è segreta, e pertanto conosciuta solo dal relativo titolare; la chiave pubblica è invece resa conoscibile da chiunque.

Le due chiavi sono tra loro:
- complementari: il documento cifrato con una può essere decodificato solo usando l'altra;
- indipendenti: la conoscenza della chiave pubblica non consente di risalire alla corrispondente chiave privata.

La crittografia asimmetrica consente di assicurare:

- la segretezza di un documento: il mittente cifra il documento con la chiave pubblica del destinatario; il destinatario decifra il documento con la propria chiave privata.
In questo caso, la segretezza del documento è assicurata dal fatto che solo il legittimo destinatario potrà decifrarlo utilizzando la sua chiave privata, la quale si presume essere nella sua esclusiva disponibilità;

- l'autenticità e integrità del documento: il mittente cifra il documento con la sua chiave privata; il destinatario decifra il documento con la chiave pubblica del mittente.
In tale ipotesi, il mittente sottoscrive il documento informatico con la propria firma digitale, il che equivale a dire che cifra il documento con la propria chiave privata (8). Il destinatario, ricevuto il documento, decodifica la firma del mittente attraverso la corrispondente chiave pubblica di quest'ultimo.
Se l'operazione di verifica ha esito positivo, è assicurata l'autenticità del documento - nonché la sua integrità (9)-, poiché si presume che soltanto il legittimo titolare della chiave privata possa averla usata per cifrarlo;

- segretezza, autenticità e integrità del documento: il mittente cifra il documento con la sua chiave privata e con la chiave pubblica del destinatario; il destinatario decifra il documento con la sua chiave privata e con la chiave pubblica del mittente.
La combinazione delle due operazioni precedenti consente di ottenere i vantaggi di entrambe.

2.2. I certificatori e il dispositivo di firma

Per assicurare che la coppia di chiavi utilizzata per l'apposizione della firma digitale appartenga a tutti gli effetti ad un determinato soggetto, ruolo centrale nel sistema di firma digitale adottato con il D.P.R. 513/1997 hanno i c.d. certificatori.

Tali enti hanno appunto il compito di garantire la corrispondenza tra chiavi e identità personale dei soggetti ai quali esse si riferiscono. Essi sono definiti come il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati (art. 22, lett. i, D.P.R. 445/2000).

L'art. 27 D.P.R. 445/2000 prevede che chiunque intenda utilizzare un sistema di chiavi asimmetriche di cifratura deve munirsi di una idonea coppia di chiavi e rendere pubblica una di esse mediante la procedura di certificazione (10).

La medesima disposizione stabilisce che le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio dell'attività, in un apposito elenco pubblico, consultabile in via telematica, predisposto tenuto ed aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione (AIPA) (11) e dotato dei prescritti requisiti (art. 27, comma 3, D.P.R. 445/2000).

La disciplina specifica dei requisiti e dell'attività dei certificatori è contenuta nel D.P.C.M. 8 febbraio 1999 (12). Norme riguardanti tali soggetti sono state altresì introdotte, come si vedrà, dal D.L.vo 10/2002.

Il sistema prevede altresì l'uso di un dispositivo di firma, definito come un apparato elettronico programmabile solo all'origine in grado (almeno) di conservare in modo protetto le chiavi private e generare al suo interno firme digitali (art. 1, lett. e, allegato tecnico D.P.C.M. 8 febbraio 1999).

Tale dispositivo si concretizza, in pratica, nell'uso di una c.d. smart card contenente la chiave privata del sottoscrittore, il quale, per apporre la propria firma digitale su un documento informatico, deve servirsi di un apposito dispositivo hardware collegato al computer (un lettore di smart card) e di un apposito software.

3. Definizioni giuridiche e tecniche

La normativa contenuta nel D.P.R. 445/2000 e nel D.P.C.M. 8 febbraio 1999 fornisce una serie di definizioni di carattere giuridico e tecnico, che verranno di seguito brevemente illustrate.

A tali definizioni, e dunque al sistema ad esse sotteso e sopra accennato, si sono oggi in parte sovrapposte, come si vedrà, le definizioni ed il sistema di firme elettroniche adottati con il D.L.vo 10/2002 in attuazione della normativa europea (13).

· Come già si è avuto modo di ricordare, l'art. 1, lett. n, D.P.R. 445/2000 definisce la firma digitale come il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

Ai fini del D.L.vo 10/2002:

- per firma elettronica deve intendersi l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica (art. 2, lett. a);

- per firma elettronica avanzata la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati (art. 2, lett. g).

· Il sistema di validazione è definito come il sistema informatico o crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità (art. 22, lett. a, D.P.R. 445/2000).

· Le chiavi asimmetriche sono definite come la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici (art. 22, lett. b, D.P.R. 445/2000).

· La chiave privata è definita come l'elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica (art. 22, lett. c, D.P.R. 445/2000).

· La chiave pubblica è definita come l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi (art. 22, lett. d, D.P.R. 445/2000).

· La certificazione è definita come il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni (art. 22, lett. f, D.P.R. 445/2000).

Ai fini del D.L.vo 10/2002 (14):

- per certificati elettronici devono intendersi gli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l'identità dei titolari stessi (art. 2, lett. d);

- per certificati qualificati i certificati elettronici conformi ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti fissati dall'allegato II della medesima direttiva (art. 2, lett. e).

· Il certificatore, come già si è avuto modo di ricordare, è definito come il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati (art. 22. lett. i, D.P.R. 445/2000).

Ai fini del D.L.vo 10/2002 :

- per certificatori devono intendersi coloro che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi alle firme elettroniche (art. 2, lett. b). In ossequio alla direttiva europea, l'art. 3, comma 1, D.L.vo 10/2002 prevede espressamente che l'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva;

- per certificatori accreditati i certificatori accreditati in Italia ovvero in altri Stati membri dell'Unione europea, ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE (art. 2, lett. c) (15);

- per accreditamento facoltativo deve intendersi il riconoscimento del possesso, da parte del certificatore che lo richieda, dei requisiti del livello più elevato, in termini di qualità e sicurezza (art. 2, lett. h).

· Il dispositivo di firma, come sopra accennato, è definito come un apparato elettronico programmabile solo all'origine in grado (almeno) di conservare in modo protetto le chiavi private e generare al suo interno firme digitali (art. 1, lett. d, allegato tecnico D.P.C.M. 8 febbraio 1999).

Ai fini del D.L.vo 10/2002, per dispositivo per la creazione di una firma sicura deve intendersi l'apparato strumentale, usato per la creazione di una firma elettronica, rispondente ai requisiti di cui all'art. 10 del medesimo decreto (art. 2, lett. f)(16).

Autore: Giuseppe Briganti