Torna Indietro

Cos'è la firma digitale
La normativa italiana (in particolare art. 15 comma 2 della Legge 59/97; D.P.R. 513/97 e Regolamento Tecnico), avviando una vera e propria "rivoluzione", ha attribuito alla firma digitale lo stesso valore della firma autografa scritta. Un’evoluzione analoga è in atto in molti altri Paesi europei e non.
La firma digitale svolge funzioni analoghe a quelle della tradizionale firma su carta: identifica il mittente o autore di un documento elettronico e garantisce l'autenticità e l'integrità dei dati: documenti, atti e contratti realizzati con strumenti informatici e trasmessi per via telematica sono validi ai fini di legge.

Per prima cosa è necessario che i documenti informatici siano preparati e scambiati attenendosi ad alcuni requisiti, che rappresentano i principi fondamentali dell'intero processo:
la riservatezza: il contenuto deve essere accessibile solo al mittente e al destinatario;
l'integrità: il documento non deve subire alterazioni durante lo scambio;
l'autenticazione: il documento proviene effettivamente dal mittente;
la non ripudiabilità: chi trasmette/riceve non può negare di avere trasmesso/ricevuto.

Tecnologicamente, tutto ciò può essere realizzato sulla base di un sistema crittografico a chiavi asimmetriche pubblica/privata.

Le peculiarità di questo sistema crittografico sono:

- si basa su una coppia di chiavi crittografiche: una pubblica e una privata;
- la chiave pubblica è disponibile presso registri accessibili a tutti, quella privata è nota solo al possessore;
- un documento informatico, cifrato con una chiave della coppia, può essere decifrato solo con l'altra chiave della stessa coppia; la conoscenza di una della due chiavi non permette di desumere alcuna informazione sull'altra.

Dal punto di vista pratico, coloro che vogliano usare il sistema devono dotarsi di una coppia di queste chiavi, rivolgendosi ad un certificatore. Una delle due chiavi sarà tenuta segreta dal possessore ("chiave privata"), memorizzata su una carta dotata di un micro processore; l'altra verrà pubblicata ("chiave pubblica") su speciali elenchi disponibili a tutti. Con questa coppia di chiavi si possono effettuare tre operazioni separate tra loro:

- firmare un documento per garantire la identità del suo estensore, che non potrà quindi "ripudiarlo";
- cifrare un documento per limitare la sua lettura al solo destinatario (in teoria è possibile, ma solitamente si usa un altro metodo);
- rendere inalterabile un documento.

Alcuni esempi di applicazioni della firma digitale

Comunicazioni ufficiali con le amministrazioni pubbliche, es. risposte a bandi e gare pubbliche, moduli di richiesta di vario genere, dichiarazioni fiscali e di altro tipo, trasmissione di documenti legali;
Rapporti contrattuali su reti aperte (Internet), ad es. fornitura elettronica di beni e servizi, transazioni finanziarie;
Identificazione e/o autorizzazione (si verifica l’identità di un interlocutore e il possesso di determinati suoi attributi), es. autorizzazione all’accesso di un sistema informatico, identificazione certa di un server Web;
Gestione di attività in gruppi/sistemi chiusi o a partecipazione controllata, es. Intranet ed Extranet aziendali, gruppi di lavoro e di ricerca;
Scopi personali.

Utilizzo della firma digitale

Da un punto di vista tecnico, la firma digitale è il risultato di una procedura informatica detta "validazione". Più precisamente, è la sequenza o "stringa" di dati che risulta da un’operazione di cifratura su un file digitale (messaggio di posta elettronica, documento di testo, immagine, ecc.), utilizzando il metodo della crittografia a doppia chiave.
Il firmatario, utilizzando la propria chiave privata, che genera secondo certe modalità, "firma" il file apponendovi la stringa di dati che deriva dalla operazione di cifratura.
Il destinatario, nella misura in cui sarà in grado di decifrare la firma con la chiave pubblica del mittente, avrà la certezza che la firma è stata generata con la chiave privata e, grazie ad ulteriori controlli, del fatto che nessuno abbia manipolato i dati originari (integrità).
Tutte queste procedure vengono svolte in gran parte automaticamente da programmi software, con semplici interventi dell’utente.

La firma digitale in quanto tale, tuttavia, non garantisce la vera identità del titolare della chiave privata. Un malintenzionato potrebbe infatti generare (o farsi assegnare) una coppia di chiavi a nome di un terzo e come tale agire nel mondo virtuale. Anche nel caso in cui si voglia garantire l’anonimato nelle comunicazioni su rete (un diritto sancito dalle leggi sulla privacy), rimane la necessità di evitare che altri comunichino ed agiscano per conto nostro. Per risolvere questo problema, è necessaria una operazione di certificazione.
E’ importante, infine, sottolineare che la stringa di dati che chiamiamo "firma digitale", essendo il risultato di un’operazione effettuata su uno specifico file di dati, è in realtà tendenzialmente diversa per ogni singolo file trattato. E’ infatti la chiave privata, quella che genera il risultato, ad essere unica. Quando si parla della firma digitale di qualcuno, si dovrebbe piuttosto parlare correttamente della sua coppia di chiavi e, in specifico, della sua chiave privata. La firma digitale non è riproducibile, non è possibile associare una certa firma digitale ad un testo diverso dall’originale.

Diverso è il caso di altre "firme" generate con strumenti informatici e definite, in senso lato, con il termine "firma elettronica", come ad esempio le firme tradizionali su carta, successivamente "scannerizzate" e inviate elettronicamente.