Upload
pasquale-lopriore
View
305
Download
1
Embed Size (px)
Citation preview
Firme elettroniche
Evoluzione normativa
Avv. Pasquale LoprioreSpecialist in Legal Information Technology
La firma digitale è stata introdotta dal DPR. N. 513/1997 definendola:
Risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
D.M. del 8 febbraio 1999Regole tecniche per l’utilizzazione della firma digitale
Definizioni introdotte:
"impronta“sequenza di simboli binari, la sequenza di simboli binari di lunghezza predefinita generata mediante l’applicazione alla prima di una opportuna funzione di hash;
"funzione di hash“funzione matematica che genera, a partire da una impronta, una sequenza di simboli binari che la generi, ed altresì risulti di fatto impossibile determinare una coppia di sequenze di simboli binari per le quali la funzione generi impronte uguali.
"dispositivo di firma“apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali;
"marca temporale“evidenza informatica che consente la validazione temporale;
DPR. N. 455/2000Testo unico in materia di documentazione amministrativa.
Ha assorbito la normativa del 1997 sulla firma digitale, disciplinando in maniera organica tutta la materia inerente al documento informatico.
Direttiva 1999/93/CE del 13 dicembre 1999
Introduce 2 tipi di firme: "firma elettronica“
dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione;
"firma elettronica avanzata“firma elettronica che soddisfi i seguenti requisiti:
• essere connessa in maniera unica al firmatario;• essere idonea ad identificare il firmatario;• essere creata con mezzi sui quali il firmatario può conservare il proprio
controllo esclusivo;• essere collegata ai dati cui si riferisce in modo da consentire l'identificazione
di ogni• successiva modifica di detti dati;
La Direttiva europea, introdotta con il d.lgs. N. 10/2002, ha comportato la modifica del T.U. 2000 sulla firma digitale disposta con il DPR n. 137/2003.Attualmente abbiamo queste forme di firme elettroniche:
DIGITALE ELETTRONICA SEMPLICE ELETTRONICA AVANZATA ELETTRONICA QUALIFICATA
art. 1 co.1 lett.n) del DPR. n. 455/2000
FIRMA DIGITALE si intende il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Dopo la modifica disposta dal DPR n. 137/2003 dell’art. 1 co.1 lett.n) del DPR. n. 455/2000
FIRMA DIGITALE è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
art. 2 co.1 lett. a) DPR n. 10/2002
FIRMA ELETTRONICA l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica;
art. 2 co.1 lett. g) DPR n. 10/2002
FIRMA ELETTRONICA AVANZATA la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati;
art. 1 co.1 lett. ee) DPR. n. 137/2003
FIRMA ELETTRONICA QUALIFICATA la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma.
Codice dell’amministrazione digitaleD.Lgs. N. 82/2005
Definisce la firma digitale come un particolare tipo di firma elettronica qualificata, disciplinandola nel seguente modo:
La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata. L'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso. Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai sensi dell'articolo 71, la validità del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d'uso.
APPLICAZIONI DELLA FIRMA
ELETTRONICA • Dal 3 novembre 2003 la firma digitale è obbligatoria
per l'invio telematico degli atti societari ai registri camerali (DL 236/02 - DM 20/3/2003)
• dal 1 gennaio 2004 per l'invio della fattura "europea" via e-mail (direttiva 2001/115/CE, art. 2)
• per le notificazioni dei trattamenti di dati
personali al Garante (DLgs 196/03, art. 38)
• Invio degli atti giudiziari “Processo telematico”
Efficacia probatoria di un documento informatico
Questo argomento è stato oggetto di discussione nella dottrina già prima dell’introduzione della firma digitale con il d.p.r. n. 513/97, infatti, ci sono state varie interpretazioni sull’ambito applicativo dell’art. 2712 c.c. per quanto riguarda i documenti informatici.
Sentenza della Corte di Cassazione Civile n. 11445/2001, ha equiparato i documenti informatici privi di firma digitale alle rappresentazioni meccaniche di fatti o cose disciplinate dell’art. 2712 c.c.
Il documento informatico forma piena prova, nel caso in cui non viene disconosciuto, sotto il profilo della conformità ai fatti o alle cose in esso rappresentate, dal soggetto contro il quale è prodotto.
Documenti informatici firmati elettronicamente
L’efficacia probatoria è data dal tipo di firma utilizzata e varia proporzionalmente in base alla sicurezza tradibile dal meccanismo di firma utilizzato.
Per il documento informatico con firma elettronica “c.d. leggera”, seguendo il principio precedentemente esposto, l’efficacia probatoria sarà liberamente valutabile, in base alle caratteristiche oggettive di qualità e sicurezza, da parte del giudice nel corso del giudizio, come affermato nell’art. 10 del d.p.r. n. 445/2000, modif. art. 6 del D.Lgs. n. 10/2002.
Per le firme elettroniche “c.d. pesanti”, come era già stabilito dall’art. 5 del d.p.r. n. 513/1997, hanno la stessa efficacia della scrittura privata ai sensi dell’art. 2702 c.c.
Pertanto, l’intervento del D.Lgs. n. 10/2002 si limita a coordinare con quanto disposto dalla direttiva 1999/93/CE, aggiungendo accanto alla firma digitale la firma elettronica avanzata; è interessante rilavare, invece, che il legislatore richiede che la firma deve essere basata su un certificato qualificato ed deve essere generata mediante un dispositivo per la creazione di una firma sicura. In altre parole, alla luce del D.Lgs. n. 137/2003, fa piena prova il documento con la firma elettronica qualificata e non con la generica firma elettronica avanzata, esigendo, di conseguenza, il livello massimo di sicurezza ricavabile.
Valore probatorio del documento informatico
sottoscritto secondo all’art. 21 Codice PA Digitale Il documento informatico sottoscritto con firma elettronica
Liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata
Efficacia prevista dall'articolo 2702 del codice civile. (Piena prova fino a querela di falso)L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria.
L'apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione.
La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.
Le disposizioni del presente articolo si applicano anche se la firma elettronica è basata su un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea.
Il funzionamentonel meccanismo di
firma digitale
SISTEMI UTILIZZABILI
• Chiavi simmetriche = 2 chiavi uguali
• Chiavi assimmetriche = 2 chiavi disuguali
Sistema a chiavi simmetriche
Chiave pubblica
Mancanza della segretezza
Possibilità di comunicazione
Chiave privata
Comunicazione con solo determinati soggetti
Sistema a chiavi assimetriche
• Chiave privata è detenuta dall’utente e può essere memorizzata su qualsiasi supporto informatico (smartcard, chiavetta USB, ecc.)
• Chiave pubblica è inserita in appositi elenchi gestiti da un’autorità di certificazione legalmente riconosciuta.
Meccanismo di firma utilizzando solo quella del mittente
• Apposizione della propria chiave privata sul documento codificandolo
• Il destinatario utilizzando la chiave pubblica, che corrisponde al nome del mittente, decodifica il documento
In questo modo si ha la certezza delle paternità del documento firmato, ma non la segretezza
Utilizzo di due chiavi
• Il mittente appone la firma privata e la firma pubblica del destinatario, doppia codifica.
• Il destinatario decodifica il documento ricevuto
con la chiave pubblica del mittente e una seconda volta con la sua firma privata.
In questo modo si ottiene anche la segretezza del documento.
Aspetti tecnici
L’integrità del documento, su cui si applica la firma digitale, è data dall’impiego di una funzione matematica detta Hash che comprime il documento realizzando una impronta (stringa binaria di dati), che sarà unica e diversa dalle altre.
Di conseguenza, si producono 2 impronte che devono essere uguali tra loro.
Soggetto che realizza il procedimento di codifica dei
documenti informatici
CertificatoriSono sottoposti alla vigilanza diretta del CNIPA e hanno le seguenti funzioni:
- Emissione dei certificati, con i quali si controlla la regolarità della firma digitale utilizzata e del soggetto utente;
- Pubblicazione e conservazione della chiave pubblica;
- Revoca dei certificati in caso di furto e smarrimento.
GRAZIE PER L’ATTENZIONE
ARRIVEDERCI
Avv. Pasquale LoprioreSpecialist in Legal Information Technology
_______________________________________Sito web: http://p.lopriore.googlepages.com
E-mail: [email protected]