Il documento informatico e la Il documento informatico e la

disciplina delle firme disciplina delle firme

elettronicheelettroniche

Prof. Avv. Gianluigi Ciacci

Studio Legale Ciacci

“Il Documento informatico e la prova nel processo civile:

un codice al passo con i tempi ?”

Roma 25 gennaio 2016

Le tecnologie informatiche …

L’elaboratore elettronico è la macchina più efficiente

per la produzione e conservazione delle informazioni;

la gestione informatizzata dell’attività di

documentazione dei privati e della Pubblica

Amministrazione si è quindi sempre più affermata;

questo in particolare poi con l’avvento della

telematica e di Internet, che hanno permesso di

estendere tale efficienza anche alla comunicazione

delle informazioni.

Le tecnologie informatiche …

Grazie all’evoluzione repentina ed esponenziale delle tecnologie informatiche, oggi è possibile, in base a strumenti di acquisizione delle informazioni particolarmente avanzati, rendere una qualsiasi realtà percepibile dai nostri sensi in maniera gestibile dal computer, in particolare quindi attraverso byte, cioè in formato digitale

è proprio il concetto di informazione, a causa dell’interazione con i nuovi strumenti automatici di gestione della stessa, a cambiare, a diventare “informazione automatica”, “informatica” .

Il Documento informatico

alla luce di tale processo e di queste modalità operative, informazione è sicuramente un testo scritto, ma è anche un suono, un odore, un’immagine: oppure tutte queste realtà (testo, immagini e suoni) insieme, tutte elaborabili attraverso un sistema automatizzato

se il computer permette di ampliare a questo livello il concetto di informazione, allora anche il concetto di

“documento” ne risulta altrettanto ampliato

oggi infatti si rileva, accanto al “documento” inteso in

senso tradizionale (cosa rappresentativa di un fatto), anche un nuovo tipo, il “documento informatico”.

Il Documento informatico

“documento informatico” deve quindi essere inteso

come documento, nel senso ampio appena visto,

prodotto da un sistema informatico

La definizione normativa di “documento

informatico” è stata inizialmente legata a ciò che

contiene e non a ciò che è contenuto (art. 3 l.

547/1993):

“qualunque supporto informatico contenente dati o

informazioni aventi efficacia probatoria o

programmi specificamente destinati ad elaborarli”.

Il Documento informatico

Successivamente (D.P.R. 513/1997) si è più

correttamente prestato attenzione alla specificità

del medium: “la rappresentazione informatica di

atti, fatti o dati giuridicamente rilevanti”;

si abbandonò così il legame con il supporto, e si

diede la prevalenza al contenuto (smaterializzato)

sul contenente.

Il Documento nella Delibera

C.N.I.P.A. 19/2/2004

La normativa in materia, dopo aver definito

“documento” la rappresentazione informatica o in

formato analogico di atti, fatti e dati intelligibili

direttamente o attraverso un processo di elaborazione

elettronica, distingue

– documento analogico, a sua volta distinto in “originale” (che

verrà ulteriormente sotto-distinto in “unico” e “non unico”) e

“copia”,

– documento informatico, che viene ancora definito come “la

rappresentazione informatica di atti, fatti o dati giuridicamente

rilevanti”.

Il Documento informatico nel

C.A.D.

Nel Codice dell’Amministrazione Digitale (D.Lgs.

82/2005) si è poi confermata l’impostazione

originaria: “la rappresentazione informatica di atti,

fatti o dati giuridicamente rilevanti”

più di recente, fermo restando il concetto

individuato, l’attenzione definitoria si è più

spostata su realtà e situazioni connesse al

documento informatico (copie, duplicati,

riproduzione, conservazione, …).

Il Documento informatico nel

Regolamento EiDAS

«documento elettronico», qualsiasi

contenuto conservato in forma elettronica, in

particolare testo o registrazione sonora,

visiva o audiovisiva.

Il Il problema del valore

del Documento

informatico

Il Documento informatico e il suo valore

Fino a poco tempo fa i documenti che venivano prodotti e gestiti attraverso il computer non avevano alcun valore giuridico, costringendo ad una duplice gestione dell’attività di documentazione, informatizzata e parallelamente cartacea;

la legge richiedeva infatti la necessaria stampa su carta di quanto era stato scritto con l’elaboratore elettronico e l’attuazione di procedure “tradizionali” (ad es. l’uso della sottoscrizione autografa) per la sua imputazione;

ciò a causa della “sfiducia” del giurista, e del legislatore, a concedere un valore ad un media così facilmente alterabile.

Il Documento informatico e il suo valore

Infatti affinché possa essere attribuita efficacia

giuridica al documento elettronico, deve essere

garantita la sua genuinità e sicurezza, oltre alla

provenienza e non ripudiabilità nel caso questo

venga trasmesso a distanza;

requisiti difficilmente realizzabili usando il

computer per gestire l’attività di documentazione

(come d’altro canto avviene quotidianamente).

Il Documento informatico e il suo valore

tale risultato, dopo anni di intensi dibattiti

dottrinari, si è ottenuto, anche per i

documenti informatici, attraverso

un’applicazione specifica delle tecnologie

crittografiche, che ha reso possibile la c.d.

firma digitale.

La Firma DigitaleLa Firma Digitale

Tale metodologia tecnica costituisce oggi il criterio legale in base al quale è possibile imputare a un determinato soggetto un documento redatto mediante il computer

Diventa cioè il sistema mediante il quale l’ordinamento giuridico riesce ad attribuire il valore di piena prova alla documentazione prodotta, gestita e trasmessa attraverso l’uso del computer, prescindendo dalla necessità della relativa stampa, e quindi della relativa sottoscrizione

Risultato reso possibile da una specifica applicazione delle tecnologie crittografiche insieme all’uso di un algoritmo.

La Firma DigitaleLa Firma Digitale

Si uniscono infatti la tecnica crittografica a doppia

chiave, quindi asimmetrica, all’applicazione della c.d.

funzione di hash

è “firma digitale”, dal punto di vista tecnico, l’impronta

criptata con la chiave privata dell’autore del documento.

con il primo sistema (crittografia asimmetrica) si

raggiunge la certezza della provenienza della

dichiarazione elettronica; con il secondo (funzione di

hash) che il testo della dichiarazione non sia stato

alterato

La Firma DigitaleLa Firma Digitale

In particolare, è un sistema che basa l'imputazione del documento sull'esclusività dell'uso del mezzo, e non sull'univocità della calligrafia di firma.

In questo modo, seppure in presenza di un mediumestremamente alterabile come il documento informatico, è possibile essere certi della provenienza dello stesso e della sua non ripudiabilità (cioè l'impossibilità di non riconoscerlo più come proprio una volta inviato), conferendogli valore giuridico;

ed è poi per questo che si parla di “firma digitale” (anche se più correttamente dovrebbe usarsi l’espressione “sigillo elettronico”).

Sistema che ha visto una genesi estremamente complessa.

Il quadro normativo Il quadro normativo

in materia diin materia di

Firma Digitale Firma Digitale

((e firme elettronichee firme elettroniche))

Fonti in materia

art. 15, c. 2, l. 15 marzo 1997 n. 59: “Gli atti, dati e documenti formati dalla P.A. e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge (…)”

D.P.R. 10 novembre 1997, n. 513;

D.P.C.M. 8 febbraio 1999;

D.P.R. 28 dicembre 2000, n. 445, T.U. delle disposizioni legislative e regolamentari in materia di documentazione amministrativa;

D.Lgs. 23 gennaio 2002 n.10, recepisce Direttiva 1999/93/CE sulle firme elettroniche (Abrogato dal D.Lgs. 82/2005)

Fonti in materia

D.Lgs. 7 marzo 2005 n. 82 (e successive modifiche),

c.d. Codice dell’Amministrazione Digitale

D.P.C.M. 30 marzo 2009, Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici.

Deliberazione n.45 del 21 maggio 2009, Regole per il riconoscimento e la verifica del documento informatico (modificata dalla Determinazione DigitPA 69/2010)

D.P.C.M. 10 febbraio 2010 (Autocertificazione dispositivi automatici di firma)

Fonti in materia

D.Lgs. 30 dicembre 2010 n. 235 (Modifiche ed

integrazioni al C.A.D.)

L. 17 dicembre 2012 n. 221 (converte con modifiche il

D.L. 18 ottobre 2012 n. 179, recante ulteriori misure

urgenti per la crescita del Paese, il c.d. Decreto Crescita

2.0)

D.P.C.M. 22 febbraio 2013 (Regole tecniche in materia

di generazione, apposizione e verifica delle firme

elettroniche avanzate, qualificate e digitali)

Fonti in materia

D.P.C.M. 3 Dicembre 2013 (Regole tecniche per il

protocollo informatico ai sensi degli artt. …)

D.P.C.M. 3 Dicembre 2013 (Regole tecniche in

materia di sistema di conservazione ai sensi degli artt.

…)

D.P.C.M. 13 Novembre 2014 (Regole tecniche in

materia di formazione, trasmissione, copia, duplicazione,

riproduzione e validazione temporale dei documenti

informatici nonché di formazione e conservazione dei

documenti informatici delle pubbliche amministrazioni

ai sensi degli artt. …)

Fonti in materia

REGOLAMENTO (UE) N. 910/2014 del 23 luglio

2014, in materia di identificazione elettronica e servizi

fiduciari per le transazioni elettroniche nel mercato

interno e che abroga la direttiva 1999/93/CE

Riforma P.A. “in corso d’opera”

…..

LL’’evoluzione nelle evoluzione nelle

tipologie di tipologie di

sottoscrizione sottoscrizione

elettronicaelettronica

Le tipologie di firme elettroniche

Direttiva Comunitaria

D. Lgs. 82/2005

D. Lgs. 235/2010

D.P.R. 513/1997 FIRMA DIGITALE

FIRMA ELETTRONICA

FIRMA ELET. AVANZATA

FIRMA DIGITALE

FIRMA ELETTRONICA

FIRMA ELET. QUALIFICATA

FIRMA ELETTRONICA

FIRMA ELET. AVANZATA

FIRMA ELET. QUALIFICATA

FIRMA DIGITALE

D.P.R. 10 novembre 1997, n. 513

“firma digitale”: “il risultato della procedura

informatica (validazione) basata su un sistema di chiavi

asimmetriche a coppia, una pubblica e una privata, che

consente al sottoscrittore tramite la chiave privata e al

destinatario tramite la chiave pubblica, rispettivamente,

di rendere manifesta e di verificare la provenienza e

l'integrità di un documento informatico o di un insieme

di documenti informatici ”

DIRETTIVA COMUNITARIA 1999/93/CE

. “firma elettronica”: “Dati in forma elettronica, allegati o

connessi tramite associazione logica ad altri dati elettronici e

utilizzati come metodo di autenticazione”

“firma elettronica avanzata”: “Una firma elettronica che

rispetti i seguenti requisiti:

a) deve essere connessa in maniera univoca al firmatariob) idonea ad identificarloc) creata con mezzi sui quali il firmatario può conservare il suo

controllo esclusivod) collegata ai dati cui si riferisce in modo da consentire

l’identificazione di ogni successiva modifica di detti dati”

Codice Amministrazione Digitale (D.Lgs. 82/2005)

“firma elettronica”: “L’insieme dei dati in forma elettronica

allegati oppure connessi tramite associazione logica ad altri dati

elettronici, utilizzati come metodo di identificazione informatica”

“firma elettronica qualificata”: La firma elettronica ottenuta

attraverso una procedura informatica che garantisce la connessione

univoca al firmatario, creata con mezzi sui quali il firmatario può

conservare un controllo esclusivo e collegata ai dati ai quali si

riferisce in modo di consentire di rilevare se i dati stessi siano stati

successivamente modificati, che sia basata su un certificato

qualificato e realizzata mediante un dispositivo sicuro per la

creazione della firma.

Codice Amministrazione Digitale (D.Lgs. 82/2005)

“firma digitale”: “Un particolare tipo di firma

elettronica qualificata basata su un sistema di

chiavi crittografiche, una pubblica e una privata

collegate tra loro, che consente al titolare tramite

la chiave privata e al destinatario tramite la

chiave pubblica, rispettivamente, di rendere

manifesta e di verificare la provenienza e

l’integrità di un documento informatico o un

insieme di documenti informatici”

C.A.D. modificato (D. Lgs. 235/2010)

“firma elettronica”: “L’insieme dei dati in forma elettronica

allegati oppure connessi tramite associazione logica ad altri dati

elettronici, utilizzati come metodo di identificazione informatica”

“firma elettronica avanzata”: “Insieme di dati in forma

elettronica, allegati oppure connessi ad un documento informatico

che consentono l’identificazione del firmatario del documento e

garantiscono la connessione univoca al firmatario, creati con

mezzi sui quali il firmatario può conservare un controllo esclusivo,

collegati ai dati ai quali detta firma si riferisce in modo da

consentire di rilevare se i dati stessi siano stati successivamente

modificati”

C.A.D. modificato (D. Lgs. 235/2010)

“firma elettronica qualificata”: “Un particolare tipo di firma

elettronica avanzata che sia basata su un certificato qualificato e

realizzata mediante un dispositivo sicuro per la creazione della

firma”

“firma digitale”: “Un particolare tipo di firma elettronica

avanzata basata su un certificato qualificato e su un sistema di

chiavi crittografiche, una pubblica e una privata, correlate tra loro,

che consente al titolare tramite la chiave privata e al destinatario

tramite la chiave pubblica, rispettivamente, di rendere manifesta e

di verificare la provenienza e l’integrità di un documento

Informatico o un insieme di documenti informatici”

C.A.D. modificato (D. Lgs. 235/2010)

Quindi allo stato attuale si è consolidato un

sistema di firme elettroniche così

schematizzabile:

firma elettronica

firma elettronica avanzata

firma qualificata

firma digitale

Una nuova tipologia di Una nuova tipologia di

firma elettronica firma elettronica

avanzataavanzata::

le firme grafometrichele firme grafometriche

Le firme grafometricheLe firme grafometriche

o Un’altra attività di “documentazione digitale” che sta assumendo

sempre più una rilevante importanza, e che implica un trattamento

di dati personali (tra l’altro di natura particolare) riguarda le c.d.

firme grafometriche

o Queste si inseriscono nel “settore” del valore giuridico del

documento elettronico, delle firme elettroniche, rispetto alle quali

si caratterizza perché consente di essere utilizzato senza nessuna

preventiva predisposizione al sistema, e quindi senza costi, per il

soggetto che firma (uno dei motivi della sua diffusione)

Firme grafometriche come F.E.A.Firme grafometriche come F.E.A.

o Diffusione anche legata al loro riconoscimento

normativo, sia come sistema di sottoscrizione elettronica

valido (rientra nella tipologia di firma elettronica

avanzata introdotta dall’art. 1, comma 1, lett. q-bis del

D.Lgs. 82/2005), sia come metodologia adatta alla

sottoscrizione di una serie di atti giuridici individuati

sulla base dell’art. 1350, n. 13, del codice civile (come si

vedrà oltre)

Firme grafometriche come F.E.A.Firme grafometriche come F.E.A.

o Si ricorda che la firma elettronica avanzata è una firma

elettronica con alcune caratteristiche di sicurezza, non

comporta l’uso di una determinata tecnologia, secondo

una parte della dottrina non è un prodotto, ma un

processo

o la disciplina normativa, indifferente alle modalità,

richiede il soddisfacimento di una serie di condizioni per

darle valore giuridico.

o la firma grafometrica può essere ritenuta una F.E.A.

Firme Firme grafometrichegrafometriche

Le firme grafometriche sono una particolare tipologia di firma che

utilizza il rilevamento dinamico dei dati calligrafici (posizione,

pressione, velocità, tempo, inclinazione della penna, accelerazione,

movimento, …) della sottoscrizione di un individuo, acquisiti

attraverso una penna elettronica, o comunque attraverso un tablet

Posizione Tempo Pressione Velocità Accelerazione

I dati acquisiti in questo modo devono essere considerati

biometrici, e quindi implicano un trattamento di dati personali

Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati

personalipersonali

o le firme grafometriche vengono utilizzate, in tale ambito,

con due diverse finalità:

☞a fini di autenticazione, di identificazione: è la metodologia al

momento più diffusa

☞a fini di imputazione, dichiarativo: è la metodologia che

funziona in maniera diversa dalla precedente, in fase di forte

espansione, fino ad ora bloccata dalle implicazioni relative al

trattamento dei dati personali

Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati

personalipersonali

o Diversa, nelle due finalità indicate, è la gestione dei dati

grafometrici (cioè quelli corrispondenti al rilevamento

dinamico dei dati calligrafici della firma di un

individuo), che abbiamo detto devono comunque essere

considerati di natura biometrica (aspetto che porta ad

applicare la normativa in materia di tutela dei dati

personali, D.Lgs. 30 giugno 2003 n. 196)

Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati

personalipersonali

o nell’uso a scopo di autenticazione, tali dati sono

conservati ed accessibili dal soggetto che riceve la firma,

poiché devono essere ogni volta confrontati con

l’originario spécimen: quindi il soggetto che fa firmare, e

dunque riceve e conserva quei dati (ad esempio una

banca), può accedere, ed anzi accede, sia al dato

grafometrico originario, sia a quello creato nella

specifica occasione (entrambi parametri per effettuare il

confronto e procedere nell’identificazione);

Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati

personalipersonali

o nell’uso a scopo di imputazione, i dati grafometrici non

sono accessibili dal soggetto che riceve la firma (ad

esempio un medico), il cui interesse all’accesso è solo

eventuale, e solo nel caso il soggetto che ha firmato

contesti di aver sottoscritto il modulo del consenso

informato alla prestazione sanitaria: ipotesi legata

comunque all’instaurazione di una procedura giudiziaria,

e quindi legata ad un preciso ordine dell’autorità

giudiziaria che richieda l’acquisizione del dato.

Firme grafometriche e trattamento dei dati Firme grafometriche e trattamento dei dati

personalipersonali

o In particolare in tale applicazione interviene una terza

parte, che svolge il compito di rendere inaccessibile il

dato grafometrico al soggetto che lo detiene (usando la

tecnica della crittografia asimmetrica), ed eventualmente

renderlo di nuovo accessibile nel momento in cui si attivi

una procedura giudiziaria.

Il sistema costruito dal

Codice

dell’Amministrazione

Digitale

Il sistema costruito dal C.A.D.

art. 20, c.1: “Il documento informatico da chiunque formato,

la memorizzazione su supporto informatico e la trasmissione

con strumenti telematici conformi alle regole tecniche di cui

all’art. 71 sono validi e rilevanti a tutti gli effetti di legge ai

sensi delle disposizioni del presente codice”

art. 23, quater: Viene inserita la categoria delle

“riproduzioni informatiche” all’interno dell’art. 2712 c.c.

art. 21, c. 1: “Il documento informatico, cui è apposta una

firma elettronica, sul piano probatorio è liberamente

valutabile in giudizio, tenuto conto delle sue caratteristiche

oggettive di qualità, sicurezza, integrità e immodificabilità”

Il sistema costruito dal C.A.D.

art. 21, c. 2 : “Il documento informatico, sottoscritto con

firma elettronica avanzata, qualificata o digitale, formato

nel rispetto delle regole tecniche di cui all’art. 20 comma

3, che garantiscano l’identificabilità dell’autore,

l’integrità e l’immodificabilità del documento, ha

l’efficacia prevista dall’articolo 2702 del codice civile

(Scrittura Privata).

L’utilizzo del dispositivo di firma si presume

riconducibile al titolare, salvo che questi dia prova

contraria.”

Il sistema costruito dal C.A.D.

art. 21, c. 2-bis : “Salvo quanto previsto dall' articolo 25 , le

scritture private di cui all'articolo 1350, primo comma,

numeri da 1 a 12, del codice civile, se fatte con documento

informatico, sono sottoscritte, a pena di nullità, con firma

elettronica qualificata o con firma digitale.

Gli atti di cui all'articolo 1350, numero 13, del codice civile

soddisfano comunque il requisito della forma scritta se

sottoscritti con firma elettronica avanzata, qualificata o

digitale

Il sistema costruito dal C.A.D.

art. 23-ter : “1. Gli atti formati dalle pubbliche

amministrazioni con strumenti informatici, nonché i dati e i

possibile

effettuare, su diversi o identici tipi di supporto, duplicazioni

e copie per gli usi consentiti dalla legge.

2. I documenti costituenti atti amministrativi con rilevanza

interna al procedimento amministrativo sottoscritti con firma

elettronica avanzata hanno l'efficacia prevista dall'art. 2702

del codice civile”

La firma digitale:

aspetti tecnici

48

Le tecnologie crittografiche

Crittografia è la tecnica che permette, con l’aiuto

di un algoritmo matematico, di trasformare un

messaggio leggibile da tutti in una forma illeggibile

per quegli utenti che non possiedano una chiave

segreta di decifrazione.

La funzione è reversibile, per cui l’applicazione

dello stesso algoritmo e della chiave segreta al testo

cifrato restituisce il testo originale

La crittografia esiste fin dall’antichità: se ne

parla nelle “Vite Parallele” di Plutarco

(la “scitala”) e nella “Vita dei Cesari”

di Svetonio.

49

Le Tecniche di crittografia

• Crittografia c.d. Asimmetrica

• Crittografia c.d. Simmetrica:

– si usa una sola modalità per rendere

illeggibile e poi leggibile il testo, una

sola chiave segreta, la stessa per

criptare e decriptare il documento

enigma

50

La Crittografia Simmetrica si usa una sola modalità per rendere illegibile

il testo, una sola chiave segreta, la stessa per

criptare e decriptare il documento

le parti devono scambiarsi la chiave di

criptazione, la cui trasmissione implica

un serio problema di sicurezza

nel caso di comunicazione con diversi

soggetti, si devono adottare chiavi

diverse per ognuno di essi

la sicurezza dell’integrità del

documento, si ottiene nei confronti dei

terzi, ma non tra le parti

Aspetti negativi

51

La Crittografia simmetrica

• si usa una coppia di chiavi, complementari, diverse per

“chiudere” ed “aprire” il documento, di cui una viene

resa pubblica (in appositi elenchi consultabili

telematicamente) e l’altra mantenuta segreta

• può avere 2 distinte applicazioni: a fini di

segretezza, oppure a fini di autenticazione

chiave pubblica chiave privata

52

La Crittografia Asimmetrica a fini di

segretezza

Quando A chiude il documento con la chiave pubblica di B, è

sicuro che solo B, titolare della complementare chiave privata,

potrà aprirlo (in questo modo si ha la sicurezza della riservatezza

del messaggio, fine per cui è stata inventata tale tecnica)

A B

A cifra con la chiave pubblica di B B decifra con la sua chiave privata

Ma la Crittografia

Asimmetrica può avere

anche un’altra interessante

applicazione

54

La Crittografia Asimmetrica a fini di

autenticazione

Se B può aprire con la chiave pubblica di A, vuol dire

che tale documento è stato chiuso dalla chiave privata di

A, e quindi si ha la sicurezza che solo A può esserne

stato l’autore (in questo modo si accerta la provenienza

del messaggio, applicazione ulteriore di tale tecnica)

A B

A cifra con la sua chiave privata B decifra con la chiave pubblica di A

55

La Crittografia Asimmetrica a fini di

autenticazione e di segretezza

E’ l’unione delle due tecniche, permette di ottenere la

riservatezza del messaggio di cui è possibile accertare la

provenienza

A B

1- A cifra con la sua chiave privata 1- B decifra con la sua chiave privata

2- A cifra nuovamente con

la chiave pubblica di B 2- B decifra di nuovo con la

chiave pubblica di A

56

Crittografia Asimmetrica e

autenticazione

Abbiamo detto che caratteristica della crittografia

asimmetrica è il necessario collegamento tra chiave

privata e chiave pubblica (assioma tecnico)

quindi se si riesce ad aprire un determinato testo con

la chiave pubblica di Tizio, vuol dire che quel testo

può essere stato chiuso solo dalla corrispondente

chiave privata di Tizio

ma se è stato chiuso dalla chiave privata di Tizio,

questi, che ne è per definizione l’esclusivo utilizzatore

(presupposto “di sistema”), ne sarà anche stato

l’autore

57

Crittografia Asimmetrica e autenticazione

E’, dunque, un sistema che basa l'imputazione del

documento sull'esclusività dell'uso del mezzo, e non

sull'univocità della calligrafia di firma.

In questo modo, seppure in presenza di un medium

estremamente alterabile come il documento informatico,

è possibile essere certi della provenienza dello stesso e

della sua non ripudiabilità (cioè l'impossibilità di non

riconoscerlo più come proprio una volta inviato),

conferendogli valore giuridico;

ed è poi per questo che si parla di “firma digitale”,

anche se più correttamente dovrebbe usarsi

l’espressione “sigillo elettronico”

58

Alcuni difetti della

crittografia asimmetrica• applicare direttamente la chiave privata ad

un documento può avere alcune

conseguenze negative:

– a livello di efficienza del sistema

– a livello di sicurezza,

entrambi inversamente proporzionali alla

lunghezza del documento

• occorre poi risolvere il problema della

effettiva non ripudiabilità del messaggio

59

La Funzione di Hash

Per tali motivi prima di procedere alla

criptazione del documento si applica allo

stesso la cd “funzione di hash”;

questa, partendo da un certo documento, permette

di ottenere una stringa di testo di lunghezza

prefissata (cd “impronta”), a prescindere dalla

lunghezza del documento originario;

cambiando anche solo un carattere del testo

originario, si avrà un’impronta totalmente

diversa (aspetto che rende impossibile

manomettere il testo clandestinamente)

60

La “Firma Digitale”

Applicando quindi ad un certo documento

prima la funzione di hash, poi la chiave privata,

ottengo come risultato di raggiungere la

sicurezza circa la provenienza e la non

ripudiabilità dello stesso documento;

l’impronta criptata con la chiave privata

dell’autore del documento costituisce la “firma

digitale” (come disciplinata in origine nel

D.P.R. 10 novembre 1997, n. 513 e nel suo

regolamento tecnico, oggi dal D.Lgs. 82/2005).

Vediamo analiticamente Vediamo analiticamente

come si appone e si verifica come si appone e si verifica

una una ““Firma DigitaleFirma Digitale””

62

Accetto di acquistare1 libro a € 20

::,;kkk)//6%%$£ertt uyyytr o’’^????

Accetto di acquistare1 libro a € 20

___________

B

Applico la funzione di hash al

documento originario

Ottengo l’impronta

Applico la chiave privata (di A) all’impronta

Ottengo

la firma digitale

(l’impronta criptata)

Unisco la stringa con la firma digitale

al documento originario

Invio il documento così ottenuto a B

Apposizione di FirmaApposizione di Firma

Digitale ad un documento elettronicoDigitale ad un documento elettronico

63

Accetto di acquistare1 libro a € 20

__________

::,;kkk)//6%%$£ertt uyyytr o’’^????

Applico la funzione di hash al

documento originario

Ottengo l’impronta

Applico la chiave pubblica di A

Estraggo la firma digitale

Confronto le due impronteSe coincidono, ho la sicurezza della provenienza

e della genuinità del documento

Accetto di acquistare1 libro a € 20

::,;kkk)//6%%$£ertt uyyytr o’’^????

Estraggo il documento

originario

Verifica della FirmaVerifica della Firma

DigitaleDigitale

64

Un problema di basilare

importanza

Se il metodo per capire chi è l’autore di un

determinato messaggio riguarda la titolarità

della chiave pubblica, occorre essere sicuri

della corrispondenza chiave-titolare;

questa certezza è raggiunta attraverso una

terza parte che garantisce tale

corrispondenza, il cd Certificatore.

65

Il Certificatore

svolge la funzione di identificare il titolare della chiave

pubblica, rilasciare un certificato digitale che attesti tale

riconoscimento, e in genere metterlo a disposizione dei

terzi insieme alla stessa chiave pubblica, attraverso

l'inserimento in un elenco consultabile on-line;

i Certificatori facevano capo all'A.I.P.A., che certificava

le loro chiavi, gestiva l'elenco pubblico in cui venivano

inseriti e vigilava relativamente alla presenza ed al

mantenimento di specifici requisiti espressamente

previsti dalla legge.

il D.Lgs. 10/2002, poi abrogato e sostituito dal D.Lgs.

82/2005 (Codice dell’Amministrazione Digitale), ha

cambiato tale struttura

66

Il Certificatore

1. Actalis S.p.A. (dal 28/03/2002)

2. Aruba Posta Elettronica Certificata S.p.A. (dal 06/12/2007)

3. Banca d’Italia (dal 24/01/2008)

4. Banca Monte dei Paschi di Siena S.p.A. (dal 03/08/2004)

5. Cedacri S.p.A. (dal 15/11/2001)

6. CNDCEC (dal 10/07/2008)

7. Comando C4 Difesa - Stato Maggiore della Difesa (dal 21/09/2006)

8. Consiglio Nazionale del Notariato (dal 12/09/2002)

9. Consiglio Nazionale Forense (dal 11/12/2003)

10.I.T. Telecom S.r.l. (dal 13/01/2005)

67

Il Certificatore

11. I.T. Telecom S.r.l. (dal 13/01/2005)

12. In.Te.S.A. S.p.A. (dal 22/03/2001)

13. Infocert S.p.A. (dal 19/07/2007)

14. Intesa Sanpaolo S.p.A. (dal 08/04/2004)

15. Lombardia Informatica S.p.A. (dal 17/08/2004)

16. Namirial S.p.A. (dal 2/11/2010)

17. Postecom S.p.A. (dal 20/04/2000)

18. SOGEI S.p.A. (dal 26/02/2004)

Il Certificatore

È essenziale per l’ identificazione del titolare del dispositivo di

firma digitale/qualificata

I certificati elettronici sono “gli attestati elettronici che

collegano all'identità del titolare i dati utilizzati per verificare le

firme elettroniche”

il certificatore è “il soggetto che presta servizi di certificazione

delle firme elettroniche o che fornisce altri servizi connessi con

queste ultime”

Le funzioni del Certificatore

In sintesi, l'attività di certificazione consiste nell’attestare con certezza

il collegamento tra dispositivo di firma e soggetto titolare

II certificatore, perciò, è tenuto a :

1accertare l’identità dei titolari

2rilasciare i certificati

3gestire il pubblico archivio, garantendone la consultabilità e

l’aggiornamento

4comunicare la sospensione/revoca dei certificati.

La responsabilità del Certificatore

Prima dell’entrata in vigore del CAD, ci si era chiesti se la

responsabilità civile del certificatore fosse riconducibile:

oall’art. 2043 c.c.: chi cagiona ad altri dolosamente o

colposamente un danno ingiusto è obbligato a risarcirlo

oall’art. 1218 c.c., il quale stabilisce che il debitore che non

esegue correttamente la prestazione dovuta è tenuto al

risarcimento del danno

oall’art. 2050 c.c, e quindi da ricondurre all’esercizio di attività

pericolose…

La responsabilità del Certificatore

Il CAD ha introdotto la specifica disciplina della responsabilità

civile del certificatore, all’art. 30, il quale si pone come norma

speciale rispetto a quelle, generali, del codice civile

La responsabilità del certificatore diviene così una sintesi

responsabilità contrattuale ed extracontrattuale:

da una parte, il certificatore risponde del mancato o inesatto

adempimento dei suoi compiti (in presenza di un danno concreto)

dall’altra, l’onere della prova grava su di lui (“… è responsabile, se non

prova di aver agito senza dolo o colpa, del danno cagionato …”)