CENTRO NAZIONALE PER L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE

Linee guida per l'utilizzo della firma digitale

Versione 1.1 – maggio 2004

1. Scopo e destinatari del documento
2. Definizioni
3. Struttura del documento
4. Introduzione alle sottoscrizioni informatiche
5. Utilizzo della firma digitale
6. La firma digitale e la direttiva europea sulle firme elettroniche
    6.1 Firme "leggere" e firme "forti"
7. La diffusione della "firma digitale" in Europa
8. Il valore legale della firma digitale in Italia
9. Dove e come dotarsi di firma digitale
    9.1 Il kit di firma digitale ed i costi
    9.2 I Cittadini
    9.3 Le Imprese
    9.4 Le pubbliche Amministrazioni
10. La procedura di firma digitale
    10.1 Firma digitale di un singolo documento
    10.2 Firma digitale con procedure automatiche
11. La procedura di verifica
    11.1 Esempio di verifica
    11.2 Procedure automatiche
12. Lo strumento "firma digitale" integrato nel processo di e-government
13. Appendice: la Direttiva Europea 1999/93/CE (omessa  in questa versione)

Scopo e destinatari del documento

Questo breve documento ha lo scopo di chiarire cosa sia la firma digitale, le differenze sostanziali fra le varie tipologie di firme elettroniche, le modalità con cui è possibile dotarsi di un dispositivo di firma digitale, come effettuare la verifica di una firma digitale e gli utilizzi pratici di questo strumento.
Il documento si rivolge ai cittadini, alle imprese ed alle pubbliche amministrazioni che intendono dotarsi dei dispositivi di firma necessari per sottoscrivere con firma digitale i documenti informatici.

Definizioni

Norme di riferimento

Struttura del documento

Il documento è strutturato per argomenti indipendenti. Lo scopo è quello di consentire anche la lettura delle sole sezioni di interesse. La seguente tabella ha lo scopo di indirizzare coloro che intendono leggere esclusivamente gli argomenti di loro interesse nell’individuazione degli stessi.
Per ogni argomento è quindi suggerito, dipendentemente dalla tipologia del lettore, il grado di attinenza alle esigenze informative peculiari.

FC= Lettura fortemente consigliata. C= Lettura consigliata. A= Lettura di approfondimento

Introduzione alle sottoscrizioni informatiche

A partire del 1997, una serie di provvedimenti legislativi hanno conferito valore giuridico al documento informatico e alla firma digitale. La pubblicazione della Direttiva Europea 1999/93/CE (Directive 1999/93/EC of the European Parliament and of the Council on a common framework for electronic signatures), nel gennaio del 2000, ha dato ulteriori impulsi al processo legislativo, imponendo un quadro comune agli Stati dell’Unione Europea. Il processo legislativo ha anche fornito delle indicazioni sulle tecnologie da impiegare per ottenere delle firme digitali che possano ritenersi equivalenti a quelle autografe. La struttura normativa dettata dal legislatore comunitario ha introdotto differenti sottoscrizioni o, più correttamente, differenti livelli di sottoscrizione. Nel linguaggio corrente, quindi, hanno iniziato a essere utilizzati i termini firma "debole" o "leggera" e firma "forte" o "pesante". Non è obiettivo di queste Linee Guida approfondire questi concetti, ma senz’altro è opportuno chiarire cosa sono queste firme e quale è la loro efficacia giuridica. Un breve approfondimento giuridico è sviluppato nel paragrafo 6 mentre nel seguito del paragrafo vengono presentati i principali aspetti tecnici.

Dal punto di vista tecnico e realizzativo è ben definita la firma "forte", ovvero quella che il legislatore definisce firma digitale. Essa è basata su un sistema a chiavi crittografiche asimmetriche, utilizza un certificato digitale con particolari caratteristiche, rilasciato da un soggetto con specifiche capacità professionali garantite dallo Stato e viene creata mediante un dispositivo con elevate caratteristiche di sicurezza che in genere è una smart card.

L’altra tipologia di firma è la parte complementare. Tutto ciò che non risponde anche in minima parte a quanto appena descritto, ma è compatibile con la definizione giuridica di firma elettronica presentata nella tabella delle definizioni, è un firma "leggera".
Ovviamente l’efficacia giuridica delle due firme è diversa. La firma digitale è equivalente a una sottoscrizione autografa. Le altre potrebbero non esserlo: vengono valutate in fase di giudizio in base a caratteristiche oggettive di qualità e sicurezza.

Come ulteriore garanzia per la pubblica amministrazione, che è obbligata ad accettare i documenti firmati digitalmente, i certificatori che intendono rilasciare certificati digitali validi per le sottoscrizioni di istanze e dichiarazioni inviate per via telematica alla pubblica amministrazione stessa, possono dimostrare di possedere particolari e comunque superiori caratteristiche di qualità e sicurezza e ottenere quindi la qualifica di "certificatore accreditato". Tale qualifica è sotto il controllo ed è garantita, in Italia, dallo Stato.

Concludendo, possiamo dire che nell’utilizzo del documento informatico, quando si ha la necessità di una sottoscrizione equivalente a quella autografa è indispensabile utilizzare la firma digitale.
Negli altri casi possiamo tranquillamente affermare che più che di un processo di firma si tratta di un processo di autenticazione con minori requisiti di sicurezza e quindi con una minore efficacia probatoria.

Da quanto esposto si può dedurre che nella pubblica amministrazione l’espressione del potere di firma nel documento informatico da parte del funzionario che ne ha titolarità, dovrà essere esercitata con la firma digitale.

Utilizzo della firma digitale

La firma digitale è uno strumento e come tale deve essere utilizzato nei modi e nei casi appropriati. Ricordiamo che non è corretto il suo utilizzo come sistema di identificazione in rete, per il quale esistono strumenti quali la carta d’identità elettronica e le carte di accesso ai servizi.
La firma digitale è utile nel momento in cui è necessario sottoscrivere una dichiarazione ottenendo la garanzia di integrità dei dati oggetto della sottoscrizione e di autenticità delle informazioni relative al sottoscrittore.
La garanzia che il documento informatico, dopo la sottoscrizione, non possa essere modificato in alcun modo in quanto, durante la procedura di verifica, eventuali modifiche sarebbero riscontrate, la certezza che solo il titolare del certificato possa aver sottoscritto il documento perché non solo possiede il dispositivo di firma (smartcard/tokenUSB) necessario, ma è anche l’unico a conoscere il PIN (Personal Identification Number) necessario per utilizzare il dispositivo stesso, unite al ruolo del certificatore che garantisce la veridicità e la correttezza delle informazioni riportate nel certificato (dati anagrafici del titolare), forniscono allo strumento "firma digitale" caratteristiche tali da non consentire al sottoscrittore di disconoscere la propria firma digitale (fatta salva la possibilità di querela di falso).
Esempi tipici dell’utilizzo della firma digitale possono essere ricercati in tutti gli adempimenti da effettuarsi verso le amministrazioni che richiedono appunto la sottoscrizione di una volontà: denunce, dichiarazioni di cambi di residenza, di domicilio, richieste di contributi, di esenzioni a pagamenti a causa del reddito o di altre condizioni particolari, ricorsi, ecc.
Fra privati può trovare un interessante impiego nella sottoscrizione di contratti, verbali di riunioni, ordini di acquisto, risposte a bandi di gara, ecc.
Ancora, la firma digitale trova già da tempo applicazione nel protocollo informatico, nella procedura di archiviazione documentale, nel mandato informatico di pagamento, nei servizi camerali, nelle procedure telematiche d’acquisto, ecc.
Alcuni Comuni che partecipano alla sperimentazione della Carta d’Identità Elettronica hanno dotato i propri cittadini di entrambi gli strumenti (CIE o CNS e Firma Digitale) e sviluppato dei servizi in rete tramite i quali i cittadini possono farsi identificare in rete (CIE/CNS), accedere quindi ai propri dati personali nel pieno rispetto delle norme sulla privacy, e sottoscrivere (firma digitale) dichiarazioni, denunce, ricorsi. Ecco quindi che si intravede l’obiettivo finale: dotarsi di un unico strumento con cui sarà possibile farsi riconoscere e sottoscrivere dichiarazioni, fruendo dei vantaggi derivanti dai servizi in rete.

La firma digitale e la direttiva europea sulle firme elettroniche

Come già detto sopra, la firma elettronica viene introdotta dalla Direttiva nell’ambito delle definizioni. Tale definizione è stata riportata nella tabella all’inizio delle presenti Linee Guida.
La lettura della definizione ne evidenzia la genericità, quindi essa si presta a interpretazioni differenti e, conseguentemente, risulta per certi versi ambigua e di difficile attuazione concreta. Essa è e rimane un principio giuridico.
Un piccolo passo in avanti lo consente, sempre nella Direttiva, la definizione di firma elettronica avanzata (per la definizione completa si rimanda all’appendice).
In base a tale definizione si comincia a comprendere che ci si deve confrontare con una molteplicità di tipologie di firma. Dal punto di vista pratico è sufficiente considerare:

a) la firma elettronica (generica) può essere realizzata con qualsiasi strumento (password, PIN, digitalizzazione della firma autografa, tecniche biometriche, ecc.) in grado di conferire un certo livello di autenticazione a dati elettronici;
b) la firma elettronica avanzata, più sofisticata, consente di identificare in modo univoco il firmatario garantendo anche l’evidenza di modifiche all’oggetto firmato, apportate dopo la sottoscrizione.

Allo stato dell’arte, solo il sistema a chiavi asimmetriche definito per la firma digitale nella legge italiana "pre-Direttiva", soddisfa i requisiti richiesti per la firma elettronica avanzata.
Nessuna delle due firme descritte soddisfano per la Direttiva il requisito di equivalenza con la firma autografa.
E’ necessario quindi fare un ulteriore passo in avanti.

Firme "leggere" e firme "forti"

Anche se è utilizzato correntemente, all’interno della Direttiva non compare mai il concetto di firma "leggera", né quello di firma "forte". Queste definizioni sono state introdotte dagli addetti ai lavori per sopperire alla mancanza di una definizione esplicita di altre tipologie di firma.
Queste tipologie sono introdotte nell’articolo 5 della Direttiva (vedi Appendice per il testo completo dell’articolo). In particolare il primo comma di questo articolo introduce la tipologia di firma più importante dal punto di vista legale perché equivalente alla sottoscrizione autografa. Spesso ci si riferisce ad essa con il termine firma "forte", mentre fra gli addetti ai lavori, specialmente in campo internazionale, la si indica come "firma 5.1".
La firma "forte" è anch’essa nei termini presentati, un principio giuridico, ma vediamo come può essere realizzata praticamente.
Detta firma è una firma elettronica avanzata perché così si deduce dalla definizione. Essa soddisfa specifiche caratteristiche derivanti dal certificatore. Questo è il soggetto che certifica le chiavi mediante le quali la firma è stata generata. Inoltre deve essere apposta con strumenti sicuri come ad esempio un smart card.
Riassumendo, affinché la firma apposta possa essere considerata equivalente ad una autografa:

a) deve essere basata su un sistema a chiavi asimmetriche;
b) deve essere generata con chiavi certificate con le modalità previste nell’allegato I della Direttiva (vedi appendice);
c) deve essere riconducibile a un sistema di chiavi provenienti da un certificatore operante secondo l’allegato II della Direttiva (vedi appendice) e soggetto a vigilanza da parte di un organo definito (il termine "vigilanza" è proprio del recepimento italiano della Direttiva che utilizza "supervisione". Sempre nel recepimento è stato stabilito che la vigilanza è a carico del Dipartimento per l’innovazione e le tecnologie della Presidenza del Consiglio dei Ministri);
d) deve essere generata utilizzando un dispositivo sicuro che soddisfi i requisiti dell’allegato III della Direttiva (vedi appendice).

Come si vede, a parte piccole differenze organizzative, la precedente normativa italiana "pre-Direttiva" soddisfa quanto appena riassunto.
I certificatori già iscritti nell’elenco pubblico dei certificatori hanno di fatto le caratteristiche per essere considerati "accreditati" secondo quanto previsto dall’articolo 3, comma 2 della Direttiva. Questo fatto, inoltre, è già stato riconosciuto nel decreto di recepimento della Direttiva (art. 11, comma 2 del D.Lgs. 23 gennaio 2002, n. 10).
Il secondo comma dell’articolo 5 della Direttiva (vedi appendice) conferisce dignità giuridica alle altre tipologie di firma. Esse non sono definibili tecnologicamente a priori. Possono essere generate senza vincoli sugli strumenti e sulla modalità operative. E’ ovvio che non offrono garanzie di interoperabilità se non in particolari condizioni di utilizzo come in gruppi chiusi di utenti. Infatti, in questo caso, la comunità di utenti condivide gli strumenti di firma e di verifica della stessa. Un giudice, come stabilito nel citato secondo comma dell’articolo 5 della Direttiva, non potrà rifiutare in giudizio queste firme "leggere", ma la loro ammissibilità nascerà dalla libera convinzione e non dall’obbligo di legge previsto per le firme cosiddette "forti".

La diffusione della "firma digitale" in Europa

Nell’ambito del F.E.S.A. (Forum of European Supervisor Authority), il cui scopo è far incontrare rappresentanti dei vari organismi di vigilanza nazionali in Europa per l’armonizzazione dei principi e delle tecniche fondamentali che regolano la materia nei rispettivi Stati, si è proceduto alla verifica della diffusione della firma digitale. Da questa analisi, (eseguita nell’ottobre 2002) è emerso che l’Italia era, con 500.000 certificati lo Stato con la maggiore diffusione di certificati, seguita dalla Norvegia con 32.000, e dalla Germania (26.000).
Nel primo trimestre 2004 il numero dei dispositivi rilasciati in Italia per la firma digitale ha superato 1.250.000 unità.
La firma digitale generata in qualunque Stato membro della Comunità deve, sulla base dei trattati comunitari, essere riconosciuta dagli altri Stati. Al fine di rendere agevole tale mutuo riconoscimento è indispensabile che le norme nazionali di recepimento della Direttiva europea 1999/93/CE sulle firme elettroniche nei rispettivi Stati, forniscano un insieme comune di garanzie e certezze. Anche a tale fine diversi organismi fra cui l’EESSI, la Commissione sancita dall’articolo 9 della citata Direttiva europea, l’ETSI, il FESA, stanno lavorando per affinare la Direttiva stessa e realizzare nel contempo degli standard la cui applicazione consenta appunto di raggiungere un adeguato livello di fiducia in tutta la Comunità.
La diffusione della firma digitale in Europa e il suo utilizzo fra gli Stati è una sfida non da poco.
Basti pensare quanto è stato complicato raggiungere l’interoperabilità, perlomeno nel processo di verifica, in Italia, dove si aveva comunque il grande vantaggio derivante dal fatto che tutti i protagonisti (certificatori e titolari) dovevano sottostare alle medesime norme.

Il valore legale della firma digitale in Italia

La firma digitale ha trovato l’impianto legislativo necessario per il proprio utilizzo con la pubblicazione, in data 15 aprile 1999, delle regole tecniche costituite dal DPCM 8 febbraio 1999 (oggi sostituito dal DPCM 13 gennaio 2004).
In data 27 gennaio 2000 veniva incluso, nell’elenco pubblico dei certificatori, il primo soggetto autorizzato a rilasciare dispositivi di firma digitale utilizzabili per poter sottoscrivere documenti informatici con la medesima validità giuridica della firma autografa. Un richiamo ben preciso all’articolo 2702 del codice civile ne sanciva, infatti, la validità giuridica, prevedendo appunto che "La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta"
Quindi la firma digitale era giuridicamente valida, fatta salva la possibilità per il presunto sottoscrittore di disconoscerne la paternità. In tale evenienza era la controparte, e non il sottoscrittore, a doverne dimostrare la reale paternità.
Diversamente se una firma è "legalmente considerata come riconosciuta", ed è il caso ad esempio di una firma autenticata da un pubblico ufficiale, è il sottoscrittore che, per vederne nulli gli effetti, deve intentare una querela di falso.
Con il recepimento della Direttiva europea sulle firme elettroniche 1999/93/CE le cose sono cambiate.
Difatti, già il primo provvedimento legislativo, il DLGS 23 gennaio 2002, n.10, modificando l’articolo 10 (L) " Forma ed efficacia del documento informatico" del DPR 28 dicembre 2000, n.445 – dove era confluito il DPR 10 novembre 1997, n.513 – modificava, rafforzandolo, il valore giuridico di una sottoscrizione effettuata con firma digitale. Detto articolo, al comma 3, prescrive che " Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto "
Quindi, alla sottoscrizione con firma digitale "forte" (quella che possiede le seguenti caratteristiche: 1- è una firma elettronica avanzata, 2- è basata su un certificato qualificato, 3- è generata per mezzo di un dispositivo sicuro per la generazione delle firme) viene data la medesima validità giuridica di una firma autografa autenticata da un pubblico ufficiale.
A tutte le altre possibili tipologie di firme elettroniche, cioè quelle cui mancano uno o più delle tre caratteristiche indicate nel periodo precedente, viene esplicitamente conferito valore probatorio.
In un procedimento legale tali firme elettroniche dovranno essere di volta in volta analizzate dal giudice (che si avvarrà certamente di un perito) che deciderà se ammetterle quali prove in giudizio.
Questa previsione, che è stata resa esplicita per recepire senza dubbio alcuno quanto prescritto dalla Direttiva europea, era già presente nel nostro codice civile in quanto, lo stesso, prevede che nessuna prova in giudizio possa essere ricusata a priori.

Dove e come dotarsi di firma digitale

Coloro che intendono dotarsi di quanto necessario per poter sottoscrivere con firma digitale documenti informatici possono rivolgersi ad uno dei soggetti autorizzati: i Certificatori.
L’elenco pubblico dei certificatori è disponibile via Internet per la consultazione (), dove sono anche disponibili i link ai siti web degli stessi sui quali sono indicate le modalità operative da seguire. E’ bene precisare che vi sono alcuni soggetti che espletano questa attività esclusivamente per gruppi chiusi di utenti. E’ il caso del Centro Tecnico che esercita l’attività di certificatore esclusivamente per le PA appartenenti alla Rete Unitaria della Pubblica Amministrazione, piuttosto che l’Esercito Italiano o il Consiglio Nazionale del Notariato, che svolgono detta attività solo per gli appartenenti alle proprie strutture.
Esclusi questi soggetti vi sono, ad oggi, quattordici certificatori accreditati cui rivolgersi.

Il kit di firma digitale ed i costi

Per poter generare firme digitali è necessario essere dotati di un dispositivo sicuro per la generazione delle firme (costituito da una smartcard o da un token USB), un lettore di smartcard (nel caso in cui non si utilizzi il token USB), un software in grado di interagire con il dispositivo per la generazione di firme digitali e per la gestione del dispositivo stesso (es. per il cambio del PIN che ne consente l’uso).
I costi del kit completo è variabile da certificatore a certificatore; a titolo orientativo è comunque possibile ottenere il kit completo ad un prezzo di circa 100€. Il certificato ha una scadenza, e deve essere quindi rinnovato periodicamente. In genere hanno una validità di uno o due anni, il rinnovo ha un costo orientativo di 10/15 € per anno. E’ bene evidenziare che tutti i certificatori prevedono delle condizioni economiche specifiche per forniture di particolare rilievo.

I Cittadini

I cittadini che intendono utilizzare la firma digitale dovranno recarsi presso l’autorità di registrazione (RA) del certificatore per l’identificazione, la sottoscrizione del contratto di servizio e fornitura, per consegnare eventuale documentazione comprovante il possesso di titoli qualora desideri che detti titoli siano riportati all’interno del certificato.
Le procedure per richiedere il rilascio del certificato (e la fornitura del dispositivo di firma) sono peculiari di ogni certificatore anche se, nella sostanza, prevedono la medesima attività. Dette procedure sono riportate nel manuale operativo () di ogni certificatore. Nella scelta del certificatore è bene verificare quali servizi aggiuntivi sono forniti dagli stessi (es. certificato di autenticazione e crittografia), la durata del periodo di validità del certificato ed i costi per il rinnovo.

Le Imprese

Quando un’impresa decide di dotare un numero considerevole dei propri dipendenti del kit di firma digitale, contatta i vari certificatori per scegliere, sulla base del numero dei kit necessari, del costo complessivo dell’operazione e dei servizi accessori offerti, quello che meglio soddisfa le proprie esigenze. Inoltre, è piuttosto frequente che vi siano accordi al fine di demandare all’impresa stessa l’attività di registrazione e di verifica dell’identità del titolare del certificato. Questa pratica viene spesso utilizzata in quanto comporta diversi benefici a tutti i soggetti coinvolti (dipendente, impresa e certificatore). Il dipendente non deve recarsi fisicamente presso l’autorità di registrazione del certificatore, l’impresa ha un risparmio notevole in termini di ore lavoro spese dai dipendenti per recarsi presso il certificatore oltre al controllo diretto dei certificati emessi per i propri dipendenti con procedure snelle e rapide che consentono di richiedere sospensioni e revoche dei certificati stessi. Il certificatore trae vantaggio dal fatto che non deve impegnare risorse umane per il riconoscimento dei titolari, la verifica dei titoli e di eventuali incarichi o ruoli svolti per l’impresa richiedente.

Le pubbliche Amministrazioni

Le pubbliche Amministrazioni possono agire come descritto nel paragrafo precedente per le imprese o, in alternativa, possono richiedere di essere accreditate (iscritte quindi nell’elenco pubblico dei certificatori) utilizzando in realtà le infrastrutture tecnologiche di uno dei soggetti già iscritti nell’elenco pubblico dei certificatori. In questo caso, oltre ai vantaggi descritti nel paragrafo precedente, ottengono il vantaggio di risultare, nella fase di verifica di un documento informatico sottoscritto con firma digitale da un proprio dipendente, quali soggetti che emettono e garantiscono le informazioni inerenti il dipendente stesso.

La procedura di firma digitale

Generare una firma digitale richiede la disponibilità del kit di firma digitale che, ricordiamo, è composto dal dispositivo sicuro di generazione della firme (smartcard o token USB), eventuale lettore di smartcard, software di firma in grado di utilizzare lo specifico dispositivo di cui si è dotati. Difatti, mentre è vero che è possibile verificare firme digitali generate utilizzando dispositivi eterogenei, non è possibile (salvo essere dotati di software disegnati a tale scopo) utilizzare dispositivi di firma forniti dal certificatore A con il software di firma fornito dal certificatore B.
La procedura di firma è piuttosto banale: dopo aver reso disponibile il dispositivo, inserendo quindi la smartcard nell’apposito lettore o aver inserito il Token USB nella porta specifica, l’applicazione di firma provvederà a richiedere l’inserimento del PIN di protezione, visualizzerà e richiederà di scegliere quale certificato si intende usare e procederà infine alla generazione della firma.
Ricordiamo infatti che un dispositivo sicuro di firma può contenere diversi certificati, e quindi diverse chiavi private, rilasciati per scopi diversi.
Tipico esempio potrebbe essere quello di un soggetto dotato di tre certificati di sottoscrizione: in qualità di cittadino, quale rappresentante legale di una società, quale componente di una commissione. Detto soggetto selezionerà, in fase di sottoscrizione, l’uno o l’altro certificato dipendentemente dalla natura dell’oggetto che si accinge a sottoscrivere.

Firma digitale di un singolo documento

La firma digitale di un singolo documento è operativamente dipendente dal software di firma di cui si dispone. Tale software può essere fornito da un certificatore, ma sono disponibili anche numerosi prodotti sviluppati da altre aziende.
Indipendentemente dal prodotto però i passi per la sottoscrizione digitale di un singolo documento sono sempre gli stessi. Vediamo quali.
Bisogna ovviamente disporre di un personal computer al quale preventivamente abbiamo collegato il lettore/scrittore di smart card in base alle indicazioni del fornitore.
Dopo aver attivato il software di firma ci verrà richiesto di selezionare il documento da sottoscrivere e di inserire la smart card nel lettore se non lo si è ancora fatto. All’attivazione del processo di firma ci verrà richiesto di inserire il codice PIN della smart card e dopo qualche secondo potremo salvare un file sottoscritto e pronto per essere utilizzato.
In base alla legislazione vigente sull’interoperabilità della firma digitale il file sottoscritto conserva il suo nome originale, al quale viene aggiunta l’estensione ".p7m". Ne risulta che il file mensa.pdf, dopo la sottoscrizione, diverrà mensa.pdf.p7m e come tale sarà fruito da altre applicazioni.

Firma digitale con procedure automatiche

In numerose situazioni il procedimento di sottoscrizione può coinvolgere un elevato numero di documenti. Non è quindi efficiente in tali procedimenti l’utilizzo della sottoscrizione "documento per documento" quanto meno perché ogni sottoscrizione richiede la digitazione del PIN di sblocco della smart card di firma.
E’ perfettamente legale l’utilizzo di procedure automatiche di sottoscrizione, purché ci si attenga a particolari cautele indicate anche dalla legislazione vigente.
In particolare, è necessario che quando il titolare appone la sua firma mediante una procedura automatica utilizzi una coppia di chiavi diversa da tutte le altre in suo possesso. Questo per identificare immediatamente, in fase di verifica, il fatto che è stata utilizzata una procedura automatica. Per motivi analoghi, ogni dispositivo di firma utilizzato per procedure automatiche deve disporre di coppie di chiavi differenti, una per dispositivo, anche se il titolare è sempre lo stesso.
L’utilizzo di dispositivi di firma particolari denominati HSM (Hardware Security Module) garantisce migliori prestazioni rispetto alle smart card. E’ anche possibile utilizzare particolari applicazioni che consentono di digitare il PIN una sola volta a fronte della sottoscrizione di più documenti, garantendo comunque una chiara informativa circa la natura ed il numero dei documenti che verranno automaticamente sottoscritti.

La procedura di verifica

La procedura di verifica della firma digitale apposta ad un documento informatico consiste sostanzialmente nel verificare che:

1. il documento non sia stato modificato dopo la firma;
2. il certificato del sottoscrittore sia garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori;
3. il certificato del sottoscrittore non sia scaduto;
4. il certificato del sottoscrittore non sia stato sospeso o revocato.

Per eseguire queste verifiche, oltre che per rendere leggibile il contenuto del documento, sono utilizzati specifici software. Detti software sono forniti dai certificatori ai titolari dei certificati; coloro che non sono dotati di un kit di firma digitale possono altresì utilizzare dei software disponibili per uso personale a titolo gratuito: attualmente ne sono stati segnalati quattro, tre da installare sul proprio PC, il quarto disponibile via web. Detti software freeware sono stati resi disponibili dal CNIPA (Verifica_CT – www.cnipa.gov.it/), dalla Comped (DigitalSign – www.comped.it/), da Postecom (FirmaOK – www.poste.it/online/postecert), dalla società Digitaltrust (Sign’ncrypt – www.signncrypt.it) e da TrustItalia (Signo Reader – https://firmadigitale.trustitalia.it/).
Per eseguire la verifica non è necessario disporre di smartcard e lettore, in sintesi non si deve essere necessariamente dotati del kit di firma digitale.
Per eseguire le verifiche di cui ai punti 1, 2 e 3 è sufficiente essere dotati di un personal computer, di un prodotto utile per la verifica, piuttosto che del collegamento ad Internet per la verifica con il prodotto disponibile via web. Per la verifica al punto 4 è necessario avere accesso ad Internet. Difatti, i software di verifica si collegano alla lista di revoca dove il certificatore che ha emesso il certificato qualificato renderà disponibili le informazioni relative alla sospensione o revoca del certificato nel caso in cui si verifichi.
Per la verifica al punto 2 è necessario che sui software installati sul client siano stati caricati i certificati di certificazione dei soggetti iscritti nell’elenco pubblico.
A tale scopo, nel caso in cui i software forniti non abbiano già i certificati delle CA caricati, è necessario scaricare dal sito preposto () l’elenco pubblico che contiene detti certificati e procedere alla loro installazione.
La procedura descritta è realizzabile in maniera completamente automatica, eventualmente con la necessità di disporre di una connessione a Internet per la verifica della revoca, che deve necessariamente basarsi su informazioni molto aggiornate, e quindi disponibili esclusivamente in rete. E’ possibile, inoltre, che vi siano altre verifiche non effettuabili in modalità automatica.
In particolare, un certificato può avere dei limiti di validità dipendenti dalla natura del documento sottoscritto; a titolo di esempio, è possibile che un certificato qualificato garantisca la validità della firma a meno che essa non venga utilizzata per sottoscrivere contratti che coinvolgono transazioni monetarie che eccedono un limite stabilito dal certificatore. La firma di un contratto al di fuori di tali condizioni è considerata non valida, cioè corrisponde alla mancata sottoscrizione. Limiti di questo tipo non sono verificabili in maniera automatica, e richiedono all’utente di porre attenzione ad eventuali note che, comunque, sono sempre incluse nel certificato relativo alla firma che si sta verificando.

Esempio di verifica

Per rendere evidente che la procedura di verifica è in realtà molto più complessa da descrivere che da eseguire, in questo paragrafo viene riportato un processo di verifica effettuato con il prodotto FirmaOK.
Ipotizziamo quindi di aver ricevuto il documento "mensa.pdf.p7m" sottoscritto con firma digitale.

Sarà quindi necessario ricordare che il documento da conservare con le cure del caso è quello inizialmente ricevuto, quello che contiene la firma digitale, riconoscibile dall’estensione "p7m".

Altri prodotti possono ovviamente avere un’interfaccia grafica diversa, modalità operative peculiari, fermo restando che devono possedere funzionalità atte ad eseguire le verifiche descritte precedentemente.

Procedure automatiche

Nel caso in cui un soggetto realizzi un servizio in rete che prevede l’invio da parte degli utilizzatori di oggetti sottoscritti con firma digitale ovviamente non sarebbe pensabile utilizzare il processo di verifica manuale descritto precedentemente. Sarebbe quindi necessario realizzare una integrazione dell’applicativo destinato alla gestione di suddetto flusso informatico con funzioni di verifica delle rispettive firme digitali. Sono disponibili sul mercato diverse soluzioni che vanno da prodotti specifici le cui funzioni possono essere richiamate da altri applicativi, a librerie e macro specifiche da integrare direttamente nell’applicativo proprietario.

Lo strumento "firma digitale" integrato nel processo di e-government

Fino dalla sua nascita la firma digitale è stata una punta di diamante del Governo Italiano nell’ambito dei processi di semplificazione amministrativa. Infatti la firma digitale è indispensabile nell’automazione dei processi amministrativi, nella gestione informatizzata dei flussi documentali e in tutti quei procedimenti dove si vuole l’eliminazione del documento cartaceo (smaterializzazione del procedimento amministrativo).
Sono oramai numerose le applicazioni che utilizzano la firma digitale nell’ambito della pubblica amministrazione. Queste stanno coinvolgendo le imprese, con l’obbligo di trasmissione telematica dei bilanci alle Camere di Commercio, la pubblica amministrazione, con la piena smaterializzazione dei mandati di pagamento con tutti i flussi firmati digitalmente, i cittadini, con la possibilità già descritta precedentemente di inviare istanze e dichiarazioni alla pubblica amministrazione in modalità telematica.
I professionisti saranno sempre più coinvolti nell’utilizzo della firma digitale per gli atti notarili, gli atti giudiziari nell’ambito del processo telematico e per le dichiarazioni fiscali.

La diffusione della Carta d’Identità Elettronica e della Carta Nazionale dei Servizi non potrà che favorire ulteriormente lo sviluppo e il conseguente utilizzo della firma digitale da parte dei cittadini.

A livello internazionale c’è ancora da lavorare per garantire l’interoperabilità almeno a livello comunitario, ma dopo alcuni scetticismi da parte degli organismi comunitari il processo di regolamentazione è avviato anche in tal senso.

Al momento, in ogni caso ci si può dichiarare soddisfatti, visto che l’Italia, primo paese ad avere introdotto la firma digitale nella propria legislazione, è anche il primo paese a superare la soglia del milione di titolari di sottoscrizione digitale (dato ASSOCERTIFICATORI - gennaio 2004).