La «firma digitale» è un software, cioè un programma informatico che permette al suo titolare di firmare dei documenti informatici (files) ed, in questo modo, attribuire ad essi valore legale di manifestazione di volontà proveniente dal titolare stesso come se vi avesse apposto una firma autografa, garantendo così la provenienza e l'integrità del documento da eventuali manomissioni.
Il processo informatico di apposizione e di riconoscimento della firma digitale si basa sulla tecnica della c.d. «crittografia asimmetrica». La crittografia è una scrittura cifrata, che si può decifrare solo se si conosce la chiave, cioè il metodo di decifrazione. È asimmetrica quella basata non su una, ma su una coppia di chiavi (pertanto, essa è più sicura della crittografia simmetrica, basata su due chiavi identiche):
• |
una privata, custodita sulla Smart Card del titolare, protetta da un codice di accesso (PIN), emessa da un Ente Certificatore, che serve ad apporre sul documento informatico la firma digitale del titolare e ad applicargli un'impronta elettronica unica attraverso la funzione di Hash; |
• |
l'altra pubblica, creata e custodita dallo stesso Ente Certificatore (per esempio, Unioncamere o Postecom di Posta Italiana, i più importanti oggi in Italia), che viene utilizzata per la verifica della firma e della relativa impronta poiché essa permette di decifrare solo quanto cifrato dalla chiave privata corrispondente. |
L'associazione tra la chiave pubblica ed il titolare della corrispondente chiave privata si basa sull'emissione di un «certificato elettronico» o «digitale» (sempre un documento informatico), da parte dell'Ente Certificatore, che avviene solo dopo l'identificazione certa del firmatario attraverso la verifica con la chiave pubblica della firma apposta con la chiave privata e che attesta con certezza l'identità di questo e, pertanto, la provenienza del documento.
La disciplina del valore legale della firma digitale, emanata per la prima volta nel D.P.R. 28 dicembre 2000, n. 445 (Testo Unico sulla documentazione amministrativa) è stata poi riformata dal D.Lgs. 23 gennaio 2002, n. 10 (che ha sostituito le norme originarie nel primo), attuativo della Direttiva CE n. 93/1999 relativa al «quadro comunitario per le firme elettroniche» e che ha regolato anche l'attività dei certificatori.
Il D.Lgs. n. 10/2002 è stato poi abrogato, assieme agli art. da 22 a 29 - octies del D.P.R. n. 445/2000 sulla disciplina delle firme elettroniche, dal D.Lgs. 7 marzo 2005, n 82, il c.d. «Codice della (Pubblica) Amministrazione Digitale», che agli art. da 20 a 37 ha assorbito e coordinato le precedenti discipline del valore legale del documento informatico, di quello delle firme elettroniche e dell'attività dei certificatori.
L'art. 24 del D.Lgs. n. 82/2005 riconosce espressamente che il tipo più importante (perché più sicuro) di firma elettronica è la «firma digitale» (come faceva già l'art. 23 del D.P.R. n. 445/2000) per la sua capacità di «riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata» (primo comma). Per la generazione della firma digitale deve adoperarsi un «certificato qualificato» che, al momento della sottoscrizione, non risulti scaduto di validità, revocato o sospeso. L'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente (art. 24, commi 3 e 2).
Autore: Gianfranco Visconti - Consulente di Direzione aziendale - Lecce
Fonte: Pmi - Ipsoa Editore, n. 6, Giugno 2009