Firma elettronica

Da Wikipedia, l'enciclopedia libera.

La legge italiana definisce la firma elettronica come[1] "un insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica": è quindi la forma più debole di firma in ambito informatico, in quanto non prevede meccanismi di autenticazione del firmatario o di integrità del dato firmato.

Una firma elettronica qualificata è definita[1] invece come una "firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma": è quindi una forma di firma sicura, che esaudisce le richieste della Direttiva Europea 1999/93/CE, alle quali sono stati aggiunti i requisiti dell'utilizzo di un certificato qualificato e di un dispositivo sicuro di firma. In questa forma la firma elettronica qualificata corrisponde alla "Qualified electronic signature" definita da ETSI

In ultimo, ma più importante di tutte, almeno nell'ordinamento italiano, c'è la firma digitale definita sempre nel CAD[1] "un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata (crittografia asimmetrica), correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici": la norma introduce quindi l'uso di algoritmi di crittografia a chiave pubblica.

Nell'ordinamento italiano, la firma digitale è un sistema di sottoscrizione di documenti informatici, che garantisce autenticità e integrità del documento e non ripudio della sottoscrizione effettuata dal titolare del certificato qualificato.

Un certificato per la firma elettronica può essere rilasciata da Certification Authority senza formalità; è previsto invece un processo obbligatorio di accreditamento da parte di una autorità pubblica preposta (per l'Italia è il DigitPA (già CNIPA), per qualificare una Certification Authority a emettere certificati qualificati.

Differenza tra firma digitale e firma elettronica[modifica | modifica wikitesto]

  Firma elettronica Firma qualificata/digitale
Creazione mediante algoritmo di creazione non specificato
Ripudiabilità in sede di giudizio non riconoscimento querela di falso
Documento copia indistinguibile dall'originale
Opponibiltà in sede di giudizio (durante un processo) no
Emessa da una Certification Authority qualificata no

Differenza con la firma autografa[modifica | modifica wikitesto]

Un qualsiasi atto scritto di tipo tradizionale fa prova in giudizio fino al disconoscimento della firma. Per una firma autenticata, cioè apposta in presenza di un notaio, non è possibile il disconoscimento ma solo la querela di falso.

Viceversa, nel caso delle firme elettroniche si deve distinguere tra "firma elettronica", "firma elettronica qualificata" e "firma digitale" (cfr. art. 1 del Codice dell'Amministrazione digitale):

1. Per firma elettronica la legge intende l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.

2. La firma elettronica qualificata è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un certificato qualificato. È inoltre richiesto l'uso del dispositivo di firma sicuro, capace cioè di proteggere efficacemente la segretezza della chiave privata. Inoltre, la firma stessa deve essere in grado di rilevare qualsiasi alterazione del documento avvenuta dopo l'apposizione della firma stessa. Qualunque tecnologia che permetta tale identificazione univoca, rientra nel concetto di "firma elettronica qualificata".

3. La firma digitale, è considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche. All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un rimando all'art. 2702 del Codice Civile, che la firma digitale (o altra firma elettronica qualificata) fa piena prova fino a querela di falso se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta, equiparando così il documento informatico sottoscritto con firma digitale alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza, alla scrittura privata con firma autenticata).

Tuttavia secondo un orientamento vi sarebbe una significativa differenza tra firma autografa e firma digitale rispetto alla procedura di disconoscimento. Nel primo caso infatti sarebbe sufficiente che il convenuto avvii una formale istanza di disconoscimento senza doversi assumere alcun onere probatorio. Con riguardo al secondo caso (firma digitale), si nota che l'articolo 21 del il D.Lgs. 82/2005 stabilisce che l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria. Vi sarebbe quindi un'inversione dell'onere della prova dall'attore verso il convenuto.

Un altro orientamento, peraltro, ha posto in evidenza che la presunzione della riconducibilità della firma al titolare del dispositivo di firma si deve formare "ai sensi dell'art. 21, comma 2" (art. 20, comma 2, del D.Lgs. 82/2005), secondo il quale "il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria". Se ne ricava che, come nel caso della scrittura tradizionale, anche la scrittura elettronica munita di firma digitale farebbe piena prova della provenienza delle dichiarazioni solo se la firma digitale che vi è apposta è riconosciuta da colui contro il quale è prodotta in giudizio. Altrimenti, colui che la produce deve fare istanza di verificazione, da sostenere con qualsiasi mezzo di prova utile (art. 216 c.p.c.). In tale prospettiva, solo nel corso del giudizio di verificazione colui che vuol fare valere la scrittura può provare, mediante la verificazione informatica, l'avvenuto utilizzo del dispositivo di firma attribuito al titolare, fatto che - si evidenzia - costituisce circostanza ben diversa dalla materiale apposizione della firma stessa per gesto del titolare o comunque sotto il suo controllo. A tali condizioni, l'eventuale dimostrazione dell'avvenuto utilizzo del dispositivo di firma resa nel corso del giudizio di verificazione darebbe luogo alla presunzione legale di cui all'art. 21, comma 2, cit. in ordine alla riconducibilità di tale utilizzo alla sfera di controllo del titolare e, quindi, in ordine all'imputazione della firma apposta a quel soggetto.


Caratteristiche[modifica | modifica wikitesto]

Per collocare nel tempo la firma di un documento non basta, però, la sola firma. In questo viene in aiuto un'altra entità che appone la propria marca temporale sul documento in modo da rendere la procedura identica a quella autografa cartacea. L'entità è la Stamping Authority che interviene nella creazione dell'hash del documento da firmare.

Per ogni altra caratteristica ulteriore rimando alla firma digitale in quanto, per le rimanenti tematiche, è del tutto analoga.

Voci correlate[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ a b c Codice dell'amministrazione digitale - Definizioni

Collegamenti esterni[modifica | modifica wikitesto]