Nel nostro sistema giurisprudenziale, la firma digitale viene definita per la prima volta nel DPR 10 novembre 1997 n. 513 che disciplina la ”formazione , l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici”. Lo stesso DPR fa riferimento a sistemi di chiavi asimmetriche, articolo 1, comma 1 , lettera h) e i) (definizioni di chiave private e pubblica) CAD, per la generazione e la verifica della firma digitale articolo 1 comma 1 lettera s) CAD. Le regole tecniche per la “formazione , la trasmissione, la conservazione, la duplicazione, la riproduzione, la validazione temporale dei documenti informatici“ sono descritte nel DPCM 8 febbraio 1999, che oltre a definire l’impronta o “digest“e disciplinarne l’uso ai fini della generazione della firma digitale, stabilisce quali algoritmi possono essere utilizzati per la generazione e le verifiche delle stesse firme.
Firma digitale: utilizzo nella prassi quotidiana
Dal punto di vista pratico, cosa significa firmare digitalmente un documento per le pubbliche amministrazioni, ovvero per i dipendenti e per i cittadini? Sino a prova contraria, di solito, la firma apposta in calce ad un documento cartaceo, esprime il consenso del firmatario sul contenuto dell’atto sottoscritto ed attribuisce con certezza la paternità dello stesso all’autore medesimo. Nella normale pratica, l’autenticità della firma apposta ad un documento ( dal latino ”docere“ ovvero insegnare, dare una rappresentazione di un fatto giuridico) viene verificata attraverso il confronto con un’altra firma dello stesso autore, depositata generalmente su un documento certificato da un’autorità pubblica ( articolo 2699 e 2700 del Codice civile). Nel caso di documenti elettronici, per attribuire con certezza la paternità all’autore, si fa ricorso alla metodologia della doppia chiave o a chiave pubblica.
Firma digitale: peculiarità tecniche e funzionali
La firma digitale contenuta in una Smart card o in un Token USB è un insieme di bit che si basa su un sistema di crittografia a “chiave doppia”, una pubblica ed una privata. I sistemi di codifica asimmetrici si basano su metodi matematici, che richiedono chiavi diverse per la codifica e per la decodifica di un clear message o di un documento. Ad ogni persona viene assegnata una coppia di chiavi, delle quali una è pubblica e nota a tutti, l’altra è segreta nota solo all’interessato. La coppia di chiavi è unica per ogni persona e le principali caratteristiche sono quelle di univocità dato che una delle due, quella privata serve per codificare il messaggio, l’altra per decodificarlo. La chiave pubblica consiste in numero estremamente grande, rappresentato in cifre binarie da 1024 bit che risulta essere il prodotto di due numeri primi. L’algoritmo che consentirebbe di risalire alla chiave privata, nota quella pubblica, richiede la conoscenza dei fattori della stessa, ovvero dei suddetti due numeri primi. Non esistono metodi matematici diretti per scomporre la chiave pubblica nei suoi fattori: si può procedere solo per tentativi ma questo richiederebbe, date le dimensioni dei numeri in gioco, tempi misurabili in secoli. Risulta praticamente impossibile risalire alla chiave privata nota quella pubblica.
Su tale principio si basa l’invulnerabilità dei sistemi di codifica asimmetrici, alla base della firma digitale: nell’ambito degli algoritmi previsti dalle norme, esistono diversi processi informatici per generare le chiavi, codificare e decodificare i messaggi, possono comunicare tra loro senza problemi solo quelle persone che utilizzano lo stesso processo informatico. La carta ottenuta dall’autorità di certificazione viene inserita nel lettore. La stessa card ha nel microchip una sorta di “motore crittografico” e genera da sola le due chiavi, quella privata e quella pubblica: quella privata resta segreta, all’interno della carta e quindi tenuta sempre con se’ dal firmatario, quella pubblica viene conservata dal certificatore, ente di terza parte ed associata al nome del richiedente (la nozione di certificato elettronico la rinveniamo nel Codice di amministrazione digitale articolo 1, comma 1, lettera e) ed articoli dal 26 al 37 del suddetto codice).
Quando il titolare del certificato deve apporre la firma sul documento elettronico (una lettera, un bilancio , un contratto giuridico, un file) inserisce la smart card nel lettore ed il software nel computer unisce automaticamente il documento alla firma digitale. Il documento firmato viaggia su rete telematica come una qualsiasi busta elettronica, che contiene anche la chiave pubblica del mittente e l’identità elettronica dell’autorità di certificazione. Per ottenere la doppia chiave occorre recarsi personalmente presso un’autorità di certificazione la quale, per essere autorizzata a rilasciare i certificati per la firma digitale, deve avere determinati requisiti sanciti per i soggetti preposti alla direzione, amministrazione e controllo del TUB ( Decreto legislativo del 1993 numero 385) , requisiti di onorabilità e professionalità. Non mancano dubbi relativamente alla certezza dell’ identità della persona e della sicurezza dei dati nella comunicazione telematica.