Firme elettroniche e certificatori

Ultimo aggiornamento: 22/05/2013

PUBBLICATE LE NUOVE REGOLE TECNICHE - LA FIRMA ELETTRONICA AVANZATA DIVIENE REALTA'

Il 21 maggio 2013 è stato pubblicato sulla Gazzetta Ufficiale n. 117 il DPCM 22 febbraio 2013: Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali. Fra le principali innovazioni si ricorda la Firma elettronica avanzata che, con l'entrata in vigore delle regole tecniche (5 giugno 2013), diviene finalmente realizzabile.

***************************

A chi richiedere la Firma digitale?

Coloro che desiderano dotarsi di un dispositivo di firma digitale spesso hanno difficoltà a capire a quale certificatore rivolgersi.

Al fine di aiutare ad orientarsi in tale scelta, è resa disponibile una tabella con alcune informazioni utili. Nella tabella sono indicati i siti web dei certificatori che invitiamo a visitare per poter conoscere le condizioni d'uso.

***************************

La marca temporale

La marca temporale consiste nella predisposizione di un oggetto contenente l’hash (riferimento univoco al contenuto del documento) del documento informatico al quale si vuole associare un riferimento temporale opponibile a terzi per dimostrarne l’esistenza. Gli algoritmi di hash generalmente in uso per la generazione dell’hash del documento sono lo SHA-1 e lo SHA-256.
Tale hash è inviato ai sistemi di marcatura temporale che i certificatori rendono obbligatoriamente disponibili che generano un oggetto (marca temporale) contenente l’hash del documento e un riferimento temporale (di altissima precisione). La marca temporale è sottoscritta con firma elettronica dai certificatori. Per generate tale firma i certificatori hanno l’obbligo di utilizzare l’algoritmo di hash SHA-256.
Ciò premesso, si chiarisce che anche le marche temporali che contengono hash di documenti calcolati con l’algoritmo SHA-1 sono valide, purché la sottoscrizione delle stesse avvenga con il previsto algoritmo SHA-256. L’uso dell’algoritmo SHA-1 non introduce problemi sulla robustezza della marca temporale poiché la stessa è protetta da sottoscrizione con il più robusto algoritmo SHA-256 e, allo stato attuale, utilizzando l’algoritmo SHA-1, non è possibile generare due valori di hash identici che afferiscano a documenti diversi contenenti testo di senso compiuto.
Comunque, si suggerisce fin d’ora di non usare l’algoritmo SHA-1 (il cui uso è generalmente personalizzabile dagli utenti), il cui utilizzo non sarà più consentito con l’emanazione delle nuove regole tecnologiche che seguiranno l’entrata in vigore delle nuove regole tecniche.

***************************

La verifica della firma digitale

L’applicazione europea “Digital Signature Service” (DSS), utilizzabile anche per verificare firme digitali basate su certificati emessi da certificatori stabiliti in altri Stati membri, resa disponibile sul sito, conta oltre mille accessi mensili.

Ulteriori informazioni nella sezione Software di verifica.

***************************

Pubblicato sulla Gazzetta Ufficiale n. 237 del 10 ottobre 2012 il decreto della Presidenza del Consiglio dei Ministri 19 luglio 2012.
Il decreto, di cui si rende disponibile il testo, è emanato dal Presidente del Consiglio dei Ministri su proposta del Ministro dell’Istruzione, dell’Università e della Ricerca che lo sottoscrive in qualità di Ministro delegato, di concerto con il Ministro dell’Economia e delle Finanze e il Ministro dello Sviluppo Economico. A breve sarà pubblicato in Gazzetta Ufficiale.

Le procedure di firma digitale remota, uno dei capisaldi dell’Agenda digitale europea, utilizzano dei dispositivi particolari, denominati HSM, per i quali sono previsti particolari requisiti di sicurezza verificati attraverso un processo di certificazione. Negli ultimi anni, stante la perdurante mancanza di dispositivi certificati, si è consentito il loro utilizzo da parte dei certificatori accreditati che dichiaravano sotto la propria responsabilità l’adeguatezza degli stessi ai requisiti di legge. Con il decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, in raccordo con la normativa europea, si è posto fine a tale regime, consentendo l’uso dei dispositivi per i quali era in corso un processo di certificazione approvato dall’Organismo di Certificazione della Sicurezza Informatica (OCSI).
Il decreto di ottobre non risolve tuttavia alcune questioni inerenti i dispositivi in uso, non indicando modalità e tempi necessari per la sostituzione degli apparati non più utilizzabili.
Il legislatore, su richiesta di DigitPA, verificata l’esigenza di rimodulare i tempi di adeguamento alle nuove norme e considerato necessario fugare ogni dubbio circa la validità delle firme digitali generate con tali dispositivi, ha emanato il seguente decreto che, ponendo vincoli e termini chiari e precisi, risolve definitivamente la questione.

***************************

La firma digitale - concetti

La firma digitale consente di scambiare in rete documenti con piena validità legale. Possono dotarsi di firma digitale tutte le persone fisiche: cittadini, amministratori e dipendenti di società e pubbliche amministrazioni.

Per dotarsi di firma digitale è necessario rivolgersi ai certificatori accreditati autorizzati da DigitPA che garantiscono l’identità dei soggetti che utilizzano la firma digitale.

DigitPA svolge attività di vigilanza sui certificatori.

L’Italia è all’avanguardia nell’uso legale della firma digitale. È il primo paese ad avere attribuito fin dal 1997 piena validità giuridica ai documenti elettronici e conta la maggiore diffusione di firme in Europa (cfr. anche il sito della Commissione Europea, in inglese).

Le modifiche apportate al CAD dal D.Lgs 30 dicembre 2010, n. 235, prevedono l'emanazione di nuove regole tecniche che regolano la materia firma digitale, firma elettronica qualificata e firma elettronica avanzata. Il 14 maggio 2012 si è ultimata la procedura di notifica alla Commissione Europea ee agli altri Stati Membri. L'iter previsto per la loro emanazione, a cura dell'Ufficio Legislativo del Ministro proponente, è quindi ripreso.

La Determinazione Commissariale 28 luglio 2010 (PDF), che modifica la Deliberazione CNIPA n. 45/2009 - Testo consolidato (PDF), introduce nuovi e più robusti algoritmi crittografici di firma digitale e nuovi formati di firma. In particolare, è interessante notare che i nuovi formati di firma rientrano nel novero dei formati che tutti gli Stati membri dell’Unione Europea si accingono ad introdurre. Questo è uno dei passi necessari per giungere al riconoscimento dei documenti sottoscritti con firma digitale a livello europeo e, conseguentemente, al libero scambio di documenti informatici giuridicamente rilevanti.

Le modifiche di interesse generale sono:

I certificatori rendono disponibili nuove applicazioni che implementano i nuovi formati di firma digitale (con anche il più robusto algoritmo SHA-256);
L'utente che, nonostante la disponibilità delle nuove applicazioni, non abbia proceduto all'aggiornamento continuerà a generare firme conformi alle precedenti regole tecniche. La Determinazione sancisce la conformità alle regole tecniche di dette firme se generate entro il 30 giugno 2011.

Si ricorda l'importanza di mantenere sempre aggiornati i prodotti di firma e verifica delle firme digitali in uso al fine di evitare spiacevoli conseguenze (firme non valide o verifiche errate).

Con riferimento al DPCM 10 febbraio 2010, “Fissazione del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza”, pubblicato in G.U. del 28 aprile 2010, n. 98, viene pubblicato il modello di dichiarazione sostitutiva di certificazione, predisposto ai sensi dell’art. 48 DPR 28.12.2000, n. 445, per attestare la rispondenza dei dispositivi, per l'apposizione di firme elettroniche con procedure automatiche, ai requisiti di sicurezza previsti dalla vigente normativa.

Le dichiarazioni sostitutive di certificazione, redatte sulla base del modello pubblicato (DOC) ed allegate ad apposita comunicazione, potranno essere inviate a DigitPA, con le seguenti modalità: