1

Fonsa Nicola

Seminario di sicurezzaa.a. 2002/2003.

La legislazione italiana e la firma digitale.

2

Fonsa Nicola

Indice :•INTRODUZIONE•DPR 513/97 e DPR 445/2000•Definizioni•Dove può essere usata la firma digitale•Certificazione di chiavi•Obblighi del certificatore nella creazione e “gestione” della firma digitale •Le responsabilità del certificatore durante il periodo di validità della firma•Datazione di documenti informatici

3

Fonsa Nicola

La firma digitale fa la sua comparsa in modo organico all'interno dell'ordinamento giuridico italiano nel 1997 con l'articolo 15 comma secondo della legge 15 marzo 1997 n°59 che a tutt'oggi costituisce la norma base su cui poggia la legislazione in materia di firma digitale, anche dopo aver recepito

4

Fonsa Nicola

la direttiva comunitaria (D.Lgs. 23 gennaio 2002) , in quanto in esso viene riconosciuta la piena validità legale dei documenti realizzati, archiviati o trasmessi per mezzo di strumenti informatici , purché tali “attività” siano conformi a quanto descritto nella disciplina giuridica di dettaglio emessa con il DPR 513/1997 ,

5

Fonsa Nicola

successivamente integrata con alcune significative precisazioni contenute nel DPR 445 del 28

dicembre 2000.

6

Fonsa Nicola

Inoltre a questo contesto “puramente” giuridico va aggiunto il DCPMdell’ 8 febbraio 1999 che nei suoi allegati stabilisce le modalità tecniche con cui devo essere svolte tali attività.

7

Fonsa Nicola

il D.P.R. 513/97 regolamento recante criteri e modalità per la formazione,

l’archiviazione e la trasmissione di documenti con strumenti

informatici

e il

D.P.R 445/2000 testo unico delle disposizioni legislative e regolamenti in

materia di documentazione amministrativa

8

Fonsa Nicola

Entrambi i documenti legislativi iniziano definendo i termini usati al loro interno, che verranno ripresi nel proseguo di questa presentazione ; pertanto allo scopo di facilitare la comprensione di quanto sto’ per descrivere essi saranno riportati e definiti nei lucidi che seguiranno

9

Fonsa Nicola

Termine Definizionedocumento informatico

rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

10

Fonsa Nicola

Termine Definizione

Firma digitale

risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite le chiavi pubbliche rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento o di un insieme di documenti informatici.

11

Fonsa Nicola

Termine Definizione

Sistema di validazione

sistema informatico e crittografico in grado di generare ed apporre la firma digitale e di verificarne la validità.

12

Fonsa Nicola

Termine Definizione

Chiavi asimmetriche

coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici.

13

Fonsa Nicola

Termine Definizione

Chiave privata

l'elemento della coppia di chiavi asimmetriche destinato a essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante corrispondente chiave pubblica.

14

Fonsa Nicola

Termine DefinizioneChiave pubblica

l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica-digitale apposta sul documento informatico dal titolare delle chiavi assimetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi.

15

Fonsa Nicola

Termini DefinizioniChiave biometrica

la sequenza di codici informatici utilizzati dell'ambito di meccanismi di sicurezza che impiegano metodi di verifica dell'identità personale basati su specifiche caratteristiche fisiche dell'utente.

16

Fonsa Nicola

Termini DefinizioniCertificazione risultato delle procedure

informatica, applicata alla chiave pubblica e rilevabile dai sistemii,di validazione mediante la quale si garantisce la corrispondenza biunivoca tra chiave la pubblica e il soggetto titolare a cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a 3 anni

Termini DefinizioniCertificazione risultato delle procedure

informatica, applicata alla chiave pubblica e rilevabile dai sistemii,di validazione mediante la quale si garantisce la corrispondenza biunivoca tra chiave la pubblica e il soggetto titolare a cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a 3 anni

Termini DefinizioniCertificazione risultato delle procedure

informatica, applicata alla chiave pubblica e rilevabile dai sistemii,di validazione mediante la quale si garantisce la corrispondenza biunivoca tra chiave la pubblica e il soggetto titolare a cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a 3 anni

17

Fonsa Nicola

Termine Definizione

validazione temporale

il risultato della procedura, con cui si attribuiscono, ad uno o più documenti informatici , una data e un orario opponibili a terzi

18

Fonsa Nicola

Termine

Indirizzo elettronico

Definizione

l'identificazione di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici.

19

Fonsa Nicola

Termine Definizione

Certificatore soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitariamente a quest'ultima ed aggiorna gli elenchi dei certificati sospesi o revocati.

20

Fonsa Nicola

Termine Definizione

revoca del certificato

l'operazione con cui il certificatore annulla la validità da un dato momento in poi un certificato azione non retroattiva

21

Fonsa Nicola

Termine Definizione

Sospensione del certificato

l'operazione in cui il certificatore sospende la validità del certificato per un determinato periodo di tempo

22

Fonsa Nicola

Termine Definizione

Validità del certificato

l'efficacia l'opponibilità al titolare della chiave pubblica, dei dati in esso contenuti

23

Fonsa Nicola

Termine Definizione

Regole tecniche

le specifiche di carattere tecnico, ivi compresa ogni disposizione che ad esse si applichi

24

Fonsa Nicola

La firma digitale può essere apposta su qualsiasi documento informatico compresi eventuali duplicati per mezzo della chiave privata purché il certificato associato alla corrispondente chiave pubblica non sia soggetto ad alcun provvedimento di sospensione o revoca, l'apposizione di firma integra o sostituisce l'uso di timbri e marchi di qualsiasi genere e può

25

Fonsa Nicola

essere usata ai sensi dell’articolo 2703 del codice civile , previa autenticazione notarile;inoltre se al documento informatico devono essere allegati documenti cartacei essi possono essere sostituiti dalla versione informatica autenticata secondo quanto stabilito dall’articolo 20 comma 3 del presente documento

26

Fonsa Nicola

il quale da mandato al notaio di verificare la conformità della copia informatica rispetto a quella esibita su supporto originale e di autenticarla , da quel momento la copia informatica e valida a tutti gli effetti di legge e può essere esibita in sostituzione dell’originale.

27

Fonsa Nicola

Se la si vuole usare per la presentazione di istanze alla pubblica amministrazione la firma deve essere inserita nel documento alla presenza del dipendente adetto alla firma digitale .

28

Fonsa Nicola

La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale.

29

Fonsa Nicola

Nella pubblica amministrazione la firma digitale sostituisce la firma autografa comunque prevista ad ogni fine di legge e l’uso di timbri contrassegni punzoni ,sigilli ove erano previsti in precedenza

30

Fonsa Nicola

Il titolare di una coppia di chiavi asimmetriche può ottenere il deposito in forma segreta della chiave privata presso un notaio o altro pubblico deposito autorizzato. La chiave privata di cui si richiede il deposito può essere registrata su qualsiasi tipo

31

Fonsa Nicola

di supporto idoneo a cura del depositante e deve essere consegnata racchiusa in un involucro sigillato in modo che le informazioni non possono essere lette, conosciute ed estratte senza provocare evidenti rotture od alterazioni. Le modalità del deposito sono quelle regolate dalle disposizioni dell’articolo 605 del codice civile

32

Fonsa Nicola

Certificazione di chiavi

33

Fonsa Nicola

La procedura di certificazione deve esse effettuata da un certificatore inserito nella bancadati del apia che e’ consultabile anche da via web all’url www.apia.it o da un certificatore operante sulla base di licenza rilasciata da un altro paese della comunità europea

34

Fonsa Nicola

sono escluse dall’utilizzo obbligatorio dei certificatori le pubbliche amministrazioni che sulla base all’articolo 29 del presente documento hanno facoltà di provvedere autonomamente alla generazione e alla conservazione al utilizzo delle chiavi pubbliche di competenza

35

Fonsa Nicola

Obblighi del certificatore nella creazione e “gestione” della firma

digitale

36

Fonsa Nicola

il certificatore è tenuto a:conservare le chiavi pubbliche per almeno dieci anniidentificare con certezza la persona che fa richiesta della certificazionerilasciare e rendere pubblico il certificato avente le caratteristiche fissate dall’articolo 8 comma 2 che rimanda al DCPM del 8-2-1999

37

Fonsa Nicola

Deve specificare, con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza o di altri titoli relativi ad altre attività o a cariche rivestite ed attenersi alle regole tecniche di cui all’articolo 8 comma 2

Informare sulla procedura di certificazione e sui necessari requisiti per accedervi

38

Fonsa Nicola

attenersi alle misure minime di sicurezza per il trattamento dei dati personalinon rendersi depositario di chiavi privateprocedere tempestivamente alla revoca o alla sospensione del certificato in caso di richiesta da parte del titolare

39

Fonsa Nicola

rendere pubblico tale provvedimento inserendo il certificato nella apposita lista .

In caso di cessazione di attività deve darne comunicazione scritta con 6 mesi di anticipo sia all’apia che gli utenti che erano sotto la sua responsabilità

40

Fonsa Nicola

Le responsabilità del certificatore durante il periodo di validità della

firma

41

Fonsa Nicola

Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l’affidabilità del certificato è responsabile, se non prova di aver agito senza colpa, del danno cagionato a chi abbia fatto ragionevole affidamento sull’esattezza delle informazioni

42

Fonsa Nicola

in esso contenute dalla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati , sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati della creazione della firma corrispondenti

43

Fonsa Nicola

ai dati per la verifica della firma possono essere usati in modo complementare, nei casi in cui il certificatore generi entrambi.Il certificatore è responsabile nei confronti di terzi che fanno ragionevolmente affidamento sul certificato stesso, dei danni provocati per effetto della mancata

44

Fonsa Nicola

registrazione della revoca o sospensione del certificato, salvo che provi d’aver agito senza colpa

45

Fonsa Nicola

Il certificatore può indicare di un certificato qualificato i limiti d’uso dello stesso ovvero un valore limite per i negozi per i quali può essere usato il certificato, purché i limiti d’uso o il valore limite siano riconoscibili da terzi; il certificatore non è responsabile di eventuali violazioni dei limiti dichiarati nel certificato

46

Fonsa Nicola

Datazione di documenti informatici

47

Fonsa Nicola

Questo problema e importante al punto che il DPCM gli dedica un capitolo denominato “regole per la validazione temporale e protezione di documenti.la firma digitale certifica l'identità di chi ha formato o trasmesso il documento ,

48

Fonsa Nicola

nonché l'integrità del documento stesso , ma non offre un'indicazione sicura sul momento in cui è stato firmato . Quindi, ogni volta che è necessario certificare il momento in cui il documento informatico è stato formato o spedito occorre

49

Fonsa Nicola

un'indicazione della data e dell'ora apposta (meglio, "associata") da un sistema "sicuro". Questa indicazione è definita dalla normativa come "marca temporale" (time stamping) che viene generata da un soggetto certificatore

50

Fonsa Nicola

Le marche temporali

51

Fonsa Nicola

La marca temporale è in sostanza una firma digitale che viene apposta a una "evidenza informatica" e che deve contenere almeno le seguenti informazioni:a. identificativo dell’emittente; b. numero di serie della marca temporale;

52

Fonsa Nicola

c.        algoritmo di sottoscrizione della marca temporale; d.       identificativo del certificato relativo alla chiave di verifica della marca;

53

Fonsa Nicola

e.data ed ora di generazione della marca; f. identificatore dell’algoritmo di hash utilizzato per generare l’impronta dell’evidenza informatica sottoposta a validazione temporale; g. valore dell’impronta dell’evidenza informatica

54

Fonsa Nicola

L’ora assegnata ad una marca temporale deve corrispondere, con una differenza non superiore ad un minuto secondo rispetto alla scala di tempo UTC(IEN), di cui al Decreto del Ministro dell’Industria, del Commercio e dell’Artigianato 30 novembre 1993, n. 591, al momento della sua generazione.

55

Fonsa Nicola

Riferimenti utilizzati

• legge15 marzo 1997 n°59• Decreto del Presidente della

Repubblica 513/1997• Decreto del Presidente della

Repubblica 445/2000• Decreto della Presidenza del

Consiglio dei Ministri del 8/2’99