Realizzata nel 2010 per un corso di formazione questa breve introduzione alla firma digitale è indirizzata particolarmente alla Pubblica Amministrazione. Illustra la validità della firma, gli scopi e le implicazioni giuridiche.
1. Introduzione
alla
firma digitale
StudioDialogos.net Nicola Da Rold
2. La firma digitale
Garantisce l'identità del sottoscrittore di un documento
Garantisce l'istante di sottoscrizione
Garantisce da eventuali modifiche successive alla sottoscrizione
StudioDialogos.net Nicola Da Rold
3. Come funziona?
Ogni titolare di firma digitale è dotato di un certificato, contenuto
in smart-card o token USB
Il certificato è unico e univoco
Attraverso operazioni matematiche tra documento e certificato si
ottiene l'impronta del documento firmato. Anche questa è univoca
StudioDialogos.net Nicola Da Rold
4. Firma forte e firma leggera
La firma leggera non soddisfa tutti i requisiti per essere
legalmente valida
Motivo più comune è che il certificato non proviene da un ente
certificatore qualificato
La firma leggera è probante, quella forte è probatoria
StudioDialogos.net Nicola Da Rold
5. Valore legale nel tempo
DPR 513/97: ha efficacia di scrittura privata. Equiparata a firma
autografa
D.Lgs 10/2002: fa piena prova. Per essere annullata il
sottoscrittore deve fare querela di falso
D.Lgs 82/2005: torna equiparata a firma autografa. Non serve
querela di falso per annullarne gli effetti
StudioDialogos.net Nicola Da Rold
6. Obblighi di custodia
Può essere usata solo dal titolare
Lo smarrimento deve essere tempestivamente denunciato alle
autorità competenti
Vige l'obbligo di conservare il PIN in modo sicuro e segreto. La
perdita della sua segretezza va denunciata tempestivamente
Non si conservi il PIN insieme alla smartcard (o al token USB)
StudioDialogos.net Nicola Da Rold
7. Validità nal tempo
Il documento firmato non ha scadenza
Il certificato della firma ha invece scadenza (o può essere
revocato o annullato prima della scadenza)
La verifica controlla che al momento della firma il certificato fosse
valido
L'istante della firma viene certificato dalla marca temporale
StudioDialogos.net Nicola Da Rold
8. Firmare un documento
Collegare la smartcard o il token USB contenente il certificato
Aprire il software di firma
Selezionare il/i file da firmare con il software di firma
Avviare la firma. Quando richiesto digitare il PIN del dispositivo di
firma
StudioDialogos.net Nicola Da Rold
9. Risultato della firma
Si ottiene, di norma, un file .p7m
Il .p7m è un “contenitore” che raggruppa sia il documento che
“l'impronta” dello stesso firmato con il certificato digitale
Un file p7m può essere aperto con un software di firma (o con un
software di verifica)
StudioDialogos.net Nicola Da Rold
10. Altri formati per i documenti firmati
E' possibile includere la firma digitale in un documento .pdf, se
dotati del software per generarlo correttamente firmato
Nulla vieta di creare un .p7m da un file PDF usando il normale
software di firma
Per altre applicazioni è possibile associare la firma e il documento
in un file in formato XML
StudioDialogos.net Nicola Da Rold
11. Cosa posso firmare?
Potenzialmente qualsiasi file, sia esso un documento, una
fotografia ma anche un programma eseguibile (sempre che la
cosa abbia senso pratico)
Il documento da firmare non deve contenere macro (es. il campo
data)
Per ragioni di archiviazione sostitutiva, cercare di usare formati
standard (testo semplice, PDF/A, OpenDocument Format (.odf), ...)
StudioDialogos.net Nicola Da Rold
12. Verifica: cosa mi garantisce?
Garantisce l'identità del sottoscrittore
Garantisce che il documento non sia stato modificato dopo la
sottoscrizione
Se presente la marca temporale, garantisce l'istante di
sottoscrizione
E' operazione fondamentale nel caso di ricezione di documenti
sottoscritti digitalmente, al fine di accettarli
StudioDialogos.net Nicola Da Rold
13. Come effettuare la verifica
Aprire il software di firma/verifica
Selezionare il documento da verificare (file p7m)
Avviare la procedura di verifica e vedere il risultato
Esistono servizi web per la verifica
(es. https://postecert.poste.it/verificatore/servletverificatorep7m?tipoOp=10 )
StudioDialogos.net Nicola Da Rold
14. Perchè può fallire la verifica?
Il documento può essere stato modificato dopo la firma
Al momento della firma il certificato poteva essere scaduto o
revocato
L'Autorità di Certificazione (che ha emesso il certificato) non è
ufficiamente riconosciuta e inclusa nell'Elenco Pubblico dei
Certificatori
( http://www.digitpa.gov.it/firma-digitale/certificatori-accreditati/certificatori-attivi )
StudioDialogos.net Nicola Da Rold
15. La marca temporale
Associa una data/ora al documento. E' un complemento della
firma digitale
Per gli enti pubblici la protocollazione ha lo stesso valore legale
La Posta Elettronica Certificata offre la stessa garanzia, se vi
allego il documento firmato digitalmente
StudioDialogos.net Nicola Da Rold
16. Collegamenti utili
DigitPA – Firma digitale
http://www.digitpa.gov.it/firme-elettroniche-certificatori
DigitPA – Guida alla firma digitale
http://www.digitpa.gov.it/sites/default/files/GuidaFirmaDigitale2009_a_0_0_0.pdf
Elenco pubblico dei certificatori
http://www.digitpa.gov.it/firma-digitale/certificatori-accreditati/certificatori-attivi
Servizio online di verifica documenti firmati di Poste Italiane
https://postecert.poste.it/verificatore/servletverificatorep7m?tipoOp=10
StudioDialogos.net Nicola Da Rold