Firma digitale

La firma digitale, o firma elettronica qualificata, è l'equivalente elettronico di una tradizionale firma apposta su carta, o meglio è il risultato finale di un complesso algoritmo matematico che permette di firmare un documento informatico con la stessa validità di una firma autografa.
Nell'ordinamento giuridico italiano è riconosciuta ed equiparata a tutti gli effetti di legge alla firma autografa su carta.
La firma digitale è un sistema di autenticazione forte in quanto si basa sull'uso di un certificato digitale memorizzato su di un dispositivo hardware. I certificati su cui si basa possono essere più di uno.
E' associata stabilmente ad un documento informatico che assume pertanto le seguenti caratteristiche:

  1. integrità: garanzia che il documento non è stato manomesso dopo la sottoscrizione.
  2. autenticità: garanzia dell'identità di chi firma.
  3. non ripudio: l'autore non può disconoscere il documento firmato.
  4. valore legale: il documento elettronico sottoscritto digitalmente ha lo stesso valore legale di un documento cartaceo sottoscritto con firma autografa.
Per apporre la firma digitale occorre dotarsi di una smart card, ovvero di una carta elettronica -simile ad una carta bancomat - dotata di un microprocessore, contenente al suo interno il certificato digitale di sottoscrizione.
Il processo di Firma Digitale si basa sulla crittografia asimmetrica: ogni titolare dispone di una coppia di chiavi, una privata, segreta e custodita sulla Smart Card e protetta da un codice di accesso (PIN), l'altra pubblica, custodita e pubblicata dall'Ente Certificatore, che viene usata per la verifica della firma. Le due chiavi sono correlate in maniera univoca, tuttavia dalla chiave pubblica è impossibile risalire a quella privata.
Il funzionamento del sistema è garantito dalla presenza della terza parte fidata, l'Ente Certificatore, che assicura l'associazione univoca tra la chiave pubblica da usare per la verifica e il titolare della corrispondente chiave privata. Tale associazione si basa sull'emissione di un certificato digitale, che avviene solo dopo l'identificazione e registrazione certa del richiedente.
Nel dettaglio il certificato di sottoscrizione è un file generato seguendo precise indicazioni e standard stabiliti per legge (al suo interno sono conservate informazioni che riguardano l'identità del titolare, la chiave pubblica attribuitagli al momento del rilascio, il periodo di validità del certificato stesso oltre ai dati dell'Ente Certificatore).
Il certificato digitale di un titolare, una volta entrato a far parte dell'elenco pubblico dei certificati tenuto dall'ente certificatore, garantisce la corrispondenza tra la chiave pubblica e l'identità del titolare. L'elenco degli enti certificatori è tenuto dal CNIPA, Centro Nazionale per l'Informatica nella Pubblica Amministrazione.