Firma digitale

La firma digitale, o firma elettronica qualificata, è l'equivalente elettronico di una tradizionale firma apposta su carta, o meglio è il risultato finale di un complesso algoritmo matematico che permette di firmare un documento informatico con la stessa validità di una firma autografa.
Nell'ordinamento giuridico italiano è riconosciuta ed equiparata a tutti gli effetti di legge alla firma autografa su carta.
La firma digitale è un sistema di autenticazione forte in quanto si basa sull'uso di un certificato digitale memorizzato su di un dispositivo hardware. I certificati su cui si basa possono essere più di uno.
E' associata stabilmente ad un documento informatico che assume pertanto le seguenti caratteristiche:
 

  1. integrità: garanzia che il documento non è stato manomesso dopo la sottoscrizione.
  2. autenticità: garanzia dell'identità di chi firma.
  3. non ripudio: l'autore non può disconoscere il documento firmato.
  4. valore legale: il documento elettronico sottoscritto digitalmente ha lo stesso valore legale di un documento cartaceo sottoscritto con firma autografa.

Per apporre la firma digitale occorre dotarsi di una smart card, ovvero di una carta elettronica -simile ad una carta bancomat - dotata di un microprocessore, contenente al suo interno il certificato digitale di sottoscrizione.
Il processo di Firma Digitale si basa sulla crittografia asimmetrica: ogni titolare dispone di una coppia di chiavi, una privata, segreta e custodita sulla Smart Card e protetta da un codice di accesso (PIN), l'altra pubblica, custodita e pubblicata dall'Ente Certificatore, che viene usata per la verifica della firma. Le due chiavi sono correlate in maniera univoca, tuttavia dalla chiave pubblica è impossibile risalire a quella privata.
Il funzionamento del sistema è garantito dalla presenza della terza parte fidata, l'Ente Certificatore, che assicura l'associazione univoca tra la chiave pubblica da usare per la verifica e il titolare della corrispondente chiave privata. Tale associazione si basa sull'emissione di un certificato digitale, che avviene solo dopo l'identificazione e registrazione certa del richiedente.
Nel dettaglio il certificato di sottoscrizione è un file generato seguendo precise indicazioni e standard stabiliti per legge (al suo interno sono conservate informazioni che riguardano l'identità del titolare, la chiave pubblica attribuitagli al momento del rilascio, il periodo di validità del certificato stesso oltre ai dati dell'Ente Certificatore).
Il certificato digitale di un titolare, una volta entrato a far parte dell'elenco pubblico dei certificati tenuto dall'ente certificatore, garantisce la corrispondenza tra la chiave pubblica e l'identità del titolare. L'elenco degli enti certificatori è tenuto dal CNIPA, Centro Nazionale per l'Informatica nella Pubblica Amministrazione.

Si riporta di seguito l'articolo del Codice dell'Amministrazione Digitale relativo alla validità del documento firmato elettronicamente:

Art. 21.

Valore probatorio del documento informatico sottoscritto
 
1. Il documento informatico, cui e' apposta una firma elettronica, sul piano probatorio e' liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza.
2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.
3. L'apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.
4. Le disposizioni del presente articolo si applicano anche se la firma elettronica e' basata su un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea, quando ricorre una delle seguenti condizioni:
a) il certificatore possiede i requisiti di cui alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, ed e' accreditato in uno Stato membro;
b) il certificato qualificato e' garantito da un certificatore stabilito nella Unione europea, in possesso dei requisiti di cui alla medesima direttiva;
c) il certificato qualificato, o il certificatore, e' riconosciuto in forza di un accordo bilaterale o multilaterale tra l'Unione europea e Paesi terzi o organizzazioni internazionali.
5. Gli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto sono assolti secondo le modalità definite con uno o più decreti del Ministro dell'economia e delle finanze, sentito il Ministro delegato per l'innovazione e le tecnologie.