Ormai la firma digitale fa parte della nostra quotidianità, in quanto spesso “accompagna” i documenti informatici di professionisti ed operatori privati, e anche di chi, come il sottoscritto, esercita una pubblica funzione.
Ma cos’è la firma digitale?
La firma digitale è una firma elettronica avanzata, composta da un sistema di chiavi crittografiche (una privata e una pubblica), nonché una particolare firma qualificata, dato che il suo utilizzo è associato ad un certificato qualificato.
E’ bene evidenziare che, come previsto all’art. 24, comma 2, del Codice dell’Amministrazione Digitale (CAD), l’apposizione della firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere, oltre ad equivalere giuridicamente alla tradizionale firma autografa su carta.
Ciò comporta che ogni utilizzo del dispositivo di firma digitale si presume riconducibile al titolare, salvo che questi fornisca prova contraria, e che la relativa firma attesta con certezza l’integrità, l’autenticità e la non ripudiabilità del documento elettronico sulla quale è apposta.
Come accennato, la firma digitale è composta da una chiave privata, che serve al titolare a rendere manifesta l’integrità e la provenienza del documento informatico, e da una chiave pubblica, utilizzata per la verifica da parte di terzi.
Altro elemento fondamentale per la generazione della firma digitale è il certificato qualificato che, al momento dell’apposizione della firma, non deve risultare scaduto, revocato o sospeso, pena la mancata sottoscrizione del documento.
Un certificato di firma elettronica qualificata può contenere, ai sensi dell’art. 28, comma 3, del CAD, ove richiesto dal titolare della firma stessa o dal terzo interessato, le seguenti informazioni, purché pertinenti e non eccedenti lo scopo per il quale il certificato è richiesto:
a) la qualifica del titolare di firma elettronica, quali l’appartenenza ad ordini o collegi professionali, l’essere un pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioni professionali o di poteri di rappresentanza;
b) i limiti d’uso del certificato, inclusi quelli derivanti dalla titolarità delle qualifiche e dai poteri di rappresentanza di cui alla lettera a);
c) limiti di valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili;
c-bis) uno pseudonimo, qualificato come tale.
Per quanto riguarda le modalità di utilizzo, la firma digitale può essere “locale” o “remota”.
La firma digitale locale è quella firma generata, tramite uno strumento in possesso fisico del titolare quale smartcard o token.
La firma digitale remota è, invece, quella firma generata usando stringhe di autenticazione, quali userid, password e OTP (One Time Password), che ne consentono la massima portabilità, poiché l’apposizione avviene per mezzo dei dispositivi di uso personale (pc, tablet, smartphone).
Ovviamente, alla luce di quanto detto finora e in base all’art. 32, comma 1, del CAD, il titolare del certificato di firma è tenuto ad utilizzarne personalmente il dispositivo e ad assicurarne la custodia, sia esso smartcard, token o strumento di autenticazione informatica per l’apposizione di firma da remoto, oltre ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.
di Michele Pierluigi Massa