PEC, firma digitale, CNS, e SPID – seconda parte

La PEC, come abbiamo visto, è lo strumento che consente di inviare messaggi di posta elettronica con pieno valore legale, pari a quello della raccomandata con ricevuta di ritorno. Complementare alla PEC è la firma digitale, che consente di scambiare documenti informatici con piena validità legale, equivalente alla firma olografa apposta su un documento cartaceo.

Strumenti con scopo ancora diverso sono invece la CNS ed il recente SPID, che consentono al cittadino ed all’impresa di farsi riconoscere ed autenticarsi ai servizi online delle pubbliche amministrazioni.

 

Le firme elettroniche e la firma digitale

E’ bene sapere, prima di tutto, che vi sono differenti tipologie di firme elettroniche ed il Codice dell’Amministrazione Digitale ne definisce all’art. 1 ben quattro tipi diversi, con caratteristiche specifiche e valore giuridico differente:

1) la firma elettronica semplice: è una firma debole ed il valore di un documento firmato con la stessa è liberamente valutabile in giudizio. La definizione del CAD è volutamente generica e nel novero delle firme elettroniche semplici rientrano strumenti del più vario e differente tipo. Sono firme elettroniche semplici ad esempio il pin del bancomat, la login e la password per accedere alla propria casella di posta elettronica;

2) la firma elettronica avanzata: di più recente introduzione rispetto alle altre firme, consente di collegare in modo univoco il firmatario al documento firmato. Ciò è possibile grazie all’uso di strumenti di firma sui quali il firmatario mantiene un controllo esclusivo. Una delle più diffuse firme elettroniche avanzate è la firma grafometrica, che si appone tramite apposite lavagne sensibili al tocco disegnando con una apposita penna la propria firma, in modo analogo alla firma su carta. A livello giuridico, la firma elettronica avanzata apposta su un documento informatico gli da lo stesso valore di una scrittura privata.

3) la firma elettronica qualificata: si tratta di un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma. Possono rilasciare certificati di firma qualificati solo enti certificatori accreditati presso AgID (in modo analogo a quanto avviene per il rilascio delle caselle PEC). Compito del certificatore è garantire che il certificato emesso corrisponda in modo univoco al titolare al quale è stato rilasciato. L’uso della firma elettronica qualificata è vincolato all’utilizzo di specifici dispositivi sicuri quali smartcard o token usb.

4) la firma digitale: è “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

L’elemento di sicurezza aggiuntivo della firma digitale, rispetto alla firma elettronica qualificata, è l’uso di due chiavi asimmetriche, una privata, segreta ed in possesso del solo titolare, ed una pubblica. La chiave privata è utilizzata per generare la firma digitale, mentre grazie alla chiave pubblica, disponibile in pubblici elenchi, è possibile verificare l’autenticità della firma. Vi è una corrisponde univoca tra la chiave privata e quella pubblica: infatti ad una chiave privata può corrispondere una sola chiave pubblica.

Il certificato di firma digitale (detto anche di sottoscrizione), viene memorizzato su un dispositivo hardware sicuro, in genere smartcard o token USB, ed è spesso accompagnato da un certificato di autenticazione di tipo CNS, che consente con lo stesso dispositivo fisico di essere riconosciuti ed effettuare l’accesso sicuro a siti internet o postazioni di lavoro.

In relazione al valore legale sempre il Codice dell’Amministrazione Digitale stabilisce all’ art. 21): “Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”.

 

Pertanto, la firma digitale apposta su un documento informatico, consente di accertarne la paternità e l’integrità con pieno valore legale e gli fornisce la medesima efficacia della scrittura privata (art. 2702 c.c.).

La certezza che solo il titolare abbia firmato il documento, collegata alla presunzione di utilizzo prevista dalla normativa, è basata dalla necessità di utilizzo congiunto del dispositivo fisico (in possesso esclusivo del firmatario – che ha altresì per legge obblighi di custodia) e del codice PIN (segreto ed in possesso del solo titolare). Si aggiunga a ciò il ruolo del certificatore che garantisce la correttezza della informazioni anagrafiche presenti sul certificato di firma.

L’integrità è garantita invece dall’impossibilità di modificare il documento una volta firmato senza che ne sia compromessa la verifica, qualsiasi modifica successiva al documento è infatti tracciata ed evidenziata durante la validazione della firma.

Esistono infine tre diversi formati di firma:

* CAdES (estensione file .p7m), consente di firmare qualsiasi file, che viene inserito all’interno di una busta crittografica PKCS7. Pertanto per poter visualizzare il documento firmato è necessario utilizzare un apposito programma per la verifica della firma digitale;

* PAdES (estensione file .pdf), è uno standard che inserisce la firma digitale all’interno del file PDF. Non sono necessari programmi aggiuntivi per leggere il documento firmato, tuttavia è un formato di firma utilizzabile solo per i documenti in formato PDF;

* XAdES (estensione file .xml), al momento poco utilizzato, consente di firmare solo i file in formato xml.

usb

La normativa di riferimento sulla firma digitale

Varie e di differente origine e natura sono le norme che si occupano e regolamentano la firma digitale e le firme elettroniche in generale, in ordine gerarchico, partendo dall’alto:

–          Direttiva 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche

–          Codice dell’Amministrazione Digitale (DLGS 82/2005 e succ. modifiche)

–          DPCM 22 febbraio 2013, regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali

–          Determinazioni AgID, specifiche tecniche emanate dall’Agenzia per l’Italia Digitale (l’agenzia governativa che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana in coerenza con l’Agenda digitale europea)

 

La Carta Nazionale dei Servizi (CNS)

Prevista dal DPR 2 marzo 2004, n. 117 e diffusa in molte regione come tessera sanitaria / Carta Regionale dei Servizi (CRS), la Carta Nazionale dei Servizi, in breve CNS, è una smartcard che contiene al suo interno un certificato di autenticazione qualificato che consente al cittadino la fruizione dei servizi online della pubblica amministrazione. L’obiettivo prefissato era di fornire uno strumento unico per poter accedere ai servizi telematici esistenti e di nuova realizzazione forniti dalle diverse PA.

Il successo della CNS è stato limitato principalmente dallo scarso utilizzo dello strumento da parte degli utenti finali e dal fatto che solo poche amministrazioni, prevalentemente centrali (es. INPS, Agenzia delle Entrate) e regionali hanno adottato come strumento di autenticazione la CNS.

Obiettivo dello SPID, di cui ci occuperemo di seguito, è superare questi limiti con uno strumento di utilizzo il più possibile diffuso ed universale.

codice fiscale

Il Servizio Pubblico per la gestione dell’Identità Digitale (SPID)

Previsto dal DPCM 24 ottobre 2014 e diventato operativo a marzo 2016, lo SPID è un sistema di autenticazione che permette a cittadini e imprese di accedere ai servizi online della pubblica amministrazione e dei privati aderenti con un’identità digitale unica, costituita da credenziali (nome utente e password) che vengono rilasciate all’utente e che permettono l’accesso a tutti i servizi online. Al momento sono attivi tre fornitori di identità digitali (Infocert, Poste Italiane e TIM), che rilasciano, gratuitamente per i primi due anni, le credenziali di accesso.

Sono previsti tre livelli di sicurezza per l’utilizzo di SPID, il primo quello base fa uso delle sole login e password rilasciate al momento dell’attivazione. Per un accesso più sicuro è previsto il livello 2, che richiede in aggiunta alle credenziali precedenti anche una password temporanea (one time), inviata di solito via mail o sms. Il terzo livello, non ancora implementato, prevede l’utilizzo di un dispositivo fisico di autenticazione aggiuntivo quale una smartcard.

Per ora sono ancora pochi i servizi accessibile tramite SPID, essenzialmente si tratta di alcune pubbliche amministrazioni centrali (Agenzia delle Entrata, INPS, INAIL) e poche amministrazioni locali e regionali. L’obiettivo del Governo è che entro due anni tutte le pubbliche amministrazioni adottino SPID come canale di accesso unico ai propri servizi, raggiungendo una diffusione superiore a quella che ha avuto la Carta Nazionale dei Servizi.

 

Siti utili:

http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/firme-elettroniche

http://www.progettocns.it/

http://www.spid.gov.it/

 

Dott. Luca Frabboni

Esperto in informatica giuridica e giudiziaria Maat Srl

www.maatsrl.it