1 / 33

DOCUMENTI INFORMATICI

DOCUMENTI INFORMATICI. LEGISLAZIONE SULLA FIRMA DIGITALE Di Simona Tarchi. TIPI DI DOCUMENTO. I documenti possono essere divisi in due categorie: Documenti cartacei Documenti informatici. DOCUMENTO CARTACEO. Per avere valore legale un documento cartaceo deve essere:

sela
Télécharger la présentation

DOCUMENTI INFORMATICI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DOCUMENTI INFORMATICI LEGISLAZIONE SULLA FIRMA DIGITALE Di Simona Tarchi

  2. TIPI DI DOCUMENTO I documenti possono essere divisi in due categorie: • Documenti cartacei • Documenti informatici

  3. DOCUMENTO CARTACEO Per avere valore legale un documento cartaceo deve essere: • “Qualcosa di rappresentativo di un fatto capace di fissare un evento, una circostanza, un’idea fuori dal documento stesso, conservandone traccia, prova, in modo permanente e deve garantire la propria paternità” Quindi deve essere: • Scritto con inchiostro permanente • In lingua italiana • Deve essere comprensibile per chiunque parli tale lingua • Deve essere firmato in calce • La sua archiviazione deve avvenire tramite indici, repertori, protocolli, in modo da renderne facile il ritrovamento

  4. DOCUMENTO CARTACEO (1) Problemi: • La sua consultazione è possibile nel luogo in cui è conservato il documento stesso • Il trasporto avviene solo attraverso il trasporto fisico • Archivi di proporzioni enormi

  5. DOCUMENTO INFORMATICO In questo caso parliamo di documento informatico come sinonimo (non esatto) di documento digitale. La definizione viene data nel DPR 10 novembre 1997, 513 (art. 1 a): • “La rappresentazione informatica di atti, fatti e dati giuridicamente rilevanti.” Per essere equiparato al documento cartaceo deve avere le stesse caratteristiche di un documento.

  6. FIRME ELETTRONICHE Le firme elettroniche sono suddivise in: • Firme biometriche • Firme digitali

  7. FIRME BIOMETRICHE • Art. 1 g del DPR 513: “Per chiave biometrica si intende la sequenza di codici informatici utilizzati nell’ambito di meccanismi di sicurezza che impiegano metodi di verifica dell’identità personale basati su specifiche caratteristiche fisiche dell’utente;” Quindi una firma biometrica consiste in una firma che utilizza ad esempio le impronte digitali o l’impronta della retina da “allegare” al documento per poi farne l’impronta, cifrarla e allegarla al file, cioè firmarla.

  8. FIRME DIGITALI Definizione DEFINIZOINE (art. 1 b del DPR 513): • “Per firma digitale si intende il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. “

  9. VALIDITA’ DI UN D.I. Il DPR 513 all’art. 5 comma 1 decreta che: • “Il documento informatico sottoscritto con firma digitale ai sensi dell'art. 10, ha efficacia di scrittura privata ai sensi dell'art. 2702 del codice civile “. Ovvero: “la scrittura privata fa piena prova, fino a querela del falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente riconosciuta.” (Qui entra in scena il notaio o un altro ente pubblico, che deve autenticare la firma in modo da renderla legalmente riconosciuta e questo vale sia per firme digitali sia per firme autografe).

  10. FIRME DIGITALI Uso di chiavi La firma avviene attraverso l’uso di chiavi e il DPR non tralascia di specificare cosa intende per chiavi e impone che la loro lunghezza minima sia di 1024 bit. In particolare: • Chiavi asimmetriche, la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell’ambito dei sistemi di validazione o di cifratura di documenti informatici;

  11. FIRME DIGITALI Uso di chiavi (1) • Chiave privata, l’elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica; • Chiave pubblica, l’elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi;

  12. FIRME DIGITALI Come Su come deve essere prodotta la firma digitale non è più il DPR a esprimersi, bensì il DPCM dell’ 8 febbraio 1999 che stabilisce quali sono le regole, le tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici. Un documento per avere validità legale deve seguire quanto descritto dai due decreti.

  13. FIRME DIGITALI Algoritmi Algoritmi per generazione e la verifica delle firme: • RSA (Rivest-Shamir-Adleman algorithm) ; • DSA (Digital Signature Algorithm) . Algoritmi di HASH per la generazione dell’impronta: (Definiti nella norma ISO/IEC 10118-3:1998) • Dedicated Hash-Function 1, corrispondente alla funzione RIPEMD-160; • Dedicated Hash-Function 3, corrispondente alla funzione SHA-1.

  14. SCHEMA DI FIRMA

  15. FIRME DIGITALI Ovvietà • Alla firma digitale deve essere allegato il certificato corrispondente alla chiave pubblica da utilizzare per la verifica. • Le chiavi private sono conservate e custodite all’interno di un dispositivo di firma (programmabile solo all’origine). È possibile utilizzare lo stesso dispositivo per conservare più chiavi. E’ possibile per motivi di sicurezza duplicare su più dispositivi la firma. • Il titolare delle chiavi deve: • Conservare con massima diligenza e in luoghi sicuri la chiave privata, il dispositivo di firma e il certificato. • Denunciare tempestivamente lo smarrimento o il furto del certificato e/o del dispositivo di firma.

  16. DISPOSITIVODI FIRMA Art. 1 allegato tecnico DPCM. • Per "dispositivo di firma“ si intende un apparato elettronico programmabile solo all’origine, facente parte del sistema di validazione, in grado almeno di conservare in modo protetto le chiavi private e generare al suo interno firme digitali; • In Italia vengono utilizzate smart card e relativi lettori.

  17. PRECARIETA’ NEL TEMPO • Precarietà nel tempo degli effetti della firma digitale. L’efficacia della firma è di per sé limitata nel tempo. Leggendo l’art. 60 DPCM 8.02.99 si ricava che se non viene compiuta la marcatura temporale, almeno prima della scadenza del certificato, la sottoscrizione perde la sua efficacia di forma scritta. La marcatura temporale è poi fondamentale per provare l’anteriorità della sottoscrizione rispetto alla revoca o sospensione del certificato.

  18. MARCA TEMPORALE • Nella maggior parte dei documenti destinati a produrre effetti giuridicamente rilevanti è necessaria un'ulteriore indicazione: il momento in cui il documento è stato sottoscritto. • Questo risultato si ottiene attraverso la generazione di una marca temporale (time stamping), che viene "applicata" al documento stesso ad opera di una "terza parte fidata", che nel nostro ordinamento è il certificatore.

  19. MARCA TEMPORALE • In pratica la marca temporale è costituita da una firma digitale generata a partire da una "struttura di dati", costituita da una serie di indicazioni, tassativamente elencate dall'articolo 53delle Regole tecniche(DPCM). • Si tratta quindi di una specie di certificato, che presenta tutte le informazioni necessarie per la verifica. • Un aspetto molto interessante è dato dalla possibilità, prevista dall'articolo 58(DPCM), di sottoporre alla validazione temporale, invece del documento intero, soltanto la sua impronta, ottenuta con la funzione di hash in modo da tenere lontano da occhi indiscreti il contenuto in chiaro del documento.

  20. IL CERTIFICATORE • L'articolo 8 del DPR 513/97 stabilisce l'attività di certificazione può essere svolta da soggetti privati che abbiano gli stessi requisiti richiesti per l'esercizio dell'attività bancaria e che siano iscritti in un apposito elenco, tenuto dall'‘Autorità per l‘Informatica nella Pubblica Amministrazione (AIPA); Analoghi requisiti (tranne quelli di tipo soggettivo) sono richiesti per le amministrazioni pubbliche che intendono svolgere l'attività di certificazione nel proprio ambito. • L’elenco (abbastanza scarno) dei certificatori autorizzati italiani è consultabile in rete nel sito dell’AIPA.

  21. ELENCO CERTIFICATORI I Certificatori autorizzatiiscritti nell’elenco dell’AIPA sono 13. Qui di seguito ne riportiamo i più famosi: • BNL Multiservizi S.p.A. (dal 30/03/2000) • Finital S.p.A. (dal 13/04/2000) • Postecom S.p.A. (dal 20/04/2000) • In.Te.S.A. S.p.A. (dal 22/03/2001) • ENEL.IT S.p.A. (dal 17/05/2001)

  22. DUPLICATI E COPIE Per quanto riguarda un documento cartaceo, le copie hanno valore legale (come di duplicati) solo se vi è apposta una firma in originale legalmente riconosciuta (art. 2714-2719 del CC). I duplicati, le copie, gli estratti di un documento informatico, anche se riprodotti su diversi tipi di supporto, sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del DPR 513. I documenti informatici contenenti copia o riproduzione di atti pubblici, scritture private e documenti in genere hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se ad essi è apposta o associata la firma digitale di colui che li spedisce o rilascia.

  23. PROBLEMI USO F.D. • Non esiste un archivio di documenti informatici unico (ogni certificatore ne dovrebbe avere uno). • Difficoltà di consultazione on-line degli elenchi di validità dei certificati. • Babele dei sistemi di firma e dei relativi lettori.

  24. BABELE DEI SISTEMI DI FIRMA • Ogni certificatore ha un suo sistema di firma cui corrispondono vari modelli di lettori smart-card. Ogni sistema è incompatibile con l’altro, per cui di fronte ad un atto notarile con 13 contraenti aventi certificati diversi, il notaio dovrebbe avere 13 programmi di firma e vari lettori smart-card, affinché tutti possano sottoscrivere il documento digitale.

  25. PROBLEMI F.D. (1) • In Italia l’analfabetismo ormai è stato debellato, quindi tutti sanno leggere e scrivere e, di conseguenza, firmare, ma non tutti sanno usare strumenti tecnologici. • Non esiste nessuna assistenza per chi intenda usare la firma digitale: • Nessun aiuto per scegliere il software di firma. • Nessuna assistenza tecnica per installare i lettori di smart card. • Non esiste nessun numero verde cui rivolgersi in caso di problemi.

  26. NORMATIVA EUROPEA • Recepimento della direttiva 1999/93/CE sulla firma elettronica. • Questo è tratto dal testo inviato il 20 dicembre 2001 a tutti i capi degli uffici legislativi dei ministeri. Il 21 dicembre il governo ha approvato il decreto, ma il testo definitivo non è ancora noto (15 gennaio 2002).

  27. NORMATIVA EUROPEA Un problema dell’introduzione (anche se non ancora effettiva) della normativa europea è l’accavallamento di definizioni, a volte non coerenti, dei concetti alla base dell’uso e della validazione di documenti digitali.

  28. ESEMPI (Definizione di f.e.) ES: per "firma elettronica" si intende l'insieme dei dati in forma elettronica allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica. E' sbagliato. La firma elettronica serve per la "validazione" di un documento, mentre nell'ordinamento italiano con il termine "autenticazione" si indica una complessa procedura, compiuta da un pubblico ufficiale, che accerta l'identità del sottoscrittore, la legittimità dell'atto e via discorrendo.

  29. ESEMPI (Dispositivo di firma) Un'altra definizione crea una grave frattura con il nostro ordinamento,quella di dispositivo di firma, perché la CE dice che s'intende per  "dispositivo per la creazione di una firma sicura" il programma informatico o l'apparato strumentale, usato per la creazione di una firma elettronica eccetera. La nostra vecchia definizione (ancora non abrogata) parlava invece di un "dispositivo programmabile solo all'origine", escludendo quindi software, dischetti e altri mezzi di totale insicurezza.

  30. ESEMPI (Requisiti certificatori) Ulteriore problema: i requisiti dei certificatori. Per la C.E.: I prestatori di servizi di certificazione devono:[…]d) disporre di risorse finanziarie sufficienti ad operare secondo i requisiti previsti dalla direttiva, in particolare per sostenere il rischio di responsabilità per danni, ad esempio stipulando un'apposita assicurazione;[…]. Il problema è capire se la cifra tassativamente prescritta dalla banca d'Italia sia compatibile con il concetto generico delle "risorse sufficienti" previste dalla direttiva.

  31. ESEMPI (Firma sicura) La C.E. con la sua normativa, introduce il concetto di "firma elettronica  avanzata" che indica la firma digitale sicura (la firma prodotta attraverso l’uso di procedure e dispositivi sicuri). Nel nostro ordinamento questo termine non appare dato che la firma digitale (per come è definita dal DPR) è considerata una firma sicura, infatti garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da rilevare se i dati stessi siano stati successivamente modificati.

  32. VALIDITA’ EUROPEA DI UN ATTO FIRMATO Effetti giuridici delle firme elettroniche. Gli stati membri provvedono a che le firme elettroniche basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura: • Posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per dati cartacei; • Siano ammesse come prova in giudizio. Questo sta a significare che un documento informatico firmato secondo le regole dettate avrà valore legale in ogni stato della C.E.

  33. BIBLIOGRAFIA • http://www.aipa.it/ sito AIPA. • www.interlex.it sito di aggiornamento sulle leggi. • Tesi di Rosa Ciliberti (economia e commercio). • www.ca.finital.it una delle CA riconosciute. • www.ilsole24ore.it.

More Related