di Pierluigi Paganini*
La firma digitale è l’equivalente elettronico della firma autografa. È una procedura che garantisce l’autenticità e l’integrità di messaggi e documenti inviati e archiviati tramite strumenti informatici. La firma digitale ha la stessa validità legale di una tradizionale firma autografa sui documenti cartacei. Partendo da un documento firmato digitalmente si potrà in ogni momento risalire al suo firmatario in maniera certificata.
La firma digitale può essere richiesta attraverso i certificatori accreditati autorizzati dall’Agenzia Digitale per l’Italia (AgID), che hanno il compito di verificare l’identità dei soggetti richiedenti. Possono dotarsi di firma digitale tutte le persone fisiche, come cittadini, amministratori e dipendenti di aziende private. Aziende private e uffici governativi hanno pianificato ingenti investimenti per l’automazione dei processi e in particolare per la gestione della documentazione elettronica.
La firma digitale è da considerarsi come il fulcro dei processi di autorizzazione e validazione di un qualunque flusso documentale. L’apposizione di una firma digitale consente di sostituire il processo di approvazione su carta, spesso lento e costoso, con un sistema completamente digitale, rapido ed economico. I benefici sono molteplici: basti pensare alla riduzione dei costi e alla completa automazione del work flow documentale.
Requisiti e caratteristiche
La firma digitale di un documento elettronico rispetta i seguenti requisiti:
- autenticità: l’identità del firmatario è certificata e sempre verificabile;
- integrità: non è possibile modificare un documento firmato da qualcun altro;
- non ripudio: il firmatario non può negare di aver firmato un documento.
In base a questi principi, un documento firmato digitalmente è riconosciuto dalla normativa italiana vigente come equivalente a un documento cartaceo con firma autografa in calce.
Come funziona la firma digitale?
Sotto l’aspetto strettamente tecnico, una firma digitale è il risultato di una procedura informatica in cui i dati originali (come un documento elettronico o il testo di un’e-mail) sono stati cifrati con la chiave privata del firmatario.
Il processo di firma
Il processo di firma digitale è costituito dai seguenti passaggi:
- il firmatario calcola l’impronta (hash) per i dati che deve firmare. L’hash è un stringa di pochi byte la cui lunghezza dipende dal metodo di hashing utilizzato (a 160-bit col metodo SHA-1, ora deprecato, a 256-bit con SHA-256). La stringa di hash è prodotta riducendo al minimo la probabilità di ottenere lo stesso valore a partire da testi diversi, ed è perciò definita come funzione “one way”, ovvero dalla conoscenza dell’hash non è possibile risalire al testo originale;
- il firmatario, usando la sua chiave privata, cifra l’hash generando la firma digitale;
- il firmatario invia i dati originali e la firma digitale al destinatario.
Il processo di verifica
Il processo di verifica è altrettanto semplice. Una volta che il destinatario ha ricevuto il documento, con la relativa firma, esegue la seguente procedura:
- usa la chiave pubblica del firmatario per decifrare l’hash;
- usa lo stesso algoritmo di hashing che ha generato l’hash originale, per generare un nuovo hash unidirezionale degli stessi dati inviategli;
- confronta l’hash calcolato con quello originale; la firma è valida se i due hash coincidono.
I tre algoritmi della firma digitale
Nei processi di firma e verifica descritta si distinguono tre algoritmi:
- un algoritmo per generare una coppia di chiavi (chiave pubblica, chiave privata);
- un algoritmo di firma che, ricevuto in ingresso un messaggio e la chiave privata del firmatario produce una firma σ;
- un algoritmo di verifica che, preso in ingresso il messaggio m, la chiave pubblica del firmatario e una firma σ, accetta o rifiuta la firma.
Per quanto possa apparire complesso, apporre una firma digitale è un processo estremamente semplice e rapido. Le informazioni appena fornite spiegano quali processi vi siano dietro la generazione di una firma elettronica ma, in realtà, le procedure descritte sono eseguite in maniera automatica e trasparente: all’utente verrà solo richiesto di inserire il PIN di accesso al suo dispositivo di firma.
Riassumendo, la firma digitale:
- è equivalente a quella cartacea;
- è semplice da usare;
- consente di ridurre i tempi e i costi dei processi di approvazione e validazione dei documenti elettronici;
- migliora l’efficienza operativa;
- accresce la competitività;
- migliora l’esperienza utente.
Quanto è diffusa la firma digitale oggi?
Secondo i dati forniti da AgID, dal mese di maggio 2014 al luglio del 2015 risulta un incremento del 50% dei certificati: a maggio 2014 erano 5.319.800, mentre a luglio 2015 si è raggiunta quota 8.104.615 certificati. (Aggiornamento Dicembre 2019: 22.067.401 certificati qualificati di firma digitale attivi).
La firma digitale trova molti ambiti di applicazione, tra cui:
- comunicazioni ufficiali con le amministrazioni pubbliche, come risposte a bandi e gare pubbliche, moduli di richiesta di vario genere, dichiarazioni fiscali, trasmissione di documenti legali;
- validazione di rapporti contrattuali su reti aperte (Internet), ad esempio per la fornitura elettronica di beni e servizi o per transazioni finanziarie;
- identificazione e autorizzazione: si verifica l’identità di un interlocutore e il possesso di determinati suoi attributi per autorizzare il suo accesso a un sistema informatico o si esegue l’identificazione di un server web.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli EsteriMembro Gruppo Threat Landscape Stakeholder Group ENISACollaboratore SIPAF presso il Mef