Firma elettronica

Informazione addizionale sulla firma elettronica per imprese e utenti


Queste informazioni (revisionate da noi) sono state gentilmente fornite da StepOver e tradotte dal tedesco da Mondo Agit.
Traduttrice all’interno del programma di traduttori volontari: Ilaria Martinelli

 

Sfondo

 

La Direttiva Europea per le firme elettroniche (Direttiva per le firme 1999/93/EG /EG, in seguito, Direttiva Europea) definisce tre tipologie di firma elettronica:

  1. La firma elettronica (semplice)
  2. La firma elettronica avanzata
  3. La firma elettronica avanzata, basata su un certificato qualificato ( e inviata mediante un dispositivo di generatore di firme sicuro); in seguito, firma elettronica qualificata o per le sue sigle in inglese QES.

Dato che la firma elettronica qualificata richiede dalla persona firmante quello che le sia stato assegnato, per mezzo di una terza parte affidabile (per esempio, un fornitore di servizi di certificazione), una chiave di firma (come una chiave privata o private key), questo tipo di firma elettronica non è appropriata per l'implementazione in posti come sportelli né in altri tipi di negozi col contatto diretto, faccia a faccia col cliente, poiché, normalmente, il firmante non dispone del suddetto certificato qualificato. A questo si aggiunge il problema che l’uso della QES investe l’obbligo della prova (vale a dire, cessa di applicarsi la presunzione di innocenza), la quale suppone generalmente un pregiudizio per l'utente. Per quello la firma elettronica scritta, non richiedendo nessun certificato qualificato, si è imposta in molti settori del mercato.

 

La firma elettronica scritta si basa sui tratti biometrici che si manifestano al catturare la firma manoscritta come tratto identificativo del firmante. Ogni firmante puó utilizzare questo tratto senza necessità di mettere nulla (come una tessera elettronica intelligente), di registrarsi ne di affrontare costi addizionali o alcun pregiudizio legale. Nonostante ciò questo tratto non rappresenta una chiave crittografica asimmetrica per quello non può essere distribuito come certificato qualificato. Pertanto, le firme elettroniche scritte solo possono essere, come d’accordo con la Direttiva Europea, o firme semplici o avanzate.

 

Anche se, inizialmente la formulazione della Direttiva Europea relativa alle firme elettroniche avanzate può sembrare tecnologicamente neutrale, nelle definizioni (Articolo 2) si mette in evidenza che l’unica forma possibile di applicare la firma elettronica avanzata sia mediante algoritmi criptati di cifrato asimmetrici. Dalle seguenti spiegazioni risulta questo:

 

Articolo 2 nº 3: "Firmante" è quella persona che ha un dispositivo di creazione di firme...

 

Articolo 2 nº 5 "Dispositivo di creazione delle firme" è un software o un hardware configurato che si usa per l’implementazione dei dati di creazione delle firme...

 

Articolo 2 nº 4: "Dati di creazione di firme" sono dati unici, come codici o chiavi crittografiche private, che il firmante usa per creare una firma elettronica...
In pratica, seguendo l’articolo 2 nº4 della Direttiva, di tutto questo risulta che, per creare una firma elettronica avanzata, devono utilizzarsi “dati unici”. Anche se qui l’uso di una chiave privata (Private Key) è stato menzionato esclusivamente come esempio, l’unicità esclude l'uso di chiavi simmetriche, posto che, in questo caso, si usi una chiave identica tanto per la creazione quanto per la verifica della firma. Pertanto, ancora non si darebbe l’unicità della chiave.
I dati biometrici apportati da un tratto biometrico dinamico (attivo), come la firma manoscritta, non sono per nulla identici (sono pertanto unici). Inoltre, non offrono la possibilità di creare una seconda chiave che possa fare le veci della chiave di verifica unica. Nondimeno se è necessaria questa seconda chiave, così come si spiega nell‘Articolo 2 nº 7, che definisce la seconda chiave indipendente per la verifica come segue:

 

Articolo 2 nº 7 "Dati di verifica della firma" sono dati, quali codici o chiavi crittografiche pubbliche, che si usano per la verifica della firma elettronica...

 

Il fatto che il firmante debba avere un dispositivo di creazione delle firme (secondo l’articolo 2 nº 3) non significa necessariamente che debba essere allo stesso tempo il suo proprietario. Dal punto di visto giuridico, anche una cessione temporale può essere considerata come possesso. In questo modo, un sistema di firme (apparecchio, computer, ecc..), che ha un chiave privata unica e che è stato ceduto a una persona perché realizzi la firma elettronica, adempie al requisito che il dispositivo di creazione delle firme con i dati unici di creazione delle firme si trovino in possesso del firmante al momento della firma. Nel caso di sistemi come questo, che, date le situazioni, si cedono a distinte persone per firmare e che, pertanto, sono soggetti a cambiamenti di proprietari, non ha nessun senso vincolare la vera identità del firmante ai dati di creazione delle firme, vale a dire, alla chiave privata (Private Key). Il quale tantomeno è richiesto per l’applicazione della firma avanzata. Solo nel caso della firma elettronica qualificata, descritta in precedenza, si richiede l’associazione della chiave privata all’identità del firmante. È anche perfettamente possibile l’utilizzo di un tratto di identificazione biometrico (come per esempio , la firma manoscritta) per una firma elettronica avanzata, sempre e quando si usino dati di creazione di firme unici (come una chiave privata o Primary Key unica) nel dispositivo di creazione delle firme (apparecchio, software, ecc..).