Firma Digitale e PEC

Firma Digitale e PEC

Lo sviluppo dei servizi informatici sta avendo un grosso impatto nella società e sta producendo radicali cambiamenti in tutti i settori della nostra vita quotidiana. Anche la Pubblica Amministrazione ha avviato importanti processi di cambiamento della propria attività al fine di migliorarsi, snellire le pratiche e soprattutto rivedere i rapporti con cittadini ed imprese. Questo processo di rinnovamento passa attraverso l’informatizzazione e la dematerializzazione, ovvero il passaggio da una amministrazione basata su dialoghi personali e documenti cartacei ad una amministrazione basata su dialoghi e documenti elettronici.

Uno degli strumenti indispensabili nella gestione dei documenti elettronici è la firma digitale.

La firma digitale è l’equivalente elettronico di una firma apposta su carta, ma non va confusa con una firma scannerizzata e inserita in un documento: quest’ultima è legata alla grafia della persona e non possiede alcuna validità legale. La firma digitale, invece, ha validità legale e può essere inserita attraverso un kit per firma digitale.
Il kit è formato, in genere, da un dispositivo (smart card o token) che genera la firma e richiede il PIN (codice di protezione del dispositivo), un lettore del dispositivo e un software da installare sul computer che permette di firmare e verificare la validità della firma. Il firmatario deve essere l’unico a possedere il dispositivo di firma, l’unico a conoscere il PIN e l’unico a cui è connessa la firma. I certificatori che rilasciano un kit di firma digitale (es. Camere di Commercio) hanno la qualifica di “certificatore accreditato”. Tale qualifica, in Italia, è sotto il controllo dello Stato.

Nel momento in cui una firma digitale valida viene associata al documento elettronico gli conferisce:
• Autenticità: si può essere certi dell’identità del sottoscrittore;
• Integrità: la certezza che il documento non sia stato modificato dopo la sottoscrizione;
• Non ripudiabilità: la PA è obbligata dalla legge ad accettare i documenti firmati digitalmente.
Dal punto di vista tecnico, la firma digitale è un sistema di crittografia a due chiavi asimmetriche. La prima chiave (privata) è usata solo dal titolare per generare la firma digitale; la seconda chiave (pubblica) è resa nota all’ente certificatore e viene utilizzata per verificare l’autenticità della firma. Una volta firmato il documento con la chiave privata, la firma può essere verificata esclusivamente con la corrispondente chiave pubblica e la sicurezza sta nel fatto che è impossibile ricostruire la chiave privata a partire da quella pubblica.
Un particolare tipo di firma digitale è la “remota” che permette di apporre la firma via Web in totale sicurezza. Non è necessario installare un software, ma basta disporre di una connessione. Al posto della smart card si utilizza il token, un dispositivo che genera una OTP (One Time Password), una password temporanea che scade dopo alcuni minuti.

La Marca temporale è un servizio che permette di associare data e ora certe a un documento informatico sul quale è apposta una firma digitale. È opponibile a terzi e gli conferisce validità nel tempo (non inferiore a 20 anni).

Posta Elettronica Certificata (PEC)

Consente di dare ad una e-mail lo stesso valore legale di una raccomandata con ricevuta di ritorno. Risulta vantaggiosa per privati o aziende che hanno l’esigenza di “certificare” l’invio e l’avvenuta consegna, ovvero fornirsi di una ricevuta che costituisce prova legale dell’avvenuta spedizione e ricezione del messaggio.
Oltre al mittente e al destinatario, troviamo un gestore PEC del mittente e un gestore PEC del destinatario. Il mittente, dal proprio dominio, invia il messaggio che viene raccolto dal proprio gestore. Il gestore lo racchiude in una busta di trasporto, vi applica una firma digitale e lo indirizza al gestore PEC del destinatario. Quest’ultimo, verificata la firma, invia un ricevuta all’altro gestore, il quale può accertare al mittente che il messaggio è giunto a destinazione.