George Tooker (1920-2011) - Government Bureau - 1956
Firma elettronica e SPID: avanti verso il futuro
di Michela Salvaderi
Siamo pronti a dire addio alla firma autografa apposta su carta? Probabilmente no, e sarà così ancora per molto tempo, ma con l’incessante evoluzione dal mondo analogico a quello digitale, dovremo entrare in una nuova ottica dove viene ribaltato il concetto di sottoscrizione.
Se nel mondo analogico la firma autografa diventava l’unico strumento, riconosciuto giuridicamente, per attestare la provenienza e la sottoscrizione di atti e dichiarazioni, con l’avvento dell’era digitale il foglio si tramuterà in file (con estensione p7m), la penna in mouse e la firma in bit. Pura follia? No, solo il futuro.
La Firma Elettronica è definita dal CAD (Codice dell’Amministrazione Digitale D.Lgs. n. 82/2005 aggiornato al D.Lgs. n. 179/2016) come “l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. In parole più semplici, la firma elettronica è l’equivalente informatico di una firma autografa apposta su carta ed ha il suo stesso valore legale. La sua funzione è quella di garantire l’autenticità, l’integrità e la validità di un documento: tramite l’apposizione della firma digitale, infatti, è possibile sottoscriverne il contenuto, assicurarne la provenienza e garantirne l'inalterabilità delle informazioni.
Allo stato attuale sono previste quattro tipologie di firme, che assicurano differenti livelli di sicurezza e alle quali sono riconosciuti effetti giuridici diversi (cambia il valore probatorio in base al livello di garanzia delle informazioni). Proprio su tale differenza si basa la classificazione delle firme digitali in due macro-tipologie:
- Firma debole (firma elettronica): rappresenta una firma elettronica generica realizzata da diversi strumenti (CNS, PIN, tecniche biometriche.. etc) in grado di conferire un certo livello di autenticazione ai dati elettronici, ma offre minori garanzie in termini di sicurezza (basso valore probatorio)
- Firma forte (firma elettronica qualificata, firma elettronica avanzata e firma digitale): viene creata attraverso un dispositivo sicuro idoneo alla generazione di firme, ossia una smart card o un token rilasciati da un ente certificatore e basata su di un certificato qualificato. Questa firma, più sofisticata dal punto di vista tecnologico (utilizza particolari tecnologie crittografate) e telematico, consente di identificare in modo univoco il firmatario e, per tale motivo, è riconosciuta un’efficacia probatoria molto alta (il firmatario che desidera disconoscere un documento dovrà attivare l’iter per la querela di falso).
Ecco le quattro tipologie di firme previste:
- Firma elettronica: Con l’espressione firma elettronica s’intende “un insieme di dati in forma elettronica, riconducibili all’autore, allegati oppure connessi ad atti o fatti giuridicamente rilevanti contenuti in un documento informatico, utilizzati come metodo di identificazione informatica”. La firma elettronica quindi, più che a una vera e propria firma, dà vita ad un processo di autenticazione cui sono riferibili minori requisiti di sicurezza rispetto alle altre firme
- Firma elettronica avanzata: È un particolare tipo di firma elettronica che, allegando oppure connettendo un insieme di dati in forma elettronica ad un documento informatico, garantisce integrità (consentendo di rilevare se i dati sono stati successivamente modificati) e autenticità del documento sottoscritto. La sua creazione presuppone l’utilizzo di mezzi sui quali il firmatario mantiene il controllo esclusivo (One time password ossia OTP). Quest’ultimo elemento assicura la connessione univoca con il firmatario e quindi la paternità giuridica del documento.
- Firma elettronica qualificata: È un particolare tipo di firma elettronica avanzata basata su un certificato “qualificato” (che garantisce l’identificazione univoca del titolare, rilasciato da certificatori accreditati) e realizzato mediante un dispositivo sicuro (token o smart card) per la generazione della firma che soddisfa particolari requisiti di sicurezza.
- Firma digitale: È un particolare tipo di firma elettronica avanzata basato su un certificato qualificato e su un sistema di doppia chiave crittografica, una pubblica (contenuta nel certificato qualificato) ed una privata (custodita dal mittente) che, nel loro uso congiunto, servono a garantire e a verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Le operazioni tecniche operative da compiere per apporre una di queste firme sopra un documento informatico sono comuni in tutti gli applicativi-software (QUI è possibile trovare una tabella utile nella scelta dei certificatori a cui appoggiarsi):
- il software di firma richiede di selezionare il documento da sottoscrivere e di inserire la smart card nel lettore o la “chiavetta” nella porta USB;
- successivamente il software chiede l’inserimento del codice PIN e salva il documento sottoscritto e pronto per essere utilizzato.
Ma la firma digitale non è l’unica materia accreditata in fatto di novità digitale, oggi sta prendendo piede anche SPID (Sistema Pubblico di Identità Digitale).
SPID è il sistema di autenticazione che permette ai cittadini e alle imprese di accedere ai servizi online della pubblica amministrazione e dei privati aderenti con un’identità digitale unica (unico login per tutte le PA). L’identità SPID è costituita da credenziali (nome utente e password) che vengono rilasciate all’utente e che permettono l’accesso a tutti i servizi online ovunque ci si trova e da qualunque dispositivo.
Il sistema SPID assicura la piena protezione dei dati personali, non è consentito, infatti, alcun tipo di profilazione, così da garantire la privacy dei propri utenti.
Come richiedere SPID? Per richiedere e ottenere le proprie credenziali SPID bisogna avere un documento di identità valido (carta di identità o passaporto) e la propria tessera sanitaria. Sarà utile avere con sé le credenziali per accedere ad un indirizzo e-mail ed il numero di telefono cellulare.
È un servizio gratuito? Sì. Si può richiedere gratuitamente le proprie credenziali SPID ad uno dei soggetti abilitati (Aruba, Infocert, Namirial, Poste, Register, Sielte e Tim). Scopri dove e come richiedere SPID.
Tutti possono attivare SPID? SPID può essere richiesto da tutti i cittadini italiani, o stranieri dotati di permesso di soggiorno e residenti in Italia, che abbiano compiuto la maggiore età
Ci sono più livelli di sicurezza per SPID? Sì, esistono tre diversi livelli di sicurezza:
- Il primo livello permette di accedere ai servizi online attraverso il proprio nome utente e password associata
- Il secondo livello permette l’accesso attraverso il proprio nome utente e password associata più la generazione di un codice temporaneo di accesso (Codice OTP: one time password).
- Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l’identificazione (analisi tratti biometrici, analisi della voce.. etc).
Tuttavia, ad oggi, sono disponibili accessi SPID solo di primo e secondo livello.
Tutte le amministrazioni consentiranno l’accesso ai propri servizi tramite SPID? Sì, l’adesione dell’intera pubblica amministrazione a SPID dovrà avvenire entro il 18 Dicembre 2017.
La rivoluzione del digitale è in corso, a noi scegliere se cavalcare l’onda o farci portare alla deriva!