Firma digitale, come cambierà in Italia dopo eIDAS

Dalla prima disciplina della firma digitale in Italia ad oggi i formati dei file firmati digitalmente si sono ampliati ricomprendendo oltre all’originario formato CAdES anche quelli XAdES e PAdES.

La crescente diffusione delle firme elettroniche nelle attività dei privati, soprattutto nel settore bancario, e nella pubblica amministrazione, con particolare riferimento al processo telematico, rende opportuno dar conto delle modalità con cui può essere verificato un file firmato digitalmente e dei possibili sviluppi che saranno introdotti in seguito all’entrata in vigore del Regolamento (UE) n. 910/2014 (cd. Regolamento eIDAS).

I formati dei file sottoscritti digitalmente e le modalità di creazione e verifica dei medesimi sono regolati dal D.P.C.M. 22 febbraio 2013 e dalla delibera CNIPA n. 45/2009, come aggiornata dalla Determinazione DIGITPA del 28/7/2010.

Senza entrare in dettagli tecnici, firmare digitalmente un documento informatico significa, nella maggior parte dei casi, creare un file, definito “busta crittografica” che racchiude al suo interno il documento originale, l’evidenza informatica della firma e la chiave per la verifica della stessa, che, a sua volta, è contenuta nel certificato emesso a nome del sottoscrittore. L’ autenticità del certificato è garantita da un ente di certificazione ossia, per le firme elettroniche qualificate, dai certificatori accreditati ai sensi dell’articolo 29 del CAD (D.Lgs. n. 82/2005).

Si tratta, quindi, di un “pacchetto” (appunto definito “busta”) che racchiude più oggetti e che, a seconda del software utilizzato e del formato originario, si presenta in maniera diversa a chi deve verificare la validità della sottoscrizione.

Nel formato CAdES la “busta crittografica” assume un’estensione “.p7m”, il cui contenuto è visualizzabile solo attraverso idonei software in grado di “sbustare” il documento sottoscritto digitalmente. Tale formato permette di firmare qualsiasi tipo di file, ma presenta lo svantaggio di non consentire di visualizzare il documento oggetto della sottoscrizione in modo agevole. Infatti, è necessario utilizzare un’applicazione specifica che, ai sensi dell’art. 14 del D.P.C.M. 22 febbraio 2013, deve essere fornita od indicata dai certificatori che rilasciano certificati qualificati.

Il formato XAdES è utilizzato per consentire la sottoscrizione di documenti generati in XML (eXtended Markup Language). Evitando in questa sede di approfondire in maniera troppo specifica le caratteristiche di tale formato, divenuto molto diffuso in seguito alla direttiva n. 1999/93/CE, appare sufficiente evidenziare che trattasi di una specializzazione della XML-Signature in quanto standard per la sottoscrizione elettronica dei documenti in formato XML. La caratteristica di questa tipologia di firma è che, seguendo la struttura del linguaggio utilizzato, è possibile firmare anche solo una parte del documento invece che l’intero file (a differenza del CadES) in tal modo consentendo di aggiungere nuovi campi o file lasciando inalterati i marcatori del documento precedentemente firmati.

Il formato PAdES (basato sullo standard ISO/IEC 32000 e conforme alle specifiche ETSI TS 102 778) è stato introdotto nel nostro ordinamento nel 2006 a seguito di un protocollo di intesa tra Adobe e l’allora CNIPA (Centro Nazionale per l’Informatica nella Pubblica Amministrazione). Il PAdES presenta alcune caratteristiche particolari, quali la possibilità di visualizzare “graficamente” il punto del documento in cui la firma è inserita, firmare solamente alcune parti del documento e gestire diverse versioni del documento senza invalidare le sottoscrizioni precedentemente apposte.

Questo formato supporta la sottoscrizione elettronica solamente su documenti in formato PDF e le modalità di apposizione delle firme varia a seconda di come sia stato predisposto il documento.

Ulteriore peculiare caratteristica è che il documento sottoscritto coincide con il documento originario, nel senso che sono un unico file (a differenza del formato CAdES in cui si ha il file della busta crittografica che contiene il file firmato).

> Il tema sarà al centro del Convegno “Documenti digitali e firma elettronica alla luce del regolamento eIDAS ” in programma a #forumpa2016. Le iscrizioni sono aperte.

I certificatori accreditati

L’art. 14 delle regole tecniche di cui al DPCM 22 febbraio 2013 stabilisce che:

“I certificatori che rilasciano certificati qualificati forniscono ovvero indicano almeno un sistema che consenta di effettuare la verifica delle firme elettroniche qualificate e delle firme digitali, conforme a quanto stabilito con i provvedimenti di cui all’art. 4, comma 2 ”, ossia con i provvedimenti adottati da AGID (ossia, per quanto riguarda la materia in esame, la Delibera n. 45/2009 il cui art. 25 ribadisce l’obbligo per i certificatori accreditati di fornire ovvero indicare un sistema che consenta di effettuare la verifica della sottoscrizione).

In particolare, il sistema di verifica deve rispettare le seguenti caratteristiche:

a) presentare, almeno sinteticamente, lo stato di aggiornamento delle informazioni di validità dei certificati di certificazione presenti nell’elenco pubblico;

b) visualizzare le informazioni presenti nel certificato qualificato e le estensioni obbligatorie;

c) consentire l’aggiornamento, per via telematica, delle informazioni pubblicate nell’elenco pubblico dei certificatori;

d) in caso di firme multiple, visualizzare l’eventuale dipendenza tra queste;

e) visualizzare chiaramente l’esito della verifica dello stato dei certificati qualificati e di eventuali certificati di attributo;

f) evidenziare l’eventuale modifica del documento informatico dopo la sottoscrizione dello stesso;

g) consentire di salvare il risultato dell’operazione di verifica su un documento informatico;

h) rendere evidente, se presente, la circostanza che l’utilizzo della chiave privata è subordinato, prima dell’apposizione della firma, alla verifica da parte del certificatore della validità del certificato qualificato.

L’art. 27 della Delibera n. 45/2009 nel disciplinare i requisiti delle applicazioni di apposizione e verifica della firma stabilisce gli elementi dei certificati digitali che dette applicazioni devono verificare ed obbliga i software rilasciati o indicati dai certificatori accreditati a gestire i formati di firma CAdES e XAdES.

I file in formato PDF a cui sia stata apposta una firma elettronica PAdES pertanto, non devono essere obbligatoriamente gestiti dalle applicazioni di verifica dei certificatori accreditati (o dai medesimi indicati).

Per tale formato vi sono comunque diverse soluzioni disponibili.

Adobe, infatti, in seguito al protocollo del 2006 di cui si è innanzi accennato ha inserito nei propri software di creazione e lettura dei file .pdf delle apposite funzionalità che consentono sia di sottoscrivere sia di verificare le firme digitali apposte sui file in formato PAdES. All’interno dei programmi rilasciati dall’azienda è stato inserito il supporto alle Liste di Fiducia, ossia alle liste di certificatori accreditati in tutti gli Stati membri dell’Unione Europea. Insieme a tali liste, però, sono inserite anche quelle approvate dall’azienda produttrice, che includono anche autorità di certificazione non accreditate in Europa, potendo verificarsi una confusione circa l’attendibilità dei certificati oggetto di verifica.

Sul sito AGID è presente un’ampia spiegazione delle procedure e configurazioni che occorre attuare per poter procedere alla verifica delle firme elettroniche in formato PAdES, in quanto un’errata configurazione (o il mancato aggiornamento) del programma potrebbe impedire la corretta verifica di un file firmato digitalmente in tale formato, dando così esiti negativi della verificazione della firma anche qualora la stessa in realtà sia valida.

Come verificare un documento

E’ stato già chiarito che la normativa italiana impone ai certificatori accreditati di indicare un o distribuire uno strumento che consenta di verificare i file sottoscritti digitalmente nel formato CAdES o XAdES.

L’Agenzia per l’Italia Digitale sul proprio sito internet ha un’apposita sezione in cui indica i software che possono essere utilizzati a tale scopo nonché i servizi online che consentono di verificare file firmati digitalmente in vari formati.

La verifica di un file, pertanto, potrà avvenire sia scaricando un apposito software sul computer (avendo l’accortezza di aggiornare all’avvio le liste di revoca e sospensione dei certificati), sia utilizzando uno strumento di verifica online che non richiede l’installazione di software particolari.

E’ opportuno evidenziare che tra tali servizi ve ne sono alcuni che consentono la verifica anche di file in formato PAdES, superando le difficoltà sopra accennate relativa alla corretta configurazione dei programmi. In particolare, si tratta dei seguenti servizi:

• ANDXOR
• INFOCERT
• COMPED
• NAMIRIAL

Sarà sufficiente caricare il file firmato per ottenere l’esito della verifica della firma digitale apposta sullo stesso, senza necessità, appunto, di ulteriori configurazioni o dell’installazione di programmi ad hoc.

Di particolare rilievo è il Digital Signature Service ossia il software di firma e verifica promosso dalla Commissione Europea e messo a disposizione gratuitamente per la sottoscrizione e la verifica dei documenti informatici all’interno dell’Unione Europea.

Cosa prevede il Regolamento eIDAS

Com’è noto il 1° luglio 2016 entrerà in vigore il Regolamento (UE) n. 910/2014, in materia di identificazione e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (cd. Regolamento eIDAS).

Il Regolamento disciplina il servizio di convalida di una firma elettronica qualificata come un servizio fiduciario specifico , che può essere reso da un prestatore di servizi fiduciari qualificato o non qualificato.

In particolare, l’art. 32 regola quello che può essere definito come processo di convalida “semplice” della validità di una firma elettronica, stabilendo i requisiti della stessa affinché tale processo dia esito positivo:

Si tratta, in estrema sintesi, dei processi di convalida già disciplinati dalla legge italiana, che in gran parte sono soddisfatti implicitamente dall’utilizzo di una firma elettronica qualificata (relativamente alle informazioni standard presenti nel certificato qualificato, all’utilizzo dei dispositivi sicuri di firma, alla presenza del certificato stesso), e che consente di verificare l’integrità del documento firmato digitalmente e la paternità dello stesso.

In aggiunta a quanto oggi previsto dalla disciplina italiana, l’ultima frase della lett. b) dell’articolo in commento stabilisce che il certificato qualificato debba essere “valido al momento della firma”. In realtà ad oggi i servizi di convalida riconosciuti dall’ordinamento italiano non forniscono tale tipologia di verifica, trattandosi di una diversa tipologia di servizio previsto dall’art. 19, comma 7 del D.P.C.M. 22 febbraio 2013, e disciplinato con determina commissariale n. 63/2014 dell’AGID, relativo alla cosiddetta “firma digitale verificata”, per la quale, appunto il certificatore verifica la validità del certificato qualificato al momento della generazione della firma, e che si risolve nell’indicazione temporale del momento esatto di generazione della firma elettronica da parte del certificatore (motivo per cui tale tipologia di firma verificata è applicabile solo al caso in cui il dispositivo di generazione della firma sia sotto il pieno controllo del certificatore).

Se, quindi, il requisito appena analizzato sarà considerato un requisito che il processo di convalida della firma deve obbligatoriamente verificare allora l’Italia dovrà adeguare la normativa interna prevedendo che il momento di generazione della firma venga attestato all’interno del documento informatico in modo da verificare anche la validità del certificato qualificato in tale momento; se invece trattasi di un requisito di validità della firma che non deve essere esaminato nel processo di verifica della stessa, trattandosi di un requisito più generale teso a specificare che l’apposizione della firma in un momento successivo alla revoca di validità di un certificato qualificato equivale a invalidità della stessa, allora gli attuali sistemi di convalida necessiteranno solo degli adeguamenti richiesti dai nuovi profili di certificati conformi ai formati che saranno definiti secondo la normativa eIDAS.

L’art. 33 del Regolamento eIDAS disciplina il servizio di convalida qualificato delle firme elettroniche qualificate . Si tratta di un servizio ulteriore, che può essere reso solamente dai prestatori qualificati di servizi fiduciari e che, oltre a verificare quanto previsto nel servizio di convalida “normale” secondo la previsione del Regolamento “ consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato ”.

Il servizio di convalida qualificato, quindi, consentirà di avere un vero e proprio documento (informatico) sottoscritto dal certificatore qualificato (o contenente il sigillo elettronico del medesimo) con cui verrà dichiarato l’esito, ad un dato momento, del processo di verifica della firma qualificata.

Tale “attestazione di convalida” potrà utilmente essere prodotta in giudizio o innanzi alle pubbliche amministrazioni al fine di fugare dubbi o incertezze circa la validità del documento informatico sottoscritto digitalmente.

In ogni caso, per comprendere pienamente l’operatività dei nuovi servizi di convalida “semplice” e qualificata sarà necessario attendere che la Commissione Europea mediante propri atti di esecuzione indichi i numeri di riferimento delle norme (tecniche) applicabili a tali servizi.