Una definizione legislativa di firma digitale è contenuta nell’art. 1 del D.P.R. 28.12.2000, n. 445 (disposizioni legislative e regolamentari in materia di documentazione amministrativa, anche denominato Testo Unico in materia di Documentazione Amministrativa) che contiene la seguente definizione:
“La firma digitale è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.“
La chiave privata è l’elemento della coppia di chiavi destinato ad essere conosciuto dal solo soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico, o si decifra il documento informatico in precedenza cifrato tramite la chiave pubblica corrispondente.
La chiave pubblica è l’elemento della coppia di chiavi destinato ad essere reso pubblico, e con il quale si verifica la firma digitale del titolare della coppia di chiavi, o si cifrano i documenti informatici da trasmettere al titolare della coppia delle predette chiavi.
La firma digitale è una informazione che viene aggiunta ad un documento informatico al fine di garantirne integrità e provenienza. La firma digitale consente di autenticare, nella sua interezza, una qualunque sequenza di simboli binari, indipendentemente dal suo significato.
La principale differenza tra firma autografa e firma digitale sta nel fatto che la prima è direttamente riconducibile all’identità di colui che la appone, poiché la calligrafia è un elemento ritenuto sufficiente ad identificare la persona, mentre la seconda non possiede questa proprietà. Nel caso della firma digitale, in genere, si ricorre ad un’autorità di certificazione, il cui compito è quello di stabilire, garantire e pubblicare l’associazione tra firma digitale e soggetto che l’ha apposta.
Inoltre, mentre l’associazione tra testo di un documento e la firma autografa è ottenuta esclusivamente attraverso il supporto cartaceo, la firma digitale è intrinsecamente legata al testo a cui è apposta, tanto che i due oggetti possono essere fisicamente separati senza che per questo venga meno il legame esistente tra loro. Una volta apposta la firma digitale il documento non è più alterabile. Conseguenza di ciò è l’unicità della firma digitale, nel senso che a testi diversi corrispondono firme diverse e quindi, nonostante la sua perfetta replicabilità, è impossibile trasferirla da un testo ad un altro.
Il processo di firma digitale richiede una serie di azioni preliminari necessarie alla predisposizione delle chiavi utilizzate dal sistema di crittografia su cui il meccanismo di firma si basa; in particolare occorre:
- La registrazione dell’utente presso una Autorità di Certificazione (AC).
- La generazione di una coppia di chiavi (Ks, Kp).
- La certificazione della chiave pubblica Kp.
- La registrazione ed, eventuale pubblicazione della chiave pubblica Kp.
- Il rilascio di una smartcard contenente la coppia di chiavi (Ks, Kp).
Una volta espletate tali operazioni l’utente è in grado di firmare elettronicamente un numero qualunque di documenti, sfruttando la sua chiave segreta Ks, durante il periodo di validità della certificazione della corrispondente chiave pubblica. Tale periodo può essere interrotto, prima del suo naturale termine, dalla revoca della certificazione della chiave pubblica, che di norma viene effettuata su richiesta del proprietario nel caso in cui questi ritenga che la segretezza della sua chiave privata sia stata compromessa.