Cosa è la Firma Digitale? A cosa serve?

La firma digitale svolge funzioni analoghe a quelle della tradizionale firma su carta: identifica il mittente o autore di un documento elettronico e garantisce l'autenticità e l'integrità dei dati.
Con un documento o file di dati accompagnato da una firma digitale, si può essere certi della sua provenienza e, inoltre, chi lo ha prodotto non può negare di averlo fatto. Si tratta del cosiddetto "non ripudio".
Grazie a queste caratteristiche, la normativa italiana (in particolare art. 15 comma 2 della Legge 59/97; D.P.R. 513/97 e Regolamento Tecnico) ha attribuito recentemente alla firma digitale – qualora siano seguite determinate regole - lo stesso valore della firma autografa scritta. Un’evoluzione analoga è in atto in molti Paesi europei ed extraeuropei.Alcune importanti applicazioni della firma digitale sono:

* comunicazioni ufficiali con le amministrazioni pubbliche, es. risposte a bandi e gare pubbliche, moduli di richiesta di vario genere, dichiarazioni fiscali e di altro tipo, trasmissione di documenti legali;
* rapporti contrattuali su reti aperte (Internet), ad es. fornitura elettronica di beni e servizi, transazioni finanziarie;
* identificazione e/o autorizzazione (si verifica l’identità di un interlocutore e il possesso di determinati suoi attributi), es. autorizzazione all’accesso di un sistema informatico, identificazione certa di un server Web;
* gestione di attività in gruppi/sistemi chiusi o a partecipazione controllata, es. Intranet ed Extranet aziendali, gruppi di lavoro e di ricerca;
Da un punto di vista tecnico, la firma digitale è il risultato di una procedura informatica detta "validazione". Più precisamente, è la sequenza o "stringa" di dati che risulta da un’operazione di cifratura su un file digitale (messaggio di posta elettronica, documento di testo, immagine, ecc.), utilizzando il metodo della crittografia a doppia chiave.
Il firmatario, utilizzando la propria chiave privata – che genera secondo certe modalità - "firma" il file apponendovi la stringa di dati che deriva dalla operazione di cifratura.
Il destinatario, nella misura in cui sarà in grado di decifrare la firma con la chiave pubblica del mittente, avrà la certezza che la firma è stata generata con la chiave privata e, grazie ad ulteriori controlli, del fatto che nessuno abbia manipolato i dati originari (integrità).
Tutte queste procedure vengono svolte in gran parte automaticamente da programmi software, con semplici interventi dell’utente.La firma digitale in quanto tale, tuttavia, non garantisce la vera identità del titolare della chiave privata. Un malintenzionato potrebbe infatti generare (o farsi assegnare) una coppia di chiavi a nome di un terzo e come tale agire nel mondo virtuale. Anche nel caso in cui si voglia garantire l’anonimato nelle comunicazioni su rete (un diritto sancito dalle leggi sulla privacy), rimane la necessità di evitare che altri comunichino ed agiscano per conto nostro. Per risolvere questo problema, è necessaria una operazione di certificazione.
E’ importante, infine, sottolineare che la stringa di dati che chiamiamo "firma digitale", essendo il risultato di un’operazione effettuata su uno specifico file di dati, è in realtà tendenzialmente diversa per ogni singolo file trattato. E’ infatti la chiave privata, quella che genera il risultato, ad essere unica. Quando si parla della firma digitale di qualcuno, si dovrebbe piuttosto parlare correttamente della sua coppia di chiavi e, in specifico, della sua chiave privata. La firma digitale non è riproducibile, non è possibile associare una certa firma digitale ad un testo diverso dall’originale.