Criteri di sicurezza per l'impiego della firma digitale
   Linee guida per la sicurezza nell'impiego della firma digitale
La Firma Digitale viene generata con l'ausilio di una Smart Card (dispositivo di firma) e di un software applicativo installato, nella maggior parte dei casi, su un personal computer (PC) dotato di un sistema operativo commerciale. E' indispensabile adottare alcune misure minime di sicurezza per ottenere la massima affidabilità dell'ambiente operativo.
 
   Custodia del dispositivo di firma
La Smart Card per la Firma Digitale è dotata di certificazioni formali di sicurezza che offrono un grado di fiducia elevato (impossibilità di conoscere la chiave privata con cui si appone la firma, impossibilità di copiarla o di intercettarla).

E' indispensabile comunque seguire alcune semplici raccomandazioni, le stesse che si usano per la custodia delle carte di credito e per i bancomat:
  • custodire con cura il dispositivo di firma ed i codici che ne proteggono l'uso (PIN o password utente e PUK o password amministratore), conservandoli separatamente e in posti sicuri;
  • evitare che qualcuno veda il PIN mentre viene composto;
  • non dimenticare mai il dispositivo di firma inserito nel lettore dopo l'uso e riporlo in un luogo sicuro se si lascia incustodito il PC, anche solo per pochi minuti;
  • configurare, ove possibile, il software di firma in modo che esso richieda di inserire il PIN ogni volta che deve generare una firma digitale (impostazione di default all'installazione del software);
  • se si smarrisce il dispositivo di firma, o se viene sottratto, chiedere immediatamente la revoca o la sospensione del certificato di firma al fornitore di servizi di certificazione che lo ha emesso.
 
   Controllo degli accessi al PC che si usa per firmare
Se possibile bisognerebbe usare un PC al quale si possa accedere in modo esclusivo, la postazione di lavoro deve, in ogni caso, essere configurata in modo che l'accesso ad essa avvenga solo previo inserimento di un "codice identificativo" (nome utente) ed un codice di accesso (password). Il "codice di accesso" è da ritenersi strettamente personale e deve essere custodito in modo tale da evitarne la conoscenza a terzi non autorizzati ad accedere alla postazione.

Se il PC dovesse essere usato necessariamente anche da altre persone è fondamentale dare la possibilità di accesso solo a persone fidate.

Non si deve lasciare mai incustodito il proprio PC con la "sessione aperta". Nel caso si utilizzi uno "screen saver" (salva schermo), è necessario abilitare la password di protezione.

Si suggerisce di utilizzare una versione di Microsoft Windows che offra un supporto avanzato per il controllo degli accessi al PC, preferibilmente Windows NT, Windows 2000 e Windows XP.
 
   Protezione dai virus - Software antivirus
E' necessario che sul PC sia installato un software antivirus di buona qualità e ampia diffusione e bisogna accertarsi che questo software sia sempre attivo e periodicamente aggiornato.

Anche il decreto legislativo 30 giugno 2003, n.196 CODICE IN MATERIA DI DATI PERSONALI nell'ALLEGATO B, dove vengono dettagliate le misure di sicurezza da adottare, prescrive che " 16. I dati personali sono protetti contro il rischio di intrusione e dall'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale."

Nel pieno rispetto della norma, è comunque consigliabile un aggiornamento costante dei programmi antivirus, possibilmente mediante una procedura automatica.
 
   Corretta manutenzione del PC e download di software da Internet
Grazie ad una corretta manutenzione del PC bisogna inoltre evitare che software non autorizzato si nasconda in dispositivi di memoria ed è assolutamente sconsigliato installare programmi di cui non si conosca l'autore o la provenienza. Quando si accede a siti Internet si raccomanda di non effettuare il download o di eseguire programmi (generalmente di tipo ".exe" o di tipo ".zip") dei quali non si conosca lo scopo e l'origine.
 
   Posta elettronica
Nell'utilizzo della posta elettronica si raccomanda di non effettuare il download o l'apertura di file o prodotti di natura incerta e provenienti via posta elettronica da mittenti sconosciuti; tali file, generalmente di tipo ".exe" o di tipo ".zip", possono essere portatori di programmi che compromettono la funzionalità della postazione di lavoro e dell'applicativo di firma digitale; tra le misure precauzionali, è inoltre buona norma disattivare la funzione di visualizzazione in anteprima dei messaggi in arrivo.
 
   Aggiornamento del sistema operativo
Il sistema operativo deve essere costantemente aggiornato con l'installazione delle più recenti "patch" e "service packs". Per l'aggiornamento dei sistemi operativi Microsoft è possibile collegarsi direttamente al sito windowsupdate.microsoft.com oppure si può eseguire l'aggiornamento attivando il browser Internet Explorer (selezionando la voce di menu Strumenti>Windows Update).
 
   Protezione della rete locale
Se il PC è collegato ad una rete locale dalla quale si accede ad Internet, bisogna assicurarsi che sia stato installato e correttamente configurato un firewall di buona qualità. Se il PC è collegato direttamente ad Internet, si raccomanda comunque l'uso di un "personal firewall".
 
   Firma di un documento
La firma digitale, in conformità alla tecnologia e alle norme di legge, viene applicata all'impronta del documento (un suo riassunto di 160 bit), predisposta dal software di firma, per essere certi di ciò che si firma, è indispensabile utilizzare solo il proprio PC con il software autentico, correttamente installato e aggiornato.
L'installazione degli applicativi di firma devono essere effettuati solo dai supporti originali mentre i documenti informatici da firmare digitalmente non devono assolutamente contenere macro istruzioni o codice eseguibile che rischiano di attivare funzionalità che possono modificarne la struttura o il contenuto.
Non è consigliabile inserire il dispositivo di firma su richiesta di una qualsiasi postazione o software di firma digitale.
 
   Firma digitale on line
Non bisogna mai firmare on-line su richiesta di software che non si conosce. Se si deve apporre una firma digitale mentre si opera con una procedura on line, è consigliabile procedere solo per scambiare documenti, ossia dopo aver ottenuto una copia del modulo elettronico da firmare sul proprio PC e averlo visualizzato con il software di firma. Prima di firmare è necessario comunque controllare con attenzione il documento e rispedirlo al corrispondente solo dopo aver verificato nuovamente quello che si è firmato
 
   Verifica di un documento
Di seguito elenchiamo alcune regole per verificare la validità legale e l'affidabilità di documenti ricevuti firmati digitalmente.
  • Controllare la validità della firma e dell'eventuale marca temporale.
  • Controllare la validità dei certificati relativi alla firma e alla marca temporale.
  • Controllare la Lista dei Certificati Sospesi e Revocati (CRL - Certificate Revocation List) presso il fornitore che ha emesso i certificati di firma digitale e marca temporale in questione, per essere sicuri che essi non siano stati revocati: un documento con firma digitale scaduta o revocata è valido solamente se ad esso è associata una marca temporale rilasciata da un Certificatore riconosciuto nell'ordinamento giuridico italiano, che sia stata apposta durante il periodo di validità del certificato della firma.
  • Controllare che il fornitore che ha certificato la firma digitale, e l'eventuale marca temporale, sia accreditato nell'ordinamento giuridico competente e che la sua firma di certificazione sia valida.
  • Nel caso in cui il documento che si sta verificando abbia un valore o un'importanza particolarmente rilevante, è bene verificare la validità dei certificati delle firme e delle eventuali marche temporali non solo automaticamente con il software, ma anche manualmente, presso i relativi Certificatori. Per verificare che i Certificatori siano forniti di servizi di certificazione riconosciuti dall'ordinamento italiano (e nell'Unione Europea) e che le loro firme di certificazione non siano state revocate né sospese, si può consultare il sito www.cnipa.gov.it/site/it-IT/ del Centro Nazionale per l'Informatica nella Pubblica Amministrazione, che ha il compito istituzionale di mantenere l'elenco ufficiale dei Certificatori.
  • Se il documento che si sta verificando ha valore rilevante, è opportuno controllare anche la solidità dei fornitori dei servizi di certificazione e marca temporale e l'ammontare massimo della copertura assicurativa che offrono, in quanto essi sono tenuti a rispondere economicamente in caso di errata identificazione del sottoscrittore (errore che, per quanto poco probabile, è pur sempre possibile).
 
   Marche temporali
E' consigliabile apporre sempre una marca temporale ai documenti che si firmano e che si ricevono.
Per motivi di sicurezza una firma digitale ha una validità limitata nel tempo e il suo certificato può essere revocato.
Per motivi di sicurezza una firma digitale ha una validità limitata nel tempo e il suo certificato può essere revocato. Un modo per sigillare la validità legale di una o più firme digitali, e quindi del documento a cui si riferiscono, è quella di apporre una marca temporale rilasciata da un soggetto riconosciuto nell'ordinamento italiano.
Si potrà così dimostrare, nel caso fosse necessario, che una o più firme digitali sono state apposte ad un documento informatico durante il periodo di validità dei loro certificati. Anche la marca temporale ha una validità limitata nel tempo.
Qualora un documento possa risultare utile anche oltre il periodo di validità della marca temporale associata, è possibile estenderne la validità apponendo un'ulteriore marca prima della scadenza della precedente e così via nel tempo.
Per ulteriore cautela, una volta apposta una marca ad un documento ricevuto, e qualora non ne sia già provvisto, si può verificare nuovamente la CRL per controllare che i sottoscrittori non ne abbiano nel frattempo sospeso i relativi certificati.
E' consigliabile fare sempre delle copie di riserva e conservare i documenti firmati digitalmente su più supporti di memoria in modo da preservarne la leggibilità per il periodo di tempo necessario.
 
   Servizio di conservazione dei documenti offerto da aziende specializzate
E' possibile conservare nel tempo la validità legale dei documenti informatici firmati digitalmente utilizzando il servizio di marcatura temporale erogato da fornitori accreditati.
Per professionisti, organizzazioni o chi fa uso abitualmente della firma digitale legale, è possibile utilizzare un servizio di Conservazione Documentale, che permette di registrare in modo permanente i documenti informatici firmati, conservandone la validità legale, senza necessità di monitorare le scadenze e di apporre ulteriori marche temporali.
In ogni caso, è sempre opportuno che ai documenti, appena ricevuti o firmati e prima della registrazione, venga associata una marca temporale. L'operazione di registrazione su dischi ottici può essere così effettuata una o due volte l'anno, facendo autenticare da un notaio la data di chiusura del supporto necessario secondo le norme vigenti.
 
 
  Design InfoCamere WebAgency. Copyright ©2003. All rights reserved.