Questo meccanismo si basa su particolari algoritmi di crittografia a due chiavi: la prima chiave è pubblica e viene utilizzata dai destinatari per verificare la validità della firma elettronica, mentre la seconda è segreta ed è nota solo al proprietario della firma. Ovviamente le chiavi vengono costruite in modo che sia quasi impossibile costruire una firma valida avendo solo a disposizione la chiave pubblica.
La firma elettronica insomma non ha nulla a che vedere con la "digitalizzazione" della firma autografa.
Uno dei metodi più usati per gestire una chiave segreta è l'uso di smart card cifrate, particolari schede di memoria da cui risulta impossibile estrarre dati senza averne i privilegi. Queste smart card vengono fornite da organismi terzi che ricoprono il ruolo di garanti della validità della firma elettronica.
Una volta ottenuta la propria firma elettronica la si può utilizzare attraverso semplici programmi gratuiti per firmare i propri documenti.
Il meccanismo di autenticazione è abbastanza semplice, viene allegato al documento la firma elettronica crittografata, il ricevente attraverso la chiave pubblica è in grado di decodificare la firma e quindi verificare l'identità della persona.
La validità legale della firma digitale in Italia è del tutto equiparabile a quella della firma autogarafa, tuttavia si distinguono 3 diversi concetti:
"firma elettronica", "firma elettronica qualificata" e "firma digitale".
- Per "firma elettronica" la legge intende l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.
- La "firma elettronica qualificata" è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un soggetto terzo attraverso un certificato qualificato. E' inoltre richiesto l'uso del dispositivo di firma sicuro, capace cioè di proteggere efficacemente la segretezza della chiave provata. Qualunque tecnologia che permetta tale identificazione univoca, rientra nel concetto di "firma elettronica qualificata".
- La "firma digitale" è considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche.
Il D.Lgs. 82/2005 (il regolamento che disciplina la firma digitale ), quindi, è impostato come se si potessero avere più tipi di firma elettronica qualificata, ossia più sistemi che consentano l'identificazione univoca del titolare, uno solo dei quali è la firma digitale a chiavi asimmetriche. Di fatto però, nella realtà concreta, la firma digitale è l'unico tipo di firma elettronica qualificata oggi conosciuto e utilizzato, per cui i due concetti tendono a coincidere.
L'acquisizione di una coppia di chiavi (chiave privata, inserita nella smart card, e chiave pubblica, inserita nel certificato) è a pagamento. La coppia di chiavi ha una scadenza temporale, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale per l'esercizio di diritti naturali della persona.
Una delle principali fonti di vulnerabilità di questa tecnica è legata al fatto che: dati sicuri conservati in modo sicuro transitano attraverso un computer, che non è altrettanto sicuro... una possibile soluzione a questo problema è l'adozione di smart card più complesse in grado di eseguire autonomamente il processo di firma. Una seconda vulnerabilità importante di questo sistema, è costituita dalla presenza di codice eseguibile all'interno dei documenti firmati.
Purtroppo possibili incidenti legati a questi problemi non sono ancora regolamentati dalla legge.
Concludendo si può quindi dire che la firma digitale sicuramente è un'ottimo strumento in grado di velocizzare moltissimi procedimenti, ma che allo stato attuale la sua non gratuità, e la mancanza di alcune tutele legali, impedisce il suo utilizzo massiccio.
