La firma digitale è uno strumento che permette di attestare in maniera inoppugnabile l’autenticità e l’integrità di un documento trasmesso e memorizzato usando supporti informatici. Viene assicurato anche il cosiddetto “non ripudio”: chi appone la propria firma digitale su un documento non può disconoscerlo e affermare di non averlo mai sottoscritto.
Un soggetto qualificato, detto certificatore, si occupa di emettere a favore del richiedente (che può essere un privato, un professionista o un’impresa) un certificato di firma che potrà poi essere utilizzato dal titolare per apporre la firma digitale sui documenti con pieno valore legale.
Il certificato di firma digitale contiene la chiave pubblica del certificatore e quella del titolare; la chiave privata, necessaria per l’apposizione della firma, viene conservata in un dispositivo sicuro (token o smartcard) e protetta da un PIN.
Nell’articolo Differenza tra firma digitale, firma qualificata e firma elettronica abbiamo visto le principali differenze tra le varie tipologie di firma mettendo in evidenza che la FEQ (firma elettronica qualificata), così chiamata perché viene creata da un certificatore qualificato, ha lo stesso valore di una firma autografa apposta di fronte ad un pubblico ufficiale.
La FEQ è una firma digitale “forte” perché assicura una stretta connessione tra l’oggetto sottoscritto e la firma stessa (ovvero i dati contenuti nel certificato del titolare).
In molti ancora oggi fanno a meno della firma digitale limitandosi ad acquisire un documento cartaceo con lo scanner o con la fotocamera dello smartphone (Come creare file PDF con lo smartphone) previa apposizione di una firma autografa. Altri, come visto nell’articolo Firmare PDF, alcune soluzioni gratuite, applicano una firma autografa sui documenti usando lo schermo touch dello smartphone o del tablet.
Un documento così inviato ha valore legale se e solo se lo si invia tramite PEC (posta elettronica certificata) assicurandosi, al momento della spedizione dell’email, di richiedere la ricevuta di avvenuta consegna in formato completo.
Eventuali problemi, soprattutto in sede di giudizio, potrebbero presentarsi nel momento in cui il certificato digitale usato dai vari gestori per firmare la busta di trasporto del messaggio PEC risultasse ormai scaduto. Per questo motivo è essenziale orientarsi sull’uso di un servizio per la conservazione sostitutiva come spiegato nell’articolo PEC, come funziona la posta elettronica certificata. Guida agli aspetti meno noti.
La PEC è sempre e solo uno strumento di comunicazione (che tra l’altro non certifica, almeno nella sua attuale implementazione, l’identità del mittente di ciascun messaggio).
Per scongiurare qualunque rischio, quindi, i documenti elettronici che debbono avere valore legale dovrebbero essere sempre firmati digitalmente.
Per creare una firma digitale utilizzabile per creare documenti firmati in formato CAdES o PAdES è possibile rivolgersi a uno dei prestatori di servizi fiduciari indicati sul sito di AgID.
Una volta ottenuta la firma digitale, con il formato CAdES si potranno firmare digitalmente tutti i tipi di documenti, anche DOCX, ODT, XSLX e così via. Il destinatario dovrà tuttavia aprire il file con un software capace di gestire la busta che contiene il file vero e proprio (.p7m
).
Nel caso di PAdES, invece, si potranno firmare soltanto documenti PDF che manterranno però il loro formato e la loro estensione. Potranno essere aperti con qualunque visualizzatore di file PDF.
I prestatori di servizi fiduciari offrono vari kit di firma digitale che si basano su combinazioni di lettori più smart card (nel caso in cui si possedesse già un lettore come questo si può richiedere solo la smart card CNS) oppure su token simili a una normale chiavetta USB.
Con la firma digitale remota il certificato di firma digitale viene conservato sui server del certificatore quindi non è più neppure necessario disporre di un lettore, di una smart card o di un token USB.
L’unica “limitazione” è che per apporre la firma digitale bisognerà necessariamente essere connessi alla rete Internet.
Per applicare la firma elettronica digitale su un documento, da PC o smartphone, si dovrà scaricare e installare l’applicazione fornita dal certificatore e inserire il codice OTP (one time password) generato dall’app o dal token collegato al servizio di firma.
Il certificatore prevede infatti che l’utente titolare di un certificato di firma digitale, nel momento in cui desideri sottoscrivere un documento, inserisca un codice di conferma (OTP appunto). Si tratta di uno strumento di sicurezza per far sì che soltanto colui che è in possesso del dispositivo sul quale è stata installata l’app per la generazione dei codici OTP sia autorizzato ad apporre la firma digitale (autenticazione a due fattori).
Stando ai dati AgID a luglio 2020 l’80% dei certificati emessi in Italia sono quelli per la firma digitale remota, il restante 20% per la firma digitale “classica”.
L’app gratuita per Android e iOS Firmo con CIE permette di creare una firma digitale sfruttando la nuova Carta d’Identità Elettronica (CIE).
Installandola su uno smartphone dotato di chip NFC (NFC cos’è come funziona e a che cosa serve) è possibile firmare documenti PDF usando solo il dispositivo mobile.
Gli sviluppatori di Firmo con CIE osservano che “alcuni software di verifica della firma elettronica diffusi sul mercato italiano non verificano correttamente la firma elettronica apposta con Firmo con CIE (segnalando erroneamente che la firma non è valida) poiché non implementano correttamente le direttive dell’articolo 61 del DPCM 22/02/2013 e le direttive europee eIDAS“.
In ogni caso la firma apposta con la CIE è una FEA (Firma Elettronica Avanzata) e non una FEQ peraltro valevole come tale solo per i documenti trasmessi alla Pubblica Amministrazione (PA). Alcune TS-CNS (tessere sanitarie utilizzabili come CNS) rilasciate dalle Regioni integrano il certificato di firma digitale: anche in questo caso si può al massimo parlare di FEA solo per i documenti firmati e trasmessi alla PA.