Troppe realtà d’impresa e troppi professionisti sono ancora oggi ancorati all’utilizzo della carta. In tanti ritengono che la firma autografa su un documento sia l’unico strumento per attribuire ad esso validità giuridica. Questa credenza, purtroppo, resta radicata in molteplici contesti.
Un valido aiuto per dematerializzare e liberarsi della carta fidando su un livello di sicurezza aggiuntivo (una firma autografa può subire tentativi di falsificazione) arriva dalla firma elettronica e digitale.
In un altro articolo abbiamo visto le principali differenze tra le tipologie di firma elettronica chiarendo che firma elettronica e firma digitale non sono sinonimi e non sono quindi termini che possono essere utilizzati con lo stesso significato.
Differenze tra firma elettronica e firma digitale
Innanzi tutto abbiamo visto che di firma elettronica ne esistono tre tipologie così come chiarito nel Codice dell’Amministrazione Digitale e nel Regolamento eIDAS (electronic IDentification Authentication and Signature; Reg. Eu 910/2014).
In questo articolo ci limitiamo a ricordare che la firma elettronica avanzata (FEA) è lo strumento attraverso il quale una firma apposta su un documento elettronico (si pensi ad esempio a un file PDF) viene connessa univocamente al proprietario.
La FEA è collegata unicamente al firmatario, è idonea a identificare il firmatario, è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo, è collegata con i dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati (in altre parole dopo l’avvenuta apposizione della FEA sarà possibile riconoscere modifiche non autorizzate di un documento operate a posteriori).
La firma elettronica qualificata (FEQ) aggiunge un ulteriore livello di sicurezza rispetto alla FEA.
La firma deve essere basata su un certificato qualificato e deve essere generata mediante un dispositivo sicuro.
I documenti sui quali è stata apposta una FEQ sono riconosciuti in qualunque ambito e l’efficacia probatoria è assicurata. In caso di disconoscimento della sottoscrizione del documento dovrà essere lo stesso soggetto che contesta l’apposizione della firma a dover fornire le prove delle sue asserzioni.
Per la gestione della FEQ e l’apposizione della firma si utilizzano smart card o token USB emessi da prestatori di servizi fiduciari qualificati previa verifica dell’identità del richiedente. Tali strumenti contengono il certificato qualificato che il titolare potrà poi usare per firmare i documenti in proprio e assicurare loro pieno valore legale.
La firma digitale viene definita come è “un particolare tipo di FEA basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici“.
Cosa significa? Per la firma digitale si usano una coppia di chiavi crittografiche di tipo asimmetrico. Una chiave è pubblica mentre l’altra è privata e resta sotto il controllo esclusivo del proprietario o titolare della firma. In un altro articolo abbiamo visto le differenze tra crittografia simmetrica e asimmetrica.
Come nel caso della FEQ, in caso di disconoscimento della firma, l’onere della prova spetta a chi ha avanzato la contestazione.
Cos’è la firma digitale remota e come funziona
Esaminando il documento pubblicato da AgID che fotografa la diffusione dei servizi fiduciari qualificati si scopre che la firma digitale remota è indiscutibilmente la più diffusa in Italia.
Nel corso del primo semestre 2021 sono stati emessi oltre 26 milioni di certificati di firma qualificata da parte dei prestatori di servizi aventi titolo e l’82% di essi sono firme digitali remote.
A cosa si deve il successo della firma digitale remota? Innanzi tutto alla sua praticità e al fatto che permette di velocizzare i flussi di lavoro.
Anziché usare smart card, insieme con i relativi lettori, oppure token USB nel caso della firma digitale remota basta usare il classico software di firma insieme con un dispositivo sul quale è installata un’app avente titolo per generare OTP (one-time-password).
Il certificato di firma anziché essere memorizzato in locale è in questo caso conservato su un server sicuro gestito dal prestatore di servizi fiduciari qualificati.
Inserendo nell’applicazione per l’apposizione della firma le proprie credenziali e il codice OTP generato sul dispositivo mobile (Android o iOS) del titolare della firma, questi può autenticarsi e sottoscrivere digitalmente documenti e file da qualsiasi postazione connessa alla rete Internet senza l’installazione di alcun hardware.
Al posto dell’app installata su smartphone si può usare un token che genera OTP.
Anche nel caso della firma remota il documento non lascia mai il dispositivo dell’utente: l’applicazione client installata in locale calcola l’hash del file da firmare digitalmente. Esso viene trasmesso al server remoto del prestatore di servizi fiduciari qualificati.
L’hash è una sorta di impronta digitale univoca che può essere generata per qualunque file usando vari algoritmi. Uno stesso documento memorizzato nella stessa forma, senza modifiche, su dispositivi differenti ha sempre uguale hash.
In Windows è possibile calcolare hash dei file senza usare programmi aggiuntivi.
L’hash del documento viene firmato digitalmente in remoto e il risultato viene inviato al client che aggiunge la firma digitale al documento indicato dall’utente e ne produce una versione con piena valenza legale. Il documento ottenuto sarà autentico, integro e valido legalmente.
Alcuni certificatori mettono a disposizione apposite API che possono essere utilizzate dagli sviluppatori per integrare il processo di firma con gli applicativi già utilizzati in azienda.
Con la firma digitale remota, la cui validità è fissata generalmente a 3 anni dal momento della richiesta, si possono sottoscrivere tutte le tipologie di documenti così come se vi si fosse apposta la propria firma autografa.
Per ottenere la firma digitale remota è necessario fare riferimento alle specifiche procedure fissate dai singoli prestatori di servizi fiduciari qualificati: si solito però è sufficiente autenticarsi mediante SPID quindi usando un’identità digitale ottenibile anche gratis, CIE (Carta d’Identità Elettronica), CNS, mediante identificazione video o tramite una firma digitale tradizionale.
La firma digitale remota soddisfa pienamente i requisiti imposti dal Regolamento eIDAS pur mancando ancora espliciti riferimenti all’interno della medesima normativa. Nella bozza del nuovo regolamento si parla di creazione di firma a distanza proprio per riferirsi alla firma digitale remota.
In un altro articolo abbiamo visto invece come verificare la firma digitale apposta sui documenti informatici.