La firma digitale è molto più che una semplice firma elettronica. Si tratta di una procedura informatica, che garantisce un livello di sicurezza molto elevato. Più precisamente, la firma digitale è un tipo di firma elettronica, che si basa su un meccanismo di chiavi crittografiche.
Grazie alla firma digitale, è possibile conferire validità legale ai documentidigitali più diversi: contratti, dichiarazioni, atti amministrativi pubblici e privati. La firma digitale garantisce l’autenticazione del mittente, il non ripudio del messaggio e la sua integrità.
Per comprare o perrinnovare la firma digitale è possibile ricorrere a più fornitori: dalla firma digitale di Aruba a quella di Infocert, dalla firma digitale di Poste Italiane ad altri contesti che permettono di ottenere una firma digitale gratuita.
A seconda del fornitore e del servizio scelto, potrebbe essere necessario dotarsi di dispositivi differenti. Esistono soluzioni che operano direttamente su PC. In alternativa, potrebbe essere richiesto l’uso di una porta USB o di un lettore di smartcard per firma digitale.
- Cos’è la firma digitale e perchè è importante averla
- Firma digitale: come funziona
- Firma digitale e firma elettronica: le differenze
- A cosa serve la firma digitale e cosa ci si può fare
- Cosa sapere prima di acquistare una firma digitale
- Firma digitale Aruba, Infocert e Poste Italiane a confronto
- Come attivare e come rinnovare la firma digitale
- Marca temporale, cos'è, come funziona e a cosa serve
-
0. Cos’è la firma digitale e perchè è importante averla
La firma digitale è un metodo matematico attraverso cui l’utente è in grado di dimostrare l’autenticità di un messaggio o di un documento digitale. Si basa su uno schema o su un protocollo crittografico e riesce a certificare diversi aspetti di una comunicazione.
Garantisce l’autenticazione del mittente di un messaggio, cioè la sua identità e il “non ripudio”. Con questa espressione si fa riferimento a una condizione che impedisce all’autore di un messaggio o di una dichiarazione di negare la paternità degli stessi. Assicura l’integrità del messaggio inviato: un messaggio integro è un messaggio inalterato durante il “tragitto” che parte dal mittente e arriva al destinatario.
Il codice dell’amministrazione digitale (CAD) italiano definisce la firma digitale come una firma elettronica avanzata, che si basa su un doppio sistema di chiavi crittografiche correlate. Da una parte la chiave crittografica pubblica, dall’altra quella privata.
Un aspetto giuridico particolarmente rilevante della firma digitale è la sua validità nel tempo. Il meccanismo prevede che ogni certificato abbia un periodo limitato di validità, che, tra l’altro, può essere sospeso o revocato.
Questa è una grande differenza rispetto a una firma autografa, che invece presenta un valore giuridico immutato col passare del tempo. Non a caso, è necessario rinnovare la firma digitale, così come è consigliato collocare nel tempo tutti i documenti che la contengono.
-
1. Firma digitale: come funziona
Lo schema base di una firma elettronica è generalmente composto da tre algoritmi. Il primo si occupa della generazione delle chiavi crittografiche pubblica e privata. La chiave privata è quella con cui si firma il documento, mentre la chiave pubblica viene utilizzata nell’ambito della verifica della firma digitale.
Il secondo algoritmo di firma si occupa di calcolare il codice hash di un messaggioe di crittografarlo con la chiave privata, in modo da produrre una firma. Il terzo algoritmo svolge invece il ruolo di verificatore della firma digitale: prende l’input del messaggio, la chiave pubblica, la firma e li accetta o li rifiuta.
La prima nozione di schema di firma digitale venne pensata addirittura nel 1976 da Whitfield Diffie e Martin Hellman: all’epoca però non si riuscì ad andare oltre la semplice ipotesi di esistenza. Soltanto l’invenzione successiva dell’algoritmo RSA avrebbe permesso la produzione di firme digitali primitive.
A partire dal 1989 hanno iniziato a venire diffusi commercialmente i primi pacchetti software capaci di sfruttare l’algoritmo RSA. In Italia, la firma digitale è stata introdotta legalmente con il DPR del 10 novembre 1997.
Oggi la firma digitale è piuttosto diffusa nel nostro paese: stime recenti realizzate dall’Agenzia per l’Italia Digitale (AGID) parlano di oltre venti milioni di dispositivi attivi e di un totale di oltre 3 miliardi di firme digitali remote generate.
La firma digitale è stata pensata per la prima volta nel 1976. Oggi, in Italia, si contano più di 3 miliardi di firme digitali e più di 20 milioni di dispositivi attivi
La sottoscrizione e rinnovo della firma digitale di solito hanno un costo che varia in base a fattori differenti: dall’operatore scelto alla quantità di meccanismi di vendita connessi.
Il prezzo oscilla dai 20/30 euro + IVA ai 60/80 euro + IVA, qualora si scelga di acquistare anche un token, una chiavetta USB o una smart card. La presenza di dispositivi o di metodologie specifiche può aumentare o diminuire la vulnerabilità di una firma digitale.
La sicurezza dei crittosistemi con doppia chiave (pubblica e privata) dipende soprattutto dal fatto che la chiave privata non venga persa o divulgata. Alcuni utenti si limitano a salvare la chiave privata sul proprio PC: questa pratica è potenzialmente pericolosa e presenta un’importante limitazione.
Il pericolo è legato al fatto che un qualunque attacco al computer metterebbe a rischio la sicurezza della chiave privata. Il limite è invece legato al fatto che l’utente potrà usare la firma digitale soltanto su documenti presenti nel computer in questione.
Per questo motivo molte persone preferiscono memorizzare le chiavi private all’interno di una smart card. Una soluzione conforme alle specifiche della Carta Nazionale dei Servizi (CNS) e che tutela l’utente anche in caso di furto o di distruzione del dispositivo.
Inoltre, basta utilizzare un lettore di smart card per la firma digitale per connettere il proprio dispositivo a un computer tramite porta seriale, porta USB o PCMCIA.
In conclusione, va sottolineato come esistano anche circostanze che permettono di ottenere la firma digitale gratuita. Ad esempio, alcuni ordini professionali rilasciano la firma digitale ai loro iscritti senza alcun costo. Allo stesso modo può essere gratuita anche la firma digitale rilasciata dalla Camera di Commercio in sede di iscrizione di un’impresa.
-
2. Firma digitale e firma elettronica: le differenze
Firma digitale non è sinonimo di firma elettronica. Sono due strumenti che presentano punti di contatto, ma che sono fondamentalmente differenti.
Anche la firma elettronica è uno strumento che garantisce autenticazione digitale: rientra tra quelli previsti dal Regolamento eIDAS e dunque ha validità all’interno di tutta l’Unione Europea.
Lo stesso Regolamento eIDAS però fa distinzione tra tre diverse categorie di firma elettronica: quella semplice, quella avanzata e quella qualificata. La firma elettronica semplice non presenta alcun tipo di meccanismo di validità.
Da un punto di vista concettuale, anche una scansione di firma autografa può essere considerata una firma elettronica semplice. Anche perché le prime firme elettroniche nascono proprio con l’obiettivo di potere applicare una firma autografa, non manipolabile, su documenti digitali.
Il principale problema della firma elettronica semplice è la sua validità: questa firma è teoricamente valida, ma potrebbe venire contestata e in questo caso spetterebbe all’utente dimostrare la sua autenticità.
In Italia la firma elettronica avanzata ha lo stesso effetto giuridico di una firma autografa. Inoltre soddisfa quattro requisiti fondamentali indicati dal Regolamento eIDAS.
La firma elettronica avanzata è connessa soltanto al firmatario ed è idonea a identificarlo. È collegata a dati sottoscritti e consente l’identificazione di eventuali modifiche successive.
Infine, la firma elettronica avanzata è garantita da un livello di sicurezza superiore, visto che necessita di un processo di verifica da parte del suo titolare.
La firma elettronica qualificata è una tipologia di firma ancora più tutelata e che risponde a ulteriori requisiti aggiuntivi. È basata su certificati elettronici qualificati ed è creata su dispositivi qualificati per la creazione di firme elettroniche.
La firma digitale può essere considerata una firma elettronica qualificata, considerato che rispetta tutti i suoi requisiti. La sua peculiarità ulteriore e distintiva è il sistema di protezione, che si basa su coppie di chiavi crittografiche asimmetriche.
In conclusione, una firma digitale garantisce un sistema di sicurezza ancora più avanzato rispetto a quello della firma elettronica qualificata. Per questo il Legislatore le riconosce pieno valore legale.
Il risultato è che, in caso di contestazione, non sarà il titolare a dovere dimostrare l’autenticità della firma digitale. Al contrario, starà all’altra parte dimostrare manipolazioni o incongruenze.
-
3. A cosa serve la firma digitale e cosa ci si può fare
Gli ambiti e le applicazioni d’uso sono davvero numerosi. Innanzitutto, permette di “dematerializzare” e di snellire un alto numero di pratiche pubbliche, private e aziendali. Si tratta di un perfetto equivalente della firma autografa classica, che però può venire comodamente applicato ai diversi documenti digitali.
Un’azienda o un privato possono dunque ricorrere alla firma digitale per autenticare un qualsiasi tipo di atto, notifica o comunicazione ufficiale.
Permette di conferire valore legale alla documentazione digitale e per questo trova applicazione nella sottoscrizione dei contratti, richiesta di contributi, dichiarazioni e visure camerali, ma anche nelle fatture e autocertificazioni.
Si tratta di uno strumento utile se non addirittura fondamentale, considerato il processo di digitalizzazione che continua ad affrontare il nostro paese. Un percorso che permette di semplificare moltissime operazioni e che, al tempo stesso, contribuisce alla riduzione del consumo di carta.
Con la firma digitale si possono autenticare le visure camerali, i contratti, le richieste di contributi, ma anche le autocertificazioni e le fatture
Prima di entrare nel merito di alcune delle applicazioni più importanti della firma digitale, è utile chiarire un concetto. Anche la PEC, Posta Elettronica Certificata, permette di inviare documenti legalmente validi. Per questo, molte persone finiscono per scambiarla con la firma digitale.
La differenza tra i due strumenti è sottile, ma sostanziale. La PEC è uno mezzo di invio, attraverso cui l’utente spedisce un documento con valore legale. La firma digitale è invece lo strumento che permette di firmare un documento.
La firma digitale è un elemento che deve essere obbligatoriamente presente in tutte le fatture elettroniche inviate alla Pubblica Amministrazione. Il discorso cambia per le fatture elettroniche tra privati o tra aziende, che invece non richiedono necessariamente la firma digitale.
Anche in questo caso la procedura di firma digitale è comunque altamente suggerita dagli addetti ai lavori. Le fatture elettroniche sono documenti sensibili ed è importante avere a disposizione uno strumento che dimostri la loro autenticità e la loro integrità.
Ci sono poi dei servizi e degli strumenti che permettono di migliorare l’efficacia dellafirma digitale. Uno di questi è la marca temporale, che consente di dare un’ulteriore validazione al documento. La marca temporale associa al documento digitale una data e un’ora certe, garantendo la loro validità nel tempo.
Un altro strumento è la firma digitale remota. Una soluzione che permette di caricare tutte le informazioni relative alla propria firma digitale direttamente in cloud. Il principale vantaggio della firma remota è che permette di usare la propria firma digitale su diversi dispositivi e in qualsiasi momento.
-
4. Cosa sapere prima di acquistare una firma digitale
In questo momento storico esistono diverse opzioni a disposizione di un utente interessato a dotarsi di una firma digitale: offerte e kit che variano in base al prezzo e al tipo di dispositivo fornito, ma anche in base al numero di meccanismo di vendita disponibili.
Dunque come fare a scegliere la firma digitale di Aruba, piuttosto che la firma digitale di Infocert o di Poste Italiane? In effetti non esiste una risposta univoca e tutto sta nel trovare la soluzione più in linea con i propri bisogni.
Si pensi alla differenza tra smart card e token USB. In entrambi i casi si tratta di dispositivi che permettono di “mettere in contatto” la propria firma digitale con un computer.
Il certificato di firma digitale viene posto all’interno di un particolare dispositivo non troppo diverso da una scheda SIM.
Per fare comunicare le informazioni presenti nella SIM con un PC bisogna dotarsi di una smart card o di un token USB. Di conseguenza, nel primo caso sarà necessario avere a disposizione un lettore smart card, nel secondo caso invece basterà una semplice porta USB.
Un altro aspetto da tenere a mente è la presenza dei certificati di sottoscrizione e di autenticazione. Il certificato di sottoscrizione è quello che permette di firmare documenti con valore legale.
Il certificato di autenticazione (CNS), permette invece di acclarare la corrispondenza tra il nome di un qualunque soggetto certificato e la chiave pubblica della sua firma digitale.
Inoltre, consente di accedere a determinati portali della Pubblica Amministrazione ed è disponibile soltanto per coloro che si dotano di una firma digitale su dispositivo.
C’è però una terza opzione, pensata per chi ha bisogni particolari. Una soluzione che unisce i vantaggi della mobilità della firma remota al certificato di autenticazione CNS. Si tratta della cosiddetta wireless key: un token USB che però è anche dotato di tecnologia bluetooth.
-
5. Firma digitale Aruba, Infocert e Poste Italiane a confronto
Aruba è un fornitore di servizi di vario genere (data center, email, web hosting ecc.) che propone anche diversi kit di firma digitale: ciascuno di essi presenta caratteristiche peculiari e un proprio costo.
La soluzione Smart Card rilascia sia il certificato di sottoscrizione che quello di autenticazione. Inoltre, è possibile aggiungere all’offerta anche un lettore di smart card per firma digitale. I tempi di consegna garantiti variano da un minimo di 5 a un massimo di 15 giorni.
Un’altra soluzione proposta da Aruba è quella della Key: una chiavetta che permette di firmare email, ma anche di applicare la firma digitale su PDF. La Key è dotata di autenticazione CNS: garantisce l’accesso ai servizi della Pubblica Amministrazione e ha validità di 3 anni. Infine il Token Usb di Aruba: un’offerta di firma digitale portatile alternativa alla Key, che però necessita di installazione di driver.
Anche l’offerta di Infocert è ricca di soluzioni: si va dalla Smart Card alla Wireless Key, passando per la firma remota e una particolare Business Key.
La soluzione Smart Card di Infocert permette di firmare sia da PC che da smartphone, senza che ci sia bisogno di un dispositivo. Infocert infatti propone un servizio di firma digitale attraverso un'app mobile di nome GoSign.
In alternativa è possibile optare per la firma digitale remota: una soluzione totalmente digitale, che utilizza la app GoSign e che non ha bisogno né di chiavette né di lettori.
Le Wireless Key è invece la chiavetta di firma digitale di Infocert che sfrutta la tecnologia bluetooth e che è dotata del certificato di autenticazione CNS. Infine c’è la Business Key: una soluzione pronta all’uso, che non necessita di installazione.
Un altro servizio è quello di Poste Italiane. La firma digitale di Poste Italiane garantisce l’autenticità della firma, l’integrità del documento e il suo non ripudio.
La firma digitale remota di Poste Italiane viene utilizzata da PC e non prevede l’utilizzo di dispositivi come smart card o token. Ha validità triennale e permette di richiedere un ulteriore servizio di autenticazione: la firma digitale remota per uso esclusivo nel servizio in rete di Poste. Quest’ultima è attivabile gratuitamente.
-
6. Come attivare e come rinnovare la firma digitale
Una volta acquistato il kit di firma digitale prediletto (Aruba, Infocert, Poste o qualsiasi altro) si passa a una fase successiva: quella della verifica della propria identità. Questa verifica può avvenire in modi diversi, sia online che di persona.
La verifica online di solito viene svolta tramite webcam o tramite app mobile dedicate, generalmente disponibili sia per sistema operativo Android che per iOS. Il riconoscimento di persona invece viene organizzato prendendo un appuntamento con l’utente.
In alternativa è anche possibile che venga proposta una verifica di identità a distanza. In questo caso si utilizzano la Carta di Identità Elettronica, la Tessera Sanitaria o la Carta Nazionale dei Servizi.
Per verificare la propria identità a distanza potrebbe però essere necessario avere a disposizione un lettore di smart card per firma digitale o un lettore NFC contactless.
Conclusa la fase di verifica, la firma digitale è pronta per essere attivata. Ci si collega al sito Internet del fornitore e si forniscono i dati richiesti.
I dati da inserire possono variare in base al fornitore: generalmente è necessario inviare gli estremi di uno o più documenti di identità e il codice fiscale. In aggiunta generalmente viene richiesto il codice seriale della smart card, o magari un codice segreto comunicato tramite SMS.
Anche le procedure di rinnovo della firma digitale possono variare di operatore in operatore: dunque rinnovare la firma digitale con Aruba, Infocert o Poste potrebbe richiedere passaggi e procedure specifiche. Generalmente i fornitori avvisano l’utente con un certo anticipo e inviano tutte le indicazioni da seguire del caso.
-
7. Marca temporale, cos'è, come funziona e a cosa serve
Shutterstock
Con la crescente dematerializzazione dei documenti cartacei, si è posto il problema di come garantirne la validità legale. Firma digitale e marca temporale sono due strumenti nati proprio a questo scopo: mentre la firma digitale garantisce autenticità e integrità del documento sul quale è apposta, associandolo in maniera univoca al suo firmatario; la marca temporale (o timestamp) consente di collegare a un documento informatico data e ora certe, ovvero legalmente valide e opponibili a terzi.
La marca temporale viene utilizzata per fissare un documento, firmato o meno elettronicamente, in un determinato momento nel tempo garantendone la validità agli occhi della legge per almeno 20 anni
Inoltre, apporre una marca temporale su un documento firmato digitalmente congela la validità probatoria della firma digitale, anche oltre la scadenza del certificato che ne attesta la veridicità, o nel caso in cui quest’ultimo venga sospeso o revocato. Infatti, il valore giuridico della firma digitale non è immutato nel tempo tanto che passati 3 anni occorre un rinnovo.
Per l’acquisto delle marche temporali occorre rivolgersi ad un prestatore di servizi fiduciari qualificati (noto come Time Stamping Authority - TSA), che sia conforme al Regolamento eIDAS e accettato dall'AgID e che, una volta verificata la correttezza della domanda e delle informazioni, genera la marca temporale da apporre sul documento. A titolo di esempio: Aruba, Infocert, Namirial, Poste Italiane, ecc.
I documenti digitali su cui è indicato l’uso delle marche temporali sono quelli in cui è importante definire legalmente, e con certezza, la data di creazione. Si pensi a: richieste di emissione di credito o di anticipo su forniture/esportazioni; finanziamenti a medio lungo termine; documenti di valutazione dei rischi; contratti, ordini e fatture; documenti bancari e atti pubblici.
Per approfondimento: Perché acquistare una marca temporale