Tutto quello che c’è da sapere sulla firma digitale: cos’è, come funziona, cosa prevede la legislazione italiana, come ottenerla e quanto costa, applicazioni pratiche
La firma digitale è il risultato di una procedura informatica basata su tecniche crittografiche che consente di associare in modo indissolubile un numero binario (la firma) a un documento informatico, ovvero ad un altro insieme di bit che rappresenta fatti, atti o dati giuridicamente rilevanti. E’ indispensabile per conferire validità legale ai documenti informatici in una serie di contesti come la sottoscrizione di contratti, di dichiarazioni o di atti amministrativi nel pubblico e nel privato. In questo articolo vengono proposte alcune risposte su frequenti quesiti relativi alle firme digitali e alle loro applicazioni nella pubblica amministrazione e nel privato.
Non è una “semplice” firma elettronica, ma una particolare tipologia che si basa, appunto, sul sopra descritto meccanismo di chiavi crittografiche. La definizione riportata nel Cad, Codice dell’amministrazione digitale (articolo 24, dlgs 82/2005):
In parole semplici, la firma digitale è una tipologia di firma elettronica che soddisfando requisiti particolarmente stringenti relativi garantisce autenticità, integrativa, affidabilità e validità legale ai documenti. Ha lo stesso valore della firma autografa (caratteristica che invece non hanno altre tipologie di firma elettronica).
La firma digitale è uno strumento che permette ai cittadini, ai professionisti ed alle imprese di firmare dei documenti facendoli diventare documenti con valore legale, ed è il risultato di un procedimento informatico che si basa sui concetti di:
– autenticità, per assicurare e garantire chi è che ha firmato il documento si è assunto anche la responsabilità del suo contenuto,
– integrità, condizione che serve a dimostrare dal momento in cui è stato firmato fino al momento in cui è utilizzato esso non è mai stato modificato,
– non ripudio in quanto chi ha firmato il documento mediante la firma elettronica non può poi disconoscerlo.
Per ottenere questo risultato la firma elettronica si basa sull’utilizzo di strumenti crittografici. Quindi nel sistema della firma digitale ciascun titolare ha assegnate una coppia di chiavi (due numeri binari di lunghezza pari, allo stato dell’arte, almeno a 2048 bit).
L’assegnazione è a carico di un soggetto istituzionalmente qualificato (il certificatore) – in Italia dall’Agenzia per l’Italia Digitale – che emette a favore del titolare un certificato digitale che associa il numero binario di 2048 bit alla sua identità. Questo identifica in modo certo il richiedente le credenziali di sottoscrizione.
Contemporaneamente a questa chiave, detta pubblica perché nota a tutti gli interessati, viene generata un’altra chiave di pari lunghezza che è privata ed a controllo esclusivo del titolare. La chiave è installata in un ambiente sicuro (nella smart card il microchip) e può essere utilizzata solamente tramite una password di sblocco che è nota come PIN.
Per le proprietà matematiche dell’algoritmo (il più diffuso si chiama RSA) quanto viene cifrato con la chiave privata è decifrato con la chiave pubblica e viceversa.
Per firmare, il titolare utilizza un software che iniziata la procedura di firma calcola l’impronta digitale del documento tramite la cosiddetta funzione di hash. A documento diverso corrisponde un’impronta diversa. La lunghezza dell’impronta allo stato dell’arte deve essere di 256 bit.
Predisposta l’impronta, il software di sottoscrizione la invia all’ambiente sicuro dove è custodita la chiave privata (dispositivo di firma). Questa per essere attivata deve validare il PIN inserito dal titolare. A questo punto il dispositivo di firma procede alla cifratura dell’impronta del documento con la chiave privata. Il risultato dell’operazione è la firma digitale del documento.
E’ indispensabile associare la firma al documento e questo avviene attraverso specifici formati. Se utilizziamo il PDF il formato è denominato PAdES.
Per verificare la firma, il destinatario utilizza uno specifico software che estrae la chiave pubblica dal certificato del titolare. Spacchetta il file con documento e firma. Ricalcola l’impronta e decifrando con la chiave pubblica la firma del titolare può verificare se l’impronta del mittente e quella ricalcolata dal destinatario sono identiche.
In caso positivo la firma è valida. Nell’altro caso la firma non è valida e bisogna indagare sullo specifico che ha determinato l’errore.
Il procedimento ha anche altre variabili in gioco, come la validità del certificato rispetto al tempo e al titolare (revoca del certificato) ma non sono analizzate in questa sede per semplicità.
Ci sono diversi servizi e software utilizzabili per verificare e (in qualche caso) leggere un documento pdf firmato digitalmente .p7m.
Con i servizi online Postecert e Infocert è possibile verificare la firma, ma al momento non risulta più attiva l’opzione per il download/lettura del pdf origitale.
Lettura (oltre che verifica) è possibile farla con il software Dyke di Infocert. ALla fine della verifica cliccare su Visualizza e scegliere un lettore pdf.
La firma digitale viene utilizzata in questo contesto per assicurare la provenienza e l’integrità della fattura elettronica inviata alla pubblica amministrazione.
In questo scenario, gli utenti che emettono numeri rilevanti di fatture hanno utilizzato la fattispecie giuridica della sottoscrizione con procedura automatica. In questo scenario il firmatario sottoscrive in modalità massiva il flusso di fatture e poi le invia al Sistema di Interscambio dell’Agenzia delle Entrate.
Il dispositivo di firma utilizzato si chiama HSM (Hardware Security Module) e alla data conserva in Italia oltre l’85% per cento delle chiavi crittografiche (dati AgiD).
Il Regolamento europeo eIDAS n.910 del 23 luglio 2014 (2014/910/UE) ha completato ed ampliato le regole previste dalla Direttiva Europea 1999/93/EC sulle firme elettroniche, sui servizi digitali fiduciari e sui servizi di identificazione ed autenticazione. L’obiettivo principale del Regolamento è quello di migliorare l’efficienza delle transazioni elettroniche nel mercato europeo, grazie al reciproco riconoscimento dei sistemi di autenticazione ed identificazione sia delle persone fisiche sia di quelle giuridiche.
Nel regolamento sono anche definite le Firme Elettroniche, più precisamente la Firma Elettronica Avanzata (FEA), firma elettronica che è connessa unicamente al firmatario e lo identifica, per la sua creazione il firmatario può, con un elevato livello di sicurezza, esercitare il proprio esclusivo controllo, ed è collegata ai dati firmati con una connessione che permette di rilevare ogni successiva eventuale modifica dei dati.
Inoltre è stata definita anche la Firma Elettronica Qualificata (FEQ) che possiede in aggiunta alle peculiarità di una Firma Elettronica Avanzata il fatto che si crea con l’uso di un dispositivo qualificato per la creazione di una firma elettronica, ed è basata su un certificato elettronico qualificato.
Una rilevante novità è rappresentata anche dal Sigillo Elettronico, per certi aspetti simile alla firma elettronica, ma che è apposto da una persona giuridica con l’obiettivo di garantire l’origine e l’integrità dei dati ad esso associati. Esistono due tipi di Sigilli Elettronici: il Sigillo Elettronico Avanzato e di Sigillo Elettronico Qualificato, sostanzialmente simili alle definizioni delle Firme Elettroniche.
L’obiettivo del Regolamento eIDAS è quello di definire sostanzialmente i servizi fiduciari che, basati su determinati requisiti, forniscano garanzie superiori in termini di sicurezza e qualità del servizio che vengono pertanto identificati come “qualificati”, e che sono vigilati da un Enti nazionali (ex Sez.2 nel Regolamento).
Sono tali ad esempio, i certificatori accreditati, i conservatori accreditati e gestori di posta elettronica certificata già attivi in Italia.
Il Regolamento prevede anche nuovi servizi per la creazione e verifica delle firme elettroniche per sviluppare servizi innovativi basati su firme in mobilità o remote.
Nell’ultimo periodo spesso sui social forum si legge che la PEC può essere utilizzata per firmare documenti, come la fattura elettronica. Il valore legale della PEC è assicurato solo al messaggio di posta elettronica e non ai documenti eventualmente contenuti.
La firma digitale si ottiene dai prestatori di servizi fiduciari presenti in una serie di elenchi di fiducia gestiti dai singoli Stati membri europei.
Esistono diversi prodotti di firma digitale ed essi sono generalmente costituiti da un device, solitamente una smart card, che contiene un certificato di firma digitale rinnovabile ed un dispositivo che serve per leggere la smart card.
Inoltre, sul mercato è possibile trovare da un po’ di anni anche un kit che è costituito da una chiavetta USB che include il certificato di firma digitale (solitamente inserito in una sim card poi inserita all’interno della chiavetta.
Infine, esistono dispositivi di firma digitale remota che permettono di firmare documenti, anche massivamente, grazie alle soluzioni in cloud. Operano mediante dei dispositivi di firma che sono virtuali e che possono essere accessibili solo mediante sistemi di accesso “sicuro” con dispositivi fisici che forniscono delle password usa e getta mediante una chiavetta OTP (simili a quelli utilizzati dalle banche), o app per smartphone o messaggi sms.
Il navigatore degli elenchi dell’unione europea.
L’elenco dei soggetti qualificati da AgID in Italia
La tabella di orientamento Agid per cittadini e imprese
In pratica, bisogna quindi rivolgersi a uno dei provider qualificati, che in Italia sono in tutto 18. Eccoli in tabella
Ogni provider ha una sua procedura e un suo kit di installazione. E importante sottolineare che il cittadino, per ottenere la firma digitale, deve sempre recarsi personalmente dal proprio certificatore, che ha l’obbligo di richiedere un documento di identità per identificarlo con certezza.
Ci sono poi dei software che servono invece a verificare la firma digitale, attraverso una procedura per controllare che il documento non sia stato modificato dopo la firma, il certificato sia garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori sopra riportato, i certificati sono siano scaduti, sospesi, revocati. Questi software non sono necessariamente compresi nel kit di firma. Importante: per eseguire la firma bisogna utilizzare software dello stesso certificatore, mentre l’operazione di verifica può essere effettuata con un prodotto diverso.
Tutti i provider rendono disponibili sui relativi siti internet i dettagli relativi ai pacchetti proposti, e i manuali per scaricare i software necessari. Il servizio in genere è a pagamento, pur essendoci in diversi casi dei tool gratuiti (come vedremo, è il caso degli ordini professionali). E’ possibile scegliere fra diverse soluzioni e diverse tariffe, sono disponibili anche i rinnovi, che in genere non richiedono l’acquisto di nuovo hardware.
In sostanza le azioni da fare per chi vuole iniziare ad utilizzare una forma elettronica o digitale sono:
Da qualche tempo è possibile con molti provider ottenere la firma facilmente se si ha SPID o CIE. Con un accesso fatto in questo modo si ottempera all’esigenza di identificazione, prima fatta solo fisicamente o via web cam (vedi sopra).
I costi di un dispositivo di firma o delle credenziali per la sottoscrizione remota (dispositivo disponibile in modalità server) sono variabili e dipendono dall’offerta del mercato e dai meccanismi di vendita connessi.
In generale l’ordine di grandezza è di qualche decina di euro (25/30 + IVA) anche per modalità di sottoscrizione remota.
Il costo sale se si sceglie il chip installato in un token USB che fa anche da lettore il chip medesimo. La fascia è tra i 60 e gli 80 euro circa sempre più IVA.
Alcuni ordini professionali e le Camere di Commercio in sede di iscrizione dell’impresa rilasciano gratuitamente il dispositivo di firma.
Ovviamente anche le aziende lo fanno per i soggetti che svolgono attività professionali per le quali serve la firma digitale.
Ci sono anche soluzioni particolari, usa e getta, per chi non pensa di usare la firma più di tre volte l’anno. La firma usa e getta, con Spid, per avere un certificato di firma utilizzabile una sola volta. Con Namirial costa 2,99 euro.
La normativa di riferimento nazionale sulla firma digitale è nel Codice dell’amministrazione digitale (CAD) ovvero nel Decreto Legislativo 7 marzo 2005, n. 82.
Questa norma è stata più volte modificata e la versione vigente è in vigore dal 27 gennaio 2018. La specifica materia delle sottoscrizioni è influenzata dal regolamento europeo 910/2014 (noto anche come eIDAS) che è pienamente operativo dal 1 luglio 2016.
Considerato che un regolamento europeo è di rango normativo superiore alle normative nazionali, il CAD ha coordinato le preesistenti norme italiane con quelle comunitarie. L’efficacia probatoria e il valore giuridico delle sottoscrizioni informatiche è comunque dettagliato a livello nazionale poiché il Codice Civile non è nell’ambito di regolamentazione comunitaria secondo i trattati di Roma e Lisbona. Una firma digitale può essere utilizzata in tutti i contesti visto che consente di soddisfare i requisiti giuridici della forma scritta.
La firma digitale è obbligatoria in molti scenari amministrativi, professionali e aziendali. Si firmano gli atti dei procedimenti giudiziari telematici, i bilanci aziendali e la presentazione di specifici atti amministrativi alla pubblica amministrazione.
Nel mondo privato è utilizzato nei procedimenti digitalizzati, nella gestione documentale dematerializzata e da sempre un numero maggiore di aziende.
La tendenza normativa rappresentata dall’ultimo CAD come già detto in vigore dal 27 gennaio 2018 è che per i cittadini si debba utilizzare lo SPID (Sistema Pubblico di Identità Digitale) associato ai meccanismi tecnologici della firma remota ovvero della firma che utilizza HSM come dispositivo per la custodia dei dati per la creazione della firma.
Uno studio AgID, CIONET, IDC e Aruba riporta che è in corso un boom per la firma digitale.
di Francesca Cafiero e Andrea Lisi
I tuoi contenuti, la tua privacy!
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio. Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE E SOCIAL PLUGIN
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.
ICT&Strategy S.r.l. – Gruppo DIGITAL360 - Codice fiscale 05710080960 - P.IVA 05710080960 - © 2022 ICT&Strategy. ALL RIGHTS RESERVED
Clicca sul pulsante per copiare il link RSS negli appunti.
Clicca sul pulsante per copiare il link RSS negli appunti.