Elementi chiave, concetti fondamentali e nozioni assolutamente da conoscere per muovere i primi passi con la firma digitale.
Cos'è la
firma digitale? A cosa serve, esattamente? Cosa serve per apporre o per verificare una firma digitale? E che differenza c'è rispetto alla firma digitale remota? Queste domande potrebbero sembrare banali per quanti fanno uso abituale della firma digitale, ma in realtà rappresentano veri e propri punti cardinali per quanti sono alle prime armi con questo strumento.
Per poter utilizzare al meglio la firma digitale, infatti, occorre anzitutto capirla per usufruire di tutte le opportunità che può offrire. Strumento imprescindibile in era di trasformazione digitale, la firma svincola dall'autografo chirografico in presenza, riducendo i tempi e velocizzando le procedure. Il tutto, va ricordato, con estrema chiarezza, in massima sicurezza e con piena validità legale.
Chi intende far proprio questo strumento, deve quindi partire da alcuni concetti base sui quali è strutturato il meccanismo che consente ad un qualsiasi cittadino di apporre una firma valida su qualsivoglia documento informatico.
Cos'è la firma digitale?
Così come un documento cartaceo va firmato apponendo una firma autografa, allo stesso modo la firma su un documento elettronico viene apposta utilizzando un preciso strumento: la firma digitale. Ciò che accomuna i due strumenti è la loro finalità, ossia la validazione legale del documento stesso. La firma digitale non è pertanto banalmente un autografo su un documento digitale (tramite una scansione ed un copia/incolla, ad esempio), ma consta di una serie di protocolli che associano stabilmente la firma al documento digitale, attestandone di fatto la validazione dei contenuti da parte del firmatario. Tutto ciò avviene sulla base di un sistema di
chiavi crittografiche asimmetriche: una chiave
privata che detiene il titolare e che usa per firmare e una chiave
pubblica accessibile a tutti che viene utilizzata per validare la firma.
In particolare, la firma attesta:
- Integrità: il documento non è più stato modificato a seguito dell'apposizione della firma, dunque si presenta esattamente come si è presentato agli occhi del firmatario all'atto della firma stessa;
- Autenticità: l'identità del firmatario è certificata dalla firma stessa;
- Non ripudio: il firmatario non ha la possibilità di disconoscere la propria stessa firma al documento.
La firma digitale riporta sia l'identità del sottoscrittore, sia quella dell'ente certificatore: sono questi due elementi imprescindibili sui quali si regge il concetto di firma digitale. L’ente certificatore (Certification Authority) è quell’ente che verifica l’identità del titolare e garantisce che la chiave privata sia consegnata nelle sue mani senza intermediari.
A cosa serve la firma digitale?
Il fatto che la firma digitale sia in grado di
dare validità legale ad un documento, consente di avere uno strumento ideale per produrre da remoto documentazione utile in molteplici occasioni. Il luogo di elezione per la firma digitale è anzitutto la
Pubblica Amministrazione, ove con questo strumento può essere sbrigata ogni pratica (dalle amministrazioni locali all’INPS, passando per l’Agenzia delle Entrate e altri ancora). A tutto ciò si aggiungano contratti, autocertificazioni, ricorsi di vario tipo, bandi di concorso, richieste di contributo e altro ancora. In alcuni casi, come ad esempio per i finanziamenti o i bandi pubblici addirittura, è da considerarsi uno strumento obbligatorio, in assenza del quale si è costretti a rinunciare ad imperdibili opportunità.
Avere a disposizione una firma digitale è del tutto essenziale in azienda o per chi possiede una
partita IVA, ma è di grande utilità anche per qualsiasi
privato cittadino in virtù del fatto che permette di svolgere da remoto tutta una serie di pratiche senza dover necessariamente essere fisicamente presente per l’apposizione di una semplice firma a mano. La firma digitale è dunque l’ultimo tassello fondamentale per la
dematerializzazione dei documenti, consentendo di restare in digitale dall’inizio alla fine del percorso, che inizia con la creazione del documento stesso e termina con la sua archiviazione.
Cosa sono i certificati
Il certificato digitale è un documento elettronico che associa l’identità di un individuo a una chiave pubblica, permettendo lo svolgimento di operazioni di crittografia. È emesso da una CA (Certification Authority), ossia un
ente certificatore qualificato (figura terza rispetto a chi firma e chi riceve il documento) su richiesta di chi intende far uso di firma digitale. Le CA rispondono alle regole stabilite dall'AgID (Agenzia per l'Italia Digitale) ed al monitoraggio periodico dei processi per garantire la sicurezza end-to-end della firma. In assenza di ottemperanza a queste indicazioni, gli enti certificatori non hanno la possibilità di operare con l'emissione di certificati.
Il certificato può essere consegnato all’utente su un dispositivo a prova di manomissione nel caso della firma digitale o conservato su server dedicati allo scopo nel caso di firma digitale remota.
Tutti i certificati, inoltre, hanno un elemento ulteriore che li definisce: la scadenza. Qualora scaduto, un certificato non può più essere rinnovato e si dovrà pertanto ricorrere all'acquisto di uno nuovo.
Il certificato ha una validità temporale limitata oltre la quale è richiesto al titolare di sottoporsi nuovamente a un processo di identificazione. Per garantire oltre la durata del certificato che la firma è stata apposta quando questo era ancora valido è necessario applicare anche una marca temporale. In questo caso la validità del documento è garantita per almeno 20 anni.
Il certificato è dunque l'essenza stessa della firma digitale, poiché ne sancisce la validità consolidando tutti gli elementi informativi fondamentali, affinché questa tecnologia possa rispondere alle prerogative di legge.
Come fare una firma digitale?
Per
firmare un documento elettronico utilizzando la firma digitale, occorre anzitutto possedere la propria firma (
qui prezzi e dettagli), assieme alla quale saranno forniti tutti gli strumenti essenziali per l'apposizione della firma stessa. A seguito dell’acquisto occorre inoltre procedere all’identificazione personale secondo le modalità messe a disposizione dal fornitore prescelto, così da abilitare l’uso della firma attraverso la validazione dell’identità.
In questo video sono disponibili alcune indicazioni sull’apposizione della firma:
Come si verifica una firma digitale?
Quando si riceve un documento firmato digitalmente è possibile verificare, attraverso appositi
software, la validità del certificato usato per firmare, l’identità del titolare del certificato e l’assenza di modifiche al documento successive alla firma (integrità). Spiega l'AgID nelle proprie linee guida: "
La verifica della firma digitale e la successiva estrazione degli oggetti firmati può essere effettuata con qualsiasi software in grado di elaborare file firmati in modo conforme".
ArubaSign (
qui la pagina ufficiale)ad esempio, è un software che consente di verificare la validità dei certificati e l’integrità del documento.
Cosa significa firma digitale remota?
La firma digitale remota consente di apporre una firma digitale in modo snello, utile soprattutto a quanti fanno ampio uso di questo strumento. Per apporre una firma digitale occorre infatti avere a disposizione un apposito strumento (una chiave USB o una smart card), mentre la firma digitale remota consente di farne a meno:
è sufficiente avere a disposizione una connessione ed un software dedicato, i quali consentiranno di mediare l'autenticazione attraverso token o One Time Password (OTP). Nel caso della Firma Digitale di Aruba (disponibile sia per iOS che per Android), è sufficiente usare Aruba OTP per creare con grande facilità il codice utile all’apposizione della firma digitale remota.
Massima usabilità, nessun dispositivo necessario, nessuna spesa aggiuntiva: una soluzione di grande comodità, quindi, in grado di rendere l’atto della firma un gesto che si limita a semplici “tap” sul display del proprio stesso smartphone.
A differenza della firma digitale, la firma digitale remota non comprende un certificato CNS (Carta Nazionale dei Servizi) e questo non permette l’accesso ai servizi della Pubblica Amministrazione. Al netto di questa differenziazione, trattasi quindi di strumenti del tutto equipollenti.