Magazine

Firma digitale, chiariamoci le idee

06/05/2020
Firma digitale, chiariamoci le idee
PMIPrivatiProfessionistiPubblica Amministrazione
Ormai è noto quanto il momento attuale abbia inciso sulla vita privata e professionale di molti di noi, “costringendo” in un certo qual modo anche i più restii, ad avvicinarsi a quelle che sono le tecnologie digitali del nostro millennio e che in diverse occasioni, sono fortunatamente venute in nostro soccorso e si sono rivelate fondamentali, semplificando molte situazioni, sia in ambito professionale che privato.

Non sempre però “semplice” è sinonimo di intuitivo e può succedere di avere la sensazione di trovarsi in un vortice di informazioni che sfocia in perplessità.
Per questo motivo, vorremmo fare un po’ di chiarezza su uno degli argomenti che in questo periodo sta ricevendo maggior interesse: la Firma Digitale qualificata, il particolare tipo di firma elettronica equivalente alla firma autografa, basata su un certificato qualificato e su un sistema di chiavi crittografiche correlate tra loro.

Firma digitale e firma digitale remota

I principi che accomunano entrambe le tipologie di firma sono i medesimi ed il rispetto di tali requisiti è assicurato dal sistema crittografico:
  • Autenticità: certifica l’identità della persona o dell'impresa che firma il documento.
  • Non ripudio: garantisce che firmatario non possa disconoscere il documento firmato.
  • Integrità: i documenti firmati non possono essere modificati in seguito all’apposizione della firma.
Validità legale: il documento sottoscritto con questo tipo di firma ha il medesimo valore di un documento su cui è stata apposta una firma autografa.

La crittografia e le chiavi

Il sistema crittografico a chiavi asimmetriche, prevede che ogni utente disponga di una coppia di chiavi: una privata ed una pubblica e benché si tratti di un sistema piuttosto articolato, bisogna specificare che questa complessità non viene assolutamente percepita dall’utilizzatore finale.

La chiave privata

Viene consegnata al titolare su un dispositivo sicuro (in caso di Firma Digitale) o depositata su un server sicuro di Aruba (per Firma Digitale Remota) e gli consente di associare la propria firma a un documento elettronico o a un insieme di documenti informatici sigillandone il contenuto. Infatti la modifica del documento successivamente all’apposizione della firma invalida quest’ultima.

La chiave pubblica

Viene resa disponibile su appositi registri pubblici ed è utilizzata dal destinatario per verificare l’integrità e la titolarità della firma.
Con i nostri dispositivi di Firma Digitale e Firma Digitale Remota, l’associazione della firma al documento da parte del mittente, viene effettuata mediante l’utilizzo dell’apposito software di firma Aruba Sign, che può essere utilizzato anche per verificare l’integrità dei messaggi ricevuti.
 
L’utilizzo delle firme digitali, in generale consente lo snellimento dei rapporti tra Pubbliche Amministrazioni, cittadini e imprese e contribuisce in modo attivo alla significativa diminuzione della gestione documentale in forma cartacea, visto che è possibile firmare digitalmente qualsiasi documento elettronico, come ad esempio fatture, comunicazioni alle PA, visure camerali, contratti.
Tuttavia vi sono delle differenze tra la Firma Digitale e la Firma Digitale Remota.

DIFFERENZE TRA FIRMA DIGITALE E FIRMA DIGITALE REMOTA

Firma Digitale

Il kit di Firma Digitale è costituito da un dispositivo (Smart Card o chiavetta USB) contenente un certificato digitale di sottoscrizione, che consente al titolare di firmare digitalmente i propri documenti inserendo il PIN fornito in fase di acquisto. La Firma Digitale Aruba contiene inoltre un certificato di autenticazione CNS (Carta Nazionale dei Servizi), che consente l'accesso ai servizi online della Pubblica Amministrazione, come ad esempio il portale dell'Agenzia Delle Entrate, il Registro Imprese, INPS, ex- Inpdap, Equitalia e gli altri.
Se la CNS risulta uno strumento utile per i cittadini, sicuramente è fondamentale per le aziende e per alcune categorie professionali, che la utilizzano per l’autenticazione ai punti di accesso telematici (es. processo civile telematico) o per lo scambio di informazioni con le Pubblica Amministrazione.

Firma Digitale Remota

La Firma Digitale Remota si compone da un certificato di Firma Digitale depositato su un server sicuro di Aruba e un dispositivo OTP (One Time Password) che, insieme alla password scelta dall’utente, consente al titolare l’accesso alle proprie credenziali e l’apposizione della firma sui propri file da qualsiasi postazione connessa a Internet.
Tra i molteplici vantaggi che offre la Firma Digitale Remota, possiamo quindi sintetizzare:
•             la possibilità di apporre la firma senza alcuna installazione hardware;
•             la sottoscrizione digitale di documenti informatici in totale sicurezza;
•             la comodità di poter disporre sempre e ovunque della propria Firma Digitale Remota grazie all’installazione del Software Aruba Sign (sia su ambiente Windows che Mac).

Come si firma digitalmente un documento

Il processo di apposizione della Firma Digitale su un documento è tutto sommato semplice e può essere riassunto in poche fasi.

Fase 1: Seleziona il documento

Il Software di Firma consente di selezionare il documento elettronico da sottoporre a Firma Digitale e il formato di firma tra:
  • Pades - Per i soli file pdf (è possibile in questo caso far comparire opzionalmente un glifo visibile sul documento pdf). Il file firmato può essere visualizzato senza un software di verifica delle firme digitali
  • Cades - Per qualsiasi tipo di documento informatico. Il file è imbustato e deve essere aperto utilizzando un software di verifica (es. ArubaSign)
  • Xades - Per i documenti XML come le fatture elettroniche.

Fase 2: Apponi la firma

Con Firma Digitale: il software richiede l’inserimento del PIN e successivamente procede con la creazione del file firmato digitalmente.
Con Firma Digitale Remota: al momento dell'apposizione della firma sarà necessario inserire il nome utente e la password del proprio account di firma digitale remota, unitamente al codice OTP generato con l’apposito dispositivo.

Fase 3: Verifica

Il destinatario del documento firmato potrà verificare che:
•             il documento non sia stato modificato successivamente all’apposizione della firma;
•             il Certificato del sottoscrittore sia garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori;
•             il Certificato del sottoscrittore non sia scaduto;
•             il Certificato del sottoscrittore non sia stato sospeso o revocato.
L’esito positivo di queste verifiche rende il documento valido a tutti gli effetti di legge.

Firma digitale e firma scannerizzata: un chiarimento opportuno

Sarà capitato a molti di pensare almeno una volta, che la Firma Digitale non fosse altro che la propria firma - fotografata o scansionata – incollata su un documento informatico, un file word o .pdf.
Probabilmente sarà anche capitato di utilizzare con successo questo metodo, ad esempio per accettare un preventivo o per firmare un’autodichiarazione.
In realtà però a questo tipo di firma, non viene attribuito alcun valore legale.
Se apponiamo la nostra firma autografa come un’immagine su un documento elettronico, essa perde completamente il valore dell’apposizione cartacea, sia perché potrebbe essere modificata digitalmente sia perché potrebbe risultare facilmente riproducibile.
E’ quindi necessario sottolineare ancora una volta che proprio la validità legale è una della caratteristiche più importanti della Firma Digitale, che viene equiparata dalla legge italiana alla firma autografa, riconoscendo di fatto ai documenti informatici sottoscritti con questo strumento, il pieno valore legale e di conseguenza, la non ripudiabilità da parte del sottoscrittore.
 
Per approfondimenti su altre caratteristiche e vantaggi relativi alla Firma Digitale, rimandiamo ai nostri precedenti articoli.