Firma digitale di un documento: come si fa (SPID)

Argomenti trattati: ,
Pubblicato per la prima volta il: 10 Dicembre 2020 - Ultimo aggiornamento: 20 Febbraio 2021

Tempo di lettura: <1 minuti

Se desideri apporre una firma digitale su un documento, hai bisogno di ricorrere ad un servizio di firma digitale a pagamento. Ce ne sono di vari tipi, in Italia, e sono sostanzialmente tutti equivalenti: quello che cambia sono le modalità di erogazione del servizio, che possono cambiare in base alle tue necessità. Prima pero’ faremo un rapido excursus sulla firma digitale, su come funziona davvero e poi capiremo più facilmente come funziona e come si fa a farne una a proprio nome.

Che cos’è la firma digitale

Anzitutto chiariamo una serie di punti fondamentali: tanto per comunciare, non bisogna farsi confondere dal fatto che la firma sia “digitale“, perchè questo non ha nulla a che vedere con fotografie o scanner digitali. Alcuni pensano – e alcuni risultati sui motori di ricerca, diciamo, un po’ alimentano questo equivoco – che la firma digitale sia la scansione di una firma apposta a penna (o magari col mouse) ed inserita all’interno di un documento. Attenzione, non facciamo confusione, non si tratta di questo!

Strumenti come Adobe, ad esempio permettono di fare questo all’interno di un file PDF, cioè di apporre una scansione digitale della firma, ma la vera firma digitale è una cosa diversa anche se, purtroppo, alcuni la chiamano allo stesso modo, e questo confonde molte persone.

Immaginiamo di avere un file in PDF, e desideriamo sapere come fare la firma digitale: quello che dobbiamo fare è usare un software di firma adeguato, dargli “in pasto” il file e lui ci restituità un file firmato digitalmente equivalente, che possiamo riconoscere per il fatto di avere (il più delle volte) estensione .p7m. La firma digitale appone un certificato crittografico inequivocabile che, di fatto, serve ad attribuire la proprietà o la firma apposta da un utente attraverso delle tecnologie di crittografia avanzate. Le due più diffuse si basano o su un token fisico, cioè su un dispositivo che genera un codice che è simile ai token che forniscono alcune banche, oppure su un sistema di autenticazione e firma dell’utente da remoto che, il più delle volte, richiede uno SPID (in modo da poter attribuire univocamente l’identità dell’utente su internet, cosa che diversamente non sarebbe sicura).

Che cos’è un identity provider?

Il discorso sarebbe monco – e poco comprensibile per il lettore – a questo punto, se non fosse introdotto tra gli “attori” che operano in questa direzione quello dell’identity provider (ente certificatore): per intenderci, sappiamo tutti cos’è un provider, che è un “fornitore” in sostanza di servizi digitali come hosting, certificati SSL, invio di SMS o anche solo posta elettronica. Bene: un identity provider è un “fornitore di identità”, ovvero un ente che certifica in modo univoco l’identità digitale dei cittadini. Il Governo ha stipulato una convenzione con vari identity provider certificati, che sono i soli a poter “certificare” (e quindi firmare digitalmente!) che un cittadino possegga un’identità digitale.

Il loro ruolo è pertanto quello di “intermediari” e certificatori al fine di evitare falsificazioni e frodi in ambito di identità digitali in genere.

Esempi software per la firma digitale

Alcuni dei più diffusi software di firma digitale sono, ad esempio, i seguenti (nota: nel nome è incluso il nome dell’identity provider di riferimento, in genere ognuno ha il proprio software proprietario incluso ed offerto nel servizio di firma digitale):

  1. FirmaCerta (Namirial)
  2. Dike GoSign (Infocert)
  3. Aruba Sign  (Aruba)

Come si firma digitalmente un documento?

Per farlo ci sono due modalità, che richiedono un identity provider autorizzato (Namirial, Aruba, ecc.) ed un token univoco (che può essere acquistato a parte, oppure potrebbe essere anche il vostro cellulare). Entrambi gli “ingredienti” sono indispensabili per firmare digitalmente il documento desiderato, in modo da ottenerne una copia – che avrà estensione .p7m, in genere – che si possa attribuire al firmatario in modo sicuro.

La firma digitale avviene, pertanto, caricando il file in un software di firma, procedendo alla firma digitale mediante identity provider (login con username e password) e validando la firma con token: all’atto pratico non vedremo nulla e non dovremo firmare alcunchè, quindi nè col mouse nè scansionando alcuna firma “visibile”. La firma digitale sarà infatti impressa in alcuni campi del file, e sarà visibile solo con appositi programmi come Duke.

Cosa cambia tra firma digitale locale e firma digitale remota?

Sono entrambe firme digitali e sono formalmente equivalenti, cioè hanno lo stesso valore.

La prima è pero’ effettuata localmente, quindi mediante un hardware apposito come un token fisico (firma digitale locale), la firma digitale remota avviene mediante un software di firma ed una connessione sicura, dove il token è virtuale ed è generato ad esempio dal telefono cellulare associato alla nostra utenza firmataria. La validazione, in questo secondo caso, non dovrebbe mediante token SMS perchè sono falsificabili, ma dovrebbe avvenire interamente tramite internet.

Firma digitale spiegata passo-passo

Se abbiamo un file PDF:

FILE.PDF

ad esempio, una versione del PDF firmato digitalmente avrà estensione P7m e sarà del tipo:

FILE.PDF.P7M

Questo file sarà generato ovviamente da un software apposito di firma digitale. La “penna”, per così dire, per poter firmare digitalmente il documento, in questo caso, sarà rappresentata da tre elementi fondamentali:

  • un software di firma del file;
  • un identity provider autorizzato ed associabile alla nostra persona (ad esempio mediante SPID, che potrà essere Namirial, Aruba, Poste Italiane e così via);
  • un software per la OTP (One Time Password), ovvero un dispositivo sicuro al fine di generare un codice che garantisca l’univocità dell’operazione ed il fatto che siate davvero voi ad effettuarla oppure, in alternativa, un dispositivo hardware (cioè fisico) per la firma digitale.

Esempio di firma digitale nella pratica

Ammettiamo di avere un file PDF da dover firmare digitalmente: per farlo, dobbiamo procurarci il software adeguato alla circostanza. Scaricare un programma per la firma digitale ci servirà, perchè dovremo:

  1. registrarci presso un identity provider, la prima volta (di seguito riporteremo l’esempio di Namirial, per cui continuate a leggere)
  2. aprire l’app scelta (alcuni esempi di questi software: FirmaCerta, Dike GoSign)
  3. caricare il file da firmare digitalmente dentro l’app (upload del file PDF, ad esempio)
  4. decidere il tipo di firma (opzionale, ad esempio PAdES oppure CAdES, di solito va bene quest’ultimo, che poi corrisponde a e, di fatto, salva il file con estensione .pdf.p7m)
  5. inserire i parametri per firmare digitalmente da remoto, quindi USERNAME, OTP (generato sul momento) e PIN (che viene comunicato la prima volta, in modo riservato, dall’identity provider che avete scelto al punto 1)

Questa ad esempio è la schermata iniziale di FirmaCerta su Mac (su Windows è sostanzialmente identica, come procedura, quindi potete seguire tranquillamente quella che vi sto indicando), ed è qui che parte la procedura di firma digitale. Come vedrete, non è nulla di troppo complicato.

Come primo passo clicchiamo sul bottone FIRMA in alto a sinistra,e  si aprirà una schermata per scegliere il file da firmar digitalmente. In questo esempio, stiamo per firmare digitalmente il file CGS.pdf.; andiamo a selezionarlo, clicchiamo su Seleziona. Ci chiederà conferma della firma che vogliamo usare (in genere è preferibile utilizzare la p7m):

Clicchiamo su OK. Fatto questo, ci chiederà conferma di quello che stiamo facendo:

Ancora una volta clicchiamo su OK:ci verrà chiesta conferma di dove vogliamo salvare il file, che avrà estensione diversa (.p7m), essendo un file firmato digitalmente (che ancora dobbiamo creare, ovviamente).

Ora, per finire, dobbiamo inserire i parametri che (in questo caso Namirial) ci ha fornito collegati al nostro servizio di Firma Digitale (che, lo ricordo, dobbiamo aver acquistato a parte o aver collegato al nostro SPID). I dati richiesti sono una username personale, una password OTP generata mediante l’app di autenticazione ed un PIN personalizzato che avrete ricevuto in fase di registrazione.

Cliccate su OK in basso a destra e, se tutto è stato inserito correttamente, avrete effettuato con successo la firma digitale sul documento.

Frma digitale su un file PDF (file con estensione .p7m)

Per chi non avesse ancora le idee troppo chiare, dobbiamo pensare ad una firma digitale come ad un normale file (ad esempio .DOC o .PDF) sul quale è stata apposta una firma “invisibile”, il più delle volte, ad occhio nudo, ma che appositi software sono in grado di riconoscerne l’autenticità. Questo avviene mediante un complesso sistema di certificati ed enti certificatori che sono in grado di funzionare attraverso appositi software per la firma digitale, come quelli che abbiamo visto poco fa. Ad esempio, un atto ufficiale può essere firmato da un’autorità mediante firma digitale, per intenderci, per garantire di essere davvero chi dice di essere (e non, per esempio, una truffa o uno scherzo)

Per capire bene di che cosa parliamo, facciamo un esempio: qualche tempo fa, ho acquistato il servizio Seguimi di Poste Italiane, che mi ha permesso di ricevere la posta cartacea ad un domicilio differente da quello originario.

Una volta attivato il servizio, Poste Italiane mi ha inviato due file:

  • un file .PDF con la fattura;
  • un file .p7m che contiene gli stessi dati del PDF, e che rappresenta la copia della fattura firmata digitalmente, e quindi con valore legale.

Ecco una screenshot con i due file in questione, all’interno di un singolo file ZIP che ho scompattato per far vedere il contenuto.

Come è fatta una firma digitale

Utilizzano il software Dike – che è uno dei più utilizzati per aprire file firmati digitalmente, e che trovate nel sito ufficiale per Windows, Ubuntu e Mac – è anche possibile aprire il file p7m, cosa che usualmente si fa al fine di verificare la firma digitale.

Come è fatta una firma digitale è subito detto: sono un insieme di record con diversi campi, ognuno dei quali è valorizzato in modo inequivocabile e che mostrano, in questo caso, che è stata effettivamente Poste Italiane S.p.A. ad inviarmi quel file.

È insomma una specie di tabellina in cui sono presenti vari valori, come ad esempio organizzazione, digest certificato, data, ora e identificatori interni vari (alcuni dati, tra cui un nome e cognome, sono stati oscurati per privacy). La presenza di questi meta-dati garantisce che chi mi ha inviato il file sia davvero Poste Italiane Spa, e questo lo garantisce per entrambi un ente certificatore che ha consentito la firma stessa. Ecco, in breve, a che cosa serviva!

La firma digitale di cui parliamo è un caso particolare della firma elettronica, ovvero è un software in grado di autenticare la firma di una persona o di un’azienda sfruttando la crittografia a chiave pubblica e chiave privata.

Tutto questo avviene, di fatto, utilizzando un certificato qualificato da parte di un ente certificatore accreditato (come ad esempio le stesse Poste Italiane, Aruba o Namirial) ed un sistema di due chiavi, che in pratica sono come due password molto complesse e correlate tra di loro (chiave pubblica e chiave privata), in grado di rendere manifesta (e quindi valida legalmente):

  • l’integrità di un documento;
  • la firma del proprietario;
  • la data ed ora della firma;
  • la sua provenienza.

È chiaro, a questo punto, che questi dati siano stati inseriti mediante un software di firma elettronica qualificata, ed è interessante capire come si possa fare a firmare digitalmente un documento. Per farlo, ci sono due modalità, che si basano sulla presenza di un dispositivo hardware apposito oppure, come sta avvenendo secondo una nuova tendenza, mediante una app ufficiale di token via OTP (One Time Password).

Firma digitale remota: come funziona

Personalmente per questo genere di servizi da tempo ho optato Namirial il quale, nello shop ufficiale, mette a disposizione due soluzioni per firmare digitalmente un documento:

  1. vi fate lo SPID (potete farlo anche da loro a 19,90€, con identificazione via webcam con un operatore) e poi acquistate una firma digitale remota con abbonamento triennale (30€+IVA); lo SPID in realtà sarebbe anche gratuito, ma la procedura di autenticazione (anche considerando i tempi che viviamo) tende a suggerire che sia molto più sbrigativo ricorrere al riconoscimento via webcam, anche pagando qualcosina ma poi sbloccando una serie di servizi di conseguenza. Per lo SPID dovrete trovare un identity provider tra quelli elencati nel sito ufficiale del ministero, ed avrete varie opportunità per poterlo richiedere. Il mio suggerimento rimane quello di ricorrere al video-riconoscimento, che quasi tutti i provider offrono, ad oggi.
  2. sempre con lo SPID (che dovrete avere da prima, anche qui, verificato e tutto), potete comprare una firma digitale “usa e getta” della durata di 60 minuti a 2,99€

La firma digitale da remoto ha il vantaggio di essere molto facile da configurare, non richiede altro se non un PC ed uno smartphone (che dovrà contenere l’app per firmare il documento), e non richiede dispositivi hardware specifici. Serve ovviamente una connessione ad internet, per poter firmare digitalmente, ed un minimo di configurazione iniziale.

A mio avviso la soluzione con SPID + firma remota è una delle soluzioni più semplici e pratiche per la firma digitale di documenti, a fronte di una spesa molto contenuta.

Firma digitale mediante dispositivo hardware, cosa cambia?

Consideriamo ancora una volta Namirial come esempio di erogatore di servizi online di questo genere: tra le tante cose che vengono offerte nello shop ufficiale, troviamo anche la firma digitale. In questo caso prenderemo in considerazione la firma digitale mediante dispositivo hardware, in questo caso si chiama Token SIm Card CNS (Carta Nazionale dei Servizi, ovvero il Codice Fiscale) ed è un dispositivo portatile da connettere al PC e che potete usare per accedere ai vari servizi della Pubblica Amministrazione (PA, quindi ad esempio sito dell’INPS, Agenzia delle Entrate, Fascicolo Sanitario Elettronico, …).

Grazie all’attivazione del servizio per tre anni avrete la possibilità, tra l’altro, di apporre firma digitale ai vostri documenti: al primo utilizzo lo collegate al PC, installate i driver necessari a farlo funzionare, poi scaricate il software ufficiale Firmacerta. L’utilizzo è vincolato ad uno specifico computer e può essere realizzato in seguito anche su computer diversi da quello origianel.

La firma digitale via hardware ha lo svantaggio di non essere sempre troppo facile da configurare, su alcuni computer i driver non funzi0nano e la procedura, in questi termini, rischia di diventare un po’ troppo macchinosa. Serve anche qui una connessione ad internet, per poter firmare digitalmente, ed un minimo di configurazione iniziale. Questo piano costa un po’ di più ma è abbastanza flessibile, è molto comodo, potete salvare i documenti criptati direttamente nel dispositivo e ci sarà un software integrato per la gestione della firma.

Nessun voto disponibile

Che te ne pare?