Firma digitale: 10 cose da sapere

Argomenti: ,
Pubblicato il: 24-11-2020 16:51 , Ultimo aggiornamento: 26-03-2021 18:00

La firma digitale è sempre più utilizzata dagli italiani, soprattutto nei tempi di digitalizzazione un po’ forzata che stiamo vivendo: secondo gli ultimi dati forniti ufficialmente dall’AGID (Agenzia per l’Italia Digitale), infatti, esistono ben 20 milioni di firme digitale attive, al momento, ed il dato potrebbe essere anche al ribasso (risale ad aprile 2020). La diffusione dei servizi online come lo SPID, peraltro, accelera parecchio e funge da catalizzatore in questa direzione, spingendo verso un mondo sempre più informatizzato e smart. Grazie alla firma digitale, ad esempio, posso essere sicuro dell’attribuzione del firmatario sfruttando un sistema di funzionamento simile a quello della PEC, ma estendibile a qualsiasi documento che sia necessario inviare in forma ufficiale (ad esempio una multa, un accertamento, un contratto di affitto e così via).

Con i mezzi gratuiti offerti da internet, del resto, non sarebbe consentito (nè tantomeno consigliabile) effettuare online operazioni delicate come la firma di un contratto ufficiale o di un atto della pubblica amministrazione. Grazie alla firma digitale – e in parte anche alla PEC, questi limiti si possono superare in favore di un metodo sicuro, attribuibile e relativamente facile da usare anche per chi non fosse troppo esperto in materia informatica.

La firma digitale in concomitanza con lo SPID del resto sono, ad oggi, tra i sistemi più utilizzati anche per richiedere contribuiti online, firmare ufficialmente contratti e così via.

Cosa serve per firmare digitalmente un documento?

Per apporre una firma digitale si può scegliere tra una delle seguenti alternative:

  • acquistare un kit completo per la firma digitale, con lettore di smartcard o token (firma digitale locale);
  • sfruttare la firma digitale remota e, autenticandosi con lo SPID, sfruttare un token OTP, una username univoca ed una password.

I due sistemi sono praticamente equivalenti, e l’utente potrà decidere tra l’uno e l’altro a seconda dei casi e della convenienza.

Quali sono i requisiti della firma digitale?

Per essere definita tale, la firma digitale deve rispondere a tre requisiti di fondo:

  1. l’identità del firmatario deve essere univoca, ed attribuibile con certezza sia da chi firma che dal destinatario della firma stessa;
  2. il documento non deve poter essere modificabile in seguito;
  3. il firmatario non deve avere la possibilità di disconoscere la firma e dire che, ad esempio, non è stata fatta da lui.

Cosa cambia tra firma digitale e firma elettronica?

Sono due cose diverse, tecnicamente parlando, anche se nella realtà discorsiva molte persone le chiamano come se fossero sinonimi, cioè come se significassero la stessa cosa. Non è così, ed esiste una differenza tecnica e anche una dal punto di vista prettamente amministrativo o burocratico. Le firme elettroniche sono un concetto distinto dalle firme digitali, che consistono in un metodo software crittografico utilizzato per implementare le firme elettroniche. Esistono numerosi standard ufficiali annessi a queste tecnologie, e NIST-DSS, XAdES e PAdES sono senza dubbio le più famose ed utilizzate.

In genere la firma elettronica fa riferimento ad una certa “varietà” tecnologica che spesso interessa più che altro gli addetti ai lavori (ad esempio: la firma elettronica su un certificato HTTPS durante la transazione di una carta di credito), mentre la firma digitale è un servizio dai contorni e le caratteristiche più nette. Ci sono tre tipi di firme elettroniche, nella pratica, la cui distinzione conduce con sicurezza alla definizione dell’idea di firma digitale come la conosciamo oggi.

Definizione  Firma elettronica

Le firme elettroniche fanno riferimento ad una varietà di metodi, per lo più elementari, legati alla crittografia e all’autenticazione all’interno di un sistema: username e password potrebbero esserne un esempio, per quanto abbastanza semplicistico. La semplicità deriva da un problema che questi sistemi di autenticazione soffrono un po’ di fondo, ovvero il fatto che chiunque possieda username e password potrebbe, di fatto, accedere impropriamente al sistema – e questo vale anche per il PIN di un bancomat, ammesso che uno abbia materialmente il nostro bancomat o riesca a clonarlo.

Legalmente parlando, la legge specifica come firma elettronica l’insieme dei dati aggregati in forma elettronica utilizzabili come metodo di identificazione. L’identificazione del firmatario, in questo caso, non è detto che sia garantita e certa al 100%.

Definizione Firma Elettronica Avanzata

Un passo avanti è stato compiuto dalla cosiddetta firma elettronica avanzata, che si basa su un meccanismo di crittografia ancora una volta, ma questa volta con modalità leggermente più sicure o avanzate: l’identificazione del firmatario, in questo caso, è legata ad esempio all’uso di un dispositivo specifico, il cui identificativo interno sia stato precedentemente legato all’utenza.

È il caso dei cellulari personali o dei tablet, che sono di proprietà di una persona e che contribuiscono a consentire la firma di questo tipo.

Definizione Firma Elettronica Qualificata

La firma elettronica qualifica fa riferimento al fatto che l’identificazione del firmatario è garantita mediante un dispositivo che genera un codice univoco di accesso unico ad una marca temporale, ovvero un cosiddetto “token“, che è un dispositivo hardware non clonabile e soprattutto ogni pezzo è unico. Questo serve a fare in modo che l’associazione dell’operazione al proprietario sia attribuibile, anche legalmente, con certezza praticamente assoluta.

La firma elettronica qualificata è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un certificato qualificato. È ovviamente richiesto, in questo contesto, l’uso del dispositivo di firma sicuro, capace cioè di proteggere efficacemente la segretezza della chiave privata.

Definizione Firma Digitale

La firma digitale è l’atto di autenticazione di un documento apponendo il proprio nome, o quello della propria azienda, che a sua volta è stato identificato da un sistema “al di sopra di tutto” che si chiama identity provider, e garantisce legalmente l’identità della persona. Si basa sulla crittografia a chiavi asimmetriche, in cui la chiave pubblica e la chiave privata sono scorrelate tra loro e non sono derivabili l’una dall’altra. Mezzi tipici per la firma digitale sono i token di cui si parlava sopra, i lettori di smartcard o anche i dispositivi OTP presenti in forma di app sugli smartphone.

La firma digitale può essere pertanto posta sia in modalità locale che in modalità remoto, con esito equivalente.

Di fatto, questa forma di firma elettronica è legalmente una firma elettronica qualificata che, nello specifico, si basa sulla tecnologia di crittografia a chiavi asimmetriche.

Come funziona la firma digitale

Firmare digitalmente un documento significa, di fatto, apporre la propria firma in ambito informatico con due requisiti specifici: sfruttando adeguatamente la crittografia e l’identificazione certa del firmatario.

Se vuoi firmare digitalmente un documento, nella pratica, devi rivolgerti ad un prestatore di servizio autorizzato dal Ministero, ovvero un identity provider. La firma digitale si basa sulla crittografi a chiave pubblica / privata o a doppia chiave, detta anche crittografia asimmetrica in cui esiste una chiave privata usata dal titolare / firmatario, che serve a generare tecnicamente la firma, ed una chiave pubblica che viene usata per rendere riconoscibile in modo certo il firmatario dall’esterno, e verificarne l’identità.

Firma digitale in locale o in remoto: cosa cambia?

La firma digitale può essere apposta in modalità locale (quindi sfruttando uno strumento fisico in esclusivo possesso del firmatario, quindi ad esempio un cellulare autenticato, un lettore di smartcard o un dispositivo token) oppure può esistere anche la firma digitale in remoto, che viene generata mediante user id, password e OTP (One Time Password), sfruttando una tecnologia internet messa a disposizione da alcuni identity provider.

Da chi è regolamentata la firma digitale?

La firma elettronica viene regolamentata a livello europeo dall’eIDAS (acronimo perelectronic IDentification, Authentication and trust Services), che regolamenta i protocolli per il trasferimento di denaro a livello di UE. Gli standard legati alla firma digitale, firma elettronica, marche temporali e via dicendo è stata stabilita da questo ente.

I paesi membri dell’UE, tra cui anche l’Italia, sono tenuti a rispettare gli standard fissati dall’eIDAS per finalizzare l’autorevolezza della firma digitale. Il regolamento di riferimento è il regolamento (UE) n. 910/2014.

Quando usare la firma digitale?

Ci sono molti casi in cui è necessaria la firma digitale, ad esempio:

  • partecipazione a concorsi e bandi di concorso (invio di documenti firmati digitalmente), sia per aziende che per liberi professionisti o privati;
  • invio di atti alle PA (Pubbliche Amministrazioni);
  • ufficializzazione di contratti di vario genere presso gli studi legali abilitati;
  • sottoscrizione di contratti;
  • richieste di contributi;
  • dichiarazioni di vario genere;
  • visure camerali;
  • fatture elettroniche;
  • autocertificazioni

Cosa vuol dire certificato?

Un certificato serve a definire in modo univoco, in questo contesto, l’identità del firmatario. Se ad esempio usiamo un lettore di smartcard, sulla nostra tessera sanitaria (Carta dei Servizi) è presente, a livello interno, un certificato con firma elettronica che ci caratterizza in modo univoco. Se usiamo la firma da remoto, il certificato sarà rappresentato dal nostro SPID e dal fatto di usare un identity provider qualificato.

Esiste la firma digitale gratis?

No, purtroppo. Questo argomento è tra i più richiesti in assoluto dagli utenti, ma in genere dobbiamo sfatare il mito: purtroppo, ad oggi, la firma digitale non è gratuita, ma è un servizio sostanzialmente a pagamento. Per fare la firma digitale, infatti, è richiesto lo SPID (che può essere free o a pagamento) oppure ci vuole un lettore di smartcard abilitato (a pagamento) che funzioni con un identity provider (Poste Italiane, Aruba, InfoCert, ecc.) a pagamento anch’esso.

Che cosa significa “dematerializzare”?

Dematerializzare si intende, in questo contesto, “rendere più conveniente per tutti e meno dispendioso grazie all’informatica“. Questo termine è molto usato dalla PA (Pubblica Amministrazione) per incoraggiare il cittadino ad usare la firma digitale, risparmiando sui costi della carta che poi si depositerà in faldoni polverosi e, alla lunga, ingombranti.

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Firma digitale: 10 cose da sapere di Salvatore Capolupo su Trovalost.it
Firma digitale: 10 cose da sapere (Guide, Capire PEC e firma digitale, Mondo Lavoro)

Articoli più letti su questi argomenti:
Trovalost.it è gestito, mantenuto, ideato e (in gran parte) scritto da Salvatore Capolupo