Prima di tutto devo dire che la firma digitale universalmente riconosciuta come tale non è l'immagine fotografata o scansionata della propria firma che viene apposta con un copia ed incolla sul documento da inviare via e-mail (o altro sistema di invio).
Ma tutto un altro mondo, seguimi alla sua scoperta...
Grazie alla firma digitale (in accoppiata con la P.E.C.) è possibile firmare da casa documenti come se fossero firmati di proprio pugno, quindi a valore legale.
Può essere utilizzata per risolvere da casa diverse pratiche burocratiche, come per esempio:
Sottoscrivere documenti, richieste e dichiarazioni per la Pubblica Amministrazione
Firmare accordi e contratti con altri privati, con imprese e con la PA
Sottoscrivere preventivi
Accettare polizze assicurative
Sottoscrivere cessazioni di contratti
Verificare la firma apposta su un documento elettronico ricevuto.
Prima di procedere ed entrare più nei dettagli tecnici della firma digitale, è necessario sapere che c'è bisogno del riconoscimento facciale della persona che diventerà proprietaria della firma digitale. Ci possono essere tre vie per il riconoscimento de-visu:
tramite webcam (la più veloce, se c'è): tu ed un incaricato dal certificatore vi collegate in internet e tramite la webcam vieni riconosciuto e certificato;
tramite un certificato di identità personale rilasciato presso lo sportello dello stato civile effettuato da un ufficiale dell'anagrafe incaricato ed inviato al certificatore;
direttamente presso uno sportello del certificatore (spiego in seguito di chi si tratta).
e che esistono due tipi di firma digitale:
Firma remota;
Firma Digitale su Chiavetta USB.
La firma remota, nota anche come firma elettronica remota o firma digitale remota, è un processo mediante il quale una persona può firmare elettronicamente un documento senza essere fisicamente presente nello stesso luogo del destinatario del documento o del sistema che lo elabora. Per fare quanto sopra, si utilizza un sistema denominato OTP (One-Time Password), cioè la password è generata per un'unica transazione o sessione di accesso e non può essere riutilizzata. Queste password sono temporanee e hanno una validità limitata nel tempo o nel numero di utilizzi.
Esistono diversi metodi per generare OTP:
SMS OTP: Una password temporanea viene inviata tramite SMS al numero di telefono registrato dell'utente.
Token hardware OTP: Un dispositivo hardware dedicato genera una password temporanea visualizzata sullo schermo del dispositivo.
App mobile OTP: Applicazioni per smartphone generano password temporanee, spesso utilizzando algoritmi come l'HMAC-based One-Time Password Algorithm (HOTP) o il Time-based One-Time Password Algorithm (TOTP).
Email OTP: Una password temporanea viene inviata all'indirizzo email dell'utente.
La "Firma Digitale su Chiavetta USB" si riferisce a un sistema di firma digitale che utilizza una chiavetta USB per archiviare la chiave privata necessaria per firmare elettronicamente documenti digitali.
In questo sistema, l'utente possiede una chiavetta USB crittograficamente sicura che contiene la propria chiave privata, utilizzata per creare firme digitali. La chiave privata è protetta da password o da altri meccanismi di autenticazione per garantirne la sicurezza.
Quando un documento digitale deve essere firmato, l'utente inserisce la chiavetta USB nel computer e utilizza un'applicazione o un software dedicato per accedere alla chiave privata e firmare il documento. Il software utilizza la chiave privata per generare una firma digitale che viene quindi applicata al documento.
La firma digitale generata utilizzando la chiave privata archiviata sulla chiavetta USB è considerata altamente sicura, poiché la chiave privata è conservata in modo sicuro e non lascia mai la chiavetta USB. Questo metodo offre un livello aggiuntivo di sicurezza rispetto all'archiviazione della chiave privata direttamente sul computer o su altri dispositivi, riducendo il rischio di accesso non autorizzato alla chiave privata e potenziali attacchi informatici.
N.B: prima di procedere alla firma di un documento apponendo la propria firma digitale, bisogna sincerarsi che il documento digitale sia inalterabile da ogni tipo di macro che potrebbero modificare il contenuto originale al momento dell'apertura, invalidando così la firma digitale. Pertanto, invece di inviare documenti in formato nativo docx, xlsx, o altro, è sempre preferibile trasformare il documento da firmare digitalmente prima in PDF/A (cioè in un documento PDF con il font di caratteri già inclusi nel documento stesso) e se non è possibile renderlo un immagine (jpeg, tiff, etc...).
Aggiungo, inoltre, che molti certificatori di firma digitale (spiego in seguito che cosa sono) vendono, contestualmente alla firma digitale anche la CNS. La CNS (Carta Nazionale dei Servizi) è un documento elettronico emesso in Italia che contiene informazioni digitali e funziona come una sorta di "carta d'identità digitale". La CNS viene rilasciata ai cittadini italiani e ai residenti stranieri che risiedono in Italia e offre loro un modo sicuro per autenticarsi e accedere a servizi online, quali quelli offerti dalla Pubblica Amministrazione e da altri enti pubblici o privati.
Tuttavia, ai fini propri della firma digitale, la CNS non è strettamente necessaria ed è stata sostituita con lo SPID o la CIE.
Infine, aggiungo un documento firmato digitalmente non è possibile leggerlo direttamente; ovvero bisogna prima spacchettarlo usando i programmi appositi.
I più conosciuti sono:
La verifica della firma elettronica digitale può essere effettuata anche grazie ad applicazioni messe a disposizioni online rispettivamente da:
Poste Italiane Verificatore on line
Infocert - verifica anche le firme PDF (PAdES)
Namirial - verifica anche le firme PDF (PAdES) e le firme basate su certificati rilasciati da certificatori qualificati stabiliti nell'Unione Europea
Comped - verifica anche le firme PDF (PAdES) e le firme basate su certificati rilasciati da certificatori qualificati stabiliti nell'Unione Europea
Autorità di vigilanza austriaca - verifica le firme elettroniche qualificate basate su certificati rilasciati in Austria
Ma come funziona la firma digitale ?
La firma digitale di fatto, incapsula (cioè mette il documento originale) all'interno di un'altro documento crittografato . In pratica, la firma digitale è creata utilizzando un algoritmo matematico che genera una coppia di chiavi crittografiche: una chiave privata e una chiave pubblica. Il mittente del documento utilizza la propria chiave privata per criptare digitalmente il documento, creando così la firma digitale; il destinatario può quindi utilizzare la chiave pubblica del mittente per verificare che la firma sia autentica e che il documento non sia stato alterato.
Infatti, solo la chiave pubblica (accessibile a tutti) del proprietario di una data firma digitale può decodificare la busta che contiene il documento, e questo sistema detto a "chiave asimmetriche", garantisce che il documento firmato appartenga proprio al mittente.
Inoltre le società, detti certificatori accreditati Agid, che rilasciano le firme digitali, si impegnano, con l'acquisto delle proprie firme digitale di coprire tutti i danni civili che un'uso improprio della loro firma digitale da parte di un cliente può creare con un'assicurazione in denaro.
L'Agid (per poter vendere e rilasciare le Firme Digitali occorre esserre autorizzati da AgID l'ente nazionale per la digitalizzazione della Pubblica Amministrazione), mette a disposizione un'elenco di certificatori accreditati visionabili in questo sito:
(che consiglio vivamente di consultare prima dell'acquisto di una firma digitale personale).
I documenti firmati digitalmente possono essere di due tipi di formato :
CAdES, acronimo di "CMS Advanced Electronic Signatures", è stato sviluppato per soddisfare i requisiti specifici delle normative e degli standard per la firma digitale in vari settori, come il settore legale, bancario e governativo. Offre una maggiore flessibilità e sicurezza rispetto ad altri formati di firma digitale, consentendo ad esempio di incorporare firme multiple, timestamp e altre informazioni aggiuntive nel documento firmato.
PAdES, acronimo di "PDF Advanced Electronic Signatures", è uno standard per le firme digitali avanzate applicate ai documenti in formato PDF. PAdES supporta diverse modalità di firma, inclusa la firma visibile che mostra esplicitamente la firma sul documento PDF, e la firma invisibile che consente di aggiungere la firma digitalmente senza modificarne l'aspetto visivo: questo standard è particolarmente utile in contesti legali, commerciali e governativi dove è richiesta l'adozione di firme digitali avanzate nei documenti PDF per garantire la loro validità legale e la sicurezza delle transazioni elettroniche.
E' rilevante notare che di norma in Italia, soprattutto nel rapporto con la Pubblica Amministrazione, il formato di firma più utilizzato (e solitamente riconosciuto) è il CAdES (cioè con l'aggiunta di .p7m all'estensione originale del file).
Comments