La firma digitale è il risultato di una procedura informatica basata su tecniche crittografiche che consente di associare in modo indissolubile un numero binario (la firma) a un documento informatico, ovvero ad un altro insieme di bit che rappresenta fatti, atti o dati giuridicamente rilevanti. E’ indispensabile per conferire validità legale ai documenti informatici in una serie di contesti come la sottoscrizione di contratti, di dichiarazioni o di atti amministrativi nel pubblico e nel privato. In questo articolo vengono proposte alcune risposte su frequenti quesiti relativi alle firme digitali e alle loro applicazioni nella pubblica amministrazione e nel privato.
Indice degli argomenti
Cos’è la firma digitale e a cosa serve
Non è una “semplice” firma elettronica, ma una particolare tipologia che si basa, appunto, sul sopra descritto meccanismo di chiavi crittografiche. La definizione riportata nel Cad, Codice dell’amministrazione digitale (articolo 24, dlgs 82/2005):
La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui e’ apposta o associata. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
In parole semplici, la firma digitale è una tipologia di firma elettronica che soddisfando requisiti particolarmente stringenti relativi garantisce autenticità, integrativa, affidabilità e validità legale ai documenti. Ha lo stesso valore della firma autografa (caratteristica che invece non hanno altre tipologie di firma elettronica).
Come funziona la firma digitale
La firma digitale è uno strumento che permette ai cittadini, ai professionisti ed alle imprese di firmare dei documenti facendoli diventare documenti con valore legale, ed è il risultato di un procedimento informatico che si basa sui concetti di:
– autenticità, per assicurare e garantire chi è che ha firmato il documento si è assunto anche la responsabilità del suo contenuto,
– integrità, condizione che serve a dimostrare dal momento in cui è stato firmato fino al momento in cui è utilizzato esso non è mai stato modificato,
– non ripudio in quanto chi ha firmato il documento mediante la firma elettronica non può poi disconoscerlo.
Per ottenere questo risultato la firma elettronica si basa sull’utilizzo di strumenti crittografici. Quindi nel sistema della firma digitale ciascun titolare ha assegnate una coppia di chiavi (due numeri binari di lunghezza pari, allo stato dell’arte, almeno a 2048 bit).
L’assegnazione è a carico di un soggetto istituzionalmente qualificato (il certificatore) – in Italia dall’Agenzia per l’Italia Digitale – che emette a favore del titolare un certificato digitale che associa il numero binario di 2048 bit alla sua identità. Questo identifica in modo certo il richiedente le credenziali di sottoscrizione.
Contemporaneamente a questa chiave, detta pubblica perché nota a tutti gli interessati, viene generata un’altra chiave di pari lunghezza che è privata ed a controllo esclusivo del titolare. La chiave è installata in un ambiente sicuro (nella smart card il microchip) e può essere utilizzata solamente tramite una password di sblocco che è nota come PIN.
Per le proprietà matematiche dell’algoritmo (il più diffuso si chiama RSA) quanto viene cifrato con la chiave privata è decifrato con la chiave pubblica e viceversa.
Per firmare, il titolare utilizza un software che iniziata la procedura di firma calcola l’impronta digitale del documento tramite la cosiddetta funzione di hash. A documento diverso corrisponde un’impronta diversa. La lunghezza dell’impronta allo stato dell’arte deve essere di 256 bit.
Predisposta l’impronta, il software di sottoscrizione la invia all’ambiente sicuro dove è custodita la chiave privata (dispositivo di firma). Questa per essere attivata deve validare il PIN inserito dal titolare. A questo punto il dispositivo di firma procede alla cifratura dell’impronta del documento con la chiave privata. Il risultato dell’operazione è la firma digitale del documento.
E’ indispensabile associare la firma al documento e questo avviene attraverso specifici formati. Se utilizziamo il PDF il formato è denominato PAdES.
Per verificare la firma, il destinatario utilizza uno specifico software che estrae la chiave pubblica dal certificato del titolare. Spacchetta il file con documento e firma. Ricalcola l’impronta e decifrando con la chiave pubblica la firma del titolare può verificare se l’impronta del mittente e quella ricalcolata dal destinatario sono identiche.
In caso positivo la firma è valida. Nell’altro caso la firma non è valida e bisogna indagare sullo specifico che ha determinato l’errore.
Il procedimento ha anche altre variabili in gioco, come la validità del certificato rispetto al tempo e al titolare (revoca del certificato) ma non sono analizzate in questa sede per semplicità.
Come leggere e verificare documenti firmati digitalmente
Ci sono diversi servizi e software utilizzabili per verificare e (in qualche caso) leggere un documento pdf firmato digitalmente .p7m.
Con i servizi online Postecert e Infocert è possibile verificare la firma, ma al momento non risulta più attiva l’opzione per il download/lettura del pdf origitale.
Lettura (oltre che verifica) è possibile farla con il software Dyke di Infocert. ALla fine della verifica cliccare su Visualizza e scegliere un lettore pdf.
Firma digitale e fatturazione elettronica: cosa c’è da sapere e quale scegliere
La firma digitale viene utilizzata in questo contesto per assicurare la provenienza e l’integrità della fattura elettronica inviata alla pubblica amministrazione.
In questo scenario, gli utenti che emettono numeri rilevanti di fatture hanno utilizzato la fattispecie giuridica della sottoscrizione con procedura automatica. In questo scenario il firmatario sottoscrive in modalità massiva il flusso di fatture e poi le invia al Sistema di Interscambio dell’Agenzia delle Entrate.
Il dispositivo di firma utilizzato si chiama HSM (Hardware Security Module) e alla data conserva in Italia oltre l’85% per cento delle chiavi crittografiche (dati AgiD).
Il Regolamento europeo eIDAS n.910 del 23 luglio 2014 (2014/910/UE) ha completato ed ampliato le regole previste dalla Direttiva Europea 1999/93/EC sulle firme elettroniche, sui servizi digitali fiduciari e sui servizi di identificazione ed autenticazione. L’obiettivo principale del Regolamento è quello di migliorare l’efficienza delle transazioni elettroniche nel mercato europeo, grazie al reciproco riconoscimento dei sistemi di autenticazione ed identificazione sia delle persone fisiche sia di quelle giuridiche.
Nel regolamento sono anche definite le Firme Elettroniche, più precisamente la Firma Elettronica Avanzata (FEA), firma elettronica che è connessa unicamente al firmatario e lo identifica, per la sua creazione il firmatario può, con un elevato livello di sicurezza, esercitare il proprio esclusivo controllo, ed è collegata ai dati firmati con una connessione che permette di rilevare ogni successiva eventuale modifica dei dati.
Inoltre è stata definita anche la Firma Elettronica Qualificata (FEQ) che possiede in aggiunta alle peculiarità di una Firma Elettronica Avanzata il fatto che si crea con l’uso di un dispositivo qualificato per la creazione di una firma elettronica, ed è basata su un certificato elettronico qualificato.
Una rilevante novità è rappresentata anche dal Sigillo Elettronico, per certi aspetti simile alla firma elettronica, ma che è apposto da una persona giuridica con l’obiettivo di garantire l’origine e l’integrità dei dati ad esso associati. Esistono due tipi di Sigilli Elettronici: il Sigillo Elettronico Avanzato e di Sigillo Elettronico Qualificato, sostanzialmente simili alle definizioni delle Firme Elettroniche.
L’obiettivo del Regolamento eIDAS è quello di definire sostanzialmente i servizi fiduciari che, basati su determinati requisiti, forniscano garanzie superiori in termini di sicurezza e qualità del servizio che vengono pertanto identificati come “qualificati”, e che sono vigilati da un Enti nazionali (ex Sez.2 nel Regolamento).
Sono tali ad esempio, i certificatori accreditati, i conservatori accreditati e gestori di posta elettronica certificata già attivi in Italia.
Il Regolamento prevede anche nuovi servizi per la creazione e verifica delle firme elettroniche per sviluppare servizi innovativi basati su firme in mobilità o remote.
Nell’ultimo periodo spesso sui social forum si legge che la PEC può essere utilizzata per firmare documenti, come la fattura elettronica. Il valore legale della PEC è assicurato solo al messaggio di posta elettronica e non ai documenti eventualmente contenuti.
Come ottenere la firma digitale
La firma digitale si ottiene dai prestatori di servizi fiduciari presenti in una serie di elenchi di fiducia gestiti dai singoli Stati membri europei.
Esistono diversi prodotti di firma digitale ed essi sono generalmente costituiti da un device, solitamente una smart card, che contiene un certificato di firma digitale rinnovabile ed un dispositivo che serve per leggere la smart card.
Inoltre, sul mercato è possibile trovare da un po’ di anni anche un kit che è costituito da una chiavetta USB che include il certificato di firma digitale (solitamente inserito in una sim card poi inserita all’interno della chiavetta.
Infine, esistono dispositivi di firma digitale remota che permettono di firmare documenti, anche massivamente, grazie alle soluzioni in cloud. Operano mediante dei dispositivi di firma che sono virtuali e che possono essere accessibili solo mediante sistemi di accesso “sicuro” con dispositivi fisici che forniscono delle password usa e getta mediante una chiavetta OTP (simili a quelli utilizzati dalle banche), o app per smartphone o messaggi sms.
Il navigatore degli elenchi dell’unione europea.
L’elenco dei soggetti qualificati da AgID in Italia
La tabella di orientamento Agid per cittadini e imprese
In pratica, bisogna quindi rivolgersi a uno dei provider qualificati, che in Italia sono in tutto 18. Eccoli in tabella
| Nome certificatore | Tipologie di firma digitale | Verifica firma digitale europea | Indirizzo web |
| Actalis | Firma digitale Firma grafometrica Firma Remota Firma Remota Automatica Massiva | Sì | https://www.actalis.it/ |
| Aruba PEC | Firma digitale Firma grafometrica Firma Remota Firma Remota Automatica Massiva | Sì | https://www.pec.it/termini-condizioni.aspx |
| Banca D’Italia | Certificati di firma ai dipendenti | http://www.bancaditalia.it/ | |
| Cedacri | Firma digitale Firma biometrica Firma remota | Sì | http://www.cedacricert.it/cedacricert/it/index.html |
| Comando C4 Difesa dello Stato Maggiore della Difesa | Firma digitale e servizi di Validazione temporale elettronica qualificata per il personale della Difesa | http://www.pkiff.difesa.it/ | |
| Consiglio nazionale dottori commercialisti ed esperti contabili | Firma digitale agli iscritti | http://www.certicomm.it/CERFrontend/WebObjects/CERFrontend.woa | |
| Consiglio nazionale del notariato | Firma digitale e Validazione temporale elettronica qualificata agli iscritti | http://ca.notariato.it/ | |
| In. Te. Sa | Firma digitale Firma grafometrica Firma remota | http://e-trustcom.intesa.it/ | |
| Infocert | Firma digitale Firma remota Firma remota onthefly Firma remota automatica massiva | Sì | https://www.infocert.it/ |
| IntesaSanPaolo | Firma digitale a dipendenti e clienti della banca | https://ca.intesasanpaolo.com/scriptIden0/identrus/portal.jsp | |
| Intesi Group | Firma remota Firma remota automatica massiva | Sì | https://www.intesigroup.com/it/ |
| Lombardia Informatica | Firma digitale | https://www.lispa.it/ | |
| Lottomatica | Firma digitale per dipendenti e clienti | https://ca.firmadigitale.lottomaticaitalia.it/RAweb/Strumenti/Condizioni.do | |
| Namirial | Firma remota | Sì | http://www.firmacerta.it/ |
| NexiPayments | Firma digitale Firma digitale remota | Sì | https://ca.nexi.it/ |
| Poste Italiane | Firma digitale | Sì | http://www.postecert.it/ |
| Telecom Italia trust technologies | Servizi di firma digitale per i clienti | https://www.trusttechnologies.it/ | |
| Zucchetti | Firma digitale Firma remota | Sì | https://www.zucchettistore.it/zstore/cms/contenuto/8-firma-digitale/24-descrizione.html |
Ogni provider ha una sua procedura e un suo kit di installazione. E importante sottolineare che il cittadino, per ottenere la firma digitale, deve sempre recarsi personalmente dal proprio certificatore, che ha l’obbligo di richiedere un documento di identità per identificarlo con certezza.
Ci sono poi dei software che servono invece a verificare la firma digitale, attraverso una procedura per controllare che il documento non sia stato modificato dopo la firma, il certificato sia garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori sopra riportato, i certificati sono siano scaduti, sospesi, revocati. Questi software non sono necessariamente compresi nel kit di firma. Importante: per eseguire la firma bisogna utilizzare software dello stesso certificatore, mentre l’operazione di verifica può essere effettuata con un prodotto diverso.
Tutti i provider rendono disponibili sui relativi siti internet i dettagli relativi ai pacchetti proposti, e i manuali per scaricare i software necessari. Il servizio in genere è a pagamento, pur essendoci in diversi casi dei tool gratuiti (come vedremo, è il caso degli ordini professionali). E’ possibile scegliere fra diverse soluzioni e diverse tariffe, sono disponibili anche i rinnovi, che in genere non richiedono l’acquisto di nuovo hardware.
In sostanza le azioni da fare per chi vuole iniziare ad utilizzare una forma elettronica o digitale sono:
- individuare uno dei provider che vendono i kit di firma digitale, approfondendo le caratteristiche del servizio che propongono;
- una volta acquistata la firma digitale, bisogna essere identificati presso da un Pubblico Ufficiale in Comune, o presso un ufficio postale, a domicilio (tramite un postino) o via web (mediante web cam). In tutti questi casi l’identificazione avviene attraverso la presentazione della carda d’identità in corso di validità;
- attivare il kit acquistato, usando le differenti procedure che variano per ogni provider;
- a questo punto si è pronti ad usare la propria firma digitale e, dopo avere verificato la presenza di aggiornamenti di software e driver, va avviato il programma con cui utilizzare la firma digitale;
- per firmare un documento a questo punto va selezionato il file su cui appore la propria firma digitale, scegliendo il formato che volete ottenere (file. P7M contenente il file originale e il file della firma digitale, il .PDF con firma visibile o invisibile sul documento, o .XML.
Ottenere firma digitale con Spid
Da qualche tempo è possibile con molti provider ottenere la firma facilmente se si ha SPID o CIE. Con un accesso fatto in questo modo si ottempera all’esigenza di identificazione, prima fatta solo fisicamente o via web cam (vedi sopra).
I costi della firma digitale (anche gratis)
I costi di un dispositivo di firma o delle credenziali per la sottoscrizione remota (dispositivo disponibile in modalità server) sono variabili e dipendono dall’offerta del mercato e dai meccanismi di vendita connessi.
In generale l’ordine di grandezza è di qualche decina di euro (25/30 + IVA) anche per modalità di sottoscrizione remota.
Il costo sale se si sceglie il chip installato in un token USB che fa anche da lettore il chip medesimo. La fascia è tra i 60 e gli 80 euro circa sempre più IVA.
Alcuni ordini professionali e le Camere di Commercio in sede di iscrizione dell’impresa rilasciano gratuitamente il dispositivo di firma.
Ovviamente anche le aziende lo fanno per i soggetti che svolgono attività professionali per le quali serve la firma digitale.
Firma digitale usa e getta con Spid
Ci sono anche soluzioni particolari, usa e getta, per chi non pensa di usare la firma più di tre volte l’anno. La firma usa e getta, con Spid, per avere un certificato di firma utilizzabile una sola volta. Con Namirial costa 2,99 euro.
Firma digitale, cosa prevede la legislazione italiana
La normativa di riferimento nazionale sulla firma digitale è nel Codice dell’amministrazione digitale (CAD) ovvero nel Decreto Legislativo 7 marzo 2005, n. 82.
Questa norma è stata più volte modificata e la versione vigente è in vigore dal 27 gennaio 2018. La specifica materia delle sottoscrizioni è influenzata dal regolamento europeo 910/2014 (noto anche come eIDAS) che è pienamente operativo dal 1 luglio 2016.
Considerato che un regolamento europeo è di rango normativo superiore alle normative nazionali, il CAD ha coordinato le preesistenti norme italiane con quelle comunitarie. L’efficacia probatoria e il valore giuridico delle sottoscrizioni informatiche è comunque dettagliato a livello nazionale poiché il Codice Civile non è nell’ambito di regolamentazione comunitaria secondo i trattati di Roma e Lisbona. Una firma digitale può essere utilizzata in tutti i contesti visto che consente di soddisfare i requisiti giuridici della forma scritta.
Oltre le fatture: applicazioni pratiche della firma digitale
La firma digitale è obbligatoria in molti scenari amministrativi, professionali e aziendali. Si firmano gli atti dei procedimenti giudiziari telematici, i bilanci aziendali e la presentazione di specifici atti amministrativi alla pubblica amministrazione.
Nel mondo privato è utilizzato nei procedimenti digitalizzati, nella gestione documentale dematerializzata e da sempre un numero maggiore di aziende.
La tendenza normativa rappresentata dall’ultimo CAD come già detto in vigore dal 27 gennaio 2018 è che per i cittadini si debba utilizzare lo SPID (Sistema Pubblico di Identità Digitale) associato ai meccanismi tecnologici della firma remota ovvero della firma che utilizza HSM come dispositivo per la custodia dei dati per la creazione della firma.
I numeri della firma digitale
I dati pubblicati da AgID sul proprio sito continuano a evidenziare una grande diffusione per le varie componenti coinvolte nel sistema, in particolare:
- Il numero di firme digitali remote nel primo semestre del 2023 ha raggiunto la ragguardevole cifra di circa 3 miliardi e 361 milioni.
- Nello stesso periodo, i dispositivi attivi di firma digitale (con i relativi certificati qualificati) hanno superato sono vicini alla quota di 34,5 milioni.
- Elevatissimo anche il numero delle marche temporali giunto a oltre 2 miliardi di emissioni.
Uno studio AgID, CIONET, IDC e Aruba di qualche anno fa ha riportato ulteriori dati su questo mercato, che ha evidenziato che:
- il 70% degli utenti sono liberi professionisti, il 20% privati cittadini e il 10% aziende.
- Il servizio è usato soprattutto per comunicazioni con la PA (28%), per la sottoscrizione di contratti (24%), per progetti e pratiche edilizie (21%), per procedure gestionali aziendali (19%), per procedure aziendali (19%) e per gestire le fatture elettroniche (10%).
- IDC ha fatto un sondaggio tra gli utenti e risulta che i vantaggi della firma sono una maggiore efficienza del business per il 58% degli intervistati; un accesso rapido a informazioni e documenti per un altro 58%; una riduzione dei costi per il 44%; una migliore collaborazione per il 35%; l’adeguamento normativo, sempre per il 35%.
L’avvento del Portafoglio Europeo di Identità Digitale modificherà questi numeri a favore dei cittadini grazie alla gratuità della firma qualificata disponibile sul Portafoglio.
- Il numero di firme digitali remote nel 2019 in Italia è cresciuto del 55 per cento sul 2018, a quota 3,1 miliardi.
- Nel 2020 i dispositivi attivi di firma digitale (con i relativi certificati qualificati) hanno superato i 22 milioni.
- il 70% degli utenti sono liberi professionisti, il 20% privati cittadini e il 10% aziende.
- Il servizio è usato soprattutto per comunicazioni con la PA (28%), per la sottoscrizione di contratti (24%), per progetti e pratiche edilizie (21%), per procedure gestionali aziendali (19%), per procedure aziendali (19%) e per gestire le fatture elettroniche (10%).
- IDC ha fatto un sondaggio tra gli utenti e risulta che i vantaggi della firma sono una maggiore efficienza del business per il 58% degli intervistati; un accesso rapido a informazioni e documenti per un altro 58%; una riduzione dei costi per il 44%; una migliore collaborazione per il 35%; l’adeguamento normativo, sempre per il 35%.
FAQ: firma digitale
Che cos’è la firma digitale?
La firma digitale è il risultato di una procedura informatica basata su tecniche crittografiche che consente di associare in modo indissolubile un numero binario (la firma) a un documento informatico. È indispensabile per conferire validità legale ai documenti informatici in vari contesti come la sottoscrizione di contratti, dichiarazioni o atti amministrativi nel pubblico e nel privato. La firma digitale non è una semplice firma elettronica, ma una particolare tipologia che si basa su un meccanismo di chiavi crittografiche e garantisce autenticità, integrità, affidabilità e validità legale ai documenti, avendo lo stesso valore della firma autografa.
Come funziona tecnicamente la firma digitale?
La firma digitale funziona attraverso un sistema crittografico a chiave asimmetrica. Nel sistema, ciascun titolare ha assegnata una coppia di chiavi: una pubblica e una privata. Per firmare, il titolare utilizza un software che calcola l’impronta digitale del documento tramite una funzione di hash. A documento diverso corrisponde un’impronta diversa. L’impronta viene inviata all’ambiente sicuro dove è custodita la chiave privata (dispositivo di firma), che viene attivata tramite PIN inserito dal titolare. Il dispositivo procede alla cifratura dell’impronta con la chiave privata, e il risultato è la firma digitale. Per verificare la firma, il destinatario utilizza la chiave pubblica del mittente, ricalcola l’impronta e confronta se quella decifrata e quella ricalcolata sono identiche. In caso positivo, la firma è valida.
Quali sono le differenze tra firma elettronica semplice, avanzata e qualificata?
Esistono diverse tipologie di firma elettronica con caratteristiche e livelli di sicurezza differenti:
1. Firma elettronica semplice: è la più basilare, rappresenta dati in forma elettronica allegati o connessi ad altri dati elettronici, utilizzati come metodo di identificazione. Ha un valore probatorio liberamente valutabile in giudizio.
2. Firma elettronica avanzata (FEA): è connessa unicamente al firmatario e lo identifica, permettendogli di esercitare un controllo esclusivo sulla firma. È collegata ai dati firmati in modo da rilevare eventuali modifiche successive. In Italia, con requisiti specifici, può avere lo stesso valore della firma qualificata.
3. Firma elettronica qualificata (FEQ): è una FEA basata su un certificato qualificato e creata mediante un dispositivo sicuro. Ha pieno valore legale equivalente alla firma autografa e può essere utilizzata in ogni contesto. La firma digitale italiana è un tipo di firma elettronica qualificata.
Come si ottiene una firma digitale e quali sono i costi?
Per ottenere una firma digitale è necessario rivolgersi a uno dei provider qualificati riconosciuti dall’Agenzia per l’Italia Digitale (AgID). In Italia sono 18 i soggetti autorizzati. Il cittadino deve recarsi personalmente dal certificatore, che ha l’obbligo di richiedere un documento d’identità per l’identificazione. Da qualche tempo è possibile ottenere la firma facilmente anche tramite SPID o CIE, che soddisfano il requisito di identificazione.
I costi variano in base all’offerta del mercato e ai meccanismi di vendita. Generalmente, per una firma con credenziali di sottoscrizione remota si spendono circa 25-30 euro più IVA. Il costo sale se si sceglie un chip installato in un token USB che funge anche da lettore (60-80 euro circa più IVA). Alcuni ordini professionali e le Camere di Commercio rilasciano gratuitamente il dispositivo di firma in sede di iscrizione. Esistono anche soluzioni usa e getta per chi usa la firma raramente, come la firma one-shot con SPID, che costa circa 2,99 euro.
Che cos’è la firma digitale remota e quali vantaggi offre?
La firma digitale remota è una particolare modalità di apposizione di una firma elettronica qualificata che non prevede l’utilizzo di dispositivi fisici come smart card o chiavette USB. I dati per la creazione della firma (la chiave crittografica privata) non sono in un dispositivo a microcircuito gestito dal titolare, ma in un server sicuro chiamato HSM (Hardware Security Module) accessibile da remoto.
I vantaggi della firma remota sono:
1. Semplicità operativa: non serve un dispositivo di firma fisico come smart card o chiavetta USB.
2. Libertà di operare senza vincoli di tempo e spazio: si può firmare da qualsiasi luogo e in qualsiasi momento.
3. Integrazione con applicativi: l’architettura tecnologica degli HSM favorisce l’integrazione con molteplici applicazioni.
4. Predisposizione al cloud: è naturalmente predisposta per l’utilizzo in ambienti cloud.
5. Generazione rapida di chiavi: possibilità di gestire migliaia di utenti anche non permanenti.
L’accesso avviene tramite rete e la sottoscrizione dei documenti è sempre in capo a un software di firma attivato con meccanismi di doppio fattore di autenticazione (password di accesso e password unica di sessione – OTP).
Quali sono i formati di firma digitale disponibili e in cosa differiscono?
Esistono diversi formati di firma digitale, tutti con validità legale ma con caratteristiche diverse:
1. PAdES (PDF Advanced Electronic Signatures): applicabile solo ai documenti PDF. Le informazioni di firma, l’eventuale marcatura temporale e i certificati sono inseriti direttamente nel documento, che rimane in formato PDF. I software di visualizzazione PDF possono mostrare correttamente il documento firmato, rendendo questa soluzione particolarmente pratica.
2. CAdES (CMS Advanced Electronic Signatures): più generale e applicabile a qualsiasi tipo di file. Produce un risultato in formato p7m (busta crittografica) che contiene il documento originale, la firma e i certificati. Richiede software specifici per la visualizzazione e verifica.
3. XAdES (XML Advanced Electronic Signatures): basata sul linguaggio XML, è più verbosa e ricca di dettagli. Può firmare file XML ed è tipicamente usata per firme automatiche via software, non direttamente apposte da un utente. Sfrutta i metadati presenti nello XML.
4. ASiC (Associated Signature Container): non è propriamente un formato di firma ma un contenitore (in formato zip) che raggruppa file, firme e/o marche temporali.
Ciascuno di questi formati può essere utilizzato sia in modalità locale che remota, per un totale di sei possibili combinazioni, tutte con validità legale.
Qual è il valore legale di un documento firmato digitalmente?
Un documento informatico sottoscritto con firma digitale ha pieno valore legale, equivalente a quello di un documento cartaceo con firma autografa. Secondo il Codice dell’Amministrazione Digitale (CAD), il documento informatico firmato digitalmente fa piena prova della provenienza delle dichiarazioni dal sottoscrittore, sulla base di una presunzione relativa circa il legittimo utilizzo del dispositivo.
In caso di contestazione, si verifica un’inversione dell’onere della prova: chi disconosce la sottoscrizione dovrà dimostrare di non aver apposto la firma digitale. Il disconoscimento è ammissibile nelle forme della querela di falso o ai sensi dell’art. 214 c.p.c.
Tuttavia, la sola firma digitale non fornisce al documento anche una data certa. Per cristallizzare la validità della firma nel tempo e garantirne l’opponibilità a terzi, è necessario associare una marca temporale (con estensione .m7m e durata di venti anni) o un riferimento temporale ai sensi dell’art. 2704 c.c., ad esempio mediante invio del documento firmato digitalmente a mezzo PEC.
Quali sono le applicazioni pratiche della firma digitale?
La firma digitale trova applicazione in numerosi ambiti professionali e amministrativi:
1. Nella Pubblica Amministrazione: per la sottoscrizione di atti amministrativi, procedure digitalizzate e semplificazione dei rapporti tra cittadini e uffici pubblici.
2. Nel settore legale: per la firma di atti nei procedimenti giudiziari telematici.
3. In ambito aziendale: per la sottoscrizione di bilanci, contratti, dichiarazioni fiscali e documenti societari.
4. Nel settore finanziario: per la gestione digitale di contratti, prestiti e conti, permettendo la digitalizzazione completa dell’onboarding dei clienti.
5. Nel settore assicurativo: per la firma di polizze, gestione dei sinistri e raccolta dei consensi informati.
6. Nelle utilities: per attivare nuovi servizi, anche tramite dispositivi mobili.
7. Nelle risorse umane: per la firma di contratti di assunzione, l’accettazione di policy aziendali e la gestione documentale del personale.
8. Nel settore sanitario: per agevolare la firma di documenti tra medici e pazienti.
La firma digitale è particolarmente utile in tutti i contesti che richiedono la forma scritta, garantendo autenticità, integrità e non ripudio dei documenti.
Quali sono le normative che regolano la firma digitale in Italia e in Europa?
La normativa di riferimento nazionale sulla firma digitale è contenuta nel Codice dell’Amministrazione Digitale (CAD), ovvero nel Decreto Legislativo 7 marzo 2005, n. 82, più volte modificato e la cui versione vigente è in vigore dal 27 gennaio 2018.
A livello europeo, la materia è regolata dal Regolamento europeo eIDAS n.910 del 23 luglio 2014 (2014/910/UE), pienamente operativo dal 1 luglio 2016. Questo regolamento ha completato e ampliato le regole previste dalla precedente Direttiva Europea 1999/93/EC sulle firme elettroniche, sui servizi digitali fiduciari e sui servizi di identificazione e autenticazione.
L’obiettivo principale del Regolamento eIDAS è migliorare l’efficienza delle transazioni elettroniche nel mercato europeo, grazie al reciproco riconoscimento dei sistemi di autenticazione e identificazione sia delle persone fisiche sia di quelle giuridiche.
Essendo un regolamento europeo di rango normativo superiore alle normative nazionali, il CAD ha dovuto coordinare le preesistenti norme italiane con quelle comunitarie. Tuttavia, l’efficacia probatoria e il valore giuridico delle sottoscrizioni informatiche rimane dettagliato a livello nazionale, poiché il Codice Civile non rientra nell’ambito di regolamentazione comunitaria secondo i trattati di Roma e Lisbona.
Come si verifica l’autenticità di una firma digitale?
La verifica dell’autenticità di una firma digitale è un passaggio fondamentale che deve essere sempre effettuato quando si riceve un documento firmato digitalmente. La verifica consiste nel confrontare due impronte digitali: quella del documento ricevuto e quella ottenuta decifrando la firma con la chiave pubblica del firmatario.
Il processo di verifica avviene attraverso questi passaggi:
1. Il software di verifica estrae la chiave pubblica dal certificato del firmatario.
2. Separa il file in documento e firma.
3. Ricalcola l’impronta del documento ricevuto.
4. Decifra la firma usando la chiave pubblica del firmatario, ottenendo l’impronta originale.
5. Confronta le due impronte: se sono identiche, la firma è valida; altrimenti, non lo è.
La verifica controlla anche la validità del certificato rispetto al tempo e al titolare (verifica di non revoca). Esistono diversi servizi e software per verificare e leggere documenti firmati digitalmente, come quelli offerti da Postecert, Infocert, o il software Dyke di Infocert.
È importante sottolineare che fino a quando la verifica non è stata completata con successo, non si può essere certi della validità della firma. Alcuni software riconoscono immediatamente un file come firmato, ma è comunque necessario procedere con la verifica completa, che richiede qualche secondo e spesso include il controllo del certificato e della non-revoca come opzioni.
Qual è l’impatto del quantum computing sulla sicurezza della firma digitale?
Il quantum computing rappresenta una sfida significativa per la sicurezza delle firme digitali. Con l’evoluzione della potenza computazionale e l’avvento dei computer quantistici, la robustezza degli algoritmi crittografici attualmente utilizzati per le firme digitali è oggetto di costante rivalutazione da parte delle autorità di standardizzazione internazionali e delle agenzie governative.
Gli algoritmi crittografici tradizionali come RSA, attualmente utilizzati per la firma digitale, potrebbero essere vulnerabili agli attacchi di computer quantistici sufficientemente potenti. Per questo motivo, organizzazioni come NIST (National Institute of Standards and Technology), ENISA (European Union Agency for Cybersecurity) ed ETSI (European Telecommunications Standards Institute) stanno lavorando alla definizione di nuovi standard crittografici resistenti agli attacchi quantistici.
In risposta a questa sfida, si stanno sviluppando due principali strategie:
1. L’adozione delle prime firme post-quantistiche, basate su algoritmi matematici ritenuti resistenti agli attacchi quantistici.
2. L’implementazione dell’approccio “crypto-agile”, che consente di passare rapidamente da un algoritmo crittografico all’altro in caso di compromissione, senza dover riprogettare l’intera infrastruttura.
Queste evoluzioni sono fondamentali per garantire che le firme digitali continuino a offrire un alto livello di sicurezza anche nell’era del quantum computing, mantenendo la loro validità come strumento di identità digitale e per le transazioni elettroniche.
