Firma digitale: cos’è, come funziona e come ottenerla

La firma digitale è il risultato di una procedura informatica basata su tecniche crittografiche che consente di associare in modo indissolubile un numero binario (la firma) a un documento informatico. È indispensabile per conferire validità legale ai documenti informatici in vari contesti come la sottoscrizione di contratti, dichiarazioni o atti amministrativi nel pubblico e nel privato. La firma digitale non è una semplice firma elettronica, ma una particolare tipologia che si basa su un meccanismo di chiavi crittografiche e garantisce autenticità, integrità, affidabilità e validità legale ai documenti, avendo lo stesso valore della firma autografa.

La firma digitale funziona attraverso un sistema crittografico a chiave asimmetrica. Nel sistema, ciascun titolare ha assegnata una coppia di chiavi: una pubblica e una privata. Per firmare, il titolare utilizza un software che calcola l’impronta digitale del documento tramite una funzione di hash. A documento diverso corrisponde un’impronta diversa. L’impronta viene inviata all’ambiente sicuro dove è custodita la chiave privata (dispositivo di firma), che viene attivata tramite PIN inserito dal titolare. Il dispositivo procede alla cifratura dell’impronta con la chiave privata, e il risultato è la firma digitale. Per verificare la firma, il destinatario utilizza la chiave pubblica del mittente, ricalcola l’impronta e confronta se quella decifrata e quella ricalcolata sono identiche. In caso positivo, la firma è valida.

Esistono diverse tipologie di firma elettronica con caratteristiche e livelli di sicurezza differenti:

1. Firma elettronica semplice: è la più basilare, rappresenta dati in forma elettronica allegati o connessi ad altri dati elettronici, utilizzati come metodo di identificazione. Ha un valore probatorio liberamente valutabile in giudizio.

2. Firma elettronica avanzata (FEA): è connessa unicamente al firmatario e lo identifica, permettendogli di esercitare un controllo esclusivo sulla firma. È collegata ai dati firmati in modo da rilevare eventuali modifiche successive. In Italia, con requisiti specifici, può avere lo stesso valore della firma qualificata.

3. Firma elettronica qualificata (FEQ): è una FEA basata su un certificato qualificato e creata mediante un dispositivo sicuro. Ha pieno valore legale equivalente alla firma autografa e può essere utilizzata in ogni contesto. La firma digitale italiana è un tipo di firma elettronica qualificata.

Per ottenere una firma digitale è necessario rivolgersi a uno dei provider qualificati riconosciuti dall’Agenzia per l’Italia Digitale (AgID). In Italia sono 18 i soggetti autorizzati. Il cittadino deve recarsi personalmente dal certificatore, che ha l’obbligo di richiedere un documento d’identità per l’identificazione. Da qualche tempo è possibile ottenere la firma facilmente anche tramite SPID o CIE, che soddisfano il requisito di identificazione.

I costi variano in base all’offerta del mercato e ai meccanismi di vendita. Generalmente, per una firma con credenziali di sottoscrizione remota si spendono circa 25-30 euro più IVA. Il costo sale se si sceglie un chip installato in un token USB che funge anche da lettore (60-80 euro circa più IVA). Alcuni ordini professionali e le Camere di Commercio rilasciano gratuitamente il dispositivo di firma in sede di iscrizione. Esistono anche soluzioni usa e getta per chi usa la firma raramente, come la firma one-shot con SPID, che costa circa 2,99 euro.

La firma digitale remota è una particolare modalità di apposizione di una firma elettronica qualificata che non prevede l’utilizzo di dispositivi fisici come smart card o chiavette USB. I dati per la creazione della firma (la chiave crittografica privata) non sono in un dispositivo a microcircuito gestito dal titolare, ma in un server sicuro chiamato HSM (Hardware Security Module) accessibile da remoto.

I vantaggi della firma remota sono:

1. Semplicità operativa: non serve un dispositivo di firma fisico come smart card o chiavetta USB.
2. Libertà di operare senza vincoli di tempo e spazio: si può firmare da qualsiasi luogo e in qualsiasi momento.
3. Integrazione con applicativi: l’architettura tecnologica degli HSM favorisce l’integrazione con molteplici applicazioni.
4. Predisposizione al cloud: è naturalmente predisposta per l’utilizzo in ambienti cloud.
5. Generazione rapida di chiavi: possibilità di gestire migliaia di utenti anche non permanenti.

L’accesso avviene tramite rete e la sottoscrizione dei documenti è sempre in capo a un software di firma attivato con meccanismi di doppio fattore di autenticazione (password di accesso e password unica di sessione – OTP).

Esistono diversi formati di firma digitale, tutti con validità legale ma con caratteristiche diverse:

1. PAdES (PDF Advanced Electronic Signatures): applicabile solo ai documenti PDF. Le informazioni di firma, l’eventuale marcatura temporale e i certificati sono inseriti direttamente nel documento, che rimane in formato PDF. I software di visualizzazione PDF possono mostrare correttamente il documento firmato, rendendo questa soluzione particolarmente pratica.

2. CAdES (CMS Advanced Electronic Signatures): più generale e applicabile a qualsiasi tipo di file. Produce un risultato in formato p7m (busta crittografica) che contiene il documento originale, la firma e i certificati. Richiede software specifici per la visualizzazione e verifica.

3. XAdES (XML Advanced Electronic Signatures): basata sul linguaggio XML, è più verbosa e ricca di dettagli. Può firmare file XML ed è tipicamente usata per firme automatiche via software, non direttamente apposte da un utente. Sfrutta i metadati presenti nello XML.

4. ASiC (Associated Signature Container): non è propriamente un formato di firma ma un contenitore (in formato zip) che raggruppa file, firme e/o marche temporali.

Ciascuno di questi formati può essere utilizzato sia in modalità locale che remota, per un totale di sei possibili combinazioni, tutte con validità legale.

Un documento informatico sottoscritto con firma digitale ha pieno valore legale, equivalente a quello di un documento cartaceo con firma autografa. Secondo il Codice dell’Amministrazione Digitale (CAD), il documento informatico firmato digitalmente fa piena prova della provenienza delle dichiarazioni dal sottoscrittore, sulla base di una presunzione relativa circa il legittimo utilizzo del dispositivo.

In caso di contestazione, si verifica un’inversione dell’onere della prova: chi disconosce la sottoscrizione dovrà dimostrare di non aver apposto la firma digitale. Il disconoscimento è ammissibile nelle forme della querela di falso o ai sensi dell’art. 214 c.p.c.

Tuttavia, la sola firma digitale non fornisce al documento anche una data certa. Per cristallizzare la validità della firma nel tempo e garantirne l’opponibilità a terzi, è necessario associare una marca temporale (con estensione .m7m e durata di venti anni) o un riferimento temporale ai sensi dell’art. 2704 c.c., ad esempio mediante invio del documento firmato digitalmente a mezzo PEC.

La firma digitale trova applicazione in numerosi ambiti professionali e amministrativi:

1. Nella Pubblica Amministrazione: per la sottoscrizione di atti amministrativi, procedure digitalizzate e semplificazione dei rapporti tra cittadini e uffici pubblici.

2. Nel settore legale: per la firma di atti nei procedimenti giudiziari telematici.

3. In ambito aziendale: per la sottoscrizione di bilanci, contratti, dichiarazioni fiscali e documenti societari.

4. Nel settore finanziario: per la gestione digitale di contratti, prestiti e conti, permettendo la digitalizzazione completa dell’onboarding dei clienti.

5. Nel settore assicurativo: per la firma di polizze, gestione dei sinistri e raccolta dei consensi informati.

6. Nelle utilities: per attivare nuovi servizi, anche tramite dispositivi mobili.

7. Nelle risorse umane: per la firma di contratti di assunzione, l’accettazione di policy aziendali e la gestione documentale del personale.

8. Nel settore sanitario: per agevolare la firma di documenti tra medici e pazienti.

La firma digitale è particolarmente utile in tutti i contesti che richiedono la forma scritta, garantendo autenticità, integrità e non ripudio dei documenti.

La normativa di riferimento nazionale sulla firma digitale è contenuta nel Codice dell’Amministrazione Digitale (CAD), ovvero nel Decreto Legislativo 7 marzo 2005, n. 82, più volte modificato e la cui versione vigente è in vigore dal 27 gennaio 2018.

A livello europeo, la materia è regolata dal Regolamento europeo eIDAS n.910 del 23 luglio 2014 (2014/910/UE), pienamente operativo dal 1 luglio 2016. Questo regolamento ha completato e ampliato le regole previste dalla precedente Direttiva Europea 1999/93/EC sulle firme elettroniche, sui servizi digitali fiduciari e sui servizi di identificazione e autenticazione.

L’obiettivo principale del Regolamento eIDAS è migliorare l’efficienza delle transazioni elettroniche nel mercato europeo, grazie al reciproco riconoscimento dei sistemi di autenticazione e identificazione sia delle persone fisiche sia di quelle giuridiche.

Essendo un regolamento europeo di rango normativo superiore alle normative nazionali, il CAD ha dovuto coordinare le preesistenti norme italiane con quelle comunitarie. Tuttavia, l’efficacia probatoria e il valore giuridico delle sottoscrizioni informatiche rimane dettagliato a livello nazionale, poiché il Codice Civile non rientra nell’ambito di regolamentazione comunitaria secondo i trattati di Roma e Lisbona.

La verifica dell’autenticità di una firma digitale è un passaggio fondamentale che deve essere sempre effettuato quando si riceve un documento firmato digitalmente. La verifica consiste nel confrontare due impronte digitali: quella del documento ricevuto e quella ottenuta decifrando la firma con la chiave pubblica del firmatario.

Il processo di verifica avviene attraverso questi passaggi:

1. Il software di verifica estrae la chiave pubblica dal certificato del firmatario.
2. Separa il file in documento e firma.
3. Ricalcola l’impronta del documento ricevuto.
4. Decifra la firma usando la chiave pubblica del firmatario, ottenendo l’impronta originale.
5. Confronta le due impronte: se sono identiche, la firma è valida; altrimenti, non lo è.

La verifica controlla anche la validità del certificato rispetto al tempo e al titolare (verifica di non revoca). Esistono diversi servizi e software per verificare e leggere documenti firmati digitalmente, come quelli offerti da Postecert, Infocert, o il software Dyke di Infocert.

È importante sottolineare che fino a quando la verifica non è stata completata con successo, non si può essere certi della validità della firma. Alcuni software riconoscono immediatamente un file come firmato, ma è comunque necessario procedere con la verifica completa, che richiede qualche secondo e spesso include il controllo del certificato e della non-revoca come opzioni.

Il quantum computing rappresenta una sfida significativa per la sicurezza delle firme digitali. Con l’evoluzione della potenza computazionale e l’avvento dei computer quantistici, la robustezza degli algoritmi crittografici attualmente utilizzati per le firme digitali è oggetto di costante rivalutazione da parte delle autorità di standardizzazione internazionali e delle agenzie governative.

Gli algoritmi crittografici tradizionali come RSA, attualmente utilizzati per la firma digitale, potrebbero essere vulnerabili agli attacchi di computer quantistici sufficientemente potenti. Per questo motivo, organizzazioni come NIST (National Institute of Standards and Technology), ENISA (European Union Agency for Cybersecurity) ed ETSI (European Telecommunications Standards Institute) stanno lavorando alla definizione di nuovi standard crittografici resistenti agli attacchi quantistici.

In risposta a questa sfida, si stanno sviluppando due principali strategie:

1. L’adozione delle prime firme post-quantistiche, basate su algoritmi matematici ritenuti resistenti agli attacchi quantistici.

2. L’implementazione dell’approccio “crypto-agile”, che consente di passare rapidamente da un algoritmo crittografico all’altro in caso di compromissione, senza dover riprogettare l’intera infrastruttura.

Queste evoluzioni sono fondamentali per garantire che le firme digitali continuino a offrire un alto livello di sicurezza anche nell’era del quantum computing, mantenendo la loro validità come strumento di identità digitale e per le transazioni elettroniche.