La Firma Digitale è un particolare sistema di codificazione matematica con cui si attesta l’autenticità di un messaggio o di un documento digitale. C’è molta confusione a riguardo, vediamo di capire insieme gli aspetti di questo importantissimo strumento.
Cos’è la Firma Digitale?
La Firma Digitale è un insieme di protocolli matematici applicati, attraverso dei software, a materiale digitale. In termini pratici può essere considerata l’equivalente della classica firma tradizionale, ciò significa che ciascuno documento firmato in questo modo avrà valore legale pari ad un documento firmato tradizionalmente. Inoltre, rispetto ad una firma tradizionale, questo sistema da la possibilità di effettuare maggiori controlli e prevenire eventuali frodi o falsificazioni, infatti grazie a questa procedura si ha la certezza che:
- il mittente del messaggio sia veramente chi dichiara di essere
- il mittente non possa negare di aver inviato la comunicazione
- il messaggio rimanga integro dal mittente al destinatario, senza degradarsi
- l’utente possa firmare con certificazione valida legalmente
L’autenticazione, l’integrità e il non ripudio, ovvero rispettivamente la certificazione dei dati del mittente, il fatto che non ci siano state modifiche in fase di spedizione del documento e l’impossibilità di negare in un secondo momento di aver apposto la firma; sono aspetti fondamentali che caratterizzano questo meccanismo. Proprio grazie a questi fattori, lo standard è stato riconosciuto a livello legale e sta rimpiazzando da qualche anno molte delle procedure legali anche nei confronti della pubblica amministrazione. Una volta terminata la procedura di firma con successo, il documento digitale avrà una differente estensione da quella di origine. Le estensioni possibili (e riconosciute) sono 3:
- .p7m per le firme in formato CAdES
- .PDF per le firme in formato PAdES
- .XML per le firme in formato XAdES
Firma Digitale: che differenza c’è tra CAdES, PAdES e XAdES ?
Formato CAdES – è quello più utilizzato, con questo formato è possibile firmare qualunque tipologia di documenti (tipicamente pdf, docx, xlsx ecc). Quando il processo di firma è completato l’estensione del file viene modificata con l’aggiunta di “ .p7m “
Formato PAdES – ovvero PDF Advanced Electronic Signature, è un formato specifico per la firma dei PDF grazie al quale la firma digitale viene inglobata direttamente all’interno del documento, rispetto invece al formato CAdES dove ne viene modificata l’estensione
Formato XAdES – ovvero XML Advanced Electronic Signature, è un ulteriore formato specifico per i file xml, come il PAdES anche questo integra la firma digitale senza modificare l’estensione del file. Grazie a questo formato è possibile firmare singole parti di documenti.
Firma Digitale: come si ottiene?
Per ottenere la Firma Digitale è necessario fare una premessa: allo stesso modo della PEC anche questo strumento può essere utilizzato sia da aziende che da persone fisiche, ma non è obbligatoria per le aziende anche se si rende necessaria per aderire ad una serie di iniziative o partecipare a gare pubbliche. Tuttavia, in modo più incisivo rispetto alla PEC, la Firma Digitale è totalmente personale e mai intestata ad un’azienda, questo perché proprio una delle sue prime caratteristiche è l’autenticità del mittente o firmatario, che quindi corrisponderà sempre ad una persona fisica.
Per ottenere la Firma Digitale è necessario sottoscrivere un contratto a pagamento con uno degli enti certifcati da AGID (l’Agenzia per l’Italia Digitale) attraverso il quale l’utente finale riceverà un dispositivo che permetterà l’uso della firma. Ci sono tre diverse tipologia di supporto:
- Chiave USB, solitamente dotate di un software interno per effettuare la firma
- CNS (Carta Nazionale dei Servizi o smart card), una scheda simile alla tessera sanitaria che va inserita all’interno di un lettore collegato al PC
- Firma Remota, ovvero tutto l’insieme di servizi online che consentono di firmare documenti da mobile tramite OTP o App dedicate
Attraverso la stipula di un contratto con uno degli enti certificati, si procederà alla verifica ed alla certificazione dell’identità personale, serviranno quindi codice fiscale e documento di identità.
Come leggere un file firmato digitalmente?
Partiamo da una premessa: quando si firma un file con firma digitale viene creata una busta virtuale all’interno della quale sarà posizionato il nostro file. Sulla busta virtuale verrà apposta la nostra firma. Per questo motivo per aprire files con estensione “.p7m” sono necessari software appositi in grado di interpretare questa busta virtuale, riconoscendone la validità e il contenuto. Così come per firmare un documento digitalmente sono necessari software dedicati e certificati dall’AGID, anche per leggere un file firmato sono necessari altrettanti software certificati.
Per un elenco completo degli enti che offrono gratuitamente software di verifica e lettura potete fare riferimento qui.
Per leggere un documento “.p7m” sarà sufficiente installare un software dedicato ed eseguire poi doppio click sul nostro file. A quel punto avremo la possibilità di verificare la firma che è stata apposta, aprire la busta virtuale visualizzando il contenuto vero e proprio del file, salvare il contenuto del file oppure controfirmare lo stesso.
Alcuni dei software più utilizzati sono ArubaSign e Dike
Come firmare un file digitalmente?
A questo punto possiamo dividere la procedura in questi step:
- Inserire nel pc il dispositivo di firma elettronica
- Aprire il software certificato per la firma ed importare il documento da firmare
- Eseguire la firma del file (solitamente tutti i software hanno un intuitivo pulsante “Firma”) inserendo il codice PIN (che è stato consegnato con il dispositivo di firma elettronica)
- Verificare il buon esito della firma
LEGGI ANCHE: PEC cos’è, come si crea e come si usa
Firma Digitale: quando è valida legalmente
Innanzitutto è necessario specificare che mentre la PEC è uno strumento riconosciuto legalmente in Italia, Svizzera e Hong Kong, la Firma Digitale invece è uno standard più esteso a livello europeo. Se un file non è firmato digitalmente e viene inviato tramite PEC potrebbe non essere riconosciuto come documento valido ai fini legali (dipende dalle casistiche), un file invece firmato digitalmente è valido ai fini legali anche se inviato a mezzo casella mail normale.
Per la legge italiana inoltre sono previsti 4 tipologie di firma elettronica:
- firma elettronica generica: anche definita firma elettronica semplice, un insieme di dati in forma elettronica per l’identificazione informatica;
- firma elettronica avanzata: sistema basato sempre su un insieme di dati in forma elettronica per l’identificazione, ma garantisce una connessione univoca al firmatario;
- firma elettronica qualificata: sistema basato su un certificato qualificato rilasciato ad un ente accreditato, con utilizzo di un dispositivo di firma sicuro;
- firma digitale: sistema basato su chiavi crittografiche (una pubblica e una privata);
E’ importante specificare che i documenti firmati elettronicamente costituiscono validità ai fini legali se innanzitutto sono stati creati con una firma almeno qualificata, inoltre “non devono contenere macroistruzioni o codici eseguibili tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati” (art. 3, comma 3 del DPCM 30 marzo 2009).
Volete stare al sicuro ed essere garantiti da ogni forma possibile di contestazione? Lavorando a stretto contatto con la Pubblica Amministrazione il mio consiglio è firmare un file digitalmente (con l’ultimo e più completo dei sistemi elencati sopra) e poi inviarlo tramite pec conservando le risposte del sistema di interscambio di accettazione e avvenuta consegna. Volete approfondire? Trovate maggiori informazioni qui!