La firma digitale è un sofisticato “strumento” di autenticazione sempre più richiesto nei rapporti istituzionali e ufficiali di scambio di documenti ed è qualcosa di diverso dal semplice apporre una firma scannerizzata o in formato elettronico. Vediamo, dunque, di cosa si tratta, come funziona, cosa prescrive la normativa italiana, come si richiede e si ottiene, quali sono i costi e le applicazioni pratiche.
Menu di navigazione dell'articolo
- Definizione di questo documento informatico dalla valenza certificata
- Come si ottiene il codice binario della firma dalla pubblica amministrazione
Definizione di questo documento informatico dalla valenza certificata
La firma digitale non è una “firma elettronica”, ma un meccanismo basato su procedure informatiche di chiavi crittografiche che permette di abbinare in modo inequivocabile e indissolubile un codice binario (corrispondente alla firma) a un documento informatico che è a sua volta un altro insieme di “bit” e codici che si traduce in atti, documenti e file giuridicamente rilevanti. Conferisce validità legale ai documenti informatici quali contratti, dichiarazioni, atti amministrativi.
L’art. 24 del D. Lgs. 82/2005 il Codice dell’Amministrazione Digitale (e successive modifiche) chiarisce che la firma digitale deve riferirsi in modo univoco a un solo soggetto e apposta sui documenti a cui è associata. Integra e sostituisce l’apposizione di Marche da bollo, sigilli, timbri, contrassegni legali o altro previsto dalla normativa.
Creazione e funzionamento di una firma digitale
Cittadini privati, professionisti, imprese possono firmare digitalmente i documenti ai quali desiderano attribuire un valore legale.
Nasce come il risultato di un procedimento informatico al termine del quale sia possibile determinare l’autenticità del documento, l’integrità e il non rifiuto dello stesso perché un documento con la firma digitale non può essere disconosciuto né modificato.
Si compone di una coppia di chiavi crittografiche ovvero due numeri binari della stessa lunghezza a 2048 bit. L’assegnazione della firma è a carico dell’ente certificatore che in Italia è l’Agenzia per L’Italia Digitale la quale emette un numero binario a 2048 bit che associa all’identità del richiedente le credenziali. Questa prima chiave è “pubblica” perché nota a tutti i soggetti coinvolti, successivamente viene generata una seconda chiave della stessa lunghezza di quella pubblica, ma è privata e a controllo esclusivo del titolare. La chiave privata viene installata in una smart card con microchip e si può utilizzare solo tramite password di sblocco (PIN). L’algoritmo che decifra la chiave privata, decifra anche la chiave pubblica e viceversa, creando l’abbinamento univoco. Per apporre la firma digitale, il titolare necessita di un software capace di calcolare l’impronta digitale del documento tramite la funzione di Hash. A ciascun documento corrisponde un’impronta diversa (in termini informatici, l’impronta deve essere di 256 bit). Una volta predisposta l’impronta, il software la invia al dispositivo di firma – la smart card a circuito protetto – la quale deve essere attivata dall’accesso tramite PIN del titolare. Il dispositivo di firma procede alla decifrazione dell’impronta del documento con la chiave privata e la procedura si conclude con l’apposizione della firma digitale sul documento.
L’associazione della firma a un documento avviene tramite l’uso di appositi formati; nel caso di documenti in formato .pdf, il formato da utilizzare è denominato PAdES.
Come avviene la verifica per la firma autografa
Il destinatario che desidera verificare la firma, deve utilizzare un software idoneo che estrae la chiave pubblica del documento firmato dal titolare. Il software “spacchetta” il file firmato, ricalcola l’impronta e decifra con la chiave pubblica la firma del titolare. Se collimano, la firma è valida, altrimenti non lo è oppure si è determinato un errore sul quale indagare.
La spiegazione è più complessa della realtà, dove tutte queste procedure si svolgono in pochi attimi e con rapidità automatica.
Come si ottiene il codice binario della firma dalla pubblica amministrazione
In Italia, l’ente preposto all’assegnazione delle firme digitali è l’Agenzia per l’Italia digitale. I software sono vari e si compongono solitamente di un dispositivo, la smart card, che contiene il certificato di firma digitale e può essere rinnovabile e di un dispositivo che legge la smart card. Altri prodotti, utilizzano le chiavette USB all’interno delle quali ci sono i certificati di firma digitale, inseriti nella Sim Card all’interno della chiavetta. Un’ulteriore evoluzione è rappresentato dal “Cloud” per cui i dispositivi di firma digitale sono remoti e permettono di firmare anche cumulativamente più documenti; il cloud funziona tramite dispositivi virtuali di firma e sono accessibili solo mediante sistemi di accesso sicuro come le password usa e getta generati dagli OTP, o dalle app per smartphone, o via messaggi sms. I provider certificati per la concessione delle chiavi binarie in Italia sono 18 allo stato attuale.
Ciascun provider elargisce un proprio kit di installazione, in ogni caso, il richiedente deve recarsi personalmente presso il provider certificato del servizio di firma digitale con l’obbligo di presentare un documento di identità in corso di validità per l’identificazione certa.
I kit di firma digitale non comprendono anche quello di lettura e verifica della firma digitale, per cui vanno richiesti sempre agli stessi enti certificatori elencati. È bene sapere che per emettere la firma bisogna utilizzare il kit del certificatore che lo ha rilasciato, mentre i software di verifica delle firme possono essere diversi da quelli del certificatore. Trattandosi di software, i fornitori del servizio rendono disponibili sui propri siti internet i pacchetti e i manuali di istruzione con il software da scaricare. Il servizio di concessione è a pagamento, salvo per l’utilizzo di alcuni tool. Le tariffe variano e si può scegliere quella che si ritiene più conveniente e con gli strumenti che si ritiene di poter utilizzare più frequentemente.
I passi da seguire per l’ottenimento di un kit sono, in sintesi:
- Individuazione di uno dei provider che vende il kit di firma digitale dopo attento vaglio delle offerte e dei sistemi;
- Identificazione del titolare presso un Pubblico Ufficiale in Comune, o presso un ufficio postale, a domicilio (tramite un postino) o via web (mediante web cam) con la presentazione di un documento d’identità in corso di validità;
- Attivazione del kit acquistato, utilizzando le indicazioni fornite dal proprio provider.
Dopo l’attivazione si può usare la propria firma digitale tramite l’avvio del programma fornito dal provider. Nel tempo sono necessari gli aggiornamenti del software per garantire l’efficienza del servizio.
Per apporre la firma digitale occorre selezionare il file da firmare, si sceglie il formato (.p7m è il formato del file originale con la firma, .pdf con possibile di apporre firma visibile o invisibile, .xml) e avviare la procedura.
Quanto costa il kit e l’ottenimento delle credenziali tramite posta elettronica
I costi variano in base al fornitore a cui ci si rivolge. I costi sono annuali e rinnovabili e si attestano intorno ai 30 € (iva esclusa) per la modalità di iscrizione remota, mentre per l’opzione USB con chip installato o smart card i costi oscillano tra 60 € e 80 € (IVA esclusa).
Gli ordini professionali e le camere di commercio solitamente rilasciano il kit gratuitamente per i dipendenti o gli iscritti, così come vi sono grandi aziende che lo rilasciano gratuitamente ai dipendenti che svolgono professioni per le quali si richiede la firma digitale.
Se vuoi puoi continuare a leggere i nostri contenuti: ecco il nostro approfondimento sulla fatturazione elettronica.
