La firma digitale è uno strumento attraverso il quale professionisti, aziende e privati cittadini possono attribuire valore legale ai documenti firmati sul computer, tablet, cellulare o altro strumento adatto a raccogliere firme in formato digitale.
Si basa su tre principi fondamentali: autenticità, integrità e non ripudio in quanto i documenti firmati sono integri – nel senso che non possono subire modifiche dopo la firma – e sono riconducibili a una specifica persona che non può ripudiarne la paternità in quanto la firma è associata al riconoscimento univoco del soggetto che appone la firma.
Cos’è la firma digitale e differenze con la firma elettronica
E’ bene fare un po’ di chiarezza sulla definizione tecnica di firma digitale e sulla sua differenza con la firma elettronica. Possiamo dire che la firma digitale è una firma elettronica che ha un valore legale certo, ma meglio essere più precisi e sottolineare le differenze fra i vari tipi di firma elettronica.
⦁ Firma elettronica semplice – è il tipo di firma che non ha un valore legale intrinseco (in quanto non prevede l’uso di strumenti capaci di garantire l’autenticità e l’integrità dei documenti firmati). Spetta a un giudice valutare, di caso in caso, l’autenticità di un documento firmato tramite firma elettronica semplice.
⦁ Firma elettronica avanzata – è una firma elettronica generata con mezzi che consentono di dimostrare l’integrità del documento, sui quali il firmatario ha un controllo diretto ed esclusivo (es. un tablet, un cellulare di proprietà del firmatario). Ha valore legale certo, eccetto che nei contratti immobiliari.
L’ OTP Mobile – One Time Password – è un sistema basato sull’autenticazione a due fattori, ossia il sistema utilizzerà due evidenze per verificare, con un ampio grado di sicurezza, l’identità dell’utente (C.I., patente, passaporto, ecc.) e un PIN temporaneo di accesso che si avvale del dispositivo mobile di proprietà dell’utente come conferma di autenticazione. Il Mobile OTP non è altro che una password usa-e-getta (dove OTP sta, appunto, per One Time Password), utile per l’autenticazione online e l’accesso sicuro ai servizi di firma digitale online, anche detta firma digitale “remota”, la firma così apposta rientra nella categoria di firma elettronica avanzata.
⦁ Firma elettronica qualificata – è una delle forme più avanzate di firma elettronica. Viene applicate con strumenti qualificati, come ad esempio i kit di firma che si acquistano dagli enti certificatori, quindi ha pieno valore legale e certifica sia l’originalità che l’integrità dei documenti firmati.
⦁ Firma elettronica digitale – è una firma elettronica avanzata che prevede l’utilizzo di sistemi crittografici asimmetrici, cioè di sistemi di crittografia in cui una coppia di chiavi (una pubblica e una privata) viene usata per verificare l’integrità e l’originalità dei documenti firmati. Ha pieno valore legale.
Molti kit di firma elettronica digitale (o firma elettronica qualificata) includono anche la Carta Nazionale dei Servizi (CNS): un certificato che consente di verificare la propria identità nelle comunicazioni con la Pubblica Amministrazione, ad esempio sul sito dell’Agenzia delle Entrate o sui portali che alcuni professionisti, ad esempio gli avvocati, devono usare obbligatoriamente per lavoro.
Infine, è importante ricordare che la firma elettronica non va confusa con la PEC, infatti quest’ultima non permette di firmare i singoli documenti, bensì permette di assegnare valore legale ai messaggi che si scambiano tramite posta elettronica.
I kit di firma elettronica digitale:
Come detto in apertura del post, per usare la firma digitale occorre acquistare un apposito kit. Ci sono vari tipi di kit e i loro prezzi variano generalmente fra i 30 e i 60 euro. I kit più semplici da utilizzare sono quelli in formato USB, i quali si possono suddividere in token USB e key all-in-one; i primi permettono di usare delle smart card in formato SIM con dei piccoli lettori simili a penne USB e prevedono il download del software di firma separatamente; le key all-in-one, invece, fungono da token USB e al loro interno includono sia la smart card con il certificato di firma sia il software per l’applicazione di quest’ultima. In alternativa ci sono i kit più tradizionali che sono composti da una smart card in formato carta di credito con il certificato di firma e un lettore smart card da tavolo. In entrambi i casi, il certificato di firma ha una validità media di 3 anni che va rinnovata in prossimità della scadenza.
Sono poi disponibili dei sistemi di firma digitale remota che consentono di firmare i documenti da qualsiasi dispositivo senza utilizzare componenti hardware specifici (si basano sull’utilizzo di una smart card virtuale). Di solito vengono forniti insieme a una chiavetta che genera delle password temporanee (simile a quelle che usano molte banche per i propri servizi online) ma, volendo, le password in questione possono essere generate anche tramite app per smartphone o tramite SMS.
A te scegliere qual è la soluzione più adatta alle tue esigenze.
Come ottenere la firma digitale:
Per acquistare un kit di firma digitale (firma elettronica digitale o firma elettronica qualificata), devi collegarti al sito Internet di un ente certificatore e scegliere il kit che ti sembra più adatto alle tue esigenze. I kit più costosi sono quelli che comprendono le chiavette USB alle-in-one, mentre quelli più economici sono quelli composti da smart card e lettore di smart card. Se sei già in possesso di un lettore di smart card o di un token USB, puoi anche acquistare il solo certificato di firma digitale risparmiando un bel po’ di soldi.
Fra gli enti certificatori più popolari del momento ti segnalo Aruba e Poste Italiane che offrono delle ottime soluzioni per la firma digitale a prezzi abbordabili, ma ci sono anche altre aziende a cui puoi rivolgerti: trovi l’elenco completo sul sito dell’Agenzia per l’Italia Digitale. Se poi sei titolare di un’impresa, sappi che puoi richiedere un kit di firma digitale anche alla Camera di Commercio della tua città. Gli step necessari ad acquistare e a attivare un kit di firma digitale sono fondamentalmente tre.
⦁ Acquisto del kit – come già detto, il primo passo che devi compiere è collegarti al sito Internet di un ente certificatore e acquistare il kit di tuo interesse. Per completare l’operazione dovrai creare un account sul sito dell’ente certificatore e fornire tutti i tuoi dati personali più un metodo di pagamento valido (carta di credito, carta ricaricabile o PayPal).
⦁ Verifica dell’identità – per utilizzare il kit di firma digitale devi verificare la tua identità. La verifica va fatta “de visu”, quindi di persona, andando in Comune (con acquisto di marca da bollo), nella sede di un corriere, in un ufficio postale, oppure si può fare a domicilio tramite il postino che consegna il kit.
⦁ Attivazione del kit – dopo aver fornito tutta la documentazione necessaria e aver verificato la tua identità, devi collegarti nuovamente al sito dell’ente certificare e attivare il tuo kit fornendo il seriale della smart card, il codice fiscale e altri dati ottenuti in seguito alla verifica dell’identità.
Come usare la firma digitale
In seguito alla verifica dell’identità e all’attivazione del kit, puoi cominciare ad apporre la firma digitale sui tuoi documenti. Per apporre la firma digitale, però, potresti dover scaricare i driver e i software di firma dal sito Internet dell’ente certificatore.
Quando sei pronto a firmare un documento elettronico, avvia il software di firma incluso nel tuo kit (o che hai scaricato separatamente dal sito Internet dell’ente certificatore), clicca sul pulsante di firma e seleziona il file sul quale apporre la firma digitale. Come già anticipato in precedenza, puoi selezionare un file PDF, un documento di Word o altri documenti.
Nella finestra che si apre, inserisci quindi il PIN della smart card che contiene il tuo certificato di firma digitale (oppure la tua password se hai acquistato un kit di firma remota) e seleziona il tipo di file di output che intendi ottenere. Puoi scegliere fra varie tipologie di file.
⦁ Busta crittografia P7M (CAdES) – selezionando quest’opzione otterrai un file in formato P7M contenente il documento originale e i file della firma digitale.
⦁ PDF – selezionando quest’opzione, che come facilmente intuibile è disponibile solo per i file in formato PDF, otterrai un file PDF con la firma digitale inclusa. La firma può essere invisibile o grafica, cioè visibile.
⦁ XML (XAdES) – anche quest’opzione crea un file in formato P7M.
Dopo aver selezionato la tipologia del file di output, puoi avviare direttamente l’applicazione della firma digitale cliccando sull’apposito pulsante oppure puoi scegliere di applicare una marca temporale (timestamp) o una password per cifrare il file. La marca temporale è una certificazione che permette di verificare la data e l’ora in cui è stato firmato un documento, estende il valore legale di quest’ultimo mantenendolo valido anche in caso di scadenza del certificato di firma. La cifratura, invece, permette invece di limitare l’accesso al documento consentendone l’apertura solo mediante l’utilizzo di una chiave pubblica da parte di destinatari selezionati.
Se vuoi maggiori informazioni sul funzionamento del kit di firma che hai acquistato, ti consiglio vivamente di fare un salto sul sito Internet dell’ente certificatore: lì troverai sicuramente una documentazione dettagliata che illustra tutte le funzionalità del software. Di seguito trovi i link per accedere alle guide ufficiali dei principali kit di firma digitale: Aruba, Postecert e InfoCert.
Usare il certificato di firma in applicazioni di terze parti:
I kit di firma digitale in formato chiavetta USB, quelli che funzionano senza driver e includono anche i software di firma, funzionano in modalità HID (Human Interface Device) ma all’occorrenza è possibile convertirle in dispositivi CCID, cioè in comuni lettori di smart card che permettono di firmare i documenti con software alternativi rispetto a quelli inclusi nel kit, come ad esempio Adobe Acrobat, LibreOffice o Microsoft Office.
Se vuoi convertire un kit di firma USB in un dispositivo CCID, devi avviare il software di gestione di quest’ultimo e richiamare l’apposita opzione. Ad esempio, se utilizzi una key USB di Aruba devi cliccare sulla voce Utilities e selezionare l’opzione “Import” Certificato dalla schermata che si apre, mentre se utilizzi un kit di firma Postecert devi andare su Gestione chip e selezionare l’icona HID<>CCID. Dopo aver selezionato l’opzione per convertire il kit di firma in dispositivo CCID, devi seguire le indicazioni su schermo ed entro pochi clic l’operazione sarà conclusa.
Nel mondo assicurativo lo strumento più usato è la firma elettronica avanzata, infatti vengono raccolti i documenti necessari quali la carta d’identità, tessera sanitaria o altro documento per identificare in modo univoco il cliente e quindi viene raccolta la sua firma attraverso una tavoletta grafometrica oppure l’ OTP Mobile – One Time Password – .
Oggi l’agenzia Centro Canciani Assicurazioni è in grado di far firmare i contratti con firma elettronica avanzata pertanto siamo e saremo sempre più vicini alle tue esigenze anche in mobilità e restando a casa, chiamaci per qualsiasi tua esigenza e preventivo.