Come ottenere e usare la firma digitale

Fonte foto: Shutterstock

Il mondo lavorativo si evolve ed è necessario restare costantemente aggiornati, così da comprendere alcune richieste come quella della firma digitale. È bene spiegare nel dettaglio cos’è, qual è il suo scopo e soprattutto come ottenerla, qualora fosse necessario.

Firma digitale: cos’è

La firma digitale è una forma di garanzia, utilizzata soprattutto da professionisti, aziende ed enti pubblici. Consente di confermare la validità di documenti digitali. Al giorno d’oggi la maggior parte dei documenti viene trasmessa via web, il che richiede la conferma dell’identità del firmatario, al fine di evitare truffe.

La firma digitale consente di autenticare l’utente che provvede ad apporre la firma su un contratto o documenti di qualsiasi genere. Recandosi di persona in un ufficio è possibile concludere un atto con alcune firme con penna nera. La propria presenza, insieme con documenti in corso di validità, basta a confermare l’identità di chi firma. Tutto cambia però nel mondo del digitale e di certo non sono accettabili foto della firma o l’uso di un pennino digitale. Occorre offrire ulteriori garanzie, considerando il grande rischio di frode per quanto concerne i documenti digitali.

Una persona inesperta potrebbe facilmente collegare il concetto di firma digitale alle piccole tavolette digitali che ormai bene conosciamo, sulle quali confermare la propria identità con un pennino. Sono ormai ovunque, dagli uffici sanitari alle Poste. Si tratta però di tutt’altra cosa. Considerando quanto sia semplice confondere i due concetti, è bene spiegare che quella posta su queste tavolette è in realtà una firma elettronica, non digitale. Questa ha valore legale ma non vanta gli stessi criteri della firma digitale, necessari per valutare l’autenticità del firmante. Si tratta di una firma potenzialmente ripudiabile, che non pone al sicuro le parti in causa da eventuali frodi. È possibile infatti che la firma venga scritta male o con una grafia differente rispetto a quella ottenuta di solito su carta.

Tutto ciò non può bastare per contratti di grande rilevanza come quelli d’affitto, d’acquisizione, bancari o fiscali di vario genere. È necessario che non vi sia neanche il minimo dubbio sull’identità delle persone coinvolte, dal momento che un solo elemento traballante potrebbe rendere nullo un accordo, lasciando terreno fertile per possibili truffe. Per questo motivo la firma digitale è così importante, vantando tutte le caratteristiche che la rendono valida, legale e non ripudiabile. Un ente esterno dovrà dunque certificarla, rendendola sempre uguale su qualsiasi documenti si firmi digitalmente.

Firma digitale: come funziona

La diffusione globale del web ha nel tempo comportato alcune notevoli modifiche in ambito burocratico. Il digitale fa parte della nostra quotidianità e per questo, al fine di evitare truffe di vario genere, è stata istituita la firma digitale, necessaria per riuscire a completare un iter di qualsiasi tipologia, basato sulla trasmissione di documentari via web. La firma digitale è basata su un sistema di chiavi asimmetriche a coppia:

• La prima è pubblica, utilizzata per verificare l’autenticità della firma;
• La seconda invece privata, conosciuta solo dal titolare ed utilizzata per generare la firma digitale da apporre al documento.

Il titolare della firma ha la possibilità, tramite chiave privata, di verificare l’integrità e la provenienza di alcuni documenti. Lo stesso potrà fare il destinatario, sfruttando però una chiave pubblica.

La firma digitale è una versione informatica di una firma autografa (cioè quella apposta con penna o timbro su un documento), che consente di ovviare alla necessità di recarsi in un dato ufficio per completare alcune pratiche, evitando al tempo stesso di offrire terreno fertile ai malfattori. Una firma digitale ha lo stesso valore legale di una firma realizzata con penna su un documento cartaceo. Sfruttando tale sistema si avrà inoltre la certezza dell’inalterabilità delle informazioni presenti in un dato documento al momento della firma. Il sistema si basa su alcuni semplici concetti.

• Autenticità: è necessario che venga garantita l’identità del soggetto firmante, che si assume le responsabilità del contenuto del documento siglato.
• Integrità: condizione necessaria a garantire il contenuto del documento. Apporre la firma digitale vuol dire infatti impedire ulteriori modifiche.
• Non ripudio: in nessun caso un documento siglato con firma digitale potrà essere ripudiato. Il sistema impedisce di fatto al firmante di disconoscere la propria firma.

In Italia l’assegnazione di una firma digitale è a carico dell’Agenzia per l’Italia Digitale (AgID). A questo ente si fa richiesta di un certificato digitale, che andrà ad associare il numero binario alla sua identità. Si andrà così a identificare in maniera certa il richiedente. È questa la chiave pubblica, nota a tutti gli interessati. Contemporaneamente però si genera anche la chiave privata, che prevede un controllo esclusivo del titolare. Installata in ambiente sicuro, può essere adoperata soltanto grazie a una password di sblocco, ovvero un PIN.

Ogni documento è registrato con una differente impronta, che dovrà essere calcolata al momento della firma da un preciso software, tramite funzione di hash. Una volta predisposta l’impronta, il programma di sottoscrizione provvederà a inviarla in un ambiente sicuro. Quando necessario, la chiave privata sarà attivata, validando il PIN inserito. Si procederà allora alla cifratura dell’impronta del documento, dando come risultato la firma digitale richiesta.

La firma digitale è obbligatoria in molti ambiti, da quello amministrativo al lavorativo, fino all’aziendale. Le applicazioni pratiche sono svariate. Basti pensare ai procedimenti giudiziari, che negli ultimi anni sono sempre più telematici, a patto però di poter garantire una PEC, anch’essa garanzia dell’identità dell’utente. Stesso discorso per i bilanci aziendali e gli atti amministrativi che si è tenuti a presentare alla pubblica amministrazione.

In ambito privato si è sempre più propensi alla dematerializzazione dei propri documenti. In questo modo infatti si ha la possibilità di avere sempre accesso a determinati file di grande importanza, senza il timore di perdere la copia cartacea. Questa potrà infatti essere stampata in qualsiasi momento, sfruttando la memoria del proprio PC, di un hard disk esterno o lo spazio a disposizione sul cloud. Ormai è in corso d’opera una totale digitalizzazione, il che rende necessario l’ottenimento di un’identità digitale. Il riferimento è allo SPID, sistema pubblico di identità digitale, che viene associato ai meccanismi della firma remota.

In particolare ci sono due modalità per utilizzare la firma digitale:

• In locale: in questo caso si intende la firma digitale generata all’interno di uno strumento che possiede fisicamente il titolare, come una smartcard o token;
• Da remoto: si intende la firma digitale generata usando una combinazione di strumenti di autenticazione, tipicamente un User ID più password più codice OTP generato sullo smartphone, che permettono di generale la firma digitale su un dispositivo (HSM) custodito dall’ente certificatore (cioè il cosiddetto prestatore del servizio fiduciario qualificato).

Firma digitale: come ottenerla

Ogni Stato dell’Unione Europea vanta un elenco di fiducia di prestatori di servizi, ai quali potersi rivolgere per ottenere una firma digitale.

Il passo iniziale che occorre effettuare per ottenere la firma digitale è dunque quello di rivolgersi a uno dei cosiddetti prestatori di servizi fiduciari attivi in Italia:

• Actalis;
• Aruba PEC;
• Banca D’Italia;
• Cedacri;
• Ministero Della Difesa – CORDIFESA;
• Consiglio nazionale dottori commercialisti ed esperti contabili;
• Consiglio nazionale del notariato;
• In.Te.S.A. S.p.A.;
• Infocert;
• IntesaSanPaolo;
• Intesi Group;
• Lombardia Informatica;
• Lottomatica;
• Namirial;
• NexiPayments;
• Poste Italiane;
• Telecom Italia trust technologies;
• Zucchetti.

Ogni provider propone un proprio kit di installazione e una propria procedura da seguire, offrendo differenti servizi. Per quanto si tratti di un servizio di digitalizzazione della propria firma, il primo step dovrà essere effettuato di persona, rappresentando di fatto la prima forma di certificazione dell’identità di firmante.

Sono differenti i kit in grado di gestire tale servizio, generalmente costituiti da un sistema comune.

• Kit per la firma digitale: sono di solito composti da una smartcard, in formato SIM o carta di credito, al cui interno c’è un certificato di firma digitale rinnovabile (che di solito va rinnovato ogni 3 anni). Insieme alla smartcard c’è di solito un dispotivo che consente di leggerla e permettere di applicare la firma digitale.
• Kit più completo: composto di solito da una chiavetta USB che include la smartcard con il certificato di firma digitale in formato SIM e tutti i software utili per applicare la firma.
• Token USB: in questo caso i driver sono da scaricare manualmente, insieme ad altri software.

Nel pratico, una volta ottenuto il kit, lo si dovrà attivare online presso il sito dell’ente di riferimento. Si dovranno poi installare i driver sul proprio computer per chi sceglie il token USB. I driver non risultano necessari soltanto nel caso si scelga il kit più completo, formato appunto da una chiavetta OTP USB All in One, il generatore di codici o l’OTP via SMS. Ogni kit è provvisto di una relativa documentazione, con guida da seguire per memorizzare i vari semplici passaggi per la firma. Ogni sistema potrà presentare lievi variazioni, ma tutti forniranno due tipologie di file, il primo contenente il documento originale e i file della firma digitale, il secondo una versione in PDF con firma inclusa.

È bene informarsi sulla consistenza del kit. Non tutti contengono ad esempio dei software molto importanti, che consentono di verificare la firma digitale, sottoponendo ad accurato controllo un documento, al fine di verificare svariate aspetti, come ad esempio il non aver subito modifiche dopo l’apposizione della firma. A ciò si aggiunge un controllo relativo alla garanzia dell’Autorità di Certificazione, inclusa nell’Elenco Pubblico dei certificatori, valutando anche i certificati, così da essere certi che siano in corso di validità e non scaduti, sospesi o revocati.

Firma digitale: i costi

Il servizio è generalmente a pagamento. È possibile spendere poche decine di euro, circa 30 euro più IVA, anche per modalità di sottoscrizione remota. Il costo sale però nel caso in cui si decidesse di optare per un chip installato all’interno di un token USB, che fa anche da lettore. In questo caso la fascia di costo sale da 60 a 80 euro, più IVA.

È però possibile anche ottenere questo servizio gratuitamente. Una possibilità garantita ad alcuni ordini professionali. Le Camere di Commercio sono solite, infatti, rilasciare gratuitamente il dispositivo di firma al momento dell’iscrizione dell’impresa.