INTRODUZIONE ALLA FIRMA DIGITALE

Firmare un documento elettronicamente o digitalmente dir si voglia, è un’attività abbastanza semplice, ma per affrontare nel modo più corretto l’argomento, sono costretto a suddividerlo in varie sezioni:

Innanzitutto bisogna chiarire che la firma digitale ovviamente non va confusa con la firma autografa scannerizzata, espediente spesso usato quando si deve inviare via email un documento firmato.

Ciò premesso, cominciamo con il fare un distinguo tra la firma elettronica e la firma digitale:

LE FIRME ELETTRONICHE (e-signature) si riferiscono a qualsiasi processo elettronico che indichi l’accettazione di un contratto o un atto ufficiale.

Prevedono l’utilizzo di vari metodi per autenticare in modo elettronico l’identità di chi firma, ad esempio e-mail, account social, password o PIN telefonici.

Le possiamo distinguere in:

  • Firme elettroniche standard che utilizzano l’autenticazione a fattore singolo.
  • Firme elettroniche avanzate che utilizzano l’autenticazione a più fattori per garantire in caso di necessità una maggiore sicurezza. Dimostrano la prova della firma mediante una procedura sicura che spesso include un percorso di verifica annesso al documento finale.

Le FIRME DIGITALI richiedono l’uso di un metodo specifico per firmare elettronicamente i documenti.

  • Usano un ID digitale basato su un certificato per autenticare l’identità di chi firma.
  • Dimostrano la prova della firma vincolando ciascuna firma al documento mediante crittografia, mentre la convalida viene effettuata da autorità di certificazione (CA) o fornitori di servizi fiduciari (TSP) affidabili.

Una firma basata su certificato consente di identificare la persona che firma un documento, in modo analogo a una normale firma autografa. A differenza tuttavia della firma a mano, quella basata su certificato è difficile da falsificare poiché contiene informazioni cifrate che sono associate in modo univoco al firmatario. Fatto importante è che la firma basata su certificato può essere facilmente verificata e segnala ai destinatari se il documento è stato modificato dopo l’apposizione iniziale della firma sul documento da parte del firmatario.

Per firmare un documento con una firma basata su certificato, è necessario ottenere un ID digitale o crearne uno auto firmato in AcrobatAdobe Reader, o chiaramente in alternativa è possibile utilizzare un sistema di firma con dispositivo (pendrive USB, Token, Card). L’ID digitale contiene una chiave privata e un certificato con chiave pubblica, nonché altri elementi. La chiave privata viene utilizzata per creare la firma basata su certificato.

Il certificato è una credenziale che viene automaticamente applicata al documento firmato. La firma è verificata all’apertura del documento da parte dei rispettivi destinatari.

Quando si applica una firma basata su certificato, in Acrobat viene utilizzato un algoritmo di hash per generare una classificazione di messaggio, che viene cifrata mediante la chiave privata dell’utente.

La classificazione di messaggio cifrata viene quindi incorporata in Acrobat all’interno del PDF, dei dettagli del certificato, di un’immagine della firma e di una versione del documento al momento della firma.

Quando si riceve un documento firmato digitalmente, sia Reader che Acrobat fanno tre domande chiave per la convalida della firma:

  1. Il certificato digitale che ha firmato il documento è ancora valido? È scaduto o è stato revocato?
  2. Il documento è stato modificato dopo l’apposizione della firma? L’integrità del documento interessata? Se vi sono modifiche, sono consentite o no?
  3. Infine, questo certificato si ricollega a un certificato elencato nell’elenco Trusted Identity? In tal caso, la firma è ritenuta automaticamente affidabile.

Le risposte alle prime due domande sono gestite da Acrobat e Reader in base a un’analisi delle informazioni contenute all’interno del certificato e del documento firmato. Tuttavia, alla  terza domanda può essere risolta solo da un Ente certificatore esterno.

Se hai notato un errore nell’esemplificazione sopra effettuata, puoi scrivermi usando il modulo contatti.

Fonti:

https://it.wikipedia.org/wiki/EIDAS
https://acrobat.adobe.com/it/it/sign/capabilities/eidas.html