Archives: firma digitale

01 Feb

Tutte le tipologie di firme elettroniche: caratteristiche e differenze

In questo articolo andremo a vedere tutte le tipologie di di firme elettroniche che esistono, quali caratteristiche hanno e per quali documenti sono più indicate. Ma prima di andare avanti vorremmo porre l’attenzione sull’EIDAS (Electronic Identification Authentication and Signature). La regolamentazione che definisce queste firme elettroniche e le suddivide in tre categorie:

  • Semplice
  • Avanzata (FEA)
  • Qualificata (o Firma Digitale) (FEQ / FD)

Inoltre, è sempre l’EIDAS che detta le caratteristiche che ogni firma elettronica dovrebbe avere e di seguito vi forniamo l’elenco:

– Rispettare gli standard di firma ETSI (European Telecommunications Standards Institute

– Utilizzare un sistema di verifica dell’identità

– Avere un sistema per dimostrare che il documento non sia stato modificato dopo essere stato firmato. 

– Utilizzare la certificazione elettronica

Poniamo anche l’accento sul fatto che questi 3 tipi di firma differiscono principalmente a livello di sicurezza. Quindi anche per sistema di verifica dell’identità del firmatario che ognuna utilizza. Più una firma può fornire fiducia circa l’identità del firmatario e nel provare la validità del documento firmato, più è considerata sicura.

Dopo queste premesse, siamo pronti a entrare nel dettaglio e a spiegare le differenze fra queste tre firme elettroniche, la loro utilità e il loro campo di applicazione.

 

Firma elettronica semplice (FES)

La dicitura ‘semplice’ in realtà è un nome colloquiale che viene attribuito a tutte quelle firme che non sono avanzate o qualificate. Questo tipo di firma corrisponde al primo livello di sicurezza e al momento è una delle procedure più utilizzate perché permette un uso più rapido e meno dispendioso.

Bisogna però tenere presente che non esiste alcun elenco stabilito di requisiti per questo livello di sicurezza e per questo tipo di firma. Ciò vuol dire che senza alcun processo concreto di consenso o di verifica dell’identità, potreste sì, far firmare un documento, ma al contempo sarebbe altrettanto facile per un firmatario negare di averlo firmato. Un esempio di firma semplice può essere ad esempio quella che si appone sul display del fattorino che consegna i pacchi. Questo processo può, in ogni caso, essere rafforzato e acquisire un valore legale aggiungendo un ulteriore passaggio di autenticazione come un sistema di doppia autenticazione. Ad esempio la ricezione da parte del firmatario di un codice via SMS o via e mail necessario per apporre la firma sul documento.

La tipologia di documenti che possono essere firmati con questa firma sono molteplici, dalle conferme d’ordine alle informative sulla privacy, dai preventivi alle dichiarazioni di riservatezza, dai contratti di locazione alla vendita di beni mobili.

 

Firma elettronica avanzata (FEA)

Questa è un tipo di firma più sicura, consigliata maggiormente per transazioni finanziarie o anche per firmare documenti che presentano interessi legali. Quello che la differenzia maggiormente dalla firma elettronica semplice è che questa tipologia deve soddisfare dei veri e propri criteri di verifica di identità e quindi va da sé che il suo livello di sicurezza è senza dubbio maggiore, come stabilito dall’EIDAS e dall’ordinamento giuridico italiano. Ma vediamo nel dettaglio di che criteri stiamo parlando.

Una firma elettronica avanzata (FEA) deve permettere:

  •   L’identificazione del firmatario del documento.
  •   La possibilità di verificare che il documento firmato non abbia subito modifiche dopo l’apposizione della firma.
  •   La connessione univoca della firma al firmatario e della firma al documento sottoscritto.
  •   La possibilità per il firmatario di ottenere evidenza di quanto sottoscritto.
  •   L’ individuazione del soggetto erogatore.
  •   Il controllo esclusivo del firmatario del sistema di generazione della firma, inclusi i dati biometrici eventualmente utilizzati per la generazione della firma stessa.
  •   La possibilità per il firmatario di ottenere evidenza di quanto sottoscritto.
  •   Assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne atti, fatti o dati nello stesso rappresentati.

La tipologia di documenti che possono essere sottoscritti con questa firma sono ad esempio gli atti di compravendita di beni immobili, i contratti assicurativi, l’apertura di conti bancari e l’assicurazione dell’auto.

 

Firma elettronica qualificata o firma digitale (FEQ)

La FEQ o firma digitale detiene il livello di sicurezza più alto fra le firme elettroniche poiché prevede un certificato qualificato e una coppia di chiavi asimmetriche, una privata e una pubblica, a garanzia della sua inviolabilità. È ovviamente la forma più complessa e anche costosa fra le tre e viene utilizzata in casi specifici in cui questa qualifica è necessaria.

È importante specificare che, legalmente parlando, c’è una grande differenza fra firme elettroniche semplici o avanzate e firme digitali. Quest’ultima ha dei veri e propri vincoli normativi, il suo valore legale corrisponde esattamente a quello di una firma autografa e, a differenza delle altre che hanno esclusivamente un valore probatorio, è riconosciuta in tutti gli stati membri dell’Unione Europea. La sua procedura, inoltre, richiede che l’identità del firmatario venga convalidata preventivamente e che la chiave della firma si trovi in un dispositivo per la creazione della firma digitale.

I documenti che possono essere firmati digitalmente sono ad esempio gare di appalto pubbliche, libri societari, bilanci d’esercizio, registri di protocollo informatico, registri IVA e altri ancora.

 

Quale firma devo utilizzare allora per i miei documenti?

Dopo aver analizzato tutti i tipi di firma elettronica esistenti magari avrete ancora un dubbio su quale utilizzare per i vostri documenti e allora vorremmo fare chiarezza sul fatto che, nonostante si possa pensare che utilizzare sempre delle firme qualificate o avanzate per i documenti da siglare sia sempre la scelta più giusta, in realtà per tutti quei documenti in cui non sarà necessaria un’identificazione complessa del firmatario, potrà essere tranquillamente utilizzata la firma elettronica semplice, con un notevole risparmio di tempo e denaro.

Detto questo possiamo anche dire che la firma elettronica più usata in Italia è una via di mezzo fra la FES e la FEA che consiste in una firma elettronica a cui viene aggiunto una OTP (One Time Password) via SMS, server vocale o email, necessaria per poter firmare il documento e verificare l’identità del firmatario.

Con questo, speriamo di essere riusciti a fare maggior chiarezza sulle firme elettroniche, ma se aveste ancora dubbi potete cliccare qui per avere maggiori informazioni. 

11 Gen

Firma digitale: cos’è, come funziona e come ottenerla.

Una firma digitale è un particolare tipo di firma elettronica qualificata. Essa è basata su un sistema di chiavi asimmetriche a coppia, ed è una moderna alternativa alla firma di documenti con carta e penna.

 

A cosa serve

Viene utilizzata per convalidare l’autenticità e l’integrità di un messaggio, di un software o di un documento digitale. Essa può anche fornire prove sull’origine, sull’identità, sullo stato di documenti elettronici, di transazioni e di messaggi digitali. I firmatari, inoltre, possono anche usarla per riconoscere un consenso informato.

Come dicevamo, è l’equivalente digitale di una firma scritta a mano o di un sigillo timbrato, ma offre una sicurezza molto più intrinseca, infatti per verificare l’autenticità e l’integrità di messaggi e dei documenti digitali utilizza una tecnica matematica avanzata, garantendo che i contenuti di un messaggio non vengano alterati durante il transito e aiutando a superare il problema del furto d’identità e della manomissione nelle comunicazioni digitali. In molti paesi, inclusi gli Stati Uniti e l’Unione Europea le firme digitali sono considerate legalmente vincolanti esattamente come le tradizionali firme scritte a mano.

 

Come funziona la firma digitale?

Entriamo un pochino nello specifico e vediamo come funziona.

Le firme digitali si basano sulla crittografia a chiave pubblica, nota anche come crittografia asimmetrica, ed è proprio la tecnologia standard del settore denominata ‘infrastruttura a chiave pubblica’ a garantire l’autenticità e l’integrità dei dati di una firma digitale.

Utilizzando un algoritmo matematico, i fornitori di soluzioni di firma digitale genereranno due chiavi: una pubblica e una privata.

L’individuo che crea la firma digitale utilizza una chiave privata per crittografare i dati relativi alla firma. L’unico modo per decrittografare tali dati sarà con la chiave pubblica del firmatario. Se il destinatario non può aprire il documento con la chiave pubblica del firmatario, è segno che c’è un problema con il documento o la firma.

Ma vediamo questo procedimento ancora più nel dettaglio:

Quando un firmatario andrà a firmare digitalmente un documento, verrà generato un hash crittografico per questo documento.

L’hash crittografico viene quindi crittografato utilizzando la chiave privata del mittente, dopodiché verrà allegata al documento e inviato ai destinatari insieme alla chiave pubblica del mittente.

Il destinatario potrà decrittografare l’hash con il certificato di chiave pubblica del mittente e un nuovo hash crittografico verrà nuovamente generato dal lato del destinatario.

Entrambi gli hash crittografici verranno poi confrontati per verificarne l’autenticità. Se corrispondono, il documento non è stato manomesso ed è considerato valido.

Questo è il modo in cui vengono autenticate le firme digitali.

C’è anche da precisare però, che la tecnologia della firma digitale richiede che tutte le parti confidino che l’individuo che ha creato la firma abbia mantenuto segreta la chiave privata. Se qualcun altro ha avuto accesso alla chiave di firma privata, quella parte potrebbe creare firme digitali fraudolente a nome del titolare di quella chiave privata.

 

Come ottenerla

Per ottenere la firma digitale esistono due modi, tramite:

Camera di commercio e anche qui in due modalità, allo sportello oppure online. Basterà andare sul sito id.infocamere.it e scegliere quella preferita. In entrambi i casi sarà necessario avere con sé un documento di riconoscimento in corso di validità. Oppure un indirizzo email consultabile al momento del rilascio e uno smartphone per firmare tramite OTP.

Intermediario che in ogni caso dovrà necessariamente avere un mandato emesso da una camera di commercio. Per poter visionare l’elenco completo degli operatori autorizzati bisognerà andare sui siti delle specifiche Camere di commercio territoriali.

 

Come inserire la firma digitale

In questo caso i sistemi per poter apporre una firma digitale su un documento sono tre:

  •       Smart card
  •       Token Usb (chiavetta)
  •       Firma remota

Nei primi due casi, oltre a uno dei due supporti (smart card o chiavetta) avremo bisogno di installare sul pc uno specifico software in grado di leggere i documenti e apporre la firma. A questo punto basterà collegare il supporto scelto al pc, avviare il software, caricare nel software il documento che si desidera firmare e apporre la firma. Al termine della procedura, il software avrà creato una copia del documento in un formato specifico al quale sarà stata associata la firma digitale.

Nel caso della firma remota, invece, verrà generata usando degli strumenti di autenticazione (di solito user id – password – OTP o telefono cellulare) che consentono appunto la generazione della firma su un dispositivo (HSM) serbato dal certificatore ovvero il prestatore del servizio fiduciario qualificato.

 

In conclusione

Concludiamo dicendo che la firma digitale è chiaramente una grande comodità sia per i titolari di azienda che per i privati perché permette di effettuare operazioni che solitamente richiederebbero lunghe file agli sportelli. Basti pensare che inviare una PEC firmata digitalmente corrisponde all’invio di una raccomandata con ricevuta di ritorno contenente un testo con piena validità legale. Questo vuol dire che, ad esempio, possiamo trasmettere un contratto firmato a norma di legge con certificazione di invio e ricezione senza spostarci dal computer e in pochi semplici click. Un bel risparmio di tempo e seccature no?

 

Se hai dubbi o vuoi semplicemente approfondire il tema, non esitare a contattarci alla nostra mail: info@webhosting24.com