FOCUS
Autenticazione e Certificazione dei Documenti
Dal certificato di firma digitale alla marcatura temporale: la digitalizzazione sta aprendo nuovi scenari nella gestione documentale e si è reso necessario adottare misure di tutela che garantiscano ai documenti informatici quel valore legale proprio dei documenti cartacei.
Indice dei Contenuti
I servizi fiduciari digitali
Con la validità legale dei documenti elettronici non si scherza.
La nostra vita si fa digital e alcune regole cambiano: ecco tutto quello che c’è da sapere sui servizi fiduciari e su come garantire l’identità e l’autenticità dei documenti elettronici, dare data e ora certa a un documento, come inserire la firma digitale in un PDF e apporre un sigillo elettronico.
Servizi fiduciari digitali: cosa sono?
Partiamo con una definizione:
i servizi fiduciari digitali sono servizi che servono ad autenticare, certificare e identificare i documenti elettronici, il commercio on-line, i processi d’acquisto digitali.
Sicurezza, trasparenza e certezza delle transazioni: la digitalizzazione dei processi amministrativi passa attraverso questi paradigmi.
Identità digitale, marche temporali, firma digitale, sigilli elettronici. Forse hai già familiarità alcuni di questi strumenti ed è molto probabile che anche tu li utilizzi ogni giorno in azienda, più o meno consapevolmente.
I servizi fiduciari digitali sono definiti dal Regolamento Europeo EU/910/2014 (eIDAS). Il Regolamento eIDAS ▸ apre le porte alla digitalizzazione dei processi di business per lo sviluppo di un mercato digitale unico europeo. E l’identità diventa digitale.
Tipologie di servizi fiduciari
Il Regolamento eIDAS definisce i servizi fiduciari digitali come
Servizi di creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, servizi elettronici di recapito certificato, certificati relativi a tali servizi.
Servizi di creazione, verifica e convalida dei certificati di autenticazione di siti web.
Servizi di conservazione di firme.
Sigilli o certificati elettronici relativi a tali servizi.
Rientrano in queste definizioni una moltitudine di servizi, tra cui le già citate firme elettroniche, le marche temporali e i sigilli elettronici. Ma anche PEC e certificati di autenticazione di siti web, trustmark e servizi di convalida, verifiche e servizi di conservazione, identità digitale e SPID.
Servizi fiduciari qualificati
Esiste però un’ulteriore differenziazione che riguarda i servizi fiduciari, ossia quella tra servizi fiduciari qualificati e non qualificati.
Per servizio fiduciario qualificato, così come riportato nel Regolamento eIDAS, si intende un servizio fiduciario che soddisfi i requisiti del regolamento stesso, garantendo la sicurezza e la qualità del servizio.
Ma cosa significa nell’esattezza?
Un servizio fiduciario è qualificato quando è in grado di verificare l’identità e/o altri attributi della persona fisica o giuridica, quindi quegli elementi aventi effetti giuridici equivalenti, ad esempio, a quelli attribuiti alla firma autografa.
Firma digitale, sigilli elettronici, marche temporali e certificati di conservazione sono quindi da considerarsi servizi fiduciari qualificati.
Proprio per le sue peculiarità a livello di sicurezza, tale tipologia è sottoposta a vigilanza da organismi governativi preposti a livello nazionale, ruolo che in Italia è assunto dall’AgID (Agenzia per l’Italia Digitale) ▸.
Per riconoscere se un prestatore di servizi fiduciari è idoneo a erogare servizi fiduciari qualificati basta verificare l’esistenza del marchio di fiducia UE, in una delle 4 versioni*.
Il marchio è regolamentato dal Regolamento di esecuzione (UE)2015/806 DELLA COMMISSIONE del 22 maggio 2015.
La firma elettronica
Le Tipologie di Firma Elettronica
Il Codice dell’Amministrazione Digitale definisce 4 tipologie di firma elettronica:
- FIRMA ELETTRONICA
- FIRMA ELETTRONICA AVANZATA
- FIRMA ELETTRONICA QUALIFICATA
- FIRMA DIGITALE
Già da questo primo elenco noterete forse un dettaglio: firma elettronica e firma digitale sono due cose diverse. Molti le utilizzano come sinonimi ma nel gergo tecnico si tratta di due firme dalle caratteristiche diverse, se pur correlate.
Ecco quindi le singole definizioni di firma elettronica ▸.
▸ FIRMA ELETTRONICA SEMPLICE
È l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.
Una definizione molto generica che include una moltitudine di servizi. Rientrano in questa tipologia i PIN dei bancomat e le credenziali di accesso a un sito web: la firma elettronica è un metodo identificativo nel senso più ampio del termine.
Siamo al livello più basso di sicurezza per quanto concerne i sistemi di identificazione in quanto l’ipotetico codice o password possono essere ceduti a terzi, compromettendo la certezza che ad accedere ai dati custoditi vi sia effettivamente il proprietario di quei dati.
▸ FIRMA ELETTRONICA AVANZATA
Rispetto alla precedente, la firma elettronica avanzata offre un grado in più di sicurezza in quanto permette anche di identificare l’autore della firma stessa.
Tale processo di riconoscimento, finalizzato a garantire sia l’identità dell’autore, sia l’integrità e immodificabilità del documento cui è apposta, è garantito dal gestore del servizio o da alcuni provider qualificati di terze parti.
Un classico esempio di firma elettronica avanzata è la firma grafometrica, che attraverso i dati biometrici ▸ acquisisce la stessa validità legale della firma autografa.
▸ FIRMA ELETTRONICA QUALIFICATA
È un tipo di firma basata su certificati che prevede l’utilizzo di determinati strumenti, a uso esclusivo dell’intestatario, come i token o le smart card.
Si tratta di una firma che si genera attraverso particolari procedure informatiche che collegano, appunto, i dispositivi con i dati del titolare.
▸ FIRMA DIGITALE
Viene definita come un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico di un insieme di documenti informatici.
La firma digitale si basa su particolari codici (le chiavi) generati da software e dispositivi preposti.
Attraverso questo sistema di crittografie la firma digitale è in grado di certificare l’identità del titolare e il contenuto del documento sulla quale viene apposta, garantendo la stessa validità giuridica della firma autografa.
Firme elettroniche: le differenze a livello legale
Ogni firma viaggia su livelli differenti di sicurezza. Per questo motivo non posseggono la medesima validità legale.
Per dare valore giuridico a un documento, è il caso di avvalersi di una firma elettronica avanzata, qualificata o digitale.
La firma elettronica semplice è anch’essa impugnabile in tribunale ma è riposta nelle mani del giudice, e sarà lui a decidere, sulla base del caso, se prenderla in considerazione valutandone qualità, sicurezza e immodificabilità.
La firma digitale
Il valore legale della firma digitale
La validità della firma digitale si basa su tre principi fondamentali: autenticità, integrità e non ripudio.
- L’AUTENTICITÀ equivale alla certezza dell’identità del sottoscrittore.
- L’INTEGRITÀ è la garanzia che il documento inviato non sia stato manomesso o modificato.
- Il NON RIPUDIO permette di ricondurre la firma digitale al suo proprietario in modo univoco.
Ecco che quindi si fa più chiaro a cosa serve la firma digitale ▸: in caso di controversie legali, la firma digitale acquisisce valore probatorio.
La firma digitale abbinata alla PEC ▸ può risultare estremamente importante nella gestione di determinati documenti.
Come funziona la firma digitale
Il significato di firma digitale non è complesso, anche se si parla di codici, chiavi e crittografie.
In questo paragrafo spiegheremo come funziona la firma digitale proprio per farti comprendere al meglio il meccanismo che vi sta sotto e farti trovare più preparato nel momento di scegliere il tuo prestatore di servizi fiduciari ▸.
La firma digitale è composta da una coppia di chiavi (codici binari di pari lunghezza).
→ L’ente certificatore assegna a chi richiede la firma un certificato digitale, che associa la sua identità a una delle due chiavi, definita “chiave pubblica”.
→ La seconda chiave che viene generata è invece privata e viene inserita in un dispositivo sicuro come una chiavetta o una smart card. Tale dispositivo è a uso esclusivo del titolare e l’accesso avviene solitamente attraverso l’inserimento di un PIN.
Quando si appone la firma digitale ▸ su un documento, utilizzando un apposito software, si avvia la cosiddetta funzione di hash per il calcolo dell’impronta digitale del documento stesso. Ogni documento ha una sua impronta digitale univoca.
→ Il software invia l’impronta al dispositivo (la chiavetta o la smart card) che la attiva dopo l’inserimento del PIN e la cifra con la chiave privata. Ecco che viene generata la firma digitale del documento, quindi associata a quello specifico documento elettronico.
→ A questo punto il mittente del messaggio procede, sempre attraverso il software, all’invio al destinatario, che, grazie al suo software, potrà estrarre la firma, spacchettare il file contenente documento e firma e ricalcolare l’impronta decifrando la chiave pubblica.
La corrispondenza dei codici ricalcolati dal destinatario con quelli generati dal mittente dimostra che il documento non ha subito modifiche durante il suo “viaggio” e rispetta quindi i principi di autenticità, integrità e non ripudio. La firma risulterà quindi valida.
Come avere la firma digitale
Dicevamo nel precedente paragrafo che è necessario predisporre di una chiavetta o una smart card per l’applicazione della firma digitale. Come ottenerla
Richiedere la firma digitale è semplicissimo. Basta acquistare da un ente certificatore l’apposito kit composto dal dispositivo e dal software di elaborazione.
Se vi ricordate, però, vi è un passaggio fondamentale e propedeutico al rilascio del kit: l’ente deve assicurare la vostra identità e ciò può avvenire solamente presentandosi di persona, ossia con il cosiddetto riconoscimento.
Come apporre la firma digitale su un documento
Una volta ottenuto tutti gli elementi necessari per l’utilizzo della firma digitale, sarete pronti a firmare digitalmente un documento.
Anche qui la procedura è molto semplice e sarà il software stesso a guidarvi.
1.
Realizzato il documento (in PDF, Word, exe, ppt ecc…) avviate il software e selezionate il pulsante per la firma.
2.
A questo punto vi verrà chiesto a quale documento associarlo e, in seguito, l’inserimento del PIN del dispositivo o la password.
3.
Infine, potete scegliere in quale formato inviare quel documento.
4.
In aggiunta, è possibile selezionare anche l’opzione di marca temporale (timestamp), per certificare data e ora dell’invio.
La firma digitale su Word e PDF
Con la procedura che vi abbiamo appena descritto potete facilmente firmare digitalmente PDF, Word, Excell, PowerPoint, Xml e moltissimi altri formati.
A prescindere dal tipo di file che sceglierete, è importante però che vi ricordiate di associarlo al formato corrispondente.
TIPO DI FILE | Qualsiasi tipo | XML | |
FORMATO CORRISPONDENTE | CAdES | PAdES | XaDES |
TIPO DI FILE | FORMATO CORRISPONDENTE |
Qualsiasi tipo | CAdES |
PAdES | |
XML | XaDES |
Le firme digitali remote
Forse non sapevi che
All’epoca, era il 1976, gli informatici Whitfield Diffie e Martin Hellman ipotizzarono l’esistenza di uno schema di protocollo che verrà poi chiamato “scambio di chiavi Diffie-Hellman” (Diffie-Hellman key exchange).
Poco dopo Ronald Rivest, Adi Shamir e Leonard Adleman elaborarono l’algoritmo RSA che permise di generare le prime firme digitali.
Lotus Notes 1.0 fu il primo software diffuso commercialmente che utilizzava questo algoritmo. Era il 1989.
Servizio di attivazione Business Key
La marca temporale
La marca temporale (o timestamp) ▸ è un servizio fiduciario qualificato che permette di certificare data e ora di un documento.
A livello pratico la marca temporale è una sequenza di caratteri alfanumerici, chiamata digest, che contiene una data e un orario.
Ogni documento possiede una stringa univoca e viene perciò certificato anche nel suo contenuto.
Il processo di generazione di una marca temporale si basa sulla funzione di hash, quindi, come per la firma digitale, su un sistema di crittografie algoritmiche.
Le informazioni contenute nella marca temporale sono:
- identità del titolare
- numero di serie della marca temporale
- l’algoritmo di sottoscrizione
- la chiave per la verifica
- data e ora
- l’id dell’hash utilizzato per la generazione dell’impronta
Firma digitale e marca temporale sono i due elementi che vi garantiscono maggior tutela nella vostra gestione dei documenti aziendali.
Non è un caso che siano i due servizi fiduciari primari nel processo di conservazione digitale a norma ▸.
Ad esempio potrebbe succedere che un documento con firma digitale risulti scaduto: se la marca temporale è stata apposta prima della scadenza, la firma digitale risulterà comunque valida.
Chiaramente i due servizi possono non essere utilizzati in abbinata. Quindi potete apporre una firma digitale su un documento fiduciario e non la marcatura temporale e viceversa.
La marcatura temporale, per legge, deve essere conservata per 20 anni. Questo permette di prolungare nel tempo la validità di un documento informatico.
Il sigillo elettronico
Dopo aver parlato di firma digitale arriviamo a un altro servizio fiduciario molto simile ma che, come vedremo, si differenzia dalla firma elettronica per alcuni elementi sostanziali.
Per ovviare sin da subito a qualsiasi dubbio, iniziamo col dire cosa NON è il sigillo elettronico.
Per quanto il nome stesso possa in effetti scatenare qualche equivoco, il sigillo elettronico non equivale al timbro elettronico (detto anche glifo o contrassegno elettronico).
Possiamo invece definire il sigillo elettronico (o eSeal ▸ come l’equivalente informatico del timbro su carta.
Quindi, analogamente, il sigillo elettronico ha lo scopo di rendere subito visibile i dati del documento quali l’origine e la ragione sociale.
Il sigillo elettronico garantisce:
- l’integrità del documento
- l’identità del mittente
Anche l’eSeal, come la firma digitale, si basa su un sistema di crittografia e sulle chiavi e, come per la firma digitale, si tratta di uno strumento riconosciuto e standardizzato a livello europeo.
Il sigillo elettronico può quindi essere utilizzato in tutti i casi in cui è necessario apporre le informazioni di una persona giuridica su un documento informatico.
Rispetto alla firma digitale, però, il sigillo elettronico non è in grado di confermare l’identità della persona che lo ha apposto sul documento.
La normativa sui Servizi Fiduciari Digitali
L’eIDAS
eIDAS sta per Electronic Identification and Trust Service Regulation, che in italiano si può tradurre con “Regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno”.
Corrisponde al Regolamento (UE) n. 910/2014 ▸, sostituisce la precedente direttiva 1999/93/EC e sancisce tutte le norme giuridiche e gli standard riguardanti le firme elettroniche, l’identità digitale, i sigilli digitali.
Si tratta di una normativa applicata a livello europeo, alla quale sono perciò sottoposti tutti gli Stati membri.
L’eIDAS nasce per regolamentare e standardizzare le transazioni elettroniche, i trasferimenti di denaro, le firme elettroniche e altre forme di autenticazione a livello europeo.
L'eIDAS, in sostanza, definisce tutti i termini per garantire ai documenti elettronici validità legale, pari a quella attribuita ai documenti cartacei, in modo univoco per tutti i paesi europei.
Il CAD (Codice dell’Amministrazione Digitale)
Il Codice dell’Amministrazione Digitale (CAD) ▸ è un testo che riunisce tutte le disposizioni in materia di strumenti digitali, per favorire l’informatizzazione delle Pubbliche Amministrazioni, semplificare la burocrazia e favorire l’accesso ai servizi da parte dei cittadini e lo scambio di informazioni tra PA di stati diversi.
In pratica, il CAD è lo strumento attraverso cui l’Italia applica le disposizioni dell’eiDAS in ambito di digitalizzazione.
L’Agenzia per l’Italia Digitale (AgID)
L’organismo designato per vigilare su tutto ciò che accade in ambito digitale è l’Agenzia per l’Italia Digitale (AgID) ▸.
L’AgID è un’agenzia pubblica istituita durante il governo Monti ed è preposta alla realizzazione degli obiettivi dell’Agenda Digitale Italiana, promuovendo l’innovazione tecnologica in ambito di rapporto tra cittadini e Pubblica Amministrazione.
Tra i suoi compiti, vi è proprio quello di accreditare tutti i soggetti che erogano servizi fiduciari digitali, come firme elettroniche, marche temporali, Posta Certificata ecc…