Nell’era sempre più interconnessa e digitale che caratterizza il nostro tempo, la sicurezza delle informazioni e l’autenticazione sono diventati temi centrali. La crescente diffusione di servizi online, transazioni elettroniche e comunicazioni digitali ha reso indispensabile tutelare l’identità delle parti coinvolte.
In questo scenario, la firma digitale è diventata uno degli strumenti tecnologici più importanti in quanto permette di autenticare i documenti elettronici e garantire la loro validità giuridica. Spesso associata esclusivamente a liberi professionisti e imprese, la firma digitale può rivelarsi utile anche per i semplici cittadini, soprattutto quando si tratta di accedere ai servizi online della pubblica amministrazione. Vediamo nel dettaglio che cos’è la firma digitale e a cosa serve.
Che cos’è la firma digitale
La firma digitale è un particolare tipo di firma elettronica qualificata, generata attraverso una procedura informatica che associa una firma a un documento elettronico. Non è semplicemente la versione informatica della firma autografa tradizionale, visto che integra e sostituisce l’applicazione di “sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere” (Capo II, Art. 24 codice dell’Amministrazione Digitale). L’effetto è lo stesso: la convalida legale del documento.
Non basta, quindi, scannerizzare o fotografare una firma e incollarla. Il perché è facilmente intuibile: qualcuno potrebbe modificarla e riprodurla e quindi avrà uno scarso valore probatorio.
La firma digitale deve avere tre requisiti fondamentali:
- autenticità: garanzia dell’identità del firmatario;
- integrità: immodificabilità del documento dopo la firma;
- non ripudio: impossibilità di disconoscimento da parte del firmatario (pur nei limiti dell’Art. 20, 1-ter del CAD)
Il suo utilizzo permette di autenticare i documenti in modo non solo più rapido ed economico, ma anche sostenibile in quanto rende superfluo stampare la carta.
A cosa serve la firma digitale
Con la firma digitale, è possibile apporre la propria firma su qualsiasi documento elettronico, sia esso di natura pubblica o privata. La sua adozione ha permesso una semplificazione e una completa digitalizzazione delle relazioni tra cittadini, liberi professionisti, imprese e Pubblica Amministrazione.
Alcuni esempi di uso della firma digitale sono:
- firmare atti costitutivi, bilanci, atti societari, fatture e altri documenti ufficiali;
- sottoscrivere contratti con altri privati, imprese e con la Pubblica Amministrazione;
- siglare la partecipazione a concorsi pubblici, bandi e gare di appalto;
- sottoscrivere la richiesta di finanziamenti pubblici o privati;
- firmare pratiche dell’Agenzia delle Entrate o del Registro delle imprese.
Secondo la legislazione vigente in Italia, l’uso della firma digitale è obbligatorio solo in particolari circostanze, tra cui:
- per le fatture elettroniche destinate agli enti pubblici, applicata in formato .xml;
- per iscriversi al Registro delle Imprese;
- per redigere bilanci e atti societari;
- per alcune procedure burocratiche, come l’ammissione ai concorsi pubblici e la richiesta di finanziamenti alla Pubblica Amministrazione;
- per concludere specifiche procedure legate alla fiscalità, come l’iscrizione al Registro dei Revisori Contabili.
I casi menzionati riguardano principalmente le aziende, ma la firma digitale è obbligatoria anche per alcune categorie professionali, tra cui gli avvocati e gli architetti, che sono tenute a usarla per ottenere l’accesso a determinati servizi ministeriali.
Per i privati cittadini, invece, la firma digitale non è obbligatoria, ma potrebbe essere molto utile perché permette di firmare digitalmente qualsiasi documento della Pubblica Amministrazione, come il cambio di residenza, evitando di fare la coda agli uffici.
Come funziona
L’applicazione della firma digitale sui documenti avviene tramite l’utilizzo di un dispositivo dedicato, sfruttando sistemi crittografici a chiavi asimmetriche. Questo vuol dire che ogni utente riceve due chiavi diverse per cifrare e decifrare i messaggi: una privata e una pubblica.
La chiave privata è contenuta nel dispositivo sicuro (smart card o token USB) e serve per firmare. Quella pubblica viene invece diffusa, essendo contenuta nel certificato digitale intestato al firmatario e accluso al documento firmato. La chiave pubblica serve per decrittare la firma, attestandone la validità.
Una volta che il titolare ha completato le procedure di registrazione e identificazione, riceve un kit formato da un lettore (che può essere anche contactless), che si collega al computer tramite una porta USB, e una smart card.
Quest’ultima contiene due certificati: il primo serve per sottoscrivere i documenti informatici con valore legale, come ad esempio contratti, fatture, dichiarazioni o moduli, e viene rilasciato da un ente certificatore qualificato; il secondo è un certificato di autenticazione CNS (Carta Nazionale dei Servizi) e serve per identificarsi in rete e accedere ai servizi online della Pubblica Amministrazione, come ad esempio il portale INPS, l’Anagrafe Tributaria o il Registro Imprese. Entrambi i certificati hanno una validità massima di 3 anni e possono essere prorogati online per altri 3 anni.
La smart card può essere inclusa anche in un token USB, insieme a tutti i software che permettono di creare e gestire la firma digitale.
Quali tipi di firma elettronica esistono?
Oltre alla firma digitale apposta mediante device hardware, esistono altre tipologie di firma elettronica. Sempre nell’ambito delle firme qualificate, troviamo la firma digitale remota, che si differenzia da quella tradizionale perché non richiede l’uso di dispositivi fisici come smart card o token USB, ma si basa sull’HSM (hardware Security Module), un apparato hardware-software atto a ospitare il certificato di firma intestato all’utente che vi accede tramite un sistema di autenticazione forte e password temporanee (OTP) generate da un’applicazione sullo smartphone o sul tablet.
Con questa soluzione, per apporre la propria firma sui documenti elettronici è sufficiente disporre di una connessione e di un software specifico. La firma remota è attualmente la più utilizzata nel nostro Paese: basti pensare che l’80% dei circa 22,5 milioni di certificati sottoscritti dagli utenti italiani si basa su questa modalità.
Tuttavia, è importante ricordare che la firma digitale remota non include il CNS, ma solo il certificato di firma digitale. Di conseguenza, non permette di accedere ai servizi della PA.
Vi sono altre tipologie di firme elettroniche che, pur non essendo basate su certificati personali qualificati e non potendo, per questo, sostituire pienamente la firma autografa, hanno un’importante valenza giuridica: le Firme Elettroniche Avanzate (FEA).
Come ottenere la firma digitale?
Per poter firmare un documento elettronico con la firma digitale, non basta acquistare il kit per l’identità digitale. Prima bisogna richiedere il certificato di firma digitale presso un ente certificatore qualificato (ad esempio, Poste Italiane, Aruba, InfoCert, ecc.). La lista dei provider attivi è disponibile sul sito dell’Agenzia per l’Italia Digitale. Chi ha un’attività imprenditoriale può anche richiedere la firma digitale alla propria Camera di Commercio.
Una volta scelto l’ente certificatore, il richiedente dovrà iscriversi sul sito, fornendo i propri dati personali e caricando un documento d’identità in corso di validità. Il rilascio della firma digitale avviene in seguito alla verifica dell’identità, che può essere effettuata in vari modi:
- recandosi personalmente in Comune da un pubblico ufficiale;
- a casa, al momento della consegna del kit;
- dal vivo, presso un ufficio postale;
- da remoto, usando la webcam del pc o l’app mobile (non tutti gli enti, però, mettono a disposizione questo servizio).
Alcuni provider offrono la possibilità di ottenere la firma digitale in modo più semplice, ma bisogna disporre di Spid o CIE. Basta accedere con uno di questi due sistemi per effettuare il riconoscimento, prima possibile solo tramite un incontro fisico o mediante webcam.
Il costo della firma digitale dipende dalla tecnologia selezionata (smart card o chiave USB). Il prezzo varia da 20 a 100 euro, a seconda della scelta.
Esistono anche soluzioni “usa e getta” per chi ha intenzione di utilizzare la firma digitale non più di tre volte all’anno. La firma monouso con Spid, ad esempio, permette di firmare digitalmente una sola volta, pagando 2,99 euro.
Come apporre la firma digitale sui documenti elettronici
Firmare un documento con un certificato elettronico comporta la creazione di un file noto come “busta crittografica“, che contiene al suo interno:
- il file originale;
- l’impronta del documento (hash), crittografata utilizzando la chiave privata del firmatario;
- il certificato elettronico di colui che appone la sua firma digitale sul documento.
I passi da compiere per apporre la firma digitale sono:
- selezionare il documento che si vuole firmare digitalmente;
- scegliere il formato;
- apporre la firma dopo aver inserito il Pin.
Secondo gli standard europei, sono possibili 3 formati di busta crittografica:
- PAdES: si usa solo per i file PDF;
- CAdES: si utilizza per qualsiasi tipo di file;
- XAdES: si usa solo per i file XML (ad esempio, fatture elettroniche).
Dopo aver ricevuto il documento, il destinatario può controllare che non sia stato alterato dopo la firma e che il certificato elettronico sia stato rilasciato da un ente qualificato, sia in corso di validità e non sia stato sospeso o revocato.
Una volta terminate le opportune verifiche, nel caso in cui l’esito sia positivo, il documento assume piena validità ai sensi di legge.
