Digital Signature: addio carta e penna!

Le diverse tipologie di Firma Elettronica e l’innovativo Libro Firma.

Un pensiero comune quando si parla di Firma Elettronica è la firma apposta su tablet ormai in qualsiasi ufficio. Senz’altro corretto!

Ma cos’è e cosa c’è dietro il concetto di Firma Elettronica?

Innanzitutto è inutile dire che sono state ideate più di una tipologia di firma, con diverso valore e senz’altro più strumenti per poterla apporre. Inoltre, la così detta FEA (Firma Elettronica Avanzata) è regolamentata a livello nazionale ed europeo. La normativa italiana che regola la firma elettronica è contenuta nel CAD, Codice per l’Amministrazione Digitale, Decreto Legislativo 07 marzo 2005 N.82 del 2006. A cui si sono aggiunte nel tempo numerose precisazioni e specifiche. Il Regolamento Europeo o eIDAS — electronic IDentification Authentication and Signature regola la stessa materia per gli Stati Membri. La Firma Digitale nasce in Europa con lo scopo di far incontrare rappresentanti dei vari organismi di vigilanza nazionali, per l’armonizzazione dei principi e delle tecniche fondamentali che regolano la materia nei rispettivi Stati. Da un’indagine eseguita nel 2002 l’Italia era in testa alla classifica per numero di certificati emessi!

Dopo questo breve cenno storico torniamo al sodo!

Quando firmiamo un documento compiamo due azioni:
1. produrre un’impronta olografa, tramite il movimento, la pressione, la velocità di scrittura (ossia la firma autografa);

2. legare la seguente impronta alla nostra identità, nonché al documento che stiamo sottoscrivendo.

Nel momento in cui si firma un qualsiasi documento in presenza, tramite la vecchia e buona carta e penna, il certificatore sarà l’interlocutore di fronte a noi. Pensiamo ad esempio ad una firma apposta per l’invio di un pacco presso un Ufficio Postale, alla stessa azione compiuta per un movimento bancario o per la firma di un contratto. Come possiamo ben comprendere, in presenza non verrà mai messa in discussione la valenza legale della firma, ossia l’autenticità. Tanto meno l’integrità e il non ripudio cioè il documento non potrà essere modificato successivamente né lo stesso firmatario potrà negare di aver apposto la firma. Certo è che, a seguito di un documento firmato in presenza, si sono verificati casi dove, in qualche modo e in maniera illegale, si siano apportate modifiche al documento andando a falsare quell’atto.

La tecnologia migliora assolutamente problematiche di questo tipo, favorendo l’assoluta certezza al riguardo!

Dunque, quando apponiamo la nostra firma tramite strumenti informatici chi certificherà l’identità legata alla firma?

Lo farà un’entità chiamata Certificate Authority (CA) e quindi quel soggetto terzo di fiducia, pubblico o privato, abilitato ad emettere un certificato digitale. Sono aziende come Aruba, InfoCert, Poste Italiane, per citare le più note. Viene poi in nostro soccorso, in merito al problema introdotto sopra, sulla certezza della firma, il concetto di marca temporale. Questo servizio può essere erogato solo da una CA o meglio da una Time Stamping Authority (TSA).

La marcatura temporale di un file avviene generando l’impronta del file stesso detta Digest (o Hash) e inviandola alla TSA. Questa aggiunge al Digest la data e l’ora e firma il nuovo file creato con la propria firma digitale.

Quasi nessuno sa di utilizzare uno strumento di firma nella quotidianità. Pensate a quando digitate il PIN del bancomat o usate le vostre credenziali per accedere alla posta elettronica.

Cosa credete che state facendo?

Apponete una Firma Elettronica o Firma Semplice, nome derivato proprio dal fatto che si tratta di un dato connesso ad altro dato utilizzato per “firmare”. Come sapete, sono innumerevoli i casi di clonazioni o furti, proprio per questo la firma elettronica ha una bassa valenza, poco potere e dunque non ha valore legale.

Aumentando i gradi di potere della firma, successivamente a quella elettronica o semplice, ci sarà la Firma Elettronica Avanzata che identifica e garantisce la connessione univoca tra il firmatario e il documento e, inoltre, è creata con mezzi sui quali quest’ultimo ha un controllo esclusivo. Esiste libertà tecnologica, ma allo stesso tempo deve essere assicurata l’autenticità e l’integrità (Vi dicono qualcosa? Ve ne ho già parlato prima! Li ritroveremo sempre all’interno del concetto di Firma).

A fronte di questa libertà, il legislatore ha limitato l’efficacia giuridica della FEA ai soli rapporti intercorrenti tra il soggetto che dispone della FEA e il sottoscrittore che ne ha preventivamente accettato le condizioni di utilizzo. Vincolo, questo, che non vale per le Pubbliche Amministrazioni, le quali potranno utilizzare la FEA nell’ambito delle attività endoprocedimentali e nei rapporti con i cittadini.

Esempio di Firma Elettronica Avanzata la firma grafometrica, utilizzata sui tablet in contesti come banca, Uffici della Pubblica Amministrazione.

Avendo l’esigenza di avere ancora più sicurezza, dopo la FEA, avremo la Firma Elettronica Qualificata (FEQ), una firma che garantisce di poter risalire univocamente da un documento al suo sottoscrittore, apposta tramite un certificato qualificato e un dispositivo sicuro.

Il certificato qualificato è un documento informatico contenente un’attestazione dell’identità, proveniente da un soggetto terzo fiduciario (Certification Authority) riconosciuto a livello nazionale; per dispositivo sicuro si intende un dispositivo fisico, hardware, come un token USB che inserito nel PC permette di firmare il documento o un dispositivo ubicato presso un certificatore accreditato o il “chip” contenuto nella smartcard.

Dalla FEQ, per avere massimo potere e sicurezza, si passa alla Firma Digitale che è «una firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici». (Art.82, al numero 1(s) CAD — Codice Amministrazione Digitale)

Quindi ciascun soggetto firmatario di un documento deve disporre di:

• una chiave privata, nella disponibilità solo di colui che firma, che gli permette per l’appunto di firmare i documenti;
• una chiave pubblica, nota a tutti coloro che intendano leggere il documento e tramite la quale essi possono verificare che il documento sia stato effettivamente firmato dal soggetto in questione e non sia stato alterato nel tempo. La firma digitale apposta su un documento elettronico ne garantisce autenticità, integrità e non ripudio.

Come abbiamo visto, ogni tipologia di firma, come nell’ordine, va ad estendere l’efficacia, la sicurezza della firma stessa e va a semplificarne il processo.

Per le ultime tipologia di firma, quindi Firma Elettronica Qualificata e Firma Digitale, avremo sicuramente l’asset dunque l’hardware per apporre la firma, e sarà altrettanto importante scegliere il software di firma che ci permette di selezionare, firmare ed archiviare i documenti da firmare. Esempi sono GoSign, Aruba Sign, AskMe Sign.

Viene introdotto qui un importante concetto, quello di Libro Firma. E’ uno strumento semplice che è direttamente integrato con le diverse tipologie di firma a seconda delle esigenze di validità e sicurezza. Consente di visualizzare, convalidare e firmare i documenti in pochi click.

Per spiegarvi ancora meglio quanto sia intuitivo e facile l’utilizzo di un Libro Firma vi porto l’esempio di AskMe Sign, da PMO Area Prodotti Lascaux è davvero un piacere illustrarvi brevemente l’applicativo.

È necessario registrarsi alla piattaforma o scaricare l’app, creando così un accesso all’applicativo tramite User e Password. Una volta all’interno si potrà caricare il documento (pdf), scegliere tra Firma Digitale tramite le CA integrate, o firma grafometrica (la semplice firma autografa), o ancora un visto (il benestare), una volta compilato il documento si potrà confermare e in 1 minuto il processo sarà concluso.

Pensate al risparmio di tempo, di carta e di mail che questa tecnologia permette!