Firma digitale: come funziona e come ottenerla

In molti settori lavorativi la firma digitale è diventata obbligatoria, vediamo in cosa consiste, come si usa e come fare per ottenerla.
In molti settori lavorativi la firma digitale è diventata obbligatoria, vediamo in cosa consiste, come si usa e come fare per ottenerla.

La firma digitale è lo strumento per firmare documenti digitali di vario genere, dalle fatture elettroniche ai bilanci aziendali.
In questo articolo approfondiremo l’argomento, indicandoti le finalità d’uso della firma digitale, come e dove richiederla e quando sei obbligato a usarla.

Cos’è la firma digitale e a cosa serve

Cominciamo la nostra guida specificando che la firma digitale non è una semplice firma elettronica, ma una procedura informatica, basata su chiavi crittografiche, che dà valore legale a documenti informatici, ed è definita come firma elettronica qualificata. Secondo la legge, un documento informatico è “la rappresentazione informatica di atti, fatti e dati giuridicamente rilevanti”. Garantisce l’identità di chi firma e l’integrità del documento, che una volta firmato non può essere né modificato né ripudiato.

Come si legge sul Codice dell’Amministrazione Digitale, “l’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi”. In altre parole soddisfa tutti i requisiti della firma scritta.

Nello specifico, possiamo distinguere tra firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale. La “semplice” firma elettronica non ha alcun valore legale, mentre la firma elettronica qualificata certifica l’integrità del documento. La firma qualificata, invece, certifica sia l’originalità che l’integrità dei documenti, ma è la firma digitale ad avere pieno valore legale.

Dunque, ha lo stesso valore della firma autografa. Serve a firmare e dare validità a contratti,  atti amministrativi, bilanci aziendali, dichiarazioni, autocertificazioni, visure.
Permette di risparmiare tempo e diminuire gli sprechi, riducendo i costi di conservazione del documento; la dematerializzazione dei documenti, infatti, aiuta a snellire le pratiche di Pubbliche Amministrazioni e aziende.

La firma digitale deve avere tre requisiti precisi:

  • Autenticità: oltre a verificare l’identità di chi l’ha firmato, attesta che il documento è originale e chi l’ha sottoscritto è consapevole del suo contenuto
  • Integrità: il documento, dal momento in cui è stato firmato, non ha subito alcuna modifica
  • Non ripudiabilità: chi ha firmato il documento non può disconoscerlo (può sol

La firma si può apporre in documenti di vari formati, tra cui .rtf, .jpg, .txt, .ASCII standard, .xml.

Firma digitale: come funziona

Come accennato, per funzionare, utilizza un meccanismo di chiavi crittografiche. Il titolare al momento dell’acquisto, ottiene due chiavi crittografiche: una pubblica e una privata.
Il certificatore, cioè chi conferisce questa tipologia di firma, assegna una chiave pubblica, un numero binario di 2048 bit, al richiedente. La chiave pubblica è nota a tutti, mentre la chiave privata è a uso esclusivo del titolare.

Ciò che il titolare cifra con la chiave privata, può essere decifrato con la chiave pubblica.

Entriamo più nel dettaglio e vediamo come funziona la firma digitale.

La procedura per apporre la firma comincia con il calcolo dell’impronta digitale del documento, che avviene attraverso l’hashing del documento, cioè l’applicazione della funzione di hash al documento. L’impronta digitale è una stringa di lettere e cifre, lunga 64 caratteri, ed è unica per ogni documento: non esistono due file diversi con la stessa impronta hash. Basta infatti modificare un solo bit del documento per generare un’impronta differente.

Ottenuto l’hash del documento, possiamo procedere alla cifratura e alla generazione della firma tramite la nostra chiave privata. Il software invia il documento all’ambiente dove è conservata la chiave privata, che viene attivata da un codice PIN assegnato al titolare; nel caso di firma remota, oltre allo user name e alla password si dovrà generare il codice OTP con il dispositivo apposito. La cifratura dell’impronta, cioè della funzione di hash, si traduce nella firma elettronica del documento. Chi riceve il documento, può decifrarlo attraverso la chiave pubblica.

Il destinatario del documento, utilizzando un software specifico, verifica la firma digitale e acquisisce la chiave pubblica del titolare, con la quale decripta la stringa della firma, ottenendo così l’impronta digitale del documento. Il destinatario applica la funzione hash sul documento e ricalcola l’impronta, che deve coincidere con l’impronta originaria: in tal caso, c’è la prova che il documento è valido e integro.

Come si usa la firma digitale

Abbiamo visto come funziona, dal punto di vista informatico, la procedura di apposizione della firma digitale. Ora vediamo invece come applicare nel concreto il processo.

Intanto, chi si vuole dotare di una firma digitale, deve acquistare un apposito kit da uno degli enti certificatori (l’elenco si trova sul sito dell’Agenzia delle Entrate) oppure richiederlo alla Camera di Commercio più vicina.
Il kit solitamente è un token USB completo di software; la maggior parte dei certificatori offrono anche la possibilità di acquistare una smart card con apposito lettore. La firma digitale può essere apposta inoltre tramite funzioni come la generazione di codici OTP (One Time Password). Tra i kit a disposizione troviamo anche l’OTP USB, costituito da un device USB e da una sim. Ogni provider propone un suo kit e una sua procedura di attivazione.

Una volta acquistato, il kit va attivato, seguendo la procedura indicata dal provider. Qualora sia necessario, vanno aggiornati software e driver. Avviando il programma, si potrà selezionare il file da firmare digitalmente, scegliendo il formato che si vuole: PM7, che contiene sia il file originario che il file della firma elettronica, il PDF, che reca la firma sul documento, oppure XML. Il PDF è il formato consigliato.

Va ricordato che con l’acquisto della firma digitale è necessaria l’identificazione personale, che può avvenire da un pubblico ufficiale in Comune, in un ufficio postale oppure a domicilio, anche via web cam. I documenti utilizzabili sono diversi: oltre alla carta d’identità e alla patente di guida, sono validi la carta d’identità elettronica, il libretto di pensione, il passaporto e altri documenti.

I software per la verifica della firma elettronica accertano che il documento non abbia subito modifiche, che il certificato sia garantito da un’autorità di certificazione inclusa nell’elenco pubblico e che non sia scaduto o sospeso. In fase di firma, ti sarà chiesto il pin della smart card (mentre il destinatario non ne avrà bisogno).

Applicando una marca temporale, assoceremo una data e un’ora certa al documento, assicurando la validità nel corso del tempo. La marca temporale, dunque, consente di attestare la data esatta in cui si ha applicato la firma.

Detto questo, vediamo come si usa uno dei software di firma più diffusi, DIKE. Dopo aver verificato che la smart card sia perfettamente inserita nel lettore, clicchiamo su “Firma”. Selezionato il file da firmare, dal menù a tendina va selezionata la firma p7m Cades. Ora è il momento di inserire il pin della smart card e cliccare su Firma. Il software a questo punto genera un file con estensione .p7m nella cartella in cui è contenuto il file originale. Per avere la certezza della firma, occorre attendere il messaggio “Documento firmato”.

 

firma digitale cos'è

Dove si usa la firma digitale

La firma digitale serve a firmare documenti informatici e dargli valore legale: rispetto alla firma tradizionale, dà più garanzie di sicurezza e autenticità, si può usare in tutti quei documenti che sottoscrivono una volontà o un adempimento: cambi di residenza, richieste di contributi, esenzioni da pagamenti, sottoscrizione di contratti e verbali, risposte a bandi di gara e in tutti i casi in cui può sostituire la tradizionale firma autografa.

Ci sono casi, inoltre, in cui la firma elettronica digitale è obbligatoria: approfondiremo in un paragrafo ad hoc l’argomento.

Come e dove richiedere la firma digitale

Per avere una firma digitale, devi rivolgerti a un ente certificatore riconosciuto: puoi trovare l’elenco sul sito dell’Agenzia delle Entrate; in alternativa, puoi informarti presso la sede più vicina della Camera di Commercio. I provider mettono a disposizione varie soluzioni: kit, smart card più lettore e software, oppure dispositivi che sfruttano l’OPT. Sia il kit che la smart card contengono un certificato di firma digitale rinnovabile. La firma digitale remota utilizza invece il sistema della One Time Password.

La differenza tra i kit con token USB e lettore con smart card e la firma digitale remota con OTP sta nel fatto che la chiavetta USB può supportare anche il certificato di Carta Nazionale dei Servizi, non ha bisogno di connessione al web e, nel caso di token automatico, non necessita nemmeno di software. La smart card con CNS permette di accedere ai servizi online dell’Agenzia delle Entrate.

Come accennato, momento dell’acquisto della firma digitale, dovrai essere riconosciuto, anche attraverso video; inoltre, dovrai avere con te un documento di identità valido. Nel caso in cui appartenga a un ordine oppure rivesta un ruolo in un ente pubblico, ti sarà richiesta ulteriore documentazione.

Provider qualificati: i costi per ottenere la firma digitale

Vediamo dunque alcuni dei principali provider qualificati e certificati che propongono i propri kit e servizi di firma digitale.

Actalis

Actalis fa parte del gruppo Aruba, uno dei maggiori del settore, e può vantare le certificazioni eIDAS e ISO. Actalis offre servizi di firma digitale, qualificata, remota (cioè che fa uso di dispositivi OTP) e grafometrica, con diverse tipologie di kit a disposizione del cliente (kit completi, smart card + lettore, OTP), con prezzi che vanno dai 25 ai 60 euro.

Aruba Pec

Il servizio di pec e firma digitale di Aruba prevede kit e dispositivi OTP a partire da circa 36 euro più Iva. I kit disponibili sono composti da lettore e smart card, Aruba Key oppure il token USB. Aruba dà la possibilità anche di acquistare solo la smart card. Tra i servizi, troviamo la firma digitale, la firma grafometrica, la firma remota e remota automatica massiva.
Aruba è uno delle aziende più note per i servizi IT, la prima in Italia, e può vantare oltre 5 milioni di clienti.

Cedacri

Cedacri è specializzata nel settore finanziario, bancario e assicurativo: può vantare diverse certificazioni ISO e oltre 200 clienti. Cedacri fa parte dell’Elenco Pubblico di AgID (Agenzia per l’Italia digitale) dal 2001 come Certification Authority. I servizi comprendono la firma digitale, la firma remota e anche la firma biometrica. Per sapere dei prezzi, è necessario contattare l’azienda.

In.Te.Sa.

Parte del gruppo IBM, In.Te.Sa propone servizi di firma digitale elettronica semplice e avanzata, firma remota e firma grafometrica, focalizzandosi soprattutto sui clienti business. L’azienda è Certificatore Accreditato AgID dal 2001 e Qualified Trust Service Provider ai sensi del Regolamento eIDAS.

Infocert

Infocert è un marchio del Tinexta Group specializzato nei servizi di dematerializzazione, tra cui la forma digitale. Tra i  kit per la firma digitale, troviamo la wireless Key e la Business Key. È possibile anche scegliere la firma remota o l’acquisto della smart card. Il riconoscimento dell’identità del richiedente è disponibile anche via video. I prezzi partono da 29 euro + iva.

Poste Italiane

Anche il gruppo Poste Italiane fa parte degli enti certificatori accreditati e offre kit per privati e business, destinanto alle PA e alle imprese.
I costi per la firma digitale vanno dai 25 ai 60 euro circa, iva esclusa.

Zucchetti

La nota software house italiana Zucchetti offre servizi di firma digitale e firma remota per privati e aziende. I costi per la firma remota si attestano intorno alle 45 euro più Iva, mentre la Business Key costa 60 euro più Iva. Tra i servizi, troviamo anche le marche temporali e la PEC.

Contratto con firma digitale

Per chi e quando è obbligatoria la firma digitale

Non tutte le partite Iva sono obbligate ad averla, tuttavia esistono delle situazioni in cui professionisti e imprese devono utilizzarla per legge.

La fatturazione elettronica verso le PA, intanto, contempla l’uso di firma certificata e PEC: nel caso di collaborazioni con comuni, regioni, scuole e ospedali pubblici, imprese e professionisti devono dotarsi di firma digitale.
E’ obbligatoria anche per partecipare a concorsi e bandi pubblici.
Bilanci, atti e documenti ufficiali di aziende, società e associazioni devono essere firmate digitalmente. Anche l’iscrizione ai registri dei Revisori Contabili ne prevede l’uso. Dal 2 marzo 2020, inoltre, è scattato l’obbligo di firma digitale per la presentazione delle pratiche al Registro delle Imprese.

In realtà, come già detto, non solo questa tipologia di firma può sostituire in tutti i casi la firma autografa, ma la tendenza alla dematerializzazione e al risparmio di carta porterà tutti a dotarsi di tale dispositivo. Dunque, soprattutto se sei un libero professionista a partita Iva, dotarsi di una firma digitale accreditata è una scelta saggia, soprattutto in previsione futura.

Link copiato negli appunti

Ti potrebbe interessare

28 12 2020
Link copiato negli appunti