Firma digitale

Firmare dal latino FIRMARE, fermare, derivato di firmus ‘stabile, forte’; propr. ‘rendere forte, assicurare’, quindi ‘garantire apponendo il proprio nome, segnare col proprio nome’, ma che nei tempi barbari significò affermare solennemente, onde poi il senso di sanzionare, render fermo un atto con la sottoscrizione del proprio nome. – Segnare col proprio nome; riferito a lettere, o a qualsivoglia atto pubblico, o privato, scrittura, cedola, affine di riconoscerla, approvarla, autenticarla, sancirla, obbligarsi e simili.
(Fonte: www.etimo.it)

The Treaty of Paris, signed on September 3, 1783, ratified by the Congress of the Confederation on 14 January 1784 and by the King of Great Britain on 9 April 1784, formally ended the American Revolutionary War between the Kingdom of Great Britain and the United States of America, which had rebelled against British rule.

“Well, the long days at Camp David are over. But many months of difficult negotiations still lie ahead. I hope that the foresight and the wisdom that have made this session a success will guide these leaders and the leaders of all nations as they continue the progress toward peace. Thank you very much”

(Jimmy Carter, President of the United States of America)

.

La domanda sorge spontanea: “ma cosa hanno in comune la firma di due trattati di pace con un foglio di autorizzazione/rimborso spese?”

La firma, appunto!

Spesso ci capita di pensare alla firma come ad un atto solenne, legato ad eventi epocali, atti notarili, contratti, ordini di acquisto, accordi di partnership, verbali di riunioni, risposte a bandi di gara, denunce, ecc., senza invece renderci conto che apporre una firma è un qualcosa che nella vita di tutti i giorni ci troviamo a fare di frequente, basti pensare alle firme apposte sulle ricevute della carta di credito.

La “genesi”

Qualsiasi documento oggigiorno “nasce digitalmente” su un computer!

E’ auspicabile, nonché possibile, mantenerne la genesi digitale, facendogli percorrere “autostrade” digitali, dal pieno valore legale e nel pieno rispetto delle regole.

Cos’è?

La firma digitale è l’equivalente elettronico di una firma apposta su carta, garantisce l’autenticità, l’integrità e la non ripudiabilità di messaggi e documenti scambiati e archiviati con mezzi informatici. Dal punto di vista legale i documenti informatici sono pienamente equiparati, a ogni effetto di legge, a documenti con firma autografa, anzi forniscono allo strumento “firma digitale” caratteristiche tali da non consentire al sottoscrittore di disconoscere la propria firma digitale (fatta salva la possibilità di querela di falso).

Il valore della firma digitale

Per legge, la firma digitale viene equiparata a quella autografa, oltre a essere riconosciuta come un vero e proprio sigillo. A differenza di quanto è previsto per la firma tradizionale/autografa, in caso di contestazioni in tribunale deve essere il presunto firmatario a dover dimostrare di non aver messo il proprio timbro in calce al documento contestato. Se non riesce a provare il contrario, la firma viene considerata autentica.

La credibilità della firma digitale è decisamente più pesante di quella di una normale firma elettronica, o autografa!

Chi la può usare?

Possono dotarsi di firma digitale tutte le persone fisiche: cittadini, amministratori e dipendenti di società e pubbliche amministrazioni. Per dotarsi di firma digitale è necessario rivolgersi ai certificatori accreditati, Certification Authority (CA), ossia terze parti che certificano e garantiscono l’identità di chi firma.
L’elenco di tali soggetti è, per legge, pubblicato sul sito del AGID – Agenzia per l’Italia Digitale

Diffusione e utilizzo

Dalle analisi del F.E.S.A. (Forum of European Supervisory Authorities for Electronic Signatures) è emerso che nel 2002 l’Italia era con 500.000 certificati lo Stato con la maggiore diffusione di certificati, seguita dalla Norvegia con 32.000 e dalla Germania con 26.000. Nel primo trimestre 2004 il numero dei dispositivi rilasciati in Italia per la firma digitale ha superato 1.250.000 unità e, ad oggi, abbiamo superato la soglia di 3.200.000 di unità. Questi numeri suggerirebbero un grande utilizzo dello strumento firma digitale in Italia, mentre così non è, in quanto gli oltre 3 milioni di firme digitali vengono utilizzate principalmente per adempimenti obbligatori di ordine amministrativo/fiscale (tipicamente l’invio telematico dei bilanci delle società alle CCIIA) e dove molto spesso, i titolari dello strumento delegano l’operazione di firma a chi, per loro conto, è incaricato agli adempimenti di cui sopra (leggasi ragionieri, commercialisti, avvocati, ecc.).

Aggiornamenti 2014/18

Dai dati forniti dai certificatori accreditati, dal maggio 2014 a giugno 2018 risulta un incremento di quasi quatto volte per i certificati di firma digitale attivi: al mese di maggio 2014 risultavano 5.319.800 certificati, a giugno 2018 20.690.513 certificati in corso di validità. Si stima che circa lo 83% dei certificati di firma digitale attivi afferiscano a sistemi di firma remota.

Fonte AgID: http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/firme-elettroniche

Correva l’anno 2011

La firma digitale è oggi una tecnologia necessaria e diffusa, sempre meno complicata da usare.

Perchè usarla – Benefici

Stime recenti dicono che in un anno le aziende USA stampano/producono 30 miliardi di documenti. Gestire “la carta” in azienda – produzione e archiviazione del documento cartaceo – può raggiungere costi fra $60-$120 per singolo documento. Inoltre, l’uso della firma digitale determina notevoli vantaggi attraverso:

conformità legali e limitazioni di responsabilità;
riduzione dei tempi e costi associati ai processi documentali basati su “carta”;
accelerazione ed automazione dei processi di business;
garanzia di sicurezza/integrità del documento digitale.

Come funziona?

Usando Bob ed Alice, illustreremo in tre passaggi, come una firma digitale viene apposta (da Bob) e verificata (da Alice).

Punto 1: Bob si dota degli strumenti per firmare

Bob deve dotarsi di una coppia di chiavi, una privata e una pubblica ed un certificato che attesti l’identità di Bob, richiedibili ad una Certification Authority (CA), la terza parte che certifica e garantisce l’identità di chi firma, Bob appunto.

La chiave privata non viene scambiata, condivisa, conosciuta da nessuno che non sia il legittimo proprietario, cioè Bob, e viene usata esclusivamente da Bob per firmare il documento. La chiave pubblica invece è pubblica (per l’appunto) e serve a coloro i quali hanno la necessità di convalidare la firma digitale apposta da Bob (“si, questa è la firma di Bob!”).

Punto 2: Bob firma
Per Bob l’operazione di firma del suo documento elettronico può ridursi ad un semplice click sul pulsante “firma” presente sulla toolbar del suo programma di editing.
Ma dietro il semplice click, ciò che avviene è:

Creazione della firma digitale: creazione dell’impronta del documento, meglio nota come document hash, o message digest utilizzando un algoritmo matematico (SHA-1). Quasta operazione di hashing fa si che la minima differenza fra due documenti (anche solo di una virgola) generera un’impronta digitale differente per ciascun documento e quindi il documento risulta alterato e non più integro.
Allegare la firma al documento: l’impronta del documento (hash) ed il certificato digitale di Bob (che comprende la sua chiave pubblica) vengono uniti nella e con la firma digitale (usando la chiave privata di Bob per la cifratura dell’hash del documento). Infine, la firma digitale viene allegata al documento.

Bob inoltra il documento firmato ad Alice. Alice, ricevuto il documento, usa la chiave pubblica di Bob (che è inclusa nella firma all’interno del certificato digitale) per autenticare la firma di Bob e per accertarsi che il documento firmato non abbia subito nessun cambiamento che è stato firmato.

Punto 3: Alice verifica

Alice:

Inizia il processo di convalida: a seconda del software in uso, Alice deve iniziare il processo di convalida della firma, ad esempio clickando sul pulsante “Convalida firma” presente come opzione nella sua toolbar menu del programma SW che sta utilizzando.
Decripta la firma di Bob: utilizzando la Chiave Pubblica di Bob ottiene il documento originale (l’impronta digitale del documento).
Confronta l’impronta digitale del documento inviato da Bob con quella da lei calcolata: il programma software di Alice calcola quindi l’hash del documento (ricevuto) e lo paragona all’hash del documento originale, di cui sopra al punto 2. Se identici, il documento firmato non è stato alterato, e quindi è valido.

Ma c’è ancora un elemento che manca a questa descrizione.

Come può Alice sapere se Bob è effettivamente lui, o non un altra persona?

L’identità di Bob viene garantita da una terza parte fidata, che lo conosce e che possa verificare che sia effettivamente chi sostiene di essere. Questa terza parte di fiducia non sono altro che le Certification Authority, che emettono certificati per assicurare l’identità e l’autenticità del firmatario. I certificati possono essere paragonati ai passaporti emessi da ogni paese per i suoi cittadini, al fine di permettergli di viaggiare. Allorquando un viaggiatore arriva in un paese straniero, non vi è alcun modo per autenticare/verificare l’identità del viaggiatore, se non quella di fidarsi dell’ente emittente il passaporto (l’ufficio passaporti del paese d’origine), ed usare il passaporto per autenticare/verificare l’identità del suo titolare, nello stesso modo in cui Alice usa il certificato della CA per autenticare/verificare l’identità di Bob.

L’evoluzione della specie

2013: la “novità”, la FEA

La firma elettronica avanzata (FEA) deve garantire:

l’identificazione del firmatario del documento
la connessione univoca della firma e del documento al firmatario
il controllo esclusivo del firmatario del sistema di generazione della firma (inclusi gli eventuali dati biometrici)
l’integrità del documento firmato

Art. 1 comma 1 lettera q-bis (CAD) – Art 55 DCPM 22 febbraio 2013 (regole tecniche)

50 sfumature di firma

Come orientarsi

ROI – Return On Investment

Prima

Dopo

Per approfondimenti ulteriori: Firma Facile – Una tecnologia utile deve essere usabile