Come proteggere i dati della tua azienda con firme elettroniche sicure

I temi della firma elettronica e della protezione dei dati aziendali sono intimamente legati, e questo attraverso diversi punti di contatto che andiamo a esplorare in questo articolo, insieme alle diverse informazioni e normative che bisogna conoscere sulla questione.

Firma elettronica e sicurezza dei dati aziendali sono due tematiche strettamente connesse poiché:

• Il GDPR e altre normative sulla privacy richiedono, al fine della conformità aziendale, l'adozione di robuste misure tecniche per la protezione dei dati personali oggetto di trattamento. Utilizzando soluzioni di firma elettronica sicure e in regola con la normativa, è possibile assicurarsi tale conformità.
• Grazie alla verifica dell'identità del firmatario, le tipologie di firma elettronica più sicure (come la Firma elettronica avanzata e la Firma elettronica qualificata o firma digitale) consentono di prevenire truffe e furti d'identità.
• Le stesse tipologie di firma elettronica sopra citate garantiscono l'integrità del documento firmato dopo la firma, proteggendo i documenti aziendali dalle manomissioni.
• L'utilizzo di firme elettroniche sicure emesse attraverso prestatori di servizi fiduciari qualificati riduce il rischio di data breach al momento della firma e durante lo scambio di documenti sensibili.
• Gli stessi prestatori spesso si occupano anche di archiviare i documenti firmati in modo sicuro e conforme.

Come abbiamo spiegato più volte, esistono fondamentalmente tre grandi tipologie di firma elettronica:

• La Firma elettronica semplice (FES) – quella con il livello di sicurezza più basso e fondamentalmente priva di caratteristiche specifiche a norma di legge.
• La Firma elettronica avanzata (FEA) – prevede una verifica dell'identità del firmatario tramite documento d'identità che lega in modo inequivocabile quest'ultimo alla firma apposta e al documento firmato, che viene “congelato” nel momento dell'apposizione consentendo la dimostrazione della sua successiva integrità. Questa tipologia di firma, così come la Firma elettronica qualificata o Firma digitale, può essere proposta solo da un prestatore di servizi fiduciari qualificato. La FEA può essere apposta come firma grafometrica (vale a dire a mano tramite un terminale digitale) o da remoto. In questo secondo caso, per verificare l'identità del firmatario, oltre al documento d'identità è previsto l'utilizzo di una one-time password (OTP), una password valida una sola volta che il firmatario riceve su un suo dispositivo e che deve inserire a conferma della firma.
• Firma elettronica qualificata (FEQ) o firma digitale – prevede l'utilizzo di una coppia di chiavi elettroniche crittografate e di una smart card o un token controllati dal firmatario in modo esclusivo. Rappresenta, dunque, la tipologia più sicura, e anche se non è strettamente necessaria in genere per accordi tra cittadini o aziende o tra aziende, viene spesso richiesta dalla Pubblica Amministrazione.

Dato che prevede il trattamento di dati personali – come ad esempio quelli anagrafici, dati biometrici e così via – anche nell'utilizzo della firma elettronica le aziende devono agire in conformità con il GDPR. In particolare:

• il trattamento dei dati del firmatario da parte dell'azienda deve corrispondere ai criteri di liceità, trasparenza e minimizzazione del trattamento;
• il firmatario deve essere informato sulle finalità del trattamento ed esprimere il suo consenso;
• la sicurezza dei dati trattati deve essere garantita tramite misure consone a proteggerla;
• il firmatario è sempre detentore di diritti come l'accesso, la cancellazione e la portabilità dei dati.

La normativa eIDAS (acronimo che sta per Electronic Identification, Authentication and trust Services) è in vigore dal 2014 ed è stata di recente riformata e integrata con un provvedimento noto come eIDAS 2.0. Costituisce il framework normativo di riferimento a livello europeo e va a completare, in Italia, il Codice dell'Amministrazione Digitale, che aveva già gettato in precedenza le basi per l'uso della firma elettronica nel nostro paese.

Con lo scopo di uniformare e rendere sicuri i servizi fiduciari digitali in tutta l'Unione Europea, con particolare riferimento alla firma elettronica il regolamento eIDAS stabilisce quanto segue:

• esistono tre tipologie fondamentali di firma elettronica: semplice, avanzata e qualificata. Nel caso delle ultime due tipologie, ciascuna è dotata di specifiche caratteristiche tecniche che permettono di identificare il firmatario e legarlo al documento firmato;
• vige un principio di non disconoscimento della firma elettronica, a cui non può essere negata la validità legale solo perché, appunto, avvenuta per via digitale;
• Firma elettronica qualificata e firma autografa sono del tutto equiparabili;
• i dispositivi per la generazione della Firma elettronica qualificata devono essere sicuri e certificati da organismi appositi. In Italia, questo compito è svolto dall'OCSI (Organismo di Certificazione della Sicurezza Informatica)
• i servizi fiduciari, come la firma elettronica, possono essere forniti solo da fornitori autorizzati, noti come prestatori di servizi fiduciari qualificati o con l'acronimo inglese QTSP. Tali prestatori sono enti o aziende private che vengono accreditati da organismi nazionali a svolgere tale compito. In Italia, l'ente accreditatore è l'AgID, l'Agenzia per l'Italia Digitale. Tra gli altri servizi che rientrano in questa categoria vi sono il sigillo elettronico, le marche temporali, l'autenticazione dei siti web, il recapito certificato (SERC) e, a seguito delle riforme che saranno implementate con l'eIDAS 2.0, archivi digitali qualificati (e-archiving).

La normativa eIDAS, dunque, mette al centro della firma elettronica dei rigorosi standard tecnici e delle figure di prestatori di servizi certificate, in grado di garantire la sicurezza e dunque la validità legale elle firme.

Vediamo ora alcuni consigli per la protezione dei dati in azienda:

• Attenzione al fattore umano – la sicurezza informatica è, in buona parte, una questione di conoscenze e buone pratiche del tutto umane. Formare i tuoi dipendenti, collaboratori, dirigenti e partner è indispensabile per renderli consapevoli dei rischi e delle misure da adottare per prevenire frodi, data breach e altri problemi di cybersicurezza.
• Implementa l'autenticazione multifattoriale e password sicure – rendi sicuri i tuoi accessi con password solide, periodicamente modificate e ulteriormente rafforzate da un'autenticazione multifattoriale. Puoi prevedere anche l'utilizzo della biometria.
• Usa un approccio “zero trust” - ogni singolo dipendente e collaboratore deve accedere solo alle informazioni che sono indispensabili per lo svolgimento del suo ruolo. In questo modo, anche nel caso in cui un account venga violato, i dati esposti saranno solo una parte.
• Automatizza i backup – solo rendendo i backup frequenti e automatici potrai proteggerti dalla perdita dei dati, ad esempio in caso di guasto, errore umano, o attacco da parte di cybercriminali.
• Prevedi workflow rigidi – grazie a flussi di lavoro precisi e sicuri, si possono evitare tutti quei rischi legati a operazioni poco chiare.
• Usa firewall e antivirus di ultima generazione – passiamo all'aspetto più tecnico della questione, che naturalmente prevede la messa in campo di strumenti di protezione digitale che vanno tenuti costantemente aggiornati.

Esistono fondamentalmente due errori che le aziende possono compiere nell'utilizzo della firma elettronica. Il primo, è scegliere una tipologia di firma non adatta alle loro esigenze. In genere, le aziende optano o per la Firma elettronica avanzata (FEA) o per la Firma elettronica qualificata. Se la prima è immediata e semplice da usare, la seconda presenta, a fronte di una maggiore sicurezza, alcune complicazioni e costi più elevati.

Quali sono, dunque, i casi d'uso per ciascuna tipologia? Vediamoli subito:

• La Firma elettronica avanzata è una soluzione già sufficiente se i documenti da firmare sono contratti di lavoro, contratti con i clienti, bolle di consegna, documenti relativi a fornitori e partner, documenti bancari e assicurativi, informative sulla privacy, non discosure agreements e così via.
• La Firma elettronica qualificata o Firma digitale è invece la tipologia necessaria per tutta una serie di documenti di interesse pubblico, come i bilanci, le candidature per gli appalti pubblici, i contratti di locazione inferiori a 9 anni (e che prevedono dunque una registrazione presso l'Agenzia delle Entrate) e via dicendo.

A meno che i documenti che la tua azienda deve firmare non rientrino nella casistica della FEQ, ti consigliamo di adottare la FEA, che è più maneggevole ed economica.

Il secondo possibile errore riguarda la scelta di una soluzione di firma elettronica poco in linea con le esigenze dell'azienda. I migliori prestatori di servizi fiduciari qualificati, infatti, non si limitano a offrire, per così dire, una firma elettronica pura, ma includono nelle loro piattaforme delle funzionalità che possono essere utili alle aziende, come moduli per i documenti più frequenti, workflow automatizzati, reminder automatici, e così via. Scegli una soluzione che semplifichi la vita della tua azienda, grazie a funzionalità adatte alle sue necessità.

Un altro punto da prendere in considerazione nella scelta del prestatore giusto è tecnico. Desideri un'applicazione di firma pronta all'uso, o un'API da integrare nei tuoi sistemi informatici esistenti? Quest'ultima opzione può essere particolarmente utile se elabori i tuoi documenti attraverso un sistema di gestione documentale.

Noi di Yousign abbiamo realizzato una soluzione di firma elettronica che ha tutto quello che occorre alla tua azienda per firmare in tutta comodità i documenti mantenendo al sicuro i suoi dati:

• Siamo un prestatore di servizi fiduciari qualificati conforme a eIDAS e GDPR
• Offriamo diverse tipologie di firma elettronica
• La nostra soluzione è disponibile in un'applicazione SaaS pronta all'uso e in un'API integrabile con facilità nei tuoi sistemi
• Grazie all'hosting in Francia, garantiamo la massima sicurezza ai tuoi dati e documenti
• Forniamo numerose funzionalità utili, come workflow automatizzati, modelli per i documenti più frequenti, reminder automatici, un team di assistenza al tuo servizio.

Il risultato? Con la nostra soluzione il 60% dei documenti viene firmato entro soli 15 minuti.

Scopri tutti i vantaggi della firma elettronica Yousign prenotando una demo. O provala gratis per 14 giorni!