Verifica firma elettronica con Adobe Acrobat Reader

Hai appena firmato un documento elettronicamente o ti è stato inviato un documento firmato elettronicamente e desideri verificare l’autenticità della Firma PDF che è stata apposta su di esso? Adobe ha implementato una funzionalità direttamente nei lettore PDF, che consente ai suoi utenti di verificare rapidamente la loro validità.

Potresti aver già visto questa funzionalità una volta aperto il tuo PDF all’interno del software di letture, se firmato puoi verificare immediatamente la validità delle firme apposte su di esso, direttamente in Adobe Acrobat Reader.

Questa verifica è materializzata da un banner che appare sopra il documento e che mostra 3 cose in particolare per una firma:

• Un segno di spunta verde con le parole: "Firmato con firme valide"
• Un segno arancione con le parole: "Almeno una firma presenta un problema"
• Una croce rossa con la scritta: "Almeno una firma non è valida"

Tutti saranno d'accordo, è sempre meglio se la validità della firma venga sancita subito con un segno di spunta verde all'apertura del PDF. Tuttavia, laddove una croce rossa identifica la totale nullità di una o più firme in un documento, un segno arancione non sempre significa che possono esserci problemi.

Per verificare la validità delle firme elettroniche apposte sui documenti, Adobe Acrobat Reader possiede diversi criteri che gli consentono di "classificare" le firme.

• Il lettore PDF garantirà l'integrità del documento da un punto di vista puramente strutturale: i dati sono conformi a quanto firmato? Il PDF è stato modificato dopo la firma?

• Essendo stata realizzata la firma grazie a un certificato, Acrobat analizzerà questo certificato e definirà se non è scaduto o revocato quando viene utilizzato, e se è nel suo archivio attendibile per considerarlo come un certificato affidabile. Esistono diversi modi per ottenere questa prova di fiducia da Acrobat:

Il primo modo è entrare a far parte dell’ European Trusted List (EUTL), prettamente disciplinata dalle attuali normative europee (chiamate anche eIDAS). La lista di partner di fiducia europea ora include solo servizi qualificati e questo è il più alto livello di sicurezza europeo.

Questa qualifica si basa su:

• La verifica faccia a faccia dell'identità del firmatario
• L'applicazione delle misure di sicurezza all'intero servizio di emissione dei certificati
• Un audit di sicurezza a cui viene sottoposta la qualifica e il cui esito deve essere validato dall'ANSSI.
• A differenza dell'AATL, i requisiti e le regole che consentono di far parte di questo elenco sono regolati dalla normativa europea. Per il momento, solo questo elenco attesta un valore giuridico oggettivo.

Un secondo modo per ottenere fiducia è far parte dell'Adobe Approved Trust List (AATL) per le autorità di certificazione. Questo programma specifico di Adobe riunisce le autorità di certificazione, in base a dei requisiti tecnici dettati da Adobe. Queste liste sono quindi gestite da Adobe e i loro partecipanti rispettano le regole stabilite dall'azienda americana. Naturalmente, queste regole sono soggette a possibili modifiche imposte da Adobe.

Infine, l'autorità di certificazione che ha emesso il certificato è stata inserita manualmente su una specifica workstation. Pertanto, se le firme incluse nel documento vengono verificate in un sistema locale, Acrobat Reader visualizzerà un segno di spunta verde. D'altra parte, se questo stesso documento viene aperto su un PC non appartenente alla stessa rete di computer, il segno di spunta sarà di un colore diverso.

Quindi, per ottenere un segno di spunta verde in Acrobat e verificare la tua firma elettronica, si deve essere nell'AATL o nell'EUTL o in entrambe le liste.

Possono esserci dei casi in cui un’autorità di certificazione generi un segno di spunta arancione mentre rientra perfettamente nelle norme e nei regolamenti pertinenti.

Ad esempio, nel caso della firma elettronica avanzata, essere nell'AATL o nell'EUTL non è più sufficiente per ottenere un segno di spunta verde.

Entra infatti in gioco un altro criterio di selezione: il livello di certificazione per verificare la firma elettronica.

Non entreremo nei dettagli dei diversi livelli di firma poiché abbiamo già dedicato loro un articolo completo. In caso di firma avanzata, tutto dipende dal livello del certificato utilizzato. Ce ne sono sei, ma ai fini di questo articolo ne nomineremo solo due:

• Livello LCP (Lightweight Certificate Policy): il livello LCP è regolato dal regolamento  eIDAS e consiste in una prova di verifica dell'identità rispetto a un documento di identità caricato tramite una piattaforma.
• Il livello NCP (Normalized Certificate Policy): Il livello NCP corrisponde al livello LCP con prova fisica di faccia a faccia con il firmatario.

Pertanto, una firma avanzata, tramite l'emissione di un certificato di livello LCP, può essere certificata e quindi conforme alle normative eIDAS. Tuttavia, questa stessa firma avanzata verrà bollata con un segno di spunta arancione invece di un segno di spunta verde in Adobe Acrobat Reader.

Grazie ad Acrobat Reader, verificare la legittimità delle firme elettroniche presenti nel documento è estremamente semplice.

Tuttavia, il sistema di codifica a colori potrebbe trarvi in inganno. Un segno verde in Acrobat è ovviamente di buon auspicio, ma non può’ essere definito necessariamente come il Santo Graal della verifica della firma elettronica. Al contrario, un segno di spunta rosso annuncia ovviamente la totale nullità delle firme sul documento. Un segno arancione è nel mezzo, ma la sua presenza deve essere ben interpretata perché non indica sempre che c'è un problema con l'integrità delle firme nel documento.

-

Questo documento è fornito esclusivamente a scopo informativo. Non ne garantiamo la completezza, né che sia aggiornato rispetto alle normative vigenti. Questo documento non è fornito in sostituzione di una consulenza legale.