Cybersicurezza e firma elettronica: tutto quello che c'è da sapere

Quello della sicurezza informatica è uno dei temi più cruciali e urgenti degli ultimi anni sia per i comuni cittadini che per le aziende. A confermarlo, ci sono i dati: secondo l'ultimo rapporto Clusit, nel secondo semestre del 2024 gli attacchi cyber sono cresciuti del 23% rispetto al semestre precedente. Una vera e propria impennata, che vede l'Italia tra i paesi più colpiti, con ben il 7,6% degli incidenti che si verifichino nel mondo. A titolo comparativo, basti sapere che il nostro paese ospita solo lo 0,88% della popolazione mondiale.

Gli strumenti e le pratiche che ci permettono di operare in un ambiente digitale più sicuro sono quindi un'assoluta priorità. A questo proposito, oggi vogliamo approfondire un tema particolare: il rapporto tra firma elettronica e cybersicurezza.

Lo scopo di questo post è rispondere a una domanda che si pongono tutte le aziende che si stanno muovendo nella direzione della transizione digitale, ovvero quali sono i servizi digitali che è bene adottare per ottenere un livello di sicurezza in grado di resistere agli attacchi? La firma elettronica è uno di questi? E come implementarla nel miglior modo affinché si dimostri resiliente nei confronti delle sfide del cybercrimine? Lo vedremo insieme, ma prima facciamo una panoramica su cos'è una firma elettronica, sulle sue diverse tipologie e sui loro livelli di sicurezza. 

Cominciamo con una definizione: una firma elettronica è uno strumento digitale che permette di collegare in modo un univoco un firmatario a una firma apposta in modo digitale su un documento tramite un sistema di crittografia. A seconda del livello di sicurezza che offre, può anche garantire che un documento non venga modificato successivamente all'apposizione della firma. 

Viene ormai ampiamente utilizzata negli ambiti più diversi per snellire e velocizzare i processi di firma, consentendo la firma da remoto di documenti che vanno dalle bolle di consegna ai contratti di lavoro, i bilanci aziendali, le compravendite e molto altro.  

Le firme elettroniche non sono tutte uguali, ma si distinguono in quattro tipologie:

• Firma elettronica semplice: chiamata talvolta anche solo firma elettronica, è la tipologia più ampiamente utilizzata per la sua rapidità e facilità. Questa categoria, in pratica, raccoglie tutte le firme che non rientrano nelle categorie successive. Può essere o meno accompagnata da tecnologie che ne rafforzano il valore giuridico, come ad esempio il sistema a doppia autenticazione che proponiamo noi di Yousign. Può essere impiegata per documenti come consensi alla privacy, conferme d'ordine, preventivi, ordini, condizioni generali di contratto e via dicendo. 
• Firma elettronica con OTP: in questo caso, per apporre la firma il firmatario deve inserire una password valida solo una volta e della durata di pochi minuti (ad esempio un codice di sei cifre che gli viene inviato via SMS). Questo aggiunge un livello di sicurezza in più, prevedendo un'identificazione più forte del firmatario. Può essere utilizzata per lettere d'incarico, pre-contratti, preventivi e molti altri documenti.
• Firma elettronica avanzata: detta anche FEA, prevede dei criteri di verifica dell'identità più rigidi e rigorosi, permettendo una connessione univoca della firma al firmatario, la verifica dell'integrità del documento, l'individuazione del soggetto che ha erogato il documento stesso e una connessione univoca della firma al documento sottoscritto. Viene impiegata per atti di compravendita, contratti assicurativi, documenti bancari e via dicendo. 
• Firma elettronica qualificata: quest'ultima tipologia, nota anche come firma digitale, offre il livello di sicurezza più elevato grazie a precisi vincoli normativi che riguardano la modalità di verifica dell'identità del firmatario e la protezione della chiave di firma. Prevede l'esistenza di una coppia di chiavi asimmetriche, una chiave pubblica e una chiave privata nota solo al titolare, un metodo noto come crittografia a doppia chiave che è in grado di garantire la massima sicurezza. Nei fatti, ha valore legale equivalente a una firma autografa ed è riconosciuta in tutta la UE. La verifica dell'identità del firmatario avviene da remoto o a seguito di un incontro fisico, quindi gli viene consegnato un “token” (ad esempio una chiavetta USB o una smart card) che serve per la convalida dell'identità. In alternativa, è possibile utilizzare un token “virtuale” su cloud. Com'è facile comprendere, la firma digitale è l'ideale per documenti particolarmente delicati come gare d'appalto pubbliche, libri societari, bilanci e così via.

Vediamo ora i passaggi da seguire per ottenere ciascuna categoria di firma elettronica.

Considerato che la definizione di firma elettronica semplice è quella che abbiamo dato poco sopra – vale a dire qualunque firma elettronica che non sia avanzata o qualificata – è facile capire che si tratta di un concetto molto ampio. La firma che mettiamo sul terminale di un fattorino che ci consegna un pacco può essere ad esempio fatta rientrare in questa categoria. 

Tuttavia, è possibile rafforzare la validità e la sicurezza di una firma elettronica semplice con soluzioni come quelle che offriamo noi di Yousign, che combinano massima praticità e velocità con una registrazione dei dati della firma e un'autenticazione più forte del firmatario.

Vediamo come si fa a ottenere una firma elettronica avanzata, vale a dire la tipologia di firma con un livello di sicurezza intermedio:

• Rivolgiti a un prestatore di servizi fiduciari accreditato come Yousign.
• Carica il tuo documento d'identità perché il provider possa effettuare le dovute verifiche
• Una volta verificata la tua identità, potrai firmare i documenti da remoto inserendo un codice OTP inviato dal provider via SMS o tramite altro canale.

È importante notare che questa tipologia di firma, anche se non viene considerata la più sicura in assoluto, è già sufficiente per le esigenze della maggior parte dei singoli cittadini e delle aziende, poiché, se segue le disposizioni di legge, ha pieno valore legale. Per questo è importante rivolgersi a un provider certificato e in linea con le normative vigenti. 

Scopriamo ora i passaggi da seguire per ottenere una firma elettronica qualificata o firma digitale:

• Anche qui, occorre cominciare dalla scelta di un provider, ovvero un ente certificatore autorizzato dall'AgID, e dalla scelta del kit di firma digitale. Tale kit può prevedere l'impiego di un token USB, di una smart card o di un token virtuale.
• Il passaggio successivo è la verifica dell'identità, che avviene attraverso una procedura di riconoscimento. Tale procedura può avvenire di persona oppure da remoto tramite SPID, webcam, o ancora a distanza tramite un lettore NFC e la carta d'identità elettronica (CIE).
• Bisogna quindi attivare il servizio seguendo una procedura che cambia a seconda del provider scelto.

Le firme elettroniche sono sicure contro gli attacchi del cybercrimine? La risposta dipende molto dalla tipologia di firma, che come come abbiamo visto è legata al suo livello di sicurezza. Più l'autenticazione del firmatario è forte, e più qualunque falsificazione diventa difficile se non impossibile. 

Non solo, ma con le firme di livello più avanzato, oltre a una garanzia sull'identità del firmatario, c'è anche una garanzia sull'integrità del documento e una marca temporale che testimonia il momento in cui il documento è stato firmato e lo stato in cui il documento si trovava. Tali informazioni rimangono sempre accessibili sia al firmatario che a chi ha emesso il documento, mettendo al riparo entrambi da qualunque contenzioso. 

Le firme elettroniche possono, però, essere rischiose quando vengono apposte senza la presenza di un provider certificato che garantisca la loro conformità ai requisiti di legge, oltre all'identità del firmatario e all'integrità del documento. Ecco perché rivolgersi a un prestatore di servizi fiduciari in linea con la normativa, soprattutto l'eIDAS, è tanto importante.

Parliamo ora in breve delle normative che regolamentano il mondo delle firme elettroniche. In Italia, sono due:

• Il Codice dell'Amministrazione Digitale (CAD), introdotto con il D.L. del 7 marzo 2005, n. 82 e successive modifiche. Stabilisce, tra le altre cose, che la firma elettronica ha validità giuridica in ogni caso in cui l'identità del firmatario risulta manifesta e inequivocabile. 
• Il Regolamento eIDAS, ovvero il Regolamento UE n. 910/2014, si occupa nello specifico proprio di firma elettronica, stabilendo un quadro comune per tutti i paesi dell'UE e rendendo dunque possibile che le firme elettroniche siano riconosciute in tutto il territorio dell'Unione. Descrive le diverse categorie di firma elettronica e stabilisce le caratteristiche dei servizi fiduciari autorizzati ad emettere le certificazioni che ne sanciscono l'autenticità. Tali prestatori, come ad esempio Yousign, devono conformarsi alle regole stabilite dal regolamento eIDAS in termini di competenze digitali, sistemi di autenticazione e via dicendo. La loro conformità viene verificata da enti nazionali. In Italia, l'ente preposto è la già citata AgID.

Riassumiamo quali vantaggi offrono le firme elettroniche (se garantite da un ente certificato) in termini di sicurezza informatica:

• Garanzia di autenticità dell'identità digitale del firmatario
• Garanzia dell'integrità del documento firmato
• Marca temporale che certifica lo stato del documento al momento della firma 
• Accesso continuo ai dati da parte del firmatario e di chi ha emesso il documento.

La risposta può essere diversa a seconda delle tue esigenze specifiche, ma in generale possiamo riassumerla in questo modo:

• Firma elettronica semplice: sufficiente per documenti come informative sulla privacy, condizioni generali di servizio e via dicendo. È però consigliabile “rafforzarla”, come nel caso della soluzione di firma elettronica semplice di Yousign. 
• Firma elettronica con codice OTP: si tratta di una tipologia estremamente comune e diffusa, adatta per contratti di servizio, contratti di lavoro, lettere di incarico e altri documenti di importanza intermedia. 
• Firma elettronica avanzata: presenta un livello di autenticazione e quindi di sicurezza più elevato, ed è dunque adatta a contratti di affitto di durata inferiore ai 9 anni, documenti assicurativi e bancari. È una tipologia già sufficiente per la maggior parte delle aziende e dei comuni cittadini.
• Firma elettronica qualificata, anche detta firma digitale: la tipologia più sicura in assoluto, è in realtà davvero necessaria solo per la firma remota di documenti della massima importanza, come ad esempio atti di compravendita di immobili, contratti di affitto di durata superiore a 9 anni, bilanci societari, gare di appalto pubbliche.

Come puoi vedere, la firma elettronica è ormai uno strumento imprescindibile per firmare un'ampia varietà di documenti da remoto in modo sicuro. Scopri la nostra applicazione e la nostra API per farlo in modo pratico e conforme ai requisiti di legge!