Firma OTP: cos'è, come funziona e qual è il suo valore legale

In questo articolo descriveremo in dettaglio la firma elettronica con codice OTP: scopri come funziona e quali sono i prerequisiti necessari affinché questo tipo di firma risulti legalmente valido e riconosciuto.

È un metodo che forse hai già incontrato nella vita di tutti i giorni, soprattutto quando accedi ai servizi bancari o firmi documenti digitali. Si chiama OTP, acronimo di One Time Password, ed è un sistema di sicurezza che ti permette di confermare operazioni online in modo rapido e sicuro. Ti sarà capitato, ad esempio, di ricevere un codice via SMS o email mentre esegui un bonifico o accedi a un servizio: si tratta proprio di un OTP.

Questa password temporanea, necessaria per autenticarsi - e per firmare un documento con Yousign - , può essere ricevuta sul proprio telefono via SMS o Server di Messaggio vocale oppure nel corpo di una mail.

Il codice ricevuto tramite SMS sul proprio smartphone, mail o server vocale, può essere composto da 4 o più cifre e sarà valido solamente per una singola sessione di firma nel momento in cui viene generato ed inserito. 

Il codice ha una validità di tempo limitata, di solito qualche minuto, e dovrà essere inserito nell’apposita casella durante la firma di un documento ed utilizzato nel tempo limite per evitare che scada e se ne debba richiedere uno nuovo. Se su uno stesso documento sono presenti più caselle di firma a nome della stessa persona, basterà inserire un solo codice per apporre la firma.

L’utilizzo del codice OTP nella firma elettronica dei documenti, sfrutta la sicurezza di un sistema di autenticazione a due fattori (Two-factor Authentication o 2FA), usato ormai nella grande maggioranza dei servizi di firma e providers per verificare l’identità dell’utente.

L'autenticazione a due fattori è una metodologia molto semplice che viene utilizzata per confermare l’identità di un utente: dopo aver inserito la password - detta anche primo fattore- , necessaria per accedere al proprio account (o dopo aver cliccato sul link della procedura di firma ottenuto via email) bisognerà digitare o inserire il secondo fattore (codice numerico). Il secondo fattore può essere ottenuto dall’utilizzatore in vari modi, il più comunemente utilizzato è la ricezione tramite SMS ma si possono utilizzare anche applicazioni dedicate o token hardware fisici.

Nell’ambito della firma elettronica abbiamo quindi due modalità di firma con codice OTP.

In aggiunta alla firma elettronica semplice con un solo click e senza codice OTP - modalità Click to Sign -  infatti, possiamo trovare nel panorama italiano: la firma elettronica con autenticazione avanzata OTP SMS e la firma elettronica avanzata (FEA).

• La firma elettronica con autenticazione avanzata OTP SMS è una modalità di autenticazione avanzata che da più sicurezza della firma elettronica semplice classica (FES); questo perché, come spiegato in precedenza, permette una doppia identificazione del firmatario tramite la ricezione dei documenti via email e l’inserimento in un secondo momento del codice OTP SMS per firmare.
• La firma elettronica avanzata (FEA) vera e propria invece propone una verifica dell’identità del firmatario con un software in aggiunta dell’inserimento del codice OTP SMS per la firma. Questo tipo di firma viene perlopiù utilizzata nell’ambito assicurativo e bancario, per quei tipi di documenti che necessitano di un’identificazione forte del firmatario e di una maggior protezione in caso di controversia.

In Italia vi è ancora un po’ di confusione riguardo questa distinzione perché altri provider di firma elettronica si avvalgono spesso del gergo FEA OTP per descrivere la firma elettronica con autenticazione avanzata. Abbiamo visto precedentemente, invece, che l’acronimo “FEA” può essere utilizzato solo per la firma elettronica con annessa verifica del documento di identità di un firmatario. Senza il caricamento del documento di identità e l’annessa verifica dello stesso il documento non potrà essere firmato tramite FEA certificata.

 Yousign invece, grazie alla versatilità della sua web-app e un adattamento ad hoc alle richieste delle normative italiana, propone sempre ai suoi clienti sia una firma elettronica semplice (click to sign) che una firma elettronica con autenticazione avanzata OTP SMS - inclusa gratuitamente in tutti i nostri abbonamenti!

Possiamo dire che la firma con OTP si posiziona a metà strada tra la firma elettronica semplice (FES) e quella avanzata (FEA). Infatti, rispetto alla firma semplice, l'OTP è più sicura e offre una protezione maggiore grazie all'autenticazione a due fattori di cui abbiamo parlato prima. Rispetto alla firma avanzata, quella con OTP è sicuramente più rapida e veloce dal momento che non richiede la verifica dell'identità. Ma è proprio per l'assenza di questo passaggio che è meno rigorosa da punto di vista dell'identificazione dell'utente. 

Come abbiamo già potuto osservare negli articoli precedenti, la firma elettronica con OTP è giuridicamente vincolante. Infatti, come definito nella Legge15 MARZO 1997 n. 59, Art. 15, Comma 2 “gli atti, dati e documenti formati dalla Pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge” e confermato dal DPCM 22/02/2013 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”.

Inoltre, come specificato nel Codice dell'Amministrazione Digitale (D.Lgs. n. 82/2005) una firma elettronica con codice OTP ha valore legale se il documento viene sottoscritto nel rispetto delle caratteristiche tecniche che garantiscano l'identificabilità dell'autore, l'integrità e l’impossibilità di modifica del documento stesso.

La firma elettronica con codice OTP è ormai una soluzione consolidata in molti settori, grazie alla sua semplicità d’uso e al livello di sicurezza che offre. Ecco una panoramica dei principali ambiti in cui viene utilizzata ogni giorno.

• Contrattualistica (contratti di vendita, acquisto, fornitura; accordi commerciali e lettere d’incarico; NDA e accordi di riservatezza; ecc.)
• Settore bancario e assicurativo (moduli per mutui, prestiti, apertura conti; polizze assicurative; autorizzazioni finanziarie e consensi informati; ecc.)
• Gestione HR e documenti interni (contratti di lavoro e documenti del personale; approvazione di policy aziendali e comunicazioni interne; autorizzazioni e deleghe interne, ecc.)
• Pubblica amministrazione e servizi (modulistica per enti pubblici, es. SUAP, INPS, INAIL; comunicazioni via PEC: documenti ufficiali da inviare alla PA; ecc.)
• Servizi digitali e utility (attivazione contratti di energia o telecomunicazioni; iscrizioni a servizi digitali o piattaforme online; ecc.)

Come ben saprai da Yousign siamo abituati ad utilizzare il codice OTP per le nostre firme elettroniche! Tramite la nostra webapp infatti, potrai firmare dei documenti in tutta tranquillità inserendo il codice nell’apposito riquadro dopo aver preso visione dei documenti.

Ecco come funziona:

Fase 1: Preparazione del documento da firmare

1. Accesso a Yousign: accedi al tuo account tramite la webapp Yousign.
2. Caricamento del documento: carica il file che desideri far firmare, dal tuo computer o da un software cloud.
3. Inserimento dei campi: aggiungi campi firma, iniziali o caselle da spuntare, secondo le esigenze del documento.

Fase 2: Invio della richiesta di firma

1. Scelta dei firmatari: inserisci gli indirizzi e-mail delle persone che devono firmare.
2. Messaggio personalizzato: aggiungi un breve messaggio per spiegare il contesto o dare istruzioni.
3. Invio del documento: i destinatari riceveranno un’e-mail con un link per accedere ai file da firmare.
4. Link protetto e temporaneo: per garantire la sicurezza, il link ha una validità di 24 ore. Se scade, il firmatario può richiederne uno nuovo direttamente dalla pagina di accesso, senza interrompere la procedura.

Fase 3: Ricezione e utilizzo del codice OTP

1. Apertura del link: i firmatari cliccano sul link ricevuto per visualizzare i documenti.
2. Invio dell’OTP: Yousign invia automaticamente un codice univoco via SMS al numero del firmatario.
3. Inserimento del codice: il firmatario inserisce il codice ricevuto nel campo dedicato per confermare la propria identità.

---

Questo documento è fornito esclusivamente a scopo informativo. Non ne garantiamo la completezza, né che sia aggiornato rispetto alle normative vigenti. Questo documento non è fornito in sostituzione di una consulenza legale.