Firma digitale: cos'è, come funziona e come richiederla

Molto spesso tendiamo a fare confusione tra i concetti di firma digitale e firma elettronica in quanto entrambe sono molto utilizzate nel nostro quotidiano per firmare  diversi tipi di documenti.

In questo articolo approfondiremo in maniera dettagliata il tema della firma digitale, i suoi usi pratici e le caratteristiche che la differenziano dalla firma elettronica.

Sei pronto per scoprire tutte le peculiarità della firma digitale in questo articolo completo? Buona lettura! :)

Partiamo innanzitutto dalla definizione di “firma digitale”: la firma digitale è una tipologia di firma elettronica qualificata, che ha la stessa equivalenza della firma autografa in quanto garantisce un riconoscimento di identità forte del firmatario che la utilizza e dà un valore legale certo del documento firmato.

In Italia la firma elettronica qualificata (FEQ) più diffusa e nota è infatti la firma digitale. La firma elettronica qualificata rappresenta oggigiorno il livello più alto per la sicurezza di una firma, questo a causa della sua complessità tecnica e la sua alta certificazione e regolamentazione da parte dell’AgID.

Da un punto di vista tecnico, la firma digitale funziona tramite l’utilizzo di un sistema di crittografia asimmetrica. Due chiavi crittografiche, di cui una pubblica (appartenente al destinatario) ed una privata (appartenente al titolare), vengono utilizzate per assicurarsi dell’integrità e dell’originalità di uno o più documenti informatici.

In maniera più specifica, quindi, la firma digitale ed il suo funzionamento sono basati su tre principi fondamentali riconosciuti:

• Il principio dell’autenticità del firmatario - la cui identità viene riconosciuta con l’uso di un sistema di chiavi di autenticazione;
• Il principio dell’integrità dei documenti firmati - che non verranno e non potranno essere modificati dopo l’apposizione della firma;
• Il principio del non ripudio dei documenti - un documento firmato da una persona tramite questa firma non potrà essere disconosciuto dalla persona che lo ha firmato.

In Italia è l’AgID (Agenzia per l’italia digitale) che si occupa dell’emissione del certificato di firma digitale, il quale lega l’identità di una persona fisica alla chiave pubblica e che garantisce la veridicità di questo legame e l’identità del titolare.

La firma digitale è una tipologia di firma prevista soltanto in Italia ed è regolamentata dal CAD - Codice dell’Amministrazione Digitale -, come definito nell’ articolo 24, dlgs 82/2005: 

In generale, si possono distinguere due modalità di firma digitale: la firma digitale e la firma digitale remota. Se la prima necessita dell’utilizzo di un token USB o di una smart card per essere apposta sui documenti, la seconda, invece, non ne ha bisogno.

La firma digitale apposta tramite token USB (o anche chiavetta USB) utilizza anche una SIM card ed un software capace di leggere i documenti e di apporre la firma sugli stessi in un secondo momento. La firma digitale con smart card, invece, utilizza un apposito lettore collegato ad un computer e un software specifico in grado di leggere la firma e di apporla sul documento desiderato.

Come abbiamo specificato nel paragrafo precedente, la firma digitale è un tipo di firma elettronica qualificata. Ciò vuol dire che ha un livello di identificazione del firmatario (di un documento) molto forte.

La firma digitale, infatti, “è la forma più forte di autenticazione elettronica, poiché è creata da un dispositivo specifico e basata su un certificato di firma rilasciato da un prestatore di servizi fiduciari qualificato, in conformità ai requisiti di legge.” (fonte: digital4.biz)

La firma elettronica qualificata ha, di fatto, dei vincoli normativi definiti con precisione in termini di modalità di verifica dell'identità del firmatario e di protezione della chiave di firma. Pertanto, la firma digitale apposta su un documento ha un valore legale equivalente ad una firma manoscritta del firmatario e conferisce  pieno valore legale ai documenti informatici.

Inoltre, dopo l’apposizione di questa firma su un documento, lo stesso non potrà essere modificato e la firma digitale sarà legalmente riconosciuta in tutti gli Stati Membri dell'Unione Europea. 

La firma digitale  inoltre non ha valore probatorio - a differenza degli altri tipi di firma elettronica - e inverte l’onere della prova.
Questo vuol dire che chi dovesse tentare di disconoscere la validità di un documento firmato con firma elettronica qualificata, dovrà obbligatoriamente presentare prove concrete della falsità della sottoscrizione dello stesso.

Questa inversione dell’onere della prova rende la firma di un documento con FEQ estremamente sicura, sia per il titolare della firma elettronica qualificata -che firmerà con crittografia asimmetrica - sia per la sua controparte contrattuale - tutelata legalmente nel caso in cui il firmatario dichiarasse di non essere stato lui a firmare il documento -.

La procedura di firma elettronica qualificata utilizza comunque gli stessi criteri di sicurezza della firma elettronica avanzata, ma richiede che l'identità del firmatario venga preventivamente verificata e convalidata e che la chiave di firma si trovi in ​​un dispositivo specifico per la creazione di una firma elettronica qualificata (QSCD). 

La verifica della propria identità per ottenere poi un "token" (smart card, chiavetta USB, badge...) che consente all'autorità di certificazione di convalidare l’identità del firmatario può avvenire in vari modi, più o meno complessi, a seconda della modalità e del livello di sicurezza dei servizi online in possesso e del kit di firma acquistato.
Come ottenere la firma digitale e verificare la propria identità, quindi? Le modalità più comuni sono, ad esempio, a domicilio con presentazione del documento di identità, con riconoscimento via webcam, tramite pagamento di marca da bollo e verifica di un Pubblico Ufficiale, tramite ufficio postale, ecc.

Se il tema della firma elettronica non ti è nuovo e se hai già avuto esperienza con la firma dei documenti online tramite soluzioni di firma elettronica saprai che, per apporre una firma elettronica su un documento, è necessario utilizzare uno dei due formati sopra citati: PAdES o CAdES.

I formati di firma elettronica PAdES e CAdES vengono definiti formati di sottoscrizione elettronica e sono attualmente utilizzati anche in Italia, come definito dalla Commissione Europea 2011/130/EU.

Quello che invece molte volte non è chiaro è che i due formati non sono equivalenti e che non possono essere applicati alla stessa tipologia di firma o di documento.

Il formato CAdES, infatti, è una peculiarità della firma digitale!

Prima di tutto la modalità di firma CAdES, permette ai suoi utilizzatori di firmare qualsiasi tipo di documento, in qualsiasi formato (.docx, .xlsx, ecc.).

Dopo aver firmato digitalmente un documento, un file definito “busta crittografica” viene generato automaticamente. Il file, che ha un’estensione .p7m, contiene al suo interno:

• il documento originale prima della firma,
• la prova in formato digitale della firma del documento,
• la chiave crittografica per la verifica della firma.

La chiave crittografica, che permette di verificare la validità e l’autenticità della firma, è integrata anche nel certificato emesso a favore del titolare dall’Agenzia per l’Italia Digitale.

Un documento, quindi, non potrà essere firmato digitalmente utilizzando la modalità PAdES in quanto questo formato è strettamente collegato alla firma di documenti in formato .pdf nel momento in cui si utilizza la firma elettronica.

In questo caso, utilizzando la modalità  PAdES, il file che contiene la firma elettronica verrà incorporato direttamente nel documento stesso senza generare una busta crittografica e senza alterare l’estensione del file firmato che resterà un file pdf.

I file che vengono firmati digitalmente tramite modalità CAdES, invece, avranno una seconda estensione in .p7m. Il nome di un documento firmato via CAdES, quindi, sarà modificato aggiungendo la dicitura del formato in .p7m come segue: se il documento test.xlsx verrà firmato digitalmente con la modalità CAdES, il suo nome dopo la firma sarà test.xlsx.p7m.

La firma digitale, avente un valore equivalente alla firma autografa di un individuo, puo’ risultare utile in vari ambiti ed è essenziale per firmare alcuni tipi di documenti.

Come vedremo più avanti, infatti, questo tipo di firma qualificata è uno degli strumenti utili per lo scambio di documenti con la Pubblica Amministrazione e in particolar modo con la Camera di Commercio, il proprio Comune di residenza, l’INAIL o l’INPS.

Dato l’alto livello di sicurezza e di tutela legale di questo tipo di firma e la forte identificazione del firmatario di un documento che essa comporta, i documenti che normalmente possono essere firmati con questo tipo di firma sono svariati e diversi. 

Si può di fatto utilizzare la firma digitale per firmare da remoto: dichiarazioni ed atti costitutivi da presentare al registro delle imprese, deposito di bilanci, comunicazioni ufficiali etc..

La firma digitale puo’ essere anche utilizzata dai privati per snellire il processo di firma di alcuni tipi di documenti che potrebbero richiedere una presenza fisica dell’individuo. Basti pensare che i vari tipi di firme qualificate, soprattutto la firma digitale da remoto, permettono di firmare in un batter d’occhio contratti, fatture elettroniche, ordini di acquisto, verbali di riunioni, scambi con la PA…

Per alcune categorie di documenti, la firma digitale è addirittura obbligatoria come per esempio durante la presentazione di bandi pubblici per le aziende o la richiesta di finanziamenti.

Come già accennato nel paragrafo precedente, sia i liberi professionisti che le imprese hanno la possibilità di usufruire di questo strumento e di firmare dei documenti in formato digitale tramite l’utilizzo di questo tool.

Per le imprese, la firma digitale può essere considerata un mezzo particolarmente indicato per firmare documenti importanti a distanza, come ad esempio quelli che implicano una certa rilevanza strategica per l’azienda e che devono essere soggetti ad un livello di sicurezza di firma elevato. 

Degli esempi chiave potrebbero essere contratti di cessione, contratti di acquisizione, visure camerali, atti immobiliari da presentare all’Agenzia delle Entrate. 

Un’azienda puo’ anche gestire con la firma digitale tutti quei documenti che riguardano protocolli informatici, procedure di archiviazione documentale, servizi camerali, mandati informatici di pagamento e procedure telematiche di acquisto.

In generale quindi, possiamo dire che la firma digitale è uno strumento utile ma che non sempre risulta necessario, soprattutto nell’ambito dei privati e delle piccole aziende.
Quante volte il responsabile delle risorse umane della tua azienda ti ha inoltrato per email dei documenti da siglare in presa visione, oppure il tuo assicuratore ti ha fatto firmare un’informativa sulla privacy? Sicuramente molte.

In effetti, secondo l’analisi condotta in questo articolo, possiamo affermare che la firma digitale è un tool utile per firmare dei documenti legati agli scambi con la Pubblica Amministrazione. Questo però, alcune volte, implica l’utilizzo di supporti esterni più o meno complessi per firmare con firma digitale, che dipendono dal tipo di kit acquistato precedentemente. Si basti pensare che alcune chiavi crittografiche hanno la forma di un USB o di una smart card nominative.

Per la firma di altri tipi di documenti meno complessi - come la documentazione aziendale interna o per tutti i documenti destinati al B2C - puo’ quindi risultare una scelta eccessiva e non necessaria.

In effetti, “nel 61% dei casi, l’interlocutore principale delle aziende è la Pubblica Amministrazione, mentre nel 3% dei casi le interlocuzioni avvengono con i privati cittadini - si tratta soprattutto dei settori bancari e assicurativi -”. (fonte: laleggepertutti.it)

La scelta del tipo di firma elettronica deve quindi basarsi sulla semplicità d'uso e sulla sicurezza. La firma elettronica qualificata o digitale dovrebbe essere utilizzata solo in casi specifici, poiché questa procedura è particolarmente complessa.

Difatti, il processo di firma dei documenti tra privati puo’ essere snellito in primo luogo favorendo la digitalizzazione documentale e poi utilizzando altri tipi di firma elettronica -come la firma elettronica avanzata o con la firma OTP.

La firma elettronica, grazie alla sua semplicità d’uso è facilmente accessibile a tutti i tipi di società, liberi professionisti, PMI e grandi gruppi. Per firmare dei documenti non servono né processi complicati né tecnologie specifiche perché basterà connettersi tramite un browser come Chrome, Firefox o EDGE per accedere ai documenti tramite un'e-mail di richiesta di firma ed di inserire un codice OTP ricevuto tramite SMS per confermare la propria identità.

Il documento in formato .pdf, una volta firmato, avrà un certificato elettronico integrato, il tutto senza dover installare nessun software. La firma elettronica è poi riconosciuta in tribunale a patto che l’operatore utilizzato soddisfi i requisiti tecnici richiesti e approvati dalla regolamentazione eIDAS. 

Come già citato in precedenza, il mercato della firma elettronica è molto diffuso nel nostro paese ma è la firma digitale che rappresenta un’esclusiva nel panorama italiano dei sistemi di firma.

In effetti, secondo un sondaggio commissionato da Aruba - uno dei principali provider di firma digitale in Italia - è emerso che: 

• “ il 41% delle aziende utilizza la firma elettronica qualificata / firma digitale (con l’utilizzo di Smart Card/Token). Questa versione è diffusa tra le aziende di piccola dimensione, tra i 6 ed i 20 addetti, in ogni settore, tranne quello dei servizi professionali;
• il 39% delle aziende utilizza la firma elettronica semplice (user/password): si tratta principalmente di aziende dei servizi alla persona (51%) e dei servizi professionali (47%);
• il 29% delle aziende utilizza la firma digitale remota (con codice OTP su mobile, display o usb): questo tipo di firma è maggiormente utilizzata dalle aziende dei servizi professionali nei comparti bancario, assicurativo e industriale;
• l’1% delle aziende che ha scelto la firma elettronica avanzata sono quelle che contano dai 6 ai 20 addetti nella PAL (Pubblica Amministrazione Locale).”
  (fonte: laleggepertutti.it)

Gli attori nel mercato della firma digitale in Italia sono molti, ma vediamo in dettaglio i principali 4: Aruba, Poste Italiane, Infocert e Namirial.

La firma digitale Aruba viene proposta in varie forme sul loro sito web. Aruba dà infatti la possibilità di acquistare una firma digitale remota con OTP - senza l’utilizzo di software specifici -, una firma digitale remota - utilizzando la combo codice OTP + app di firma digitale - e un kit di firma digitale, più complesso.

Il kit di firma digitale è composto da un lettore, solitamente sotto la forma di una chiavetta USB, e da una Smart Card. Per la firma digitale dei documenti vengono quindi rilasciati due certificati: quello di firma certificata che garantisce il valore legale dei documenti firmati con questa soluzione poiché identifica il firmatario ed il certificato di autenticazione CNS - Carta Nazionale dei Servizi - che permette l’accesso ai servizi online della PA. Il costo per l’acquisto di questi kit puo’ salire fino a 60 EUR.

Anche le Poste Italiane forniscono un servizio di firma digitale remota come equivalente della firma autografa per firmare dei documenti digitalmente e con pieno valore legale. Il costo della firma digitale Poste Italiane si aggira intorno ai 45 EUR e la firma ha una validità di 3 anni. Questo tipo di firma si avvale dell’utilizzo di un software - firmaOK! - da installare sul proprio pc per poter firmare i documenti digitalmente mediante l’uso di un pin di firma e un codice OTP ricevuto via SMS.

Infocert offre una vasta gamma di tool per poter firmare i propri documenti digitalmente e da remoto per garantire autenticità, integrità e valore legale dei documenti firmati. Infocert si avvale dell’utilizzo di un app su Cloud - GoSign - che puo’ essere utilizzata da dispositivi mobili come smartphone, tablet o da pc.
Il costo della firma digitale Infocert puo’ superare i 60 EUR - a seconda del dispositivo di firma scelto - ed il certificato di firma digitale ha una validità di 3 anni.
I dispositivi mobili utilizzati dalla soluzione di firma digitale Infocert per poter firmare sull’app GoSign possono essere: una chiavetta di firma bluetooth, una chiavetta di firma USB o una Smart Card - solo nelle prime due opzioni è pero’ incluso il certificato di autenticazione CNS -.

Anche Namirial offre la firma digitale su Token USB o su Smart Card, in aggiunta alla firma digitale remota. Molti attori della firma digitale sul mercato italiano, infatti, si avvalgono dell'utilizzo di supporti fisici per garantire il CNS della loro firma digitale secondo gli standard loro imposti dalle normative eIDAS. Anche in questo caso il kit completo per la firma digitale Namirial è composto da Smart Card o SIM Card con firma digitale CNS inclusa + lettore o Token USB. Il costo di un kit standard si aggira intorno ai 70 EUR e la validità della firma è sempre di 3 anni.

Namirial offre anche un servizio di “Firma Digitale Remota Istantanea” che permette all’utente di firmare un documento con una firma digitale one-shot e con certificato qualificato usa e getta dalla durata di 60 minuti, valido solamente per una singola firma. Questo servizio è attivabile con SPID o CIE ed ha un costo di meno di 3 EUR a firma.

Avrete sicuramente già sentito parlare di Docusign, uno dei maggiori attori nel campo della firma elettronica in Europa e nel mondo. In effetti, molti pensano che anche Docusign sia un provider di firma digitale in Italia ma… non è così! 

Docusign offre infatti un servizio di firma elettronica con codice OTP, il cui costo e volume variano a seconda del forfait scelto sul loro sito web.

Come per molti altri attori nel panorama della firma elettronica, la firma elettronica Docusign puo’ essere testata in periodo di prova per diversi giorni. Il prezzo di un abbonamento parte da una 20ina di EUR, salendo a seconda delle necessità del cliente.

Yousign utilizza una soluzione di firma elettronica in formato PAdES con verifica dell’identità del firmatario tramite codice OTP (per la FES) o tramite OTP e verifica del documento d’identità (per la FEA). 

Ciò vuol dire che i documenti che caricherai sull’applicazione cloud dovranno essere in formato .pdf. Potrai anche visualizzare un’immagine di firma oltre a quella elettronica insita nel documento ed avere la possibilità di disegnare la tua firma!

Come già sai, la firma elettronica Yousign è conforme al regolamento eIDAS e

Yousign è approvata come Autorità di Certificazione (Certification Authority - CA) riconosciuta e certificata a livello europeo per gli standard eIDAS.
Forniamo quindi delle firme elettroniche completamente sicure e legalmente vincolanti utilizzando i nostri certificati elettronici.

Alla firma dei documenti, non avrai nulla di cui preoccuparti perché ogni firma elettronica emessa tramite Yousign è giuridicamente vincolante nell'UE e ciò vuol dire che i documenti sono legalmente validi e riconosciuti. 

Cosa aspetti a passare alla firma elettronica Yousign? Visita il nostro sito e scopri tutti gli altri vantaggi che possiamo offrirti :)