La firma digitale è uno strumento con il quale i cittadini, i professionisti, le imprese e le Pubbliche Amministrazioni possono firmare i documenti elettronici, con valore legale.
Il suo funzionamento si basa su tre princìpi fondamentali:
- autenticità, perchè verifica l’identità della persona o dell’impresa che firma un documento,
- integrità, perchè si assicura che i documenti firmati non siano stati modificati dopo la firma,
- non ripudio, in quanto un documento firmato con la firma digitale non può essere annullato da chi l’ha firmato.
La firma digitale si può usare per firmare e verificare la validità di:
- contratti,
- fatture,
- bilanci,
- ordini di acquisto,
- verbali di riunioni,
- comunicazioni con la Pubblica Amministrazione,
- altro.
Essendo tutto in formato elettronico, questa tecnologia, nel rispetto dell’ambiente, semplifica lo scambio dei documenti, che avviene tramite email o WhatsApp.
Per usure la firma digitale, bisogna acquistarla da un ente certificatore, attivandola con una verifica della propria identità, una procedura di riconoscimento richiesta dalla legge.
Quale tipo di firma digitale scegliere
La firma digitale è solo un tipo specifico di firma elettronica qualificata.
La firma elettronica si divide in quattro tipi, ognuno dal valore legale differente:
- la cosiddetta firma elettronica è quella più semplice ed assume valore legale certo quando è certificata da un giudice. Non prevede l’uso di misure di sicurezza particolari, non permette di essere sicuri dell’integrità del documento e non ha un valore legale certo come quello di altre firme elettroniche,
- la firma elettronica avanzata, ha un valore legale certo, tranne che per i contratti immobiliari. Prevede la firma dei documenti mediante strumenti che dimostrino l’integrità del documento e sui quali il firmatario conserva un controllo esclusivo (es. un tablet di sua proprietà),
- la firma elettronica qualificata, identificata anche come firma digitale, viene applicata ai documenti tramite mezzi qualificati, ad esempio i kit di firma digitale. La firma elettronica qualificata (FEQ) utilizza sistemi di crittografia asimmetrica ed è riconosciuta legalmente sia in Italia che nel resto della UE.
Nei sistemi di crittografia asimmetrica vengono usate due chiavi per garantire la validità e la sicurezza delle comunicazioni, una privata ed una pubblica:
- la chiave privata viene usata da chi sottoscrive e codifica il documento,
- la chiave pubblica viene usata da chi riceve il documento, e permette di verificarne l’integrità e la provenienza.
L’ente certificatore, che svolge tutto questo lavoro “sommerso”, è colui che fornisce il servizio di firma digitale e garantisce la validità del tutto. Opera nel rispetto della normativa vigente in materia di firma digitale e delle regole tecniche dettate dall’AgID (l’Agenzia per l’Italia Digitale). Garantisce l’identità dei soggetti che utilizzano la firma digitale.
La firma digitale supervisiona l’autenticità dei documenti, assicura l’identità della persona o dell’impresa firmataria e fornisce le garanzie sull’integrità dei documenti firmati.
Con il certificato CNS (Carta Nazionale dei Servizi), che è compreso nei servizi della firma digitale, ci si può autenticare sui servizi online della Pubblica Amministrazione. Per determinate categorie di professionisti, come ad esempio gli avvocati, è addirittura obbligatoria per accedere ad alcuni servizi ministeriali.
La firma digitale non è uguale alla PEC. La PEC è la posta elettronica certificata, che attribuisce valore legale, come una raccomandata con ricevuta di ritorno, ai messaggi di posta elettronica e non ai documenti come invece fa la firma digitale.
Soluzioni per la firma digitale
Per ottenere la firma digitale, occorre acquistarla da un ente certificatore riconosciuto ufficialmente. I prezzi sono generalmente compresi fra i 30 e i 60 euro + IVA.
I kit per la firma digitale sono generalmente composti da:
- una smart card, in formato SIM,
- o carta di credito, che include il certificato di firma digitale, questo ha una scadenza e va rinnovato ogni 3 anni,
- un dispositivo che legge la smart card e permette di applicare la firma digitale,
- i driver e i software necessari ad applicare la firma digitale, possono essere inclusi nel kit o disponibili separatamente per il download.
Il tipo di kit più completo è quello in formato chiavetta USB, che include anche:
- la smart card con il certificato di firma digitale, in formato SIM,
- tutti i software necessari ad applicare e verificare la firma.
Altrimenti ci sono:
- il token USB con driver da installare e software da scaricare,
- il classico kit composto da smart card in formato carta di credito, e lettore di smart card esterno.
Se abbiamo già un token USB o di un lettore di smart card, si può evitare l’acquisto del kit di firma completo e prendere solo la smart card, contenente il certificato di firma.
Dobbiamo parlare anche dei servizi di firma digitale remota, i quali permettono di firmare i documenti, senza installazioni di hardware o driver . Il certificato di firma rimane sul server dell’ente certificatore e, quindi, per firmare o verificare i documenti è possibile anche utilizzare smartphone o tablet .
In questi casi, al posto del PIN della smart card, per siglare, occorre mettere un codice OTP da generare tramite app per smartphone o dispositivo OTP fisico.
Firma digitale Aruba
Vediamo, ad esempio, alcune offerte riguardanti la Firma Digitale Aruba :
- Kit con Aruba Key (61 euro + IVA; 10 euro + IVA per la spedizione) — kit per la firma digitale composto da smart card in formato SIM e una chiavetta USB con inclusi driver, software di firma/verifica dei documenti e certificato CNS. Per informazioni.
- Kit con Token USB (42 euro + IVA; 10 euro + IVA per la spedizione) — kit per la firma digitale composto da smart card in formato SIM e una chiavetta USB che richiede l’installazione preventiva di driver e software di firma. Include anche il certificato CNS.
- Kit con Smart card + lettore (40 euro + IVA; 10 euro + IVA per la spedizione) — kit per la firma digitale composto da smart card in formato carta di credito, lettore di smart card USB e certificato CNS. Maggiori informazioni qui.
- Firma Digitale Remota di Aruba, https://www.pec.it/otp-mobile-firma-digitale.aspx, opzione OTP Mobile (36 euro + IVA) — soluzione per la firma digitale remota con generazione dei codici OTP tramite app Aruba OTP per Android o iOS/iPadOS, , scaricabile su smartphone o tablet, senza alcun costo di spedizione. E’ anche possibile acquistare un dispositivo OTP fisico con display integrato, https://www.pec.it/otp-display-firma-digitale.aspx, oppure un dispositivo OTP fisico USB https://www.pec.it/otp-usb-firma-digitale.aspx, da collegare al PC, al costo di 10 euro + IVA; 7 euro + IVA per la spedizione.
Come avere la firma digitale
Adesso vediamo come fare per avere la firma digitale.
La procedura da seguire è simile per tutti gli enti certificatori, ma per sicurezza è sempre meglio leggere attentamente le istruzioni presenti sui siti dei singoli enti.
Prendiamo in esame i passaggi fondamentali, generalmente simili a tutti:
- Acquistare la firma digitale – il primo passo da compiere è acquistare il kit di firma digitale :
- scegliere a quale ente certificatore rivolgersi,
- collegarsi al suo sito Internet,
- scegliere uno dei kit di firma disponibili. Fra gli enti certificatori più importanti c’è il già citato Aruba, ed altri: si può trovare l’elenco completo sul sito dell’Agenzia per l’Itala Digitale,
- nel caso specifico di Aruba, basta collegarsi al sito ufficiale, https://www.pec.it/acquista-firma-digitale.aspx,
- selezionare il prodotto da acquistare,
- creare o accedere al proprio account,
- verificare i dati,
- indicare gli estremi di un documento d’identità valido,
- scegliere una modalità di riconoscimento tra quelle disponibili,
- indicare l’indirizzo di spedizione, in caso di acquisto di un kit di firma fisico,
- accettare i termini contrattuali,
- effettuare il pagamento tramite carta, PayPal, bonifico o bollettino.
• Verificare la propria identità e attivare il kit – per cominciare a utilizzare un kit di firma digitale occorre verificare la propria identità, attraverso la procedura di riconoscimento.
La verifica può avvenire in vari modi, nel caso di Aruba, ad esempio, si può scegliere:
- il riconoscimento online tramite webcam,
- app per Androi o iOS/iPadOS,
- il riconoscimento di persona presso un ufficio comunale,
- oppure il riconoscimento a distanza tramite CIE (Carta di Identità Elettronica), usando un lettore NFC contactless,
- Tessera Sanitaria o CNS (Carta Nazionale dei Servizi), con lettore di smart card da collegare al computer.
Attivare il servizio di firma digitale
Per attivare il servizio per la firma digitale:
- collegarsi al sito Internet dell’ente certificatore,
- fornire i dati richiesti, codice seriale della smart card, o un codice segreto ricevuto via SMS, nel caso della firma digitale remota, più il codice fiscale e/o gli estremi di alcuni documenti d’identità.
- La procedura cambia da ente certificatore a ente certificatore.
Come usare la firma digitale
Al termine di tutto ciò finalmente abbiamo la nostra firma digitale, attivata.
Per cominciare a firmare e verificare i documenti:
- scaricare i driver e il software di firma e verifica dell’ente certificatore,
- con un kit USB, sono già inclusi i driver e i software di firma, quindi si può saltare il passaggio riguardante il download dei driver e dei software di firma, e si può cominciare a firmare i documenti sin da subito,
- con la firma digitale remota, occorre installare solo il software di firma e non i driver.
Nel caso di Aruba troviamo sia i driver lettori, validi per Token USB e lettore di smart card, che il software di firma e verifica ArubaSign sul sito ufficiale dell’ente. I software sono compatibili con Windows, macOS e Linux e, per installarli occorre avviare gli eseguibili e seguire le indicazioni su schermo.
Per la procedura di applicazione della firma digitale:
- avviare il software di firma,
- andare nella sezione per l’applicazione della firma,
- selezionare i documenti da autenticare. Sono supportati i file .PDF, .DOC, .DOCX, .XLS ed .XLSX,
- selezionare il formato firma da utilizzare tra quelli proposti (es. CAdES, PAdES o AsiC-S),
- scegliere se applicare una marca temporale (maggiori informazioni a questo indirizzo maggiori info qui ),
• procedere con la firma.
Per applicarla:
- inserire il PIN della smart card, in caso di kit di firma fisico,
- oppure nome utente, password e codice OTP generato da app o dispositivo OTP, nel caso di firma digitale remota,
- per esempio, nel caso della Firma Digitale Remota di Aruba, si può usare l’app Aruba OTP per Android, iOS/iPadOS .
Per la verifica dei documenti già firmati:
- andare nella sezione di Verifica del software di verifica/firma,
- selezionare i file da controllare, così da scoprire tutte le informazioni sulla validità della firma, l’attendibilità del certificato usato e la sua validità legale.
I servizi di firma digitale remota consentono di firmare/verificare i documenti, anche da app per smartphone e tablet. Ad esempio, con una Firma Digitale Remota di Aruba, si può firmare e verificare i documenti tramite l’app Aruba Firma, che è disponibile gratuitamente sia per Android, che per iOS/iPadOS.
Se servissero informazioni più dettagliate su come funziona la Firma Digitale Aruba, è possibile consultare il sito ufficiale di Aruba.
Salve mi chiamo David Rossi esperto e appassionato informatico. Mi piace tenermi sempre informato sulle ultime novità tecnologiche e per questo ho creato il sito www.soluzionecomputer.it.
