Nel 2019 sono state generate più di tre miliardi di firme digitali remote e si contavano oltre venti milioni di dispositivi attivi. Sono i dati che emergono dal monitoraggio dell’Agenzia per l’Italia digitale (Agid), effettuato sulla base dei numeri forniti dai certificatori accreditati. Dati che mostrano come la firma digitale ormai sia un fenomeno di larga scala nel nostro Paese, grazie al quale è possibile sottoscrivere documenti digitali utilizzando alcuni semplici software, e con pieno valore legale. Un esempio? L’utilizzo della firma digitale per le fatture elettroniche, una delle casistiche d’uso più diffuse.
Il valore legale della firma digitale
La firma digitale, dal punto di vista legale, è un meccanismo in grado di garantire l’autenticità del firmatario, oltre all’integrità e alla piena validità del documento sottoscritto, che in tal modo può essere riconosciuto i tutti i paesi europei.
Possono dotarsi di firma digitale tutte le persone fisiche: basta rivolgersi ai “prestatori di servizi fiduciari qualificati“, ossia a quei soggetti autorizzati dall’Agenzia per l’Italia digitale che hanno il compito di verificare e garantire l’identità di coloro che utilizzano la firma digitale. Tra questi ci sono società come Aruba, ma anche Banca d’Italia, Lottomatica e Poste. L’elenco completo e aggiornato dei prestatori di servizi fiduciari qualificati è consultabile nell’apposita sezione sul sito Agid.
La validità della firma digitale
La firma digitale certifica l’identità della persona o dell’impresa che firma un determinato documento, ma non solo. Questo meccanismo assicura anche che il firmatario non possa disconoscere il documento firmato (il “non ripudio“) e garantisce che i documenti firmati non siano modificati in seguito all’apposizione della firma stessa.
Inoltre, la firma digitale dà validità legale al documento: apponendovi questa firma, il file ha lo stesso valore di un documento con firma autografa. Di conseguenza, è possibile utilizzare la firma digitale sia per i documenti della pubblica amministrazione sia per i documenti privati, come fatture, bilanci e contratti.
L’articolo 24 del Codice dell’amministrazione digitale, inoltre, chiarisce che “la firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata”. Affinché questo sia vero, tuttavia, è necessario rispettare alcuni precisi passaggi.
Come funziona la firma digitale
Nel momento in cui si appone una firma digitale su un documento si crea un file chiamato “busta crittografica”: all’interno di questo file si trovano il documento originale, l’evidenza informatica della firma e la chiave che permette di verificarne l’autenticità. La creazione della busta crittografica avviene mediante i software di firma, che possono basarsi su sistemi diversi come Xades (utilizzato per documenti come le fatture elettroniche), Pades (utilizzato per i pdf) e Cades, valido per qualsiasi tipo di documento.Si tratta di sistemi che rappresentano lo standard in tutta Europa e quindi anche in Italia.
Chi riceve il documento con la firma digitale ha bisogno poi di un meccanismo di verifica, ossia dei software che permettono di controllare che il documento non sia stato modificato dopo la firma e che il certificato di firma digitale del sottoscrittore non sia scaduto, sospeso o revocato. In tal modo la controparte può accertarsi dell’identità di chi ha firmato e che il documento rispecchi la sua volontà.
La firma digitale, quindi, viene generata grazie ad una coppia di chiavi digitali, definite asimmetriche, attribuite ad un determinato soggetto. La prima è una chiave privata, che permette di generare la firma ed è nota solo al titolare; la seconda è una chiave pubblica, che si utilizza per verificare l’autenticità della firma.
La firma remota
Secondo i dati in possesso dell’Agid, circa l’80% delle firme digitali sono apposte tramite firma digitale remota, ossia utilizzando un kit composto da un dispositivo, come una smart card o una chiavetta Usb, che contiene un certificato digitale di sottoscrizione e che permette al titolare di firmare digitalmente i propri documenti elettronici, inserendo un codice PIN.
Tuttavia, esistono sistemi che non prevedono l’utilizzo di smart card o chiavette USB, in quanto il certificato di firma digitale è depositato su un server. Per apporre la firma digitale in questo caso si utilizza un dispositivo OTP (One Time Password) e una password personale. In questo modo per poter utilizzare la firma digitale basta una connessione a internet: il dispositivo OTP, infatti, può essere anche lo smartphone.