L’avanzata dell’informatica dalla fine degli anni novanta in poi ha portato una grande serie di benefici in termini di digitalizzazione e velocizzazione nella gestione dei documenti, andando ad alleggerire in modo considerevole l’utilizzo della carta stampata.

Tra le tante esigenze “collaterali” che si sono manifestate in parallelo a questa modernizzazione, è nata quella della firma. La firma di un documento viene generalmente considerata un attestato di validità e autenticità del documento stesso, che associa in modo indissolubile l’autore con l’opera: si tratti di un modulo di consenso o di un contratto.

I tre principi che guidano l’utilizzo della firma elettronica sono la autenticazione del mittente, l’impossibilità di ripudio da parte dello stesso e la certezza della integrità del messaggio. Queste caratteristiche sono fondamentali quando si parla di documenti in formato digitale (quindi file in diversi formati, testo, fogli di calcolo etc.) soprattutto se trasmessi su canali potenzialmente non sicuri come Internet.

Senza perderci nei tecnicismi, come da tradizione di Informaticando, possiamo dire che la firma digitale ha iniziato a diffondersi in Italia tra la seconda metà degli anni 90 e l’inizio degli anni duemila, con una diffusione che nel 2004 vedeva la bellezza di oltre un milione di unità rilasciate. Queste entità possono essere rilasciate solo e soltanto da enti certificati a livello nazionale e riconosciuti a livello internazionale, in quanto – almeno all’interno dell’Unione Europea – le firme devono essere riconosciute anche all’estero.

Per il nostro Paese, gli enti più noti sono le Poste Italiane e Aruba, a cui si aggiungono provider meno conosciuti al pubblico come LexTel e Infocert. Ognuno di questi operatori può emettere identità digitali, previe opportune verifiche.

Come si ottiene e in cosa consiste

Per ottenere una firma digitale valida esistono diversi modi, ma volendo dare uno schema di massima, di solito si provvede all’acquisto tramite portale Web – per i provider come Aruba, Infocert etc. – o recandosi presso uno sportello fisico nel caso delle Poste. La procedura prevede la sottoscrizione di un servizio normalmente di durata triennale, in cui andremo ad indicare tutti i dati fiscali della persona interessata. La firma digitale deve sempre corrispondere ad una entità fisica o giuridica esistente ed è nominale e univoca.

Dovendo validare l’identità del richiedente, il passaggio più critico è proprio quello della verifica. In base alla piattaforma scelta esistono diversi modi che spaziano dalla presenza fisica della persona, all’invio tramite procedura specifica di una foto in abbinamento ad un documento valido. Servizi come Aruba permettono la validazione anche tramite la propria tessera sanitaria.

A procedura terminata, si passa alla fase di pagamento e conclusione della sottoscrizione. Anche in questo scenario sono previste diverse modalità, tuttavia l’utilizzo di carta di credito è di certo il più diffuso.

A questo punto è bene fare una distinzione, perché negli ultimi anni con l’avvento degli smartphone, si è diffusa una modalità di firma nuova rispetto al passato e che permette di usare lo stesso smartphone come dispositivo fisico di verifica. Ma spieghiamoci meglio…

All’atto pratico, per poter firmare un documento servono due cose: una firma valida e un software in grado di apporla. Il certificato di validità che identifica la persona firmante risiede su una scheda SIM (come quella telefonica) alloggiata all’interno di un dispositivo detto “token”, che di solito è una pennetta USB. In alternativa si possono utilizzare smart-card come la carta regionale dei servizi. Collegando la chiavetta con la SIM al computer (o la smart-card) e lanciando il software di firma, si può procedere.

Dato che la pennetta USB è “al portatore” risulta evidente che possa essere facilmente passata di mano, se non addirittura rubata o usata in modo improprio. Per questo motivo, ad ogni token corrisponde un codice PIN segreto che (almeno in teoria) dovrebbe possedere solo la persona interessata.

La combinazione di token, PIN e software di firma è tutto quello di cui avete bisogno per poter iniziare a firmare.

Tornando alla riflessione di poco fa, la distinzione con gli smartphone è fondamentale perché da qualche tempo a questa parte è possibile usarli come token, annullando di fatto la necessità del certificato valido installato su una SIM e relativo lettore. Inoltre questo permette di velocizzare i tempi di consegna, perché nel primo caso – una volta completato l’acquisto – è necessario attendere diversi giorni prima di ricevere il kit di firma, mentre nel secondo l’attivazione è sostanzialmente istantanea.

Non ci addentreremo nel dettaglio di ogni metodo di firma, perché cambia in base al fornitore del servizio, ma possiamo riassumere la procedura generale:

1. Si seleziona il file (di solito un documento di testo in PDF) da firmare
2. Si apre il software di firma (Aruba Sign, Dike etc.)
3. Si carica il file da firmare nel software seguendo la procedura e avendo inserito il token nel PC
4. Si passa dalla validazione tramite PIN che autorizza la firma
5. Viene restituito un file in formato specifico (di solito .p7m) firmato e autenticato

A questo punto è possibile inviare il file, ma c’è un ultimo passaggio che merita un chiarimento ovvero la consultazione lato ricevente. È bene sapere che gli stessi software usati per firmare e citati poco fa, adempiono anche al ruolo di lettore e sono quindi in grado di verificare la validità delle firme e aprire i file in modo consultabile nonostante il formato .p7m (o equivalente). Una volta appurato che il documento è valido, può essere ri-esportato in versione PDF classica.

Gli utilizzi della firma sono innumerevoli, così come gli scenari di utilizzo ma in linea di massima questo è quello che serve sapere per capire utilità e funzioni della firma digitale.