Oltre tre miliardi di firme digitali remote, generate nel solo 2019. E oltre venti milioni di dispositivi attivi. Bastano questi dati, contenuti nel monitoraggio che l’agenzia per l’Italia digitale (Agid) effettua sui dati forniti dai certificatori accreditati, a raccontare come la firma digitale si sia ormai da tempo trasformata in un fenomeno che riguarda il nostro paese su una scala molto larga. Grazie al quale è possibile sottoscrivere documenti digitali, con pieno valore legale, con il semplice utilizzo di alcuni software. Basta pensare, tra i tanti, al caso dell’utilizzo di firma digitale per le fatture elettroniche.

Il valore legale
Dal punto di vista legale, la firma digitale è un meccanismo che garantisce l’autenticità del firmatario, l’integrità, la piena validità del documento sottoscritto e il suo riconoscimento in tutti i paesi europei.

Tutte le persone fisiche possono dotarsi di una firma digitale e, per farlo, possono rivolgersi a soggetti chiamati «prestatori di servizi fiduciari qualificati». Si tratta di soggetti, autorizzati dall’agenzia per l’Italia digitale (Agid), che hanno proprio il compito di garantire l’identità di tutti coloro che utilizzano la firma digitale. Tra loro ci sono società come Aruba.

I confini della validità
Più nello specifico, la firma digitale certifica l’identità della persona o dell’impresa che firma il documento. Assicura, poi, che il firmatario non possa disconoscere il documento che ha firmato (il cosiddetto “non ripudio”). Ancora, garantisce che i documenti firmati non possano essere modificati in seguito all’apposizione della firma. E dà al documento validità legale: con questo tipo di firma, un file ha lo stesso valore di un documento su cui è stata apposta una firma autografa.

La conseguenza è che la firma digitale può essere usata sia per documenti della pubblica amministrazione che sottoscrivere documenti tra privati, come contratti, fatture e bilanci.

Sul punto, il Codice dell’amministrazione digitale, all’articolo 24, spiega che «la firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata». Perché abbia questi requisiti, però, è necessario rispettare una serie di passaggi.

Come funziona la firma digitale
Nel momento in cui viene apposta una firma digitale, si crea un file, definito «busta crittografica». All’interno di questa busta virtuale, senza scendere in tecnicismi eccessivi, ci sono il documento originale, l’evidenza informatica della firma e la chiave che consente di verificarla.

La creazione della busta crittografica avviene tramite i cosiddetti software di firma, che possono utilizzare diversi sistemi, definiti dagli acronimi Xades (per documenti come le fatture elettroniche), Pades (per i pdf) e Cades (per qualsiasi tipo di documento). Si tratta di standard europei, tutti utilizzati anche in Italia.

Per creare la busta, andrà apposta la firma digitale, con i sistemi che vedremo più avanti. Chi riceve la firma avrà, infine, bisogno di un meccanismo di verifica. Attraverso diversi software, allora, potrà controllare che il documento non sia stato modificato dopo l’apposizione della firma e che il certificato di firma digitale del sottoscrittore non sia scaduto, sospeso o revocato. In altre parole, potrà essere certo dell’identità di chi ha firmato e che il documento rispecchi la sua volontà.

Si capisce, così, un punto essenziale. La firma digitale viene generata grazie ad una coppia di chiavi digitali (definite asimmetriche), attribuite ad un soggetto. Una è la chiave privata, che serve a generare la firma ed è conosciuta solo dal titolare; l’altra è la chiave pubblica, che serve a verificare l’autenticità della firma.

La firma remota
La gran parte delle firme digitali - l’80% circa, secondo i dati dell’Agid - oggi viene apposta tramite firma digitale remota. Un kit classico per la firma digitale è, infatti, composto da un dispositivo, come una smart Card o una chiavetta Usb, che contiene un certificato digitale di sottoscrizione e che consente al titolare di firmare digitalmente i propri documenti elettronici, inserendo un Pin.

C’è, invece, un sistema che non richiede l’utilizzo di smart card o penne Usb: in questo caso, infatti, il certificato di firma digitale è depositato su un server. Sarà un dispositivo Otp (One time password) che consentirà di apporre la firma digitale, insieme a una password: questo, ad esempio, potrà avvenire tramite cellulare. In questo modo, basta avere una connessione a internet per poter usare la firma digitale.

Giuseppe Latour - 5 ottobre 2020 – tratto da sole24ore.com