Come funziona la firma digitale? Cose da sapere

Dic 18, 16 Come funziona la firma digitale? Cose da sapere

La firma digitale è uno dei metodi più sicuri per proteggere i propri dati e per incrementare la sicurezza nelle proprie caselle di posta elettronica.

Questo tipo di firma può essere usata sia dalle aziende che dalle persone private e conferisce un valore di validità legale a qualsiasi documento prodotto al computer. Per apporre la firma digitale bisogna dotarsi di un sistema software apposito da installare sul proprio PC accompagnato a volte anche da dispositivi hardware: tramite questo software vengono rilasciate all’utente delle licenze che sono garantite da enti legalmente riconosciuti e che tramutano i file presenti sul computer in documenti ufficialmente siglati dal detentore dei codici di quel programma.

Il meccanismo della firma digitale serve sia ai produttori di documenti che a coloro che li ricevono: questi ultimi, infatti, devono disporre di un programma in grado di decodificare la firma digitale e dimostrarne la validità tramite un riscontro apposito. I documenti firmati con firma digitale hanno la garanzia di essere unici, integri e privati e possono essere prodotti nell’arco temporale di tre anni dall’acquisto del kit di licenza software per la segnatura dei documenti: allo scadere dei tre anni bisogna acquistare un nuovo software per la protezione dei documenti.

Il meccanismo di apposizione della firma digitale: protagonisti e metodi di firma

Nel caso si decida di apporre una firma digitale bisogna innanzitutto sapere che all’interno di questa azione sono contemplate tre figure. La prima è quella dell’ente che si prende la responsabilità di certificare la firma. Questo ente deve avere alcune caratteristiche, ovvero dev’essere riconosciuto a norma di legge su tutto il territorio nazionale e deve far parte del registro di enti certificati proposto dall’Agenzia per l’Italia Digitale.

Partner Data è uno di questi enti certificatori, quindi ha la qualifica di Registration Authority: tramite i suoi software riconosce il mittente del documento e gli conferisce la possibilità di apporre la firma digitale tramite la protezione del software con ID utente e codici unici e privati. Le informazioni che riguardano il rilascio di ogni certificato sono sempre trasparenti e rintracciabili, tanto che aziende come Partner Data si occupano di rendere pubbliche sia la data di scadenza del certificato di ogni kit che la sua validità (che può anche essere revocata prima della scadenza in caso di violazione delle norme). I privati cittadini che vogliono relazionarsi con il metodo più semplice ed intuitivo di apporre la propria firma digitale possono affidarsi a società come Partner Data, che garantisce programmi di fidelizzazione affidabili in Italia da oltre tre decenni.

Quali sono i formati della firma elettronica

La firma digitale può essere apposta sotto molte forme. Alcune delle più comuni metodologie di apposizione e di decodifica della firma digitale sono: il lettore smart card che legge una scheda magnetica e può essere usato ad esempio negli uffici e nelle aziende, oppure i token USB. Quest’ultimi sono come dei dispositivi USB con un ingresso ove inserire una piccola SIM card simile a quella dei telefoni. Il dispositivo viene poi collegato al PC che riconosce il codice utente e convalida la firma.

Negli ultimi anni è stato inventato anche un metodo estremamente innovativo, quello delle All in One Keys, ovvero delle speciali penne digitali all’interno delle quali sono installati già i programmi software che comunicano con il computer. Dentro la key è inoltre situata questa piccola SIM e un lettore che la mette in grado di comunicare con altri sistemi informatici ai quali è collegata.
Tutti questi kit sono utilizzabili anche autonomamente dal privato cittadino, mentre le aziende, soprattutto quelle su scala più vasta, tendono a preferire i kit che contengono anche la Carta Nazionale dei Servizi, ovvero una documentazione che mette l’azienda in grado di declinare le proprie generalità di fronte ai sistemi informatici di tutte le Istituzioni (che lavorano su circuiti di Posta Elettronica Certificata).

I passaggi da seguire per apporre la firma elettronica

Quando si possiede un kit per l’apposizione della firma elettronica e si è compreso come funziona la firma digitale, si può procedere con la sua creazione materiale in calce ad un file di tipo ufficiale. Il mittente del messaggio deve inserire un codice cifrato che viene dato in dotazione con il kit, a sua volta suddiviso in due ulteriori codici. Uno di essi rappresenta l’utente, e l’utente ne è a conoscenza; l’altro, egualmente abbinato in modo univoco all’identità dell’utente, non viene però comunicato nemmeno all’utente stesso, e si genera in modo automatico quando si richiede la firma digitale ad un file.

Questi due codici cifrati risiedono nella smart card o nella SIM e sono una coppia abbinata in modo unico, segreto ed irripetibile, che permette ai sistemi di ricezione di effettuare un controllo incrociato e criptato. Una volta selezionata l’opzione della firma digitale, l’utente vede il proprio documento firmato e può inviarlo tramite canali di PEC. Il ricevente del messaggio dev’essere in possesso di un software in grado di decrittare i codici di firma digitale, generalmente un software gratuito che le principali aziende ed Istituzioni possiedono di routine.

Lanciando questo programma, che viene avviato automaticamente nel momento in cui si seleziona la lettura del documento siglato in maniera digitale, il database è in grado di recuperare le informazioni pubbliche sul certificato di firma digitale e controllare che sia ancora in corso di validità. In quel modo la paternità del documento è certa e si può procedere a ritenerlo valido (ed eventualmente ad allegarlo agli atti di una particolare pratica per la quale i documenti debbano essere siglati). La firma digitale può essere eventualmente accompagnata da un’apposizione di marca temporale, che certifica in modo analogo il giorno in cui è avvenuta la firma, per conferire al documento un certificato di nascita ben preciso.

Tutti i modelli di smart card per la firma digitale

La smart card è il metodo sicuramente più diffuso per apporre la firma digitale: si tratta di una piccola scheda simile a quella di alcuni abbonamenti televisivi oppure ad un bancomat o una carta di credito, ovvero una scheda magnetica di plastica dura dotata di un chip. Ci si può procurare un lettore smart card ed una card firmando dei moduli e producendo una copia del proprio documento d’identità in corso di validità.

Naturalmente per avere una smart card ci si può affidare all’esperienza di Partner Data, che fornisce modelli come Athena AseDrivelle, un lettore di smartcard dotato di firmware che può essere aggiornato. L’innovazione di questo dispositivo è che la card si inserisce direttamente all’interno e non viene strisciata come in un POS, impedendo danneggiamenti o graffi alla zona del microchip. Anche le smartcard stesse sono disponibili in diversi modelli, sia di prossimità che di contatto, ma possono essere realizzate anche come delle semplici tessere con una fascia magnetica sul retro.

Come funziona la firma digitale nella PEC

firma digitaleLa PEC, o Posta Elettronica Certificata, è una casella di posta elettronica utilizzata da aziende pubbliche e private e da Istituzioni ed enti governativi per le comunicazioni interne ed esterne e le trasmissioni ufficiali di documenti. L’interfaccia utente è identica a quella di una qualunque casella di posta elettronica gratuita e reperibile sul web, quindi rimane lo stesso modo di inviare e-mail. Le connessioni su Internet, invece, vengono criptate da un sistema SSL, che accompagna il messaggio vero e proprio da altre due mail. La casella PEC del mittente, infatti, genera una mail di default per la casella PEC del destinatario, ove si attesta la validità della casella stessa ed eventualmente del certificato di licenza per apposizione della firma digitale del mittente del messaggio.

Per apporre la firma digitale direttamente sul testo della mail (indipendentemente dalle firme singole che compaiono nei documenti eventualmente allegati ad essa) bisogna disporre di un software installato direttamente nella casella di PEC che consente alla firma digitale di generarsi in calce al testo del messaggio. Il ricevente dovrà a sua volta avere questo software online all’interno della sua posta, per decodificare e verificare la veridicità della posta. Partner Data fornisce software di riconoscimento remoto non solo per documenti e file, ma anche per proteggere caselle di PEC da eventuali intrusioni e rendere le mail ancora più sicure, soprattutto nel caso di documentazione giuridica.

La normativa riguardante la firma digitale e la PEC

L’Italia ha instaurato una normativa che regolamenta l’uso di firma digitale a partire dall’ormai lontano 1997. Le leggi che da allora si sono succedute hanno regolamentato sia l’utilizzo di firme digitali qualificate che di firme elettroniche. Tra queste leggi ci sono anche quelle che delimitano le caratteristiche che i certificatori ufficiali devono avere, oltre che enucleare le norme sui dispositivi sicuri di riconoscimento della firma digitale e sugli ambiti di validità dei file siglati con questa procedura.
Anche le caselle di Posta Elettronica Certificata hanno una propria legislazione che ne limita e ne norma l’utilizzo. La legislazione è più recente di quella sulla firma digitale perché risale al 2005, ma è importante perché spiega anche quali siano gli elementi tecnici che certificano la validità di una casella PEC e le modalità di invio documenti tra Istituzioni ed enti ufficiali in caso di file secretati o estremamente confidenziali.