Questo sito contribuisce alla audience di Il Messaggero

Come apporre la firma digitale

di

La firma digitale è uno strumento attraverso il quale professionisti, aziende, privati cittadini e PA possono attribuire valore legale ai documenti elettronici. È una forma di firma elettronica qualificata e si basa su alcuni princìpi fondamentali: autenticità, integrità, non ripudio e valore legale, in quanto i documenti firmati sono integri — nel senso che non hanno subìto modifiche dopo la firma —, sono riconducibili a una specifica persona che non può ripudiarne la paternità e godono di valore legale (riconosciuto in Italia e in tutta l’Unione Europea) pari a quello della firma autografa, con un’ulteriore garanzia su provenienza e invariabilità delle informazioni contenute nei documenti firmati.

Per ottenere la firma digitale occorre acquistare un apposito “pacchetto” da un ente certificatore che, operando nel rispetto della vigente normativa in materia di Firma Digitale e delle regole tecniche emanate dall’AgID (l’Agenzia per l’Italia Digitale), garantisce l’identità dei soggetti che utilizzano la firma digitale. La firma digitale è generalmente fornita tramite un kit composto da un dispositivo hardware (ad esempio una chiavetta USB o un lettore di smart card) da collegare al PC, un certificato di firma digitale (generalmente fornito tramite smart card e con una validità di tre anni) e da un software che consente di applicare la firma ai documenti elettronici. Il software può essere fornito “di serie” con il kit o può essere disponibile per il download sul sito dell’ente certificatore. In alternativa ci sono i servizi di firma digitale remota, in cui i certificati di firma sono ospitati sui server sicuri dell’ente certificatore e dunque diventa possibile apporre o verificare la firma sui documenti elettronici (anche da smartphone e tablet) senza ricorrere a una smart card fisica o a dispositivi hardware da collegare al PC. In questi casi, la firma viene apposta anziché tramite il PIN della smart card, tramite un codice OTP da generare via app o tramite un dispositivo OTP fisico.

È possibile applicare la firma digitale a qualsiasi file: si va dai classici PDF ai documenti di Word. Altra cosa importante da sapere è che per utilizzare un kit di firma digitale bisogna verificare la propria identità (tramite un’apposita procedura a norma di legge) e bisogna attivare il kit tramite il sito dell’ente certificatore. Lo so, detta così sembra un’operazione complicatissima, ma in realtà ti assicuro che le cose stanno in maniera diversa: è tutto molto più semplice di quel che sembra. Se non ci credi, prenditi cinque minuti di tempo libero e scopri come apporre la firma digitale grazie alle indicazioni che sto per darti.

Indice

Cos’è la firma digitale

Firma Digitale

Prima di entrare nel vivo del tutorial e vedere in dettaglio come apporre la firma digitale, è bene fare un po’ di chiarezza sulla definizione tecnica di questo strumento e sulla sua differenza con la firma elettronica. Volendo arrivare subito al succo del discorso, possiamo dire che la firma digitale è una firma elettronica che ha un valore legale certo, ma meglio essere più precisi e sottolineare le differenze fra i vari tipi di firma elettronica.

  • Firma elettronica — è il tipo di firma più semplice e non ha un valore legale intrinseco (in quanto non prevede l’uso di strumenti capaci di garantire l’autenticità e l’integrità dei documenti firmati). Spetta a un giudice valutare, di caso in caso, l’autenticità di un documento firmato tramite firma elettronica semplice.
  • Firma elettronica avanzata — è una firma elettronica generata con mezzi che consentono di dimostrare l’integrità del documento, sui quali il firmatario ha un controllo diretto ed esclusivo (es. un tablet di proprietà del firmatario). I termini di utilizzo e i limiti d’uso sono descritti e concordati di volta in volta tra le parti coinvolte.
  • Firma elettronica qualificata o firma digitale — è una la forma più avanzata di firma elettronica. Viene applicate con strumenti qualificati, come ad esempio i kit di firma che si acquistano dagli enti certificatori, quindi ha pieno valore legale e certifica sia l’originalità che l’integrità dei documenti firmati. La firma digitale prevede l’utilizzo di sistemi crittografici asimmetrici, cioè di sistemi di crittografia in cui una coppia di chiavi (una pubblica e una privata) viene usata per verificare l’integrità e l’originalità dei documenti firmati. Ha pieno valore legale.

La firma digitale può dunque servire sia alle aziende che ai privati cittadini e alle PA. È possibile usarla per firmare contratti, fatture, comunicazioni con la PA, bilanci, ordini di acquisto e altro ancora. Inoltre, consente di verificare la validità e l’integrità dei documenti ricevuti.

Favorisce poi la dematerializzazione, cioè l’insieme di attività che consentono di ridurre il consumo di carta (con risvolti positivi anche in termini ecologici) e il risparmio contemporaneamente sia di denaro che di tempo; basti pensare alle code evitate negli uffici fisici e alla mancata necessità di dover ricercare/riordinare documenti cartacei nel proprio archivio. Inoltre, i documenti elettronici sono molto più facili da consultare e condividere, ad esempio via email o tramite sistemi di messaggistica come WhatsApp.

La firma digitale è inoltre obbligatoria per finanziamenti o bandi pubblici: la sua mancata apposizione sui documenti è infatti causa di esclusione.

A proposito di obbligatorietà: molti kit di firma digitale includono anche la Carta Nazionale dei Servizi (CNS): un certificato che consente di verificare la propria identità nell’accesso ai portali della Pubblica Amministrazione, ad esempio sul sito dell’Agenzia delle Entrate, e che è obbligatorio per alcuni tipi di professionisti, come gli avvocati, per accedere a dei portali di riferimento (es. il Portale Giustizia).

Infine, una cosa a cui tengo molto: la firma digitale non va confusa con la PEC, che non permette di firmare i singoli documenti, bensì attribuisce valore legale ai messaggi che si scambiano tramite posta elettronica. Te ne ho parlato più in dettaglio nel mio tutorial su cosa è la PEC e come funziona.

I kit di firma digitale

Firma Digitale Aruba

Come detto in apertura del post, per usare la firma digitale occorre acquistare un apposito kit. Ci sono vari tipi di kit e i loro prezzi variano generalmente fra i 30 e i 60 euro.

I kit più semplici da utilizzare sono quelli in formato USB, i quali si possono suddividere in token USB e key all-in-one: i primi permettono di usare delle smart card in formato SIM con dei piccoli lettori simili a penne USB e prevedono il download del software di firma separatamente; le key all-in-one, invece, fungono da token USB e al loro interno includono sia la smart card con il certificato di firma sia il software per l’applicazione di quest’ultima.

In alternativa, ci sono i kit più tradizionali che sono composti da una smart card in formato carta di credito con il certificato di firma e un lettore smart card da tavolo. In entrambi i casi, il certificato di firma ha una validità media di 3 anni, che va rinnovata in prossimità della scadenza.

Ad esempio, ti segnalo i kit di Firma Digitale Aruba, sicuramente tra i più completi e interessanti del momento, che prevedono proprio l’uso di tali dispositivi.

  • Aruba Key (61 euro + IVA; 10 euro + IVA per la spedizione) — è una chiavetta USB con smart card in formato SIM che si collega al computer e include già sia i driver sia il software di firma/verifica dei documenti. Include anche il certificato di autenticazione CNS. Maggiori info qui.
  • Token USB (42 euro + IVA; 10 euro + IVA per la spedizione) — è una chiavetta USB che però, in questo caso, richiede l’installazione preventiva dei driver e del software di firma ArubaSign. Include smart card in formato SIM e CNS. Maggiori info qui.
  • Smart card + lettore (40 euro + IVA; 10 euro + IVA per la spedizione) — comprende un classico lettore di smart card USB e una smart card in formato carta di credito. Include CNS. Maggiori info qui.

Sono poi disponibili dei sistemi di firma digitale remota che consentono di firmare i documenti da qualsiasi dispositivo, senza utilizzare componenti hardware specifici. In questi casi, il certificato di firma non risiede su una smart card fisica, bensì sui server sicuri dell’ente certificatore, e questo permette di firmare/verificare i documenti anche smartphone e tablet, senza ricorrere a dispositivi hardware specifici e senza dover portare con sé una smart card. Per apporre la firma — al posto del PIN della smart card — va usato un codice OTP generato da app per smartphone o da un apposito dispositivo OTP.

Tra le soluzioni di firma digitale remota più interessanti c’è sicuramente la Firma Digitale Remota di Aruba OTP Mobile che, per 36 euro + IVA (non ci sono spese di spedizione, in quanto non prevede invio di dispositivi fisici), consente di avere un certificato di firma digitale utilizzabile su PC, smartphone e tablet e di generare codici OTP tramite la app Aruba OTP per Android o iOS/iPadOS. In alternativa, aggiungendo 7 euro + IVA per la spedizione, è possibile richiedere un dispositivo OTP fisico con display integrato oppure un dispositivo OTP fisico USB da collegare al PC per la generazione dei codici OTP.

Come ottenere la firma digitale

Firma Digitale

Per acquistare un kit di firma digitale, devi collegarti al sito Internet di un ente certificatore e scegliere il prodotto che ti sembra più adatto alle tue esigenze.

In genere, i prodotti più costosi sono i kit di firma digitali che comprendono le chiavette USB all-in-one, mentre quelli più economici sono quelli di firma digitale remota. Se sei già in possesso di un lettore di smart card o di un token USB, puoi anche acquistare il solo certificato di firma digitale.

Fra gli enti certificatori più popolari, ti segnalo Aruba, di cui ti ho già parlato poc’anzi, che offre delle ottime soluzioni per la firma digitale a prezzi abbordabili, ma ci sono anche altre aziende alle quali potresti rivolgerti: trovi l’elenco completo sul sito dell’Agenzia per l’Italia Digitale. Se poi sei titolare di un’impresa, sappi che puoi richiedere un kit di firma digitale anche alla Camera di Commercio della tua città. Gli step necessari ad acquistare e a attivare un kit di firma digitale sono fondamentalmente tre.

  • Acquisto del kit — come già detto, il primo passo che devi compiere è collegarti al sito Internet di un ente certificatore e acquistare il kit di tuo interesse. Per completare l’operazione dovrai creare un account sul sito dell’ente certificatore e fornire tutti i tuoi dati personali più un metodo di pagamento valido (carta, PayPal, bonifico o bollettino). Nel caso di Aruba, per esempio, basta collegarsi al sito ufficiale dell’ente certificatore, selezionare il prodotto di proprio interesse, creare o accedere al proprio account, verificare i propri dati, indicare gli estremi di un documento d’identità valido, scegliere una modalità di riconoscimento, indicare l’indirizzo di spedizione (se si sta acquistando un kit fisico), accettare i termini contrattuali ed effettuare il pagamento.
  • Verifica dell’identità — per attivare la firma digitale occorre, per legge, verificare la propria identità. Ci sono vari modi per farlo. Nel caso di Aruba, per esempio, è possibile eseguire il riconoscimento tramite webcam o app mobile per Android e iOS/iPadOS, di persona presso un ufficio comunale, oppure da remoto tramite CIE (carta di identità elettronica) o Tessera Sanitaria CNS/CNS (Carta Nazionale dei Servizi) usando un lettore di smart card da collegare al PC.
  • Attivazione della firma — dopo aver fornito tutta la documentazione necessaria e aver verificato la propria identità, bisogna collegarsi nuovamente al sito dell’ente certificatore e attivare la firma, fornendo il seriale della smart card, il codice fiscale e altri dati ottenuti in seguito alla verifica dell’identità. Nel caso della firma digitale remota, invece, bisogna inerire gli estremi del documento usato in fase di verifica dell’identità e un codice segreto che si riceve via SMS.

Per informazioni più dettagliate su tutti e tre i passaggi appena elencati, consulta la mia guida su come ottenere la firma digitale.

Come usare la firma digitale

ArubaSign

In seguito alla verifica dell’identità e all’attivazione della firma digitale, puoi cominciare a firmare e verificare i tuoi documenti. Per farlo, però, potresti dover scaricare i driver e i software di firma dal sito Internet dell’ente certificatore.

Il download dei driver e del software di firma è necessario per i lettori di smart card e per i token USB, ma non per le chiavette USB all-in-one, che già includono i software di firma e non necessitano di driver per poter funzionare. Per quanto riguarda i servizi di firma digitale remota, invece, sono necessari solo i software e le app di firma.

Facciamo un esempio pratico con la Firma Digitale Aruba. Se hai acquistato un kit di Firma Digitale Aruba con ArubaKey, non devi installare nulla, in quanto è già tutto incluso nella chiavetta. Se, invece, hai acquistato un kit con token USB o lettore di smart card, devi scaricare i driver lettori dal sito di Aruba e installarli su Windows, macOS o Linux, avviando l’eseguibile ottenuto e seguendo le indicazioni su schermo.

Se hai un kit di Firma Digitale Aruba con token USB/lettore di smart card o hai optato per la Firma Digitale Remota di Aruba, devi scaricare il software di firma/verifica ArubaSign, disponibile sia per Windows (anche in versione per ipovedenti) che per macOS e Linux. Lo trovi sempre sul sito di Aruba. Per installarlo su Windows, avvia l’eseguibile ottenuto e clicca sui pulsanti e Fine.

Sempre se hai la Firma Digitale Remota di Aruba OTP Mobile, devi installare la app Aruba OTP per Android o iOS/iPadOS (indispensabile per generare i codici OTP necessari a firmare i documenti, previa inserimento del proprio username nelle impostazioni) e la app Aruba Firma per la firma e la verifica dei documenti direttamente da dispositivi Android e iOS/iPadOS ed il software di firma ArubaSign, per utilizzare il servizio di firma su PC.

Firmare e verificare un documento

ArubaSign

Quando sei pronto a firmare un documento elettronico, avvia il software di firma incluso nel tuo kit o che hai scaricato separatamente dal sito Internet dell’ente certificatore (ad es. ArubaSign), vai nella scheda Firma e seleziona i file sui quali apporre la firma digitale trascinandoli nella finestra del programma o cliccando sul pulsante Seleziona documenti.

A questo punto, seleziona il formato firma che desideri utilizzare (es. CAdES, PAdES o ASiC-S) dall’apposito menu a tendina e, tramite l’apposita casella, scegli se applicare una marca temporale al documento. La marca temporale è una certificazione che permette di verificare la data e l’ora in cui è stato firmato un documento, estendendo il valore legale di quest’ultimo e mantenendolo valido anche in caso di scadenza del certificato di firma. Maggiori info qui.

Clicca, dunque, sul pulsante Prosegui e firma e, nella finestra che si apre, indica che tipo di firma usare tra firma remota e firma con dispositivo; inserisci le relative informazioni nei campi sottostanti (‌Nome utente, Password e codice OTP per la firma remota o il PIN per il dispositivo di firma), clicca sul pulsante Prosegui e otterrai così il tuo file firmato.

ArubaSign

Per la verifica di uno o più documenti già firmati occorre compiere operazioni altrettanto semplici: nel caso di ArubaSign, ad esempio, basta accedere alla scheda Verifica e trascinare i documenti in quest’ultima (o premere sul pulsante Seleziona documenti e selezionarli “manualmente”).

In pochi secondi vengono così mostrati i dati sulla validità della firma, l’attendibilità del certificato usato e la validità legale di quest’ultimo.

ArubaSign

Altra cosa che ti interesserà sapere è che andando nel menu Preferenze del software e selezionando la voce Funzionalità dalla barra laterale di sinistra puoi scegliere se visualizzare anche le schede per attivare le funzioni Cifra, Decifra e Marca temporale.

Ti segnalo, infine, che ArubaSign è accessibile anche dal menu contestuale di Windows: basta fare clic destro su un file per trovare dei collegamenti alle funzioni Cifra, Firma e Marca del programma. Tutte funzionalità offerte in maniera totalmente gratuita, laddove molte altre soluzioni simili le prevedono solo a pagamento.

ArubaSign

Se hai una Firma Digitale Remota di Aruba OTP Mobile, puoi firmare e verificare i documenti dall’app Aruba Firma, disponibile sia per Android che per iOS/iPadOS, semplicemente immettendo il tuo nome utente nel campo Username/IDLogin delle impostazioni e andando nella scheda Da firmare.

Da qui, premi sul pulsante (+), seleziona il file di tuo interesse, fai tap sul suo nome e scegli se firmarlo o verificarlo. Nel primo caso, potrai selezionare la tipologia di firma da utilizzare (es. CAdES, PAdES o ASiC-S), attivare la richiesta di marca temporale e potrai completare il tutto immettendo prima la password del tuo account di firma e poi il codice OTP generato tramite app o dispositivo OTP fisico.

Nel secondo, ti verranno mostrate automaticamente tutte le informazioni sulla firma e sul certificato usato per autenticare il documento direttamente nell’app.

App Firma Aruba

Se vuoi maggiori informazioni sul funzionamento del kit di firma che hai acquistato, ti consiglio vivamente di fare “un salto” sul sito Internet dell’ente certificatore: lì troverai sicuramente una documentazione dettagliata che illustra tutte le funzionalità del software. Nel caso di ArubaSign, per esempio, puoi consultare la guida ufficiale di Aruba o la mia guida su come funziona la Firma Digitale Aruba.

Usare il certificato di firma in applicazioni di terze parti

Firma Digitale

I kit di firma digitale in formato chiavetta USB, quelli che funzionano senza driver e includono anche i software di firma, funzionano in modalità HID (Human Interface Device) ma all’occorrenza è possibile convertirle in dispositivi CCID, cioè in comuni lettori di smart card che permettono di firmare i documenti con software alternativi rispetto a quelli inclusi nel kit, come ad esempio Adobe Acrobat, LibreOffice o Microsoft Office.

Se vuoi convertire un kit di firma USB in un dispositivo CCID, devi avviare il software di gestione di quest’ultimo e richiamare l’apposita opzione. Ad esempio, se utilizzi una key USB di Aruba devi cliccare sulla voce Utilities e selezionare l’opzione “Import” Certificato dalla schermata che si apre, mentre se utilizzi un kit di firma Postecert devi andare su Gestione chip e selezionare l’icona HIDCCID. Dopo aver selezionato l’opzione per convertire il kit di firma in dispositivo CCID, devi seguire le indicazioni su schermo ed entro pochi clic l’operazione sarà conclusa.

Adesso devi configurare il certificato di firma digitale nel software “alternativo” con cui intendi firmare i tuoi documenti. Se vuoi utilizzare Adobe Acrobat, apri quest’ultimo, vai nel menu Modifica > Preferenze e seleziona la voce Firme dalla barra laterale di sinistra.

Successivamente, fai clic sul pulsante Altre… che si trova nel campo Identità e certificati affidabili, espandi la voce ID digitali, vai su Moduli e token PKCS, pigia sul pulsante Aggiungi modulo e seleziona il file per l’utilizzo del kit di firma in modalità CCID (detto modulo PKCS): a seconda del kit in tuo possesso, dovrebbe essere X:\Windows\System32\bit4ipki.dll, X:\Windows\System32\ bit4opki.dll o X:\System\Firma4NG_Windows\Firma4.

Per concludere, seleziona il modulo PKCS dal campo Moduli e token PKCS, effettua il login inserendo il PIN del tuo certificato di firma e firma i tuoi documenti usando l’apposita funzione di Acrobat. Maggiori info qui.

Firma Digitale

Se preferisci utilizzare LibreOffice o OpenOffice, puoi richiamare la funzione dedicata alle firme digitali nel menu File (in alto a sinistra), mentre se vuoi usare Microsoft Word devi andare nel menu File e devi selezionare la voce Aggiungi firma digitale dal menu Proteggi documento.

Firma Digitale Aruba

Per utilizzare i certificati di firma digitale in applicazioni come LibreOffice, OpenOffice e Microsoft Office, potrebbe essere necessario importarli prima nei browser Web; operazione che tra l’altro abilita anche alla firma dei moduli online.

Per importare un certificato in Firefox, clicca sul pulsante ≡ collocato in alto a destra, seleziona la voce Opzioni/Preferenze dal menu che compare e vai su Privacy e sicurezza, per poi cliccare sul pulsante Dispositivi di sicurezza (in fondo al menu). Da qui, premi sul pulsante Carica. Per maggiori informazioni, consulta la guida ufficiale di Aruba.

Firefox

Quando hai finito di firmare i tuoi documenti con Acrobat, LibreOffice o Microsoft Office, rimuovi la chiavetta USB con la firma digitale dal computer e il kit, dall’utilizzo successivo, dovrebbe tornare a funzionare in modalità HID. Qualora così non fosse, recati nel pannello di controllo di Windows o nel menu delle applicazioni di macOS e cancella i software che si sono installati quando hai attivato la modalità CCID del kit (es. Ak Switcher per le chiavette di Aruba).

Se arrivato a questo punto del tutorial non sei ancora riuscito ad apporre la firma digitale, prova a contattare il supporto tecnico dell’ente certificatore. Potrebbero esserci problemi con il tuo kit o errori di configurazione che hai tralasciato in fase di installazione del dispositivo o del certificato.

Articolo realizzato in collaborazione con Aruba.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.