Questo sito contribuisce alla audience di Il Messaggero
Scopri le migliori offerte sul canale Telegram ufficiale. Guarda su Telegram

Come firmare digitalmente

di

La firma digitale è uno strumento che permette di firmare i documenti elettronici (es. i file in formato PDF) aggiungendo ad essi un valore di autenticità e di integrità. Si basa su tre principi fondamentali: quello dell’autenticità che testimonia l’identità del firmatario; quello dell’integrità che assicura che i documenti firmati non siano stati modificati dopo la firma e quello del “non ripudio”, che invece garantisce la validità legale di un documento e impedisce che questo sia ripudiato dal suo firmatario dopo la firma.

La “firma digitale” non va confusa con la “firma elettronica”, in quanto una firma elettronica generica potrebbe non rispettare tutte le caratteristiche di cui sopra e, quindi, potrebbe non garantire lo stesso valore legale (ne parleremo meglio a breve). Inoltre, non bisogna confondere la firma digitale e la firma elettronica con la PEC, che è uno strumento grazie al quale si assegna valore legale ai messaggi di posta elettronica e non ai singoli documenti firmati da una persona: te ne ho parlato più in dettaglio nel mio tutorial su come registrare PEC.

Per usufruire della firma digitale, bisogna acquistare degli appositi kit che si possono reperire facilmente online (venduti da aziende certificate), bisogna attivarli e bisogna usare degli appositi software che consentono di validare i documenti usando i certificati contenuti nei kit. Lo so, detta così può sembrare una cosa oltremodo complicata, ma invece ti assicuro che è molto più semplice di quello che si possa immaginare. Se vuoi saperne di più e vuoi scoprire come firmare digitalmente i tuoi documenti, continua a leggere. Trovi tutte le informazioni di cui hai bisogno proprio qui sotto.

Indice

Differenze tra i vari tipi di firma elettronica

Prima di entrare nel vivo di questo tutorial e scoprire come firmare digitalmente un documento, è bene precisare che esistono vari tipi di firma elettronica, ognuno dei quali con caratteristiche e gradi di valenza legale differenti.

Come firmare digitalmente

  • Firma elettronica – è il tipo di firma più semplice. Non prevede l’implementazione di misure di sicurezza particolari e, quindi, non permette di essere sicuri circa l’integrità e l’originalità del documento firmato. In sede legale spetta a un giudice valutare l’originalità di un documento firmato tramite firma elettronica semplice.
  • Firma elettronica avanzata – è una versione un po’ più sicura della firma elettronica semplice. Prevede la firma dei documenti tramite mezzi sui quali il firmatario può conservare un controllo esclusivo (es. il proprio tablet) e che consentono di dimostrare l’integrità e l’originalità del documento firmato. I documenti firmati con firma elettronica avanzata hanno valore legale (ad eccezione dei contratti immobiliari).
  • Firma elettronica qualificata – è un tipo di firma creata con mezzi qualificati (es. i kit venduti da aziende come Aruba o Poste Italiane), che quindi permette di essere sicuri circa l’integrità e l’originalità del documento firmato. I documenti firmati tramite questa firma hanno valore legale.
  • Firma elettronica digitale – è un tipo di firma elettronica avanzata che prevede l’utilizzo di un sistema di crittografia asimmetrica, cioè l’utilizzo di due chiavi crittografiche (una pubblica e una privata) che permettono sia al mittente che al destinatario di un documento di verificarne integrità e originalità. I documenti firmati tramite firma elettronica digitale hanno valore legale.

Ricapitolando: i documenti firmati con firma elettronica avanzata, firma elettronica qualificata e firma elettronica digitale hanno tutti valore legale, per l’esattezza lo stesso valore legale della scrittura privata. I documenti firmati tramite firma elettronica semplice, invece, hanno un valore legale “variabile” che deve essere valutato di caso in caso da un giudice.

Un capitolo a parte la merita, poi, la Carta Nazionale dei Servizi (CNS): un certificato che consente all’utente (il titolare del certificato) di autenticarsi sui servizi della Pubblica Amministrazione. Offre anche la possibilità di firmare elettronicamente i documenti, ma bisogna fare attenzione perché non tutte le CNS hanno le stesse proprietà: alcune permettono, infatti, di apporre solo la firma elettronica semplice, mentre altre supportano anche la firma elettronica avanzata.

Come ottenere la firma digitale

Fatta questa doverosa distinzione fra i vari tipi di firma elettronica, vediamo cosa serve e come bisogna procedere per attivare il proprio kit. I passaggi da compiere sono relativamente semplici.

1. Acquistare un kit per la firma digitale – i kit per la firma elettronica (parliamo di firma qualificata e digitale) sono venduti da varie aziende, come ad esempio Aruba, Poste Italiane e InfoCert (l’elenco completo lo puoi trovare sul sito dell’Agenzia per l’Italia Digitale). Hanno prezzi generalmente compresi fra i 40 e i 50 euro e possono essere composti da vari dispositivi: vediamo insieme quali.

Firma Digitale Aruba

  • Key USB – si tratta di chiavette USB che al loro interno hanno una smart card con il certificato di firma digitale, i software per firmare i documenti e, in alcuni casi, il certificato per la Carta Nazionale dei Servizi. Rappresentano la soluzione più semplice da usare, in quanto non necessitano d’installazione e hanno al loro interno tutto quello che serve per firmare e verificare i documenti elettronici. All’occorrenza, possono essere trasformati in dispositivi CCID (cioè in semplici lettori di smart card) per importare la firma digitale sul PC e firmare i documenti usando applicazioni diverse da quelle incluse nella chiavetta.
  • Token USB – si tratta di chiavette USB che al loro interno contengono una smart card, il certificato per la firma digitale e, in alcuni casi, il certificato per la Carta Nazionale dei Servizi. Prevede l’installazione di driver e il download separato dei software per firmare i documenti. Come facilmente intuibile, i token USB sono leggermente più complicati da usare rispetto alle Key con tutto incluso, ma sono anche più economici.
  • Lettore di smart card – lettori di smart card abbinati alle smart card con i certificati di firma digitale e, in alcuni casi, CNS. Prevedono l’installazione di driver e software per la firma separatamente. Sono più economici dei token ma sono scarsamente trasportabili, quindi vale la pena prenderli in considerazione solo se si deve utilizzare la firma elettronica da una postazione fissa (es. un singolo PC desktop).
  • Kit di firma digitale remota – si tratta di kit, alternativi a quelli menzionati in precedenza, che permettono di apporre la firma digitale sui documenti usando una smart card virtuale, una password OTP (cioè una password usa-e-getta ricevuta tramite SMS o generata da chiavette simili a quelle fornite dalle banche) e un software di firma e verifica. In pratica permettono di applicare la firma digitale ai documenti senza usare chiavette o altri dispositivi fisici (si fa tutto da remoto).

2. Verificare la propria identità – per ricevere il proprio kit di firma digitale, bisogna verificare la propria identità. Il riconoscimento può avvenire in vari modi.

Come firmare digitalmente

  • Identificazione de visu presso un Pubblico ufficiale – se si sceglie questa strada, bisogna recarsi in Comune con un documento d’identità valido, la documentazione ricevuta dall’azienda che emette la firma digitale (ricevuta tramite email) e bisogna farsi identificare da un Pubblico Ufficiale per autenticare la richiesta della firma digitale (tramite marca da bollo, da acquistare separatamente). Ad operazione completata, bisogna inviare la documentazione autenticata all’azienda che emette la firma digitale.
  • Identificazione de visu presso ufficio postale o centro di spedizione – a seconda delle modalità previste da ciascuna azienda fornitrice di firma digitale, è possibile identificare la propria identità anche recandosi in un ufficio postale o in un centro del corriere a cui vene affidata la consegna del kit. Ovviamente bisogna portare con sé i documenti ricevuti via email e un documento d’identità valido. L’operazione di identificazione ha un prezzo variabile.
  • Identificazione da remoto – a seconda delle modalità supportate dal provider scelto è possibile procedere via webcam, scansionando la CIE con uno smartphone NFC, con SPID o con CNS.

3. Attivare il kit per la firma elettronica – una volta ricevuto il kit per la firma digitale, bisogna autenticare quest’ultimo sul sito dell’azienda che ha fornito il kit. La procedura è abbastanza rapida e prevede l’inserimento di informazioni quali il codice seriale della smart card, il proprio codice fiscale e il proprio codice di attivazione personale (che solitamente si riceve tramite SMS durante il processo di attivazione del kit).

Come firmare digitalmente

Una volta attivati, i certificati per la firma digitale vanno incontro a una scadenza(solitamente fissata a 3 anni) e quindi vanno rinnovati sostenendo una modesta spesa, sempre tramite l’azienda che ha rilasciato il kit per la firma.

Come usare la firma digitale

Una volta acquistato e attivato il proprio kit per la firma digitale, è possibile firmare digitalmente i propri documenti seguendo varie strade. La strada più semplice, come già accennato in precedenza, è quella che prevede l’utilizzo delle Key USB, le quali contengono tutti i software necessari all’autenticazione dei documenti (e alla verifica dei documenti già firmati) e non necessitano del download di driver esterni per funzionare: vengono riconosciute automaticamente dal computer al primo inserimento e vengono configurate di conseguenza. Solitamente sono compatibili con Windows, macOS e Linux.

Se alle Key all-in-one si sono preferiti i token USB o i lettori di smart card, prima di procedere con la firma dei documenti occorre scaricare i driver e i software per la firma dal sito dell’azienda che ha rilasciato il kit (es. Aruba o Poste Italiane).

ArubaSign

Dopo aver configurato a dovere il proprio kit per la firma digitale, basta avviare il software di firma integrato in quest’ultimo (o scaricato dal sito dell’azienda fornitrice del kit) e cliccare sull’icona per l’applicazione della firma digitale. Successivamente, bisogna scegliere il file a cui applicare la firma (o i file, dal momento che, per esempio, con Aruba è possibile firmare senza costi aggiuntivi più file contemporaneamente), inserire il PIN della propria smart card e selezionare il tipo di firma da applicare al documento, a seconda di quelli supportati dal software: a tal proposito ti segnalo che i software Aruba supportano tutti i principali formati a norma di legge senza costi aggiuntivi.

  • Busta crittografia P7M (CAdES) – crea un nuovo file in formato P7M che contiene il documento originale più i file della firma digitale. Questo tipo di firma è applicabile a tutti i tipi di documenti.
  • Firma PDF – crea un file PDF con firma inclusa. La firma può essere invisibile o grafica, quindi visibile graficamente all’interno del documento. Ovviamente può essere applicata solo ai file PDF.
  • Firma XML (XAdES) – crea un nuovo file in formato P7M. È applicabile a tutti i tipi di documenti.

In fase di firma, è possibile autenticare un documento applicando anche una marca temporale, cioè una certificazione che associa una data e un’ora precise (e legalmente valide) a un documento informatico. Apporre una marca temporale permette di mantenere il valore legale di un documento anche se questo è stato firmato con un certificato successivamente scaduto o revocato.

Una volta firmati, i documenti possono essere verificati tramite l’apposita funzione presente nel software di firma. Se vuoi saperne di più, fai un “salto” sui siti di aziende come Aruba e Poste Italiane, su cui ci sono istruzioni dettagliate circa il funzionamento dei loro software di firma digitale.

ArubaSign

Come già accennato in un passaggio precedente del tutorial, è possibile importare i certificati di firma digitale sul PC e convertire le Key USB fornite da aziende come Aruba e Poste Italiane da dispositivi HID a dispositivi CCID. Ciò permette di utilizzare le chiavette come dei comuni lettori di smart card e di firmare digitalmente i propri documenti con software alternativi a quelli inclusi nei kit, come ad esempio Adobe Acrobat, Microsoft Office o LibreOffice.

Per convertire un kit USB per la firma digitale in dispositivo CCID, bisogna avviare il suo software e cliccare sull’apposita voce. Ad esempio, nel software di Aruba bisogna andare su Utilities e cliccare sull’icona “Import” Certificato, mentre nel software di Poste Italiane bisogna andare su Gestione chip e cliccare sull’icona HID<>CCID. Dopodiché bisogna seguire la procedura guidata che viene proposta (basta cliccare sempre su Next) e il gioco è fatto.

Come firmare digitalmente

Una volta effettuata la conversione della key da HID a CCID, bisogna configurare il certificato con la firma digitale nell’applicazione che si vuole utilizzare per firmare i documenti.

Ad esempio, se vuoi firmare i tuoi documenti in Adobe Acrobat, devi recarti nel menu Modifica > Preferenze, dopodiché devi selezionare la voce Firme dalla barra laterale di sinistra e devi pigiare sul pulsante Altre… relativo al campo Identità e certificati affidabili.

Nella finestra che si apre, devi espandere la voce ID digitali che si trova nella barra laterale di sinistra, devi andare su Moduli e token PKCS e devi pigiare sul pulsante Aggiungi modulo. Ad operazione completata, devi scegliere il file che permette di richiamare il modulo del kit USB e quindi di usare la firma digitale. A seconda del kit che hai, il file da scegliere potrebbe essere C:\Windows\System32\bit4ipki.dll, C:\Windows\System32\ bit4opki.dll o X:\System\Firma4NG_Windows\Firma4.

Come firmare digitalmente

Dopo aver attivato il modulo PKCS, devi selezionarlo dal menu Moduli e token PKCS di Acrobat e devi eseguire il login inserendo il PIN della tua firma digitale. Superato anche questo step, dovresti essere in grado di usare la firma digitale richiamando l’apposita funzione dal menu di Acrobat.

Per utilizzare la firma digitale in Microsoft Word bisogna cliccare sul pulsante File collocato in alto a sinistra e selezionare la voce Aggiungi firma digitale dal menu Proteggi documento. Per utilizzarla in LibreOffice, invece, bisogna selezionare la voce Firme digitali dal menu File (in alto a sinistra).

Come firmare digitalmente

Affinché Word e LibreOffice “vedano” i certificati di firma digitale, potrebbe essere necessario importarli nei browser Mozilla Firefox o Internet Explorer. Per importare un certificato in Firefox bisogna andare nel menu ≡ > Opzioni > Avanzate > Certificati e cliccare sul pulsante Dispositivi di sicurezza, per importarlo in Internet Explorer bisogna andare sulla pagina Web indicata dal fornitore della firma. Per avere degli esempi pratici di quanto appena detto, consulta la guida ufficiale di Aruba sull’importazione dei certificati nei browser.

In caso di ripensamenti, per far tornare la key USB un dispositivo HID, devi rimuoverla dal PC e collegarla nuovamente a quest’ultimo. Se il dispositivo viene riconosciuto ancora come lettore di smart card, prova a disinstallare i software installati quando si è attivata la modalità CCID (es. Ak Switcher per le key di Aruba).

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.