Questo sito contribuisce alla audience di Il Messaggero

Come ottenere la firma digitale

di

Vorresti dotarti di firma digitale ma non sai ancora muoverti in tal senso? Vorresti qualche delucidazione circa il funzionamento di questa tecnologia e le sue reali applicazioni nell’ambito delle comunicazioni tra privati cittadini, professionisti, imprese e PA? Nessun problema, oggi sono qui proprio per questo. Se mi dedichi qualche minuto del tuo tempo libero, ti spiegherò cos’è la firma digitale, quali sono le sue principali caratteristiche e — cosa ancora più importante — ti illustrerò la procedura corretta per ottenerla. Ti assicuro che è tutto molto più semplice di quello che immagini.

Per completezza d’informazione diciamo subito che la firma digitale, come suggerisce ampiamente il nome, è uno strumento grazie al quale cittadini, professionisti, imprese e PA possono firmare i documenti elettronici donando a questi ultimi un valore legale. Il suo funzionamento si basa su tre princìpi fondamentali: quello dell’autenticità, in quanto assicura l’identità della persona o dell’impresa che firma un documento; quello dell’integrità, in quanto assicura che i documenti firmati non siano stati modificati dopo la firma, e quello del non ripudio, in quanto un documento firmato tramite firma digitale non può essere “disconosciuto” da chi l’ha firmato.

Si può usare per firmare e verificare la validità di contratti, fatture, bilanci, ordini di acquisto, verbali di riunioni, comunicazioni con la PA e altro ancora. Essendo tutto in formato elettronico, l’uso di questa tecnologia comporta un notevole risparmio di tempo, carta e denaro (basti solo pensare alle code evitate negli uffici o al tempo non sprecato a ordinare i documenti in archivio!) e — cosa non di meno conto — ha anche il vantaggio di favorire il rispetto dell’ambiente e semplificare lo scambio dei documenti, che può avvenire tramite mezzi come email o WhatsApp, per esempio. Per usufruire della firma digitale, bisogna acquistarla da un ente certificatore riconosciuto e bisogna attivarla provvedendo alla verifica della propria identità (procedura di riconoscimento richiesta dalla legge). Trovi spiegato tutto qui sotto: se vuoi saperne di più e vuoi scoprire in dettaglio come ottenere la firma digitale, continua dunque a leggere.

Indice

Quale tipo di firma digitale scegliere

Firma Digitale Aruba

Prima di entrare nel vivo del tutorial e di vedere come ottenere la firma digitale, è bene precisare che la firma digitale è un tipo specifico di firma elettronica qualificata. La firma elettronica di per sé, si suddivide in varie tipologie, dal valore legale differente.

Quella che viene definita comunemente firma elettronica è il tipo di firma elettronica più semplice, la quale assume un valore legale certo solo se è un giudice a certificarla. In poche parole non prevede l’uso di misure di sicurezza particolari, non permette di essere sicuri dell’integrità del documento e quindi non ha un valore legale certo come quello di altre firme elettroniche.

Un gradino più su c’è la firma elettronica avanzata, che ha un valore legale certo (tranne che per i contratti immobiliari), in quanto prevede la firma dei documenti con mezzi che consentono di dimostrare l’integrità del documento e sui quali il firmatario conserva un controllo esclusivo (es. un tablet di sua proprietà).

Ancora più su c’è la firma elettronica qualificata, identificata anche come firma digitale, che viene applicata ai documenti tramite mezzi qualificati (es. i kit di firma digitale di cui parleremo a breve) . La firma elettronica qualificata (FEQ) utilizza sistemi di crittografia asimmetrica ed è riconosciuta legalmente sia in Italia che nel resto della UE.

Nei sistemi di crittografia asimmetrica vengono usate due chiavi per garantire la validità e la sicurezza delle comunicazioni, di cui una privata e una pubblica: la chiave privata viene usata da chi sottoscrive e codifica il documento; la chiave pubblica, invece, viene usata da chi riceve il documento, e permette di verificarne integrità e provenienza. La nota positiva è che tutto il lavoro viene svolto “dietro le quinte” dal software dell’ente certificatore; l’utente non deve fare nulla di complesso.

L’ente certificatore è quello che fornisce il servizio di firma digitale e garantisce la validità del tutto. Entrando più nello specifico, è la terza parte di fiducia che, operando nel rispetto della vigente normativa in materia di firma digitale e delle regole tecniche emanate dall’AgID (l’Agenzia per l’Italia Digitale), garantisce l’identità dei soggetti che utilizzano la firma digitale. Giusto per farti un esempio, tra gli enti certificatori più noti c’è Aruba, società italiana storicamente attiva nei settori delle pratiche online, del Web hosting e del cloud.

La firma digitale, su cui ci concerteremo oggi, garantisce l’autenticità dei documenti, in quanto assicura l’identità della persona o dell’impresa firmataria degli stessi. Fornisce inoltre garanzie sull’integrità e sul non ripudio dei documenti firmati, in quanto un documento firmato tramite firma digitale non può essere “disconosciuto” da chi l’ha firmato e se viene modificato, le modifiche ne annullano immediatamente la validità (cosa che verrebbe prontamente notificata dal software di controllo). Forse non tutti lo sanno, ma è anche obbligatoria in alcuni contesti, ad esempio per finanziamenti o bandi pubblici (dove la sua mancata apposizione sui documenti è causa di esclusione).

Da sottolineare, inoltre, la disponibilità del certificato CNS (Carta Nazionale dei Servizi) che è incluso in diversi kit per la firma digitale e permette di autenticarsi sui servizi online della Pubblica Amministrazione. Per determinate categorie di professionisti, come ad esempio gli avvocati, è addirittura obbligatoria per accedere ad alcuni servizi ministeriali.

Altra cosa importante da sottolineare è che la firma digitale NON è sinonimo di PEC. La PEC è la posta elettronica certificata, che non ha bisogno di kit per essere utilizzata e attribuisce valore legale (pari a quello di una raccomandata con ricevuta di ritorno) solo ai messaggi di posta elettronica, non ai singoli documenti come invece fa la firma digitale. Se vuoi saperne di più, leggi la mia guida su come usare la PEC.

Soluzioni per la firma digitale

Firma Digitale Aruba

Per ottenere la firma digitale, occorre acquistarla da un ente certificatore riconosciuto ufficialmente. I prezzi sono generalmente compresi fra i 30 e i 60 euro + IVA.

I kit per la firma digitale sono generalmente composti da una smart card, in formato SIM o carta di credito, che include il certificato di firma digitale (il quale ha una scadenza e quindi va rinnovato, generalmente ogni 3 anni, pena la sua scadenza definitiva) e un dispositivo che legge la smart card e permette di applicare la firma digitale. I driver e i software necessari ad applicare la firma digitale possono essere inclusi nel kit o disponibili separatamente per il download.

Il tipo di kit più completo è quello in formato chiavetta USB, che spesso include la smart card con il certificato di firma digitale (in formato SIM), tutti i software necessari ad applicare e verificare la firma. In alternativa ci sono il token USB con driver da installare e software da scaricare, oppure il classico kit composto da smart card in formato carta di credito e lettore di smart card esterno, che è piuttosto ingombrante (è destinato principalmente ad un uso in ambito desktop) ma è più economico. Se si è già in possesso di un token USB o di un lettore di smart card, si può anche evitare l’acquisto del kit di firma completo e acquistare solo la smart card nel formato desiderato, contenente il certificato di firma.

Un discorso a parte, poi, lo meritano i servizi di firma digitale remota, i quali permettono di firmare i documenti in modo più dinamico e generalmente senza installazioni di hardware o driver . In poche parole, il certificato di firma risiede sui server sicuro dell’ente certificatore e, quindi, per firmare o verificare i documenti è possibile anche utilizzare smartphone o tablet . In questi casi, al posto del PIN della smart card, per apporre la firma occorre immettere un codice OTP da generare tramite app per smartphone o dispositivo OTP fisico.

Per farti un esempio pratico, ti parlo delle offerte relative alla Firma Digitale Aruba, disponibile sia sotto forma di classici kit con smart card e hardware dedicato sia come Firma Digitale Remota.

  • Kit con Aruba Key (61 euro + IVA; 10 euro + IVA per la spedizione) — kit per la firma digitale composto da smart card in formato SIM e una chiavetta USB con inclusi driver, software di firma/verifica dei documenti e certificato CNS. Maggiori info qui.
  • Kit con Token USB (42 euro + IVA; 10 euro + IVA per la spedizione) — kit per la firma digitale composto da smart card in formato SIM e una chiavetta USB che richiede l’installazione preventiva di driver e software di firma per poter funzionare. Include anche il certificato CNS. Maggiori info qui.
  • Kit con Smart card + lettore (40 euro + IVA; 10 euro + IVA per la spedizione) — kit per la firma digitale composto da smart card in formato carta di credito, lettore di smart card USB e certificato CNS. Maggiori info qui.
  • Firma Digitale Remota di Aruba, opzione OTP Mobile (36 euro + IVA) — soluzione per la firma digitale remota con generazione dei codici OTP tramite app Aruba OTP per Android o iOS/iPadOS, scaricabile su smartphone o tablet, senza alcun costo di spedizione. In alternativa, è possibile acquistare un dispositivo OTP fisico con display integrato oppure un dispositivo OTP fisico USB da collegare al PC, al costo di 10 euro + IVA; 7 euro + IVA per la spedizione.

Come avere la firma digitale

Firma Digitale

Dopo aver capito le principali differenze fra i vari tipi di firma digitale e le varie soluzioni disponibili sul mercato, direi che possiamo passare al sodo e vedere come avere la firma digitale.

La procedura da seguire è abbastanza simile per tutti gli enti certificatori, ma per sicurezza ti consiglio di leggere attentamente le istruzioni presenti sui siti dei singoli enti. Di seguito trovi descritti tutti i passaggi che bisogna compiere in base alla procedura standard, più qualche esempio pratico per facilitarti le cose.

1) Acquistare la firma digitale – come facilmente intuibile, il primo passo che devi compiere è acquistare il kit di firma digitale più adatto alle tue esigenze. Devi dunque scegliere a quale ente certificatore rivolgerti, devi collegarti al sito Internet di quest’ultimo e devi scegliere uno dei kit di firma disponibili. Fra gli enti certificatori più importanti ti segnalo il già citato Aruba, ma ce ne sono anche altri (puoi trovare l’elenco completo sul sito dell’Agenzia per l’Italia Digitale). Nel caso specifico di Aruba, basta collegarsi al sito ufficiale, selezionare il prodotto da acquistare, creare o accedere al proprio account, verificare i propri dati, indicare gli estremi di un documento d’identità valido e scegliere una modalità di riconoscimento tra quelle disponibili. Bisogna poi indicare l’indirizzo di spedizione (in caso di acquisto di un kit di firma fisico), accettare i termini contrattuali ed effettuare il pagamento tramite carta, PayPal, bonifico o bollettino.

2) Verificare la propria identità e attivare il kit – per cominciare a utilizzare un kit di firma digitale occorre verificare la propria identità, attraverso la procedura di riconoscimento. La verifica può avvenire in vari modi. Nel caso di Aruba, ad esempio, si può scegliere il riconoscimento online tramite webcam o app per Android o iOS/iPadOS; il riconoscimento di persona presso un ufficio comunale oppure il riconoscimento a distanza tramite CIE (Carta di Identità Elettronica) usando un lettore NFC contactless, o tramite la Tessera Sanitaria o CNS (Carta Nazionale dei Servizi), con lettore di smart card da collegare al computer.

3) Attivare il servizio di firma digitale — dopo aver verificato la tua identità, devi attivare il servizio per la firma digitale collegandoti al sito Internet dell’ente certificatore e fornendo i dati richiesti (in genere si tratta del codice seriale della smart card, o di un codice segreto ricevuto via SMS nel caso della firma digitale remota, più il codice fiscale e/o gli estremi di alcuni documenti d’identità). La procedura cambia da ente certificatore a ente certificatore.

Come usare la firma digitale

ArubaSign

Missione compiuta! Sei riuscito a ottenere la firma digitale e ad attivarla. Per cominciare a firmare e verificare i documenti, non ti resta che scaricare i driver (se necessari) e il software di firma e verifica dell’ente certificatore che hai scelto. Se hai acquistato un kit USB che al suo interno include già i driver e i software di firma, puoi anche saltare lo step relativo al download dei driver e dei software di firma e cominciare a firmare i tuoi documenti sin da subito. Se, invece, hai acquistato la firma digitale remota, devi installare solo il software di firma e non i driver.

Nel caso di Aruba, per esempio, trovi sia i driver lettori (validi per Token USB e lettore di smart card) che il software di firma e verifica ArubaSign sul sito ufficiale dell’ente. I software sono compatibili con Windows, macOS e Linux e, per installarli, basta avviare i relativi eseguibili e seguire le indicazioni su schermo.

Preparato il tutto, la procedura di applicazione della firma digitale è molto semplice. Generalmente, basta avviare il software di firma, andare nella sezione per l’applicazione della firma e selezionare i documenti da autenticare. Sono supportati i file .PDF, .DOC, .DOCX, .XLS ed .XLSX.

Bisogna poi selezionare il formato firma da utilizzare tra quelli proposti (es. CAdES, PAdES o ASiC-S), occorre scegliere se applicare una marca temporale (maggiori info qui) al file e bisogna procedere con la firma.

Per applicare quest’ultima occorre inserire il PIN della smart card, in caso di kit di firma fisico, oppure nome utente, password e codice OTP generato da app o dispositivo OTP, nel caso di firma digitale remota (es. nel caso della Firma Digitale Remota di Aruba si può usare l’app Aruba OTP per Android e iOS/iPadOS).

ArubaSign

È tutto ugualmente semplice anche per la verifica dei documenti già firmati: basta andare nella sezione di Verifica del software di verifica/firma e selezionare i file da controllare (o trascinarli), così da scoprire tutte le informazioni sulla validità della firma, l’attendibilità del certificato usato e la sua validità legale.

ArubaSign

Ti ricordo che i servizi di firma digitale remota consentono di firmare/verificare i documenti anche da app per smartphone e tablet. Ad esempio, se hai una Firma Digitale Remota di Aruba, puoi firmare e verificare i tuoi documenti tramite l’app Aruba Firma, che è disponibile gratuitamente sia per Android che per iOS/iPadOS.

Se ti servono informazioni più dettagliate su come funziona la Firma Digitale Aruba, leggi pure il tutorial che ho dedicato a questo servizio, oppure consulta il sito ufficiale di Aruba.

Articolo realizzato in collaborazione con Aruba.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.