Che cos'è la firma elettronica?
Con la firma elettronica è possibile garantire l'integrità dei documenti e l'autenticità dell'origine.
A cosa serve la firma elettronica?
La firma elettronica consente di svolgere con sicurezza e riservatezza ogni tipo di transazione elettronica con clienti, banche, fornitori o pubbliche amministrazioni che comportano milioni di comunicazioni quotidiane con interlocutori di tutto il mondo.
In un contesto commerciale, ordini di acquisto, fatture, avvisi di spedizione, contratti, ecc., sono transazioni molto importanti e delicate. Richiedono diverse tecnologie per la corretta creazione dei messaggi, il loro invio e la ricezione.
La delicatezza e l'importanza di tali comunicazioni rende necessaria l'adozione di sistemi che ne garantiscano anche la sicurezza, la riservatezza e l'integrità.
Caratteristiche della firma elettronica
Riservatezza: Possibilità di mantenere un documento elettronico inaccessibile a tutti tranne ai destinatari previsti del messaggio.
Integrità: Garanzia che il documento ricevuto corrisponda al documento emesso senza possibilità di variazione.
Autenticità: Capacità di determinare se una persona ha dato il proprio riconoscimento e la sua responsabilità sul contenuto del documento elettronico.
Servizi di firma elettronica EDICOM
EDICOMSignADoc
Servizio per l'approvazione dei contratti e di qualsiasi tipo di documento con firma elettronica.
Firma remota
Servizi di firma avanzata per documenti elettronici da dispositivi sicuri per la creazione di firme EDICOM.
Che cos'è un certificato elettronico?
Un certificato digitale è un documento firmato elettronicamente da un provider di servizi di certificazione che collega alcuni dati di verifica della firma a un firmatario e ne conferma l'identità. Il firmatario è la persona che possiede un dispositivo di creazione della firma e che agisce per proprio conto o per conto di una persona fisica o giuridica che rappresenta.
Per questo, il richiedente è rigorosamente accreditato dall'Ente certificatore ed è vincolato in modo univoco al Certificato. Pertanto, offre la garanzia di un identificatore elettronico univoco che ti consentirà di eseguire tutti i tipi di transazioni elettroniche che richiedono autenticazione.
I certificati devono essere rilasciati da una Autorità di certificazione accreditata, integrata in una PKI (Public Key Infrastructure) o Infrastruttura a chiave pubblica.
Utilità dei certificati elettronici
1. Firma elettronica
Il certificato viene utilizzato per firmare tutti i tipi di documenti digitali, dalle semplici email ai contratti commerciali più complessi. Ciò implica una garanzia di non rifiuto, di riconoscimento inequivocabile dell'identità dell'emittente del documento e dell'integrità del documento stesso.
2. Sicurezza delle comunicazioni
Il certificato serve a crittografare una comunicazione tra due persone, rendendo riservate tutte le informazioni trasmesse. Ciò garantisce che qualsiasi documento inviato da una persona all'altra sarà chiuso e potrà essere aperto solo dal suo legittimo destinatario.
3. Digitalizzazione certificata
In alcuni paesi la normativa consente di sostituire un originale cartaceo con il suo equivalente digitale, conservando identiche garanzie legali purché vengano rispettate determinate procedure, generalmente legate alla firma elettronica.
4. Identificazione personale
Consente di conoscere l'identità al momento dell'ingresso in uno spazio fisico o digitale, consentendo o negando gli accessi e registrandoli.
5. Firma del software
Il certificato digitale viene utilizzato per firmare il software.
Ciò offre all'entità che utilizzerà il software la garanzia che sia l'originale, di sapere chi lo ha creato e, cosa molto importante, che dopo averlo firmato, nessuno lo abbia modificato.
Come funziona la firma elettronica?
In un contesto analogico, il problema dell'autenticità è risolto dalla firma autografa. Con essa, una o più persone esprimono la volontà di riconoscere il contenuto di un documento ed, eventualmente, l'impegno a rispettare gli obblighi e gli accordi ivi stabiliti.
Nell'ambito dei messaggi elettronici, i problemi di riservatezza, integrità e autenticità trovano risposta attraverso la crittografia con certificati elettronici e processi di firma elettronica. Un certificato elettronico è un software che identifica in modo univoco una persona tramite una chiave pubblica che è nota e contiene i dati del proprietario del certificato e una chiave privata conosciuta solo dal proprietario con i dati del certificato.
Con questi certificati si ottiene una firma elettronica basata su un processo come questo:
1. Emissione del certificato
L'emittente ottiene un "digest" o HASH del documento che stabilisce un'impronta digitale unica del messaggio. Se il messaggio viene minimamente modificato, questa impronta cambia.
2. Criptaggio:
Questo HASH è crittografato con la chiave privata dell'emittente.
3. Ricezione
Il destinatario riceve il messaggio e l'HASH crittografato.
4. Decodifica
Con la chiave pubblica dell'emittente, lo decritta. Se il processo ha esito positivo, l'origine del messaggio può essere garantita (il messaggio è autentico).
5. Applicazione dell'HASH
Parallelamente, il destinatario applica al messaggio lo stesso algoritmo HASH dell'emittente. L'impronta digitale ottenuta viene confrontata con l'impronta “decifrata” e se sono uguali viene verificato che il messaggio non sia stato modificato (il messaggio è integro).
Tipi di firma elettronica
I tipi di firma elettronica vengono definiti nella Direttiva 1999/93/CE. Il loro riconoscimento è stato esteso e armonizzato tramite il Regolamento eIDAS.
Tecnicamente, la firma elettronica fornirà livelli più elevati di sicurezza e riservatezza in base a due variabili fondamentali:
Certificati emessi da un Qualified Trust Service Provider
Certificati riconosciuti
Vengono emessi dall'Autorità di registrazione del Qualified Trust Service Provider dopo l'identificazione probatoria del titolare. Normalmente implica lo spostamento del titolare del certificato al punto di registrazione in modo che, una volta autenticata la sua identità, il certificato possa essere rilasciato.
Certificati non riconosciuti
Non richiedono l'identificazione preventiva del titolare del certificato. Di solito sono associati a elementi che possono identificare tale identità, come email o telefoni cellulari, generando un'associazione tra i dati del certificato e il suo proprietario dopo l'implementazione di processi che comportano la comunicazione attraverso uno di questi mezzi.
Supporto su cui viene rilasciato il certificato
Certificati su supporto software
La loro consegna prevede normalmente l'invio delle credenziali tramite un canale convenzionale come la posta elettronica o tramite un servizio di download dai siti del provider dei servizi fiduciari.
Certificati su supporto hardware
L'emissione del certificato implica la consegna dello stesso su un dispositivo dal quale non può essere estratto. Pertanto, la messa in servizio del certificato richiede l'utilizzo del dispositivo che potrebbe essere una scheda crittografica.
Il tipo di certificato e di dispositivo di creazione della firma utilizzati forniranno maggiori garanzie nella misura in cui vengano utilizzati sistemi di creazione di firme sicuri basati su certificati riconosciuti. Di conseguenza vengono riconosciuti 3 tipi di firme:
Firma elettronica semplice
È la più semplice e anche la più utilizzata. L'idoneità del suo utilizzo sarà determinata dalla natura della transazione, essendo valida in molteplici contesti. Viene definita come “dati in forma elettronica allegati ad altri dati elettronici o ad essi logicamente associati, utilizzati come mezzo di autenticazione”.
Firma elettronica avanzata
Deve soddisfare i seguenti requisiti:
- Essere vincolata al firmatario in modo univoco
- Consentire l'identificazione del firmatario
- Essere stata creata utilizzando mezzi che il firmatario può mantenere sotto il proprio esclusivo controllo
- Essere vincolata ai dati a cui si riferisce in modo che eventuali successive modifiche successive a tali dati siano rilevabili.
Firma elettronica qualificata
Questa è la definizione espressa nel Regolamento eIDAS per fare riferimento a una firma elettronica avanzata basata su un dispositivo in un certificato riconosciuto. Quest'ultimo tipo di firma era già contemplato nella Direttiva 1999/93/CE, pur non essendo direttamente definito nel testo di tale legge.
Qualified Trust Service Provider
Un Qualified Trust Service Provider dispone degli accreditamenti pertinenti e della tecnologia adeguata per fornire servizi di identificazione elettronica specifici come quelli consentiti dalle firme elettroniche.
I servizi forniti da questo tipo di provider forniscono alle persone fisiche e giuridiche meccanismi di identificazione elettronica sicuri che consentono loro di svolgere attività in cui la firma elettronica sostituisce quella autografa con identiche garanzie legali.