No results found
La firma digitale e la firma elettronica di documenti sono strumenti innovativi che consentono di sottoscrivere in maniera autentica documenti quali contratti, garantendone, paternità, integrità e riservatezza; la firma elettronica rappresenta, in breve, la trasposizione della firma olografa (o autografa) su foglio di carta a documento digitale con firma in digitale.
La firma elettronica porta con sé dei vantaggi quali la rapidità e semplicità, perché per firmare un documento non serve che le controparti siano presenti nello stesso tempo e nel medesimo luogo, non bisogna mandare un fax o aspettare una stampa e una scannerizzazione, non occorre inviare comunicazioni, lettere e tutto il resto.
L’applicazione della firma elettronica è istantanea e può essere svolta da remoto. Inoltre la firma elettronica permette una perfetta tracciabilità del percorso del documento, fornendo tutta una serie di informazioni quali la ricezione del documento, l’apertura, la sottoscrizione ecc. E supera le necessità legate allo scambio dei documenti, all’invio di contratti su PEC e via di seguito.
Sigillo è un prodotto creato da Coretech e si allinea ai sistemi di firma elettronica esistenti, risultando utile nella sottoscrizione dei contratti, di documenti amministrativi, rapporti di intervento tecnico e di tutto ciò dove si desidera che venga apposto in qualche modo un sigillo da parte della controparte.
Esistono vari tool per implementare la firma elettronica e apporla a un documento affinché assuma valore legale al pari della firma; Sigillo si distingue per la praticità, la semplicità del workflow e le funzionalità che offre, tutte peculiarità che verranno descritte in questo tutorial.
Esistono varie soluzioni che applicano la firma digitale e tra queste si possono citare Adobe Sign, Hello Sign o DocuSign, rispetto alle quali Sigillo è estremamente più facile da utilizzare e nettamente piú conveniente sotto l’aspetto economico.
Sigillo si basa sulle soluzioni di firma elettronica esistenti sul mercato, quindi la validità del sistema di firma è al pari di quelli più blasonati, quindi ad ogni documento viene apposta una firma elettronica qualificata.
Il workflow e alla pari se non superiore, per certi aspetti, a quello di altri prodotti che ci sono in commercio.
Sigillo presenta tutti i requisiti di sicurezza perché tutte le operazioni di sicurezza che svolgono i concorrenti le svolge anche Sigillo; anzi, rispetto, ad esempio, ad Adobe Sign, l’SMS di integrità e quindi l’SMS di conferma che sia il firmatario a ricevere il contratto, in Sigillo non è un’opzione ma un passaggio obbligatorio. Quella del messaggio di integrità è una procedura che prevede l’invio di un SMS al numero telefonico cellulare della persona che apre il contratto e deve firmarlo (preventivamente associato nella preparazione del contratto da spedire digitalmente…) contenente un codice che il firmatario stesso deve inserire per procedere alla firma e che in qualche modo ne afferma l’identità.
Una delle caratteristiche distintive di Sigillo rispetto alle soluzioni che hanno una valenza internazionale come quelle citate poco fa, è la possibilità di utilizzare la PEC, quindi il nostro prodotto è più rispondente alla legislazione italiana in quanto attualmente la PEC non è contemplata da prodotti esteri perché la Posta Elettronica Certificata è qualcosa di usato solo in Italia.
In Sigillo l’avvenuta sottoscrizione del documento mediante firma digitale viene notificata anche via PEC, per rafforzare il valore legale della firma stessa e aggiungere al workflow un ulteriore livello di sicurezza. Non a caso il prodotto è stato chiamato Sigillo proprio perché sigilla il contratto applicando tutte le forme di integrità e autenticità possibili.
A questo punto si può passare a un’esposizione sintetica del funzionamento di Sigillo, descrivendo la procedura di firma elettronica in modo da mostrarne sia la semplicità, sia l’affidabilità.
Si inizia accedendo alla Dashboard e caricando il documento in formato PDF relativo al contratto da far firmare; la procedura di firma prevede tre passaggi principali.
Dunque, una volta aperto Sigillo da 1Suite ci si trova nella Dashboard, dalla quale si può vedere lo stato dei contratti già caricati. Il caricamento si esegue cliccando su Add Contract nel menu di sinistra che permette di aprire la pagina web proposta nell’immagine seguente.
In questa pagina si clicca sul pulsante blu Aggiungi un documento da firmare accedendo così alla finestra di dialogo proposta nell’immagine seguente, dalla quale si sceglie il documento in PDF corrispondente al contratto. Il documento da firmare deve essere un PDF perché tale formato di file prevede l’opzione PDF/A, che è immodificabile; in pratica una volta firmato il documento diventa non modificabile e perciò non alterabile.
Scelto il documento in PDF lo si carica facendo doppio clic sul suo nome, ovvero selezionandolo e cliccando sul pulsante Apri; quindi si avvia il caricamento, evidenziato da un indicatore di progresso, allorché nella pagina web viene mostrata una preview del file. A questo punto si può scorrere rapidamente tra le pagine del documento mediante i pulsanti Prev Page e Next Page; una volta fatta la preview o se non si desidera scorrere nel documento si può fare clic su Continua e il documento sarà stato caricato. A conferma di ciò, sulla pagina relativa alla lista dei contratti si vedrà il documento nuovo tra quelli esistenti (immagine seguente).
Da questa pagina (List contracts) è anche possibile aggiungere ulteriori documenti da firmare (pulsante blu Aggiungi un documento da firmare) e si può vedere lo stato dei contratti esistenti nella colonna Status, dove in blu si trovano i documenti inviati e in rosso quelli appena aggiunti.
Nell’immagine appare Nuovo accanto a un documento appena aggiunto chiamato “demo”. Accanto c’è la colonna Versione, nella quale è indicata la versione di Sigillo con cui è stato gestito il relativo contratto e a destra c’è la colonna Azioni, dove sono presenti le voci Elimina e Duplica per i contratti conclusi, ovvero anche la voce Modifica per quello appena caricato.
Cliccando sul pulsante giallo Modifica si possono aggiungere i campi da far compilare al destinatario, quindi si accede alla pagina proposta nell’immagine seguente, nella quale vi sono quattro pulsanti: Input, Checkbox, Firma e Data; tali pulsanti permettono di aggiungere, rispettivamente, un campo testuale, una checkbox relativa a una domanda, condizione oppure opzione che il sottoscrittore dovrà spuntare, un campo per la firma (quello che di fatto è necessario alla sottoscrizione del contratto) e un campo per la data di compilazione e firma.
Per esemplificare l’utilizzo di Sigillo in essa aggiungiamo, per esempio, un campo testuale attraverso il pulsante Input, posizionandolo poi come e dove vogliamo, scorrendo il documento con i soliti pulsanti Next Page e Prev Page, ovvero trascinandolo con il mouse; cliccando su Salva lo inseriamo nel contratto.
Poi aggiungiamo anche un ulteriore campo Firma, che trascineremo con il mouse nella pagina desiderata, come mostrato nell’immagine seguente.
Una volta inseriti tutti gli elementi richiesti si clicca nuovamente sul pulsante Save e a questo punto è possibile inviare il documento al cliente: allo scopo, nel menù di sinistra si clicca sulla voce Send e dalla pagina web che si apre, si clicca sul menù a tendina Seleziona contratto e si clicca poi sul documento che abbiamo appena modificato (immagine seguente) procedendo poi cliccando sul pulsante Avanti che si trova in basso a destra.
Si arriva quindi alla pagina web nella quale bisogna definire contenuto e indirizzo della e-mail di invito alla firma che verrà spedito al contraente (o ai contraenti, se sono più d’uno); quindi inseriamo l’indirizzo di posta elettronica nel campo Mail destinatario e poi poi possiamo personalizzare oggetto e testo del messaggio e-mail scrivendo ad esempio il nome del contratto e i suoi estremi nell’Oggetto e un invito a piacimento nella casella Testo del messaggio.
Compilati tutti i campi basta fare clic sul pulsante Invia in basso a destra nella pagine e in alto, sempre a destra, apparirà il messaggio su sfondo verde “email inviata”.
A questo punto, nella sezione Report (cui si accede con l’omonimo comando di menù) è possibile visualizzare lo stato dei documenti e, nello specifico, si troverà il documento con nome “demo” nel cui Status si vede un invio e zero firme (immagine seguente) perché il documento è stato appena trasmesso alla controparte.
Cliccando su Dettagli è possibile vedere il nome e l’indirizzo e-mail del destinatario, oltre agli status: in questo caso è visibile solo lo status di inviata, ma quando il messaggio sarà ricevuto e aperto dal destinatario, appariranno anche le indicazioni corrispondenti. L’invio e le altre condizioni sono rappresentate dalle icone proposte nell’immagine seguente (Invio è la freccia tipo aeroplanino di carta, la busta aperta significa messaggio letto, la penna contratto firmato ecc.).
Da questa pagina di dettaglio è anche possibile effettuare un nuovo invio (con il pulsante Reinvia cui si è già accennato) nel caso l’e-mail sia andata perduta, non recapitata ecc. ovvero acquisire ulteriori dettagli. Reinvia permette anche di fare un sollecito al destinatario, nel caso questo scordi di aprire l’e-mail o in prima battuta abbia omesso di farlo.
Nella propria casella di posta elettronica, il destinatario si troverà il messaggio di richiesta di firma, ossia una e-mail del genere di quella mostrata nell’immagine seguente, con la richiesta di firma personalizzabile secondo quanto già spiegato. Nel messaggio è presente una password che il destinatario dovrà utilizzare per accedere al contratto, la quale, a differenza del testo e dell’oggetto del messaggio, non è inseribile da chi invia il documento ma viene generata dal sistema Sigillo secondo un preciso algoritmo che ne assicura la casualità.
Sul piano legale l’inserimento di quella password serve per attestare la volontà del destinatario di firmare, perché rappresenta un'azione che viene compiuta dal destinatario volontariamente: non si tratta di un link che il destinatario apre e un giorno in un’eventuale causa si svincola affermando di non sapere che stava firmando un documento.
Per aprire il contratto si deve cliccare su “Visualizza il documento” allorché a video appare una finestra di dialogo contenente la richiesta di inserire quella password e confermarla con il pulsante blu Accedi; bisogna quindi copiare la password contenuta nella e-mail e incollarla in tale finestra di dialogo.
Fatto ciò, il mittente sa che il cliente è entrato nel documento e la condizione viene riportata nella pagina di Report, nella quale vedremo lo status modificato e aggiornato, con attiva anche l’icona della busta aperta e visualizzato nel pop-up che appare passandoci sopra col puntatore del mouse, la data e l'ora dell’ultima visualizzazione da parte del destinatario.
Una volta avuto l’accesso il destinatario può anche rifiutare di aprire il contratto e in questo caso deve declinare con una motivazione, da scrivere nell’apposita finestra di dialogo (Rifiuta) che si apre cliccando sul pulsante giallo Rifiuta che si trova in alto a destra nella pagina del contratto. Scritta la motivazione, invia la risposta al mittente cliccando sul pulsante Continua.
Torniamo a quel che vede il destinatario, ovvero alla pagina web che gli appare dopo la conferma della password: come mostra l’immagine seguente, in alto a destra viene mostrato che ci sono 0 campi compilati su due che è richiesto di compilare; in basso si trovano i pulsanti che danno la possibilità di spostarsi velocemente tra i campi da compilare e viene evidenziato con il bordo di colore rosso lampeggiante ciascuno dei campi di input richiesti.
Si vanno quindi a compilare questi campi inserendo il testo nella casella testuale e la firma in quella della firma; in entrambi i casi la compilazione si esegue da tastiera e nel caso della firma Sigillo scrive in carattere corsivo come se si trattasse di una compilazione a mano, dopo aver cliccato nell’area sottostante l’indicazione “Scrivi qui la tua firma”. Fatta la firma la si applica con il pulsante Applica.
Se adesso si torna in alto nella schermata, si vede che il blu con il simbolo di spunta e il numero di campi compilati/da compilare è aggiornato; quando tutti i campi richiesti sono stati compilati, è possibile procedere cliccando sul pulsante accanto “Invia la firma”. Se non si intende accettare il contratto si clicca, in alternativa, su Rifiuta, allorché il sistema chiede di fornire la motivazione scrivendola nella finestra di dialogo omonima, proposta allo scopo.
Nel caso si scelga Invia la firma, Sigillo propone una finestra di dialogo nella quale chiede conferma dell’intenzione di firmare e avvisa che dopo l’invio non sarà più possibile effettuare modifiche al documento. In tale finestra, cliccando su Continua si conferma l’intenzione di procedere e si arriva a un’ulteriore finestra nella quale va inserito il numero di telefono cui inviare l’SMS per confermare la volontà di firma. Cliccando ancora su Continua, il sistema invierà al firmatario l’SMS contenente un codice, che andrà inserito nella finestra che nel frattempo apparirà nella pagina web lato cliente (immagine seguente).
Si scrive quindi il codice ricevuto nella casella corrispondente e poi si clicca su Verifica codice, allorché se la digitazione è avvenuta correttamente e il codice è quello atteso, la finestra restituisce il messaggio “Codice confermato, clicca su fine per confermare l’operazione”.
In Sigillo questa ulteriore forma di autenticazione è stata voluta per mettere il mittente al riparo da ogni situazione; infatti, estremizzando, il contraente potrebbe negare di aver firmato il contratto con consapevolezza, ad esempio inventando la scusa di aver aperto l’e-mail indirizzata ad un altro per errore o che altro, però se addirittura mette in una finestra di dialogo il proprio numero di cellulare come destinatario del codice SMS di conferma della volontà di firma, diventa praticamente impossibile sostenere cose del genere in tribunale. Questo perché se una persona si autentica con il proprio numero di telefono e dice di aver firmato al posto di un altro affermerebbe di aver commesso un illecito, mentre se tenta di negare di aver firmato consciamente diventa difficile spiegare perché ha addirittura eseguito una procedura di conferma autenticata dal proprio numero telefonico.
Inserito il codice ricevuto da SMS, il cliente clicca quindi sul pulsante verde Fine, completando l’operazione relativa al contratto; la pagina web proporrà un messaggio del tipo “A breve riceverai un link per scaricare il contratto firmato” il quale notifica che appena il mittente avrà visionato il contratto firmato e l’avrà a sua volta sottoscritto sarà disponibile una copia per il download.
Se ora si torna alla pagina web Report lato mittente, è possibile vedere che il contratto è aggiornato con, nella colonna Status, la voce Inviate: 1 Firmate: 1 (immagine seguente).
Cliccando su Dettagli e accedendo alla relativa pagina, si vedrà che ora sono attive le icone di invio, apertura e firma (l’icona a forma di penna in verde nell’immagine seguente); puntando con i mouse l’icona con la penna verrà indicato in un pop-up quando è stato sottoscritto il contratto.
Notare che nella pagina di dettaglio, accanto al pulsante giallo Reinvia e a quello Dettagli, ora appare il pulsante verde Invia PEC, la cui funzione sarà spiegata tra breve ed è comunque correlata alla possibilità che Sigillo offre di inviare delle e-mail.
Cliccando sul pulsante blu Dettagli che si trova sulla destra di Reinvia (giallo), è possibile avere una preview del file firmato dal cliente e, con il pulsante Scarica, si può effettuare il download del contratto firmato dallo stesso (immagine seguente). Sempre con Dettagli si apre la pagina Report, che fornisce uno storico delle azioni con tutti i dettagli del caso.
In pratica nella parte sinistra della preview del contratto si trova la lista degli status di questo documento, ossia le azioni (nella tab Azioni) che lo riguardano, le quali sono le stesse visualizzabili nella finestra di report.
Nella tab accanto, ossia Dettagli firma, si trovano l’indirizzo e-mail del mittente, quello del destinatario ed il numero di telefono con cui è stato confermato il contratto.
A questo punto, ossia quando il mittente ha scaricato il contratto firmato, al mittente arriva un ulteriore e-mail il cui contenuto è tipo quello proposto dall’immagine seguente; l’e-mail ha due allegati, che sono uno il documento PDF firmato e l’altro un riepilogo finale (report) dell’operazione di firma e visualizzata la password per accedere.
Nel documento riepilogativo (immagine seguente) ci sono tutti i dettagli come il nome del documento, il numero di pagine che lo compongono, l’hash del documento e lo storico con riportate tutte le azioni che sono state eseguite (inviato da:, ricevuto e visualizzato e firmato da: ecc.). Anche questo report viene firmato a sua volta con la firma elettronica qualificata.
Invece cliccando su vedi il documento, sempre con l’utilizzo di una password che è quella allegata al predetto messaggio di posta elettronica e con modalità uguali a quelle utilizzate nella firma, il mittente può visualizzare il documento finale (mediante Acrobat Reader o altro visualizzatore di file PDF) e scaricarlo per tenerne copia valida a tutti gli effetti di Legge.
La firma apposta con Sigillo è valida a tutti gli effetti ed è riconosciuta da Adobe Sign. Se si apre il documento firmato con Adobe Acrobat viene segnalato che il documento stesso è in formato PDF/Ae se si clicca sul menu Firma, appare il dettaglio che tipo quello proposto nell’immagine seguente alla sinistra del documento; nel riquadro si vede come venga indicato “Firma valida” seguito nelle righe successive da tutti i dettagli sulla firma stessa e sul programma con cui è stata apposta (Sigillo elettronico qualificato…) e andando ad avviare la procedura di verifica si vede come si tratti di una firma qualificata e riconosciuta da Adobe.
Cliccando su Proprietà firma della finestra di dialogo Stato convalida firma si apre la finestra mostrata nell’immagine seguente, che contiene il riepilogo (la firma risulta verificata) e un po’ di dettagli tecnici sulla data e ora delle varie operazioni, sulla marca temporale della firma ecc.
Nel log si vedono gli hash a conferma dell’autenticità della firma. Peraltro già la sola firma elettronica in sè basterebbe per indicare che il documento non è mai stato modificato, perché nel momento in cui si applica una firma digitale del genere, se si va a alterare in qualsiasi parte il documento la firma non è più valida, in quanto viene controllato l’hash del file.
Sigillo appone la marca temporale, contrariamente da quanto previsto in altre soluzioni che non la appongono. La marca temporale di Sigillo è di tipo free, quindi in alcuni sistemi il percorso di validazione potrebbe non essere soddisfatto in toto (questo problema non si pone con Adobe Sign, con il quale c’è piena compatibilità); ciò perché alcuni software potrebbero non avere il certificato radice, quindi potrebbero mostrare un messaggio del tipo “marca temporale non verificata”. Se si utilizza Adobe Reader non si presenta il problema, in quanto Adobe Reader ce l’ha incluso.
Quando è stato firmato il documento e la cosa è stata verificata dal Report, si può notificare la condizione attraverso l’invio di un messaggio attraverso la PEC; tale operazione non è possibile effettuarla prima, perché, come già spiegato, il messaggio di Posta Elettronica Certificata è il completamento della procedura di firma del documento.
Per inviare la PEC è sufficiente, dalla pagina Report di Sigillo, cliccare sul pulsante verde Invia PEC e compilare i campi della finestra di dialogo cui si accede (immagine seguente) ossia Indirizzo PEC destinatario, eventuale Oggetto e Contenuto del messaggio.
Compilati i campi, cliccando sul pulsante Invia verrà inviata la PEC, la quale conterrà in allegato il contratto firmato dalle parti.
All’invio della PEC, nella solita pagina di Report diverrà verde l’icona corrispondente, vale a dire quella con il simbolo @.
L’invio della PEC rafforza il valore del contratto firmato elettronicamente perché al contraente arriva una copia in PEC e che se entro un certo numero di giorni esso non rinnega la firma del contratto, a questo punto la transazione si può considerare “blindata”.
Sovente si confonde la firma personale, cioè la firma qualificata generalmente associata alla persona fisica che si fa tramite la card e quindi si appone su un documento che poi verrà inviato via posta elettronica anche non certificata e la firma elettronica. In realtà si tratta di due cose diverse perché nel caso della firma qualificata personale il documento cui viene apposta risulta firmato tramite un certificato, qualificato però personale, mentre nella firma elettronica viene convalidato il processo di firma e non il firmatario.
Nella firma elettronica, tipicamente viene generato un PDF/A del documento in cui vengono inseriti i campi da compilare e una volta inseriti i campi questo PDF/A diventa un pacchetto; tale pacchetto (immagine seguente) viene inviato al destinatario che dovrà firmare.
Nel momento in cui viene firmato dalla controparte digitalmente, cioè nel momento in cui il processo di firma della controparte convalida la persona che ha esplicitato la propria volontà di firmare il contratto (o altro documento) a tale documento (ossia al complesso mostrato nell’immagine seguente) viene applicato il certificato di firma qualificata
Nel caso di Sigillo, il certificato è intestato alla Coretech, ma se si trattasse di Adobe Sign sarebbe quello di Adobe, se si firmasse con DocuSign sarebbe il corrispondente e via di seguito.
Una volta apposto il certificato, viene calcolato l’hash del documento (del file) e viene apposta la marca temporale, cioè nel momento in cui viene finalizzata la procedura di firma parte un processo che in qualche modo timbra questo file in maniera tale che diventi immutabile, ossia inalterabile. Infatti nel momento in cui qualcuno dovesse modificare un qualsiasi elemento del file, il certificato non sarebbe più valido e con esso la firma elettronica.
Il processo è tale per cui non è possibile modificare il file una volta che viene firmato, senza invalidare il documento firmato; quindi non ci si può inserire una firma scannerizzata o il logo di un’azienda, magari per renderlo “più autentico” in quanto non serve. Infatti la validazione non è data dalla presenza di un logo aziendale o di una firma originale ma da come avviene la firma, nel senso che una volta creato il documento e inseriti i campi che la controparle dovrà completare, all’esecuzione della firma esso diverrà autentico. E a tale autenticità concorre la procedura, ossia l’autenticazione compiuta attraverso l’indirizzo e-mail cui il PDF/A viene spedito, il numero di telefono cui viene inviato l’SMS per l’apposizione della firma, ed anche la trasmissione via PEC.
Se il mittente o chi altro va a modificare il file, questo dev’essere nuovamente sottopposto al processo di firma.
Il PDF del documento sottoposto a firma digitale non può essere un PDF normale perché questo può anche contenere, nella forma standard, dei valori variabili, mentre il PDF/A è un formato “test like” cioè puro testo e non ci possono essere variabili.
Riepilogando, il certificato apposto vale come firma qualificata perché è l’unico modo per far sì che quando si apre il documento ad esempio con programma come Adobe Sign appaia il bollino verde; se si utilizzasse un certificato di quelli Self Signed, in Adobe Sign non si vedrà il bollino verde ma l’indicazione che il documento è stato sì firmato, ma con una firma non riconosciuta. Invece il certificatodi Sigillo, assieme al timestamp (alla marca temporale) serve per dire che il pacchetto sarà o è immutabile nel tempo, a pena di decadenza della firma e rispecchia la volontà espressa durante la procedura, che non può essere alterata.
Chiaramente se qualcuno riesce a prendere possesso del sistema Sigillo, Adobe Sign, HelloSign ecc. e va caricare un suo suo contratto modificato da inviare una controparte che lo firma eccetera, è un altro discorso, ma è qualcosa che difficilmente può verificarsi.