KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più

Vai al Video

Firma elettronica, cosa c’è da sapere

La tecnologia ci permette oggi di sostituire in gran parte la carta con strumenti informatici dematerializzati; l'innovazione rappresenta una sfida continua per il professionista che deve continuamente confrontarsi con le nuove tecnologie. Questo comporta che il panorama cui il professionista e l’impresa si trovano di fronte, riguardi esso il fisco, la gestione del personale e i  rapporti contrattuali, i rapporti negoziali, il recupero credito, cambi improvvisi di mercato e di prodotti, richiede un costante adeguamento alle nuove tecnologie, soprattutto a quelle riguardanti il rispetto delle normative e la sicurezza informatica.

In questo contesto si colloca la firma digitale o firma elettronica che dir si voglia, una sorta di marcatore d’identità e di autenticità che viene apposto ai documenti digitali, che non possono, chiaramente, essere firmati come si farebbe su un modulo o un foglio di carta.

In questo tutorial verrà spiegato di cosa si tratta e in che modo si applica, passando per le specifiche tecniche e le tipologie di autenticazione mediante strumenti informatici.

Firma digitale: quale tecnologia?

Un primo problema che si pone quando si intende approcciare alla materia è la scelta della tecnologia da utilizzare, ovvero capire qual è l'utilità effettiva e quanto è in grado di risolvere nel modo migliore i problemi quotidiani.

Per affrontare l’argomento nella maniera migliore occorre introdurre alcuni concetti che sono alla base di quella che può essere considerata la “cultura digitale”. Come mostra l’im agine seguente, tra gli strumenti che si possono considerare essenziali per la cultura digitale vi sono la crittografia, che è alla base della riservatezza dei dati e della comunicazione digitale (nel discorso rientra il GDPR) anche per quel che riguarda le transazioni on-line.

Vi è anche la firma elettronica, che esiste di vari tipi: la firma digitale elettronica avanzata e la semplice, lo SPID ecc. Abbiamo quindi diversi tipi di firma anche di marcatura temporale (timestamp). Altro strumento è la copia informatica, che ci permette di sfruttare l'opportunità della firma digitale per realizzare copie conformi; abbiamo poi la conservazione digitale, che significa conservare nel tempo con valore legale i nostri documenti e poi anche la PEC, la quale è uno strumento molto interessante non solo per avere certezza dell’invio e ricezione di comunicazioni, ma addirittura perché può diventare domicilio digitale, con l'ultima riforma del dicembre del 2017 (dlgs 117) è stato reso possibile anche il domicilio digitale.

Sistemi simmetrici e asimmetrici, Funzioni di Hash, Concetto di Blockchain

Entriamo dunque nel vivo della materia definendo alcuni tasselli della crittografia: abbiamo sostanzialmente tre strumenti che sono:

  • i sistemi di crittografia simmetrica;
  • i sistemi di crittografia asimmetrica (anche detti a chiave pubblica);
  • le funzioni di hash.

Moltissimi programmi informatici permettono di utilizzare tali strumenti.

Nei sistemi simmetrici si utilizza una sola chiave che serve sia a codificare (cifrare) che a decifrare; invece nei sistemi asimmetrici si utilizza una coppia di chiavi: una cifra e l’altra decifra. In questo caso c’è un algoritmo matematico che garantisce questa operazione e la chiave pubblica viene generata privata a partire dalla chiave privata e dalla chiave pubblica non si riesce a ricostruire la chiave privata (vedere l’immagine seguente). Ciò garantisce un elevato livello di sicurezza.

Attraverso la tecnologia della crittografia asimmetrica è possibile identificare l'autore di un messaggio, perché se esiste una sola chiave privata che è collegata a una chiave pubblica è quest’ultima è correlata alla chiave privata, è chiaro che quel soggetto che riesce a decifrare un determinato messaggio con quella chiave pubblica che è collegata a un certo soggetto, il soggetto stesso viene identificato con certezza. Quindi l’autore del messaggio è certamente affidabile perché è il titolare della coppia di chiavi, perché solo esso può decifrare il messaggio con la propria chiave privata.

Se poi si riesce a decifrare messaggio significa che è integro, perché solo se c'è questa possibilità di decifrare il messaggio, questp sarà integro.

Va notato che chiunque può avere la chiave pubblica, perché proprio in quanto pubblica, chiunque può averla.

La tecnica organizzativa che viene utilizzata è quella di implementare un metodo di raccolta di queste chiavi pubbliche attraverso un certificatore che le archivi in un elenco disponibile a chiunque; quindi un utente può chiedere a un certificatore una chiave pubblica, che questo inserisce in un archivio pubblico. Chiunque può verificare l’esistenza di questa chiave ma chiaramente il certificatore dovrà verificare che l’utente che ha richiesto la chiave pubblica abbia anche una chiave privata esclusiva, giacché dev’esserci un collegamento tra l’utente e la chiave privata, cui corrisponde una chiave pubblica.

Questo è il sistema più impiegato per quanto riguarda la gestione delle chiavi pubbliche; ci sono anche altri sistemi orizzontali che si basano su un rapporto fiduciario, però sono meno affidabili.

Adesso andiamo alle funzioni crittografiche di hash: il problema è della crittografia è nella complessità dei calcoli, che richiedono un notevole capacità di calcolo. Per questo si utilizzano le funzioni di hash (spezzettamento) che sono algoritmi in grado di calcolare una sorta di sintesi, detta  impronta, di un messaggio, che viene rappresentato in pochi caratteri.

Ma che cos’è una funzione di Hash? Per comprenderlo immaginiamo un puzzle, il quale per essere completo deve avere tutti i pezzi; inoltre i pezzi mancanti possono essere inseriti solo nel puzzle cui appartengono. Più sono i pezzi del puzzle, più difficile è che ci siano coincidenze; pochi pezzi possono identificare facilmente un puzzle, mentre un puzzle di miliardi di pezzi difficilmente potrà creare coincidenze.

Per esemplificare il concetto riferiamoci all’immagine seguente: quindi se abbiamo un testo in chiaro e carichiamo una funzione di hash, otteniamo un’impronta che sarà sempre la stessa a parità di messaggio, quindi due documenti uguali daranno impronte uguali.

Il concetto di hash porta a spiegare che cos'è la blockchain, ossia una catena di blocchi ognuno dei quali è un dispositivo con capacità di calcolo o, esemplificando, un computer (immagine seguente).

riprendendo l’esempio del puzzle, se abbiamo un blocco con delle informazioni e a questo punto copiamo il blocco del puzzle precedente e lo comprendiamo nel puzzle successivo, da quest’ultimo possiamo sapere se il puzzle precedente è autentico o meno, perché all'interno del puzzle successivo abbiamo pezzi del puzzle precedente, quindi con questi pezzi è possibile verificare se il puzzle precedente è corretto.

Paternità e integrità, Riservatezza e Vantaggi concreti

La firma digitale non è altro che l'imputazione di un documento informatico (file) ad un soggetto;  quindi è un'operazione informatica basata sulla crittografia e su complessi algoritmi matematici con cui si firma un file. Ciò significa la garanzia di paternità di un documento, anche a valore legale.

Firma digitale significa altresì garanzia dell’integrità del documento, ossia la certezza che non c'è stata alcuna modifica dopo l’apposizione della firma digitale. Va precisato che un documento è immodificabile quando non contiene campi dinamici; se contiene campi dinamici diventa un documento modificabile e quindi la firma digitale non vale.

Vediamo di spiegare paternità e integrità attraverso un esempio: consideriamo l’utente Alice, la quale ha un testo in chiaro; attraverso la funzione di hash ottiene un’impronta, poi con la sua chiave privata cifra l’impronta e quindi il messaggio sarà composta dal testo in chiaro più un'impronta cifrata con la chiave privata. Lo schema di flusso è quello nell’immagine seguente, dove la chiave privata è quella in rosso e la chiave pubblica è disegnata in blu.

Se ora Alice invia il messaggio a Bob, questo quale dovrà utilizzare la chiave pubblica di Alice per ricavare l’impronta; a questo punto, attraverso la stessa funzione di hash che ha originato l’impronta, ricaverà l’impronta del testo in chiaro, confronterà le impronte e così potrà verificare che l’impronta decifrata con la chiave pubblica coincide con quella del messaggio, quindi vuol dire che il documento è autentico.

Questo è il flusso che permette di garantire l’origine (paternità) e l’integrità del documento; è possibile aggiungere una terza catratteristica, ossia la riservatezza del documento.

Tornando al flusso precedente, dove si cifra il documento con la chiave privata, è possibile utilizzare anche la crittografia simmetrica e quindi cifrare l’intero messaggio (testo in chiaro più impronta) con un algoritmo a chiave simmetrica e perciò con una chiave simmetrica. Ad esempio si può utilizzare il triplo DES, anche se ad oggi si preferisce la codifica AES256 quale algoritmo, perché più veloce e non implica problemi di calcolo per i computer rispetto al triplo DES.

Rispetto all’esempio precedente, il mittente (Alice) che deve mandare a Bob il messaggio, prima lo cifra con la propria chiave privata (rossa) ottenendo il corpo con testo in chiaro e impronta, poi cifra questo corpo con la chiave pubblica del destinatario (Bob) cui invia il messaggio doppiamente cifrato così ottenuto.

Bob con la sua chiave privata ottiene la chiave simmetrica, poi con l’algoritmo simmetrico (quello di crittografia) e la chiave simmetrica riesce ottenere un messaggio completo e il resto si svolge come nel flusso precedente e comunque nel modo descritto dall’immagine seguente.

 

Notare che solo il destinatario, con la propria chiave privata, può ottenere la chiave simmetrica e verificare con la chiave pubblica del mittente che gli hash siano identici; quindi qui c’è stato uno scambio sicuro della chiave simmetrica, il che permette ai due interlocutori di scambiarsi messaggi utilizzando la chiave simmetrica. E questo garantisce la riservatezza, ossia che solo mittente e destinatario possono leggere i messaggi. Questo meccanismo è, ad esempio, quello utilizzato per esempio tutto l'ambito web.

Vantaggi della firma digitale

I vantaggi che la firma digitale e gli strumenti collegati portano sono notevoli e si apprezzano in vari ambiti, come schematizzato nell’immagine seguente.

 

Banner

Amministrazione, all’ambito della fatturazione elettronica e laddove serva autenticità delle comunicazioni, certezza dell’origine e certezza della data.

Gestione dei documenti più semplice - punti di forza della Crittografia

Possiamo riassumere in sei caratteristiche i vantaggi in termini di miglioramento della gestione documentale.

1) Data certa: i documenti firmati digitalmente hanno una data certa (determinata dalla marcatura temporale o timestamp, riconosciuta anche a livello legale.

2) La marcatura temporale consente, ad esempio, di dimostrare che un documento non è stato modificato dal momento in cui è stato firmato, quindi valido perché risalente a una certa data (può essere il caso di un testamento olografo). 

3) Un'applicazione molto pratica è inserire l’hash al posto dell'allegato nei contratti con molti allegati; ad esempio si può inserire l’hash del PDF contenente la scansione degli allegati di cui si dà atto che le parti interessate li hanno ricevuti entrambe.

4) Tutela del copyright: la marcatura temporale qualificata con firma digitale permette, ad esempiop, di tutelare un copyright, nel senso che prova la creazione di qualcosa in data certa e anteriore a quella di chiunque altro; in questo caso si consiglia di usare una marca temporale che sia all'interno delle liste di Adobe, perché se bisogna dimostrare all’estero l’esistenza di un copyright occorre farlo con un formato riconosciuto a livello internazionale.

5) Riservatezza; l’utilizzo dei programmi di firma digitale consente di abbinare crittografia simmetrica ed asimmetrica.

6) Recupero crediti: per esempio il solo estratto autentico dei libri contabili ex articolo 2215 bis con firma digitale permette di mandare direttamente il registro firmato con firma digitale al notaio (ad esempio un registro IVA delle fatture emesse), il notaio fa un estratto autentico delle fatture, partendo dal quale l’avvocato può fare direttamente il decreto ingiuntivo senza che nessuno dell'azienda creditrice sia andato dal notaio.

Crittografia e Criminalità informatica

Tra i vantaggi della crittografia c’è che permette di capire come oper una certa criminalità informatica.

Prendiamo ad esempio il ramsonware, ossia quel virus che si inserisce nel computer attraverso allegati di posta elettronica e che una volta entrato, cifra i file dell’utente (così che questo non possa più utilizzarli) e a quel punto scatta il ricatto, ossia una richiesta di Bitcoin in cambio dello sblocco dei file.

La cifratura eseguita dai ransomware è una combinazione di crittografia simmetrica ed asimmetrica; viene cifrato il file con un algoritmo simmetrico (si utilizza l’AES 256, che è praticamente inviolabile) e la cifratura della chiave simmetrica avviene con una chiave pubblica attraverso l'algoritmo RSA; a questo punto se l’utente caduto in trappola vuole la chiave privata per poter decifrare la chiave simmetrica e quindi decifrare tutti i file deve pagare.

Differenze tra firma digitale e firma elettronica - Effetti giuridici

La firma digitale non è l'unico strumento di firma elettronica; come già spiegato è un particolare tipo di firma elettronica collegata alla crittografia asimmetrica, dove la chiave privata manifesta la provenienza e integrità ed una chiave pubblica permette di effettuare questa verifica. L’immagine seguente schematizza le tipologie di firma elettronica.

L’eIDAS, che è il regolamento comunitario che disciplina le firme elettroniche, all’art. 3 punto 10 definisce la firma elettronica come dati in forma elettronica acclusi o connessi tramite associazione logica ad altri dati elettronici utilizzati dal firmatario.

Quindi non c'è una definizione tecnica ma solo una funzionale.

Lo stesso regolamento, all’art. 25 stabilisce che “a una firma elettronica non possono essere negati  gli effetti giuridici né l’ammissibilità come prova in giudizio per il solo motivo che è una firma elettronica o perché non soddisfa i requisiti della firma elettronica qualificata o digitale.

Questi concetti, con la riforma del dicembre 2017, decreto legislativo 117, hanno modificato il codice dell'amministrazione digitale, dove all’articolo 21-bis sono state introdotte, oltre alla firma elettronica qualificata, anche la firma elettronica avanzata senza ulteriori specificazioni.

A livello legislativo, la firma digitale può soddisfare il requisito della forma scritta e il suo valore probatorio può essere valutato in giudizio in relazione alle caratteristiche di sicurezza, integrità e immodificabilità che la stessa fornisce.

Quindi la veridicità di una firma elettronica dipende dalle soluzioni tecniche adottate ed è tanto più riconosciuta quanto più risponde a standard definiti e accettati a livello internazionale, nonché sviluppati da organismi di certificazione a livello internazionale. Per esempiol’algoritmo RSA per la crittografia asimmetrica o DSA o ICBSI, per esempio sistemi di crittografia simmetrica a curve ellittiche.

La soluzione più pratica è utilizzare la certificazione di enti pubblici o privati riconosciuti a livello internazionale: questo permette di dimostrare che il sistema conforme alle regole tecniche riconosciuto a livello internazionale da enti tecnici riconosciuti dalla comunità scientifica che sono diversi da quelli fiduciari europei che fanno riferimento alla firma digitale, ma che possono ugualmente essere affidabili, come per esempio Adobe, la quale ha creato una sua lista fiduciaria contenente tutti i migliori certificatori di firma elettronica scelti con criteri severissimi.

La piattaforma Adobe Sign

Vediamo dunque la piattaforma Adobe Sign, che permette di utilizzare le firme elettroniche e, nella versione più recenti, anche la firma digitale.

Il funzionamento è semplice: l’utente invia una e-mail contenente una password, questa e-mail viene ricevuta dal distributore che deve inserire tale password in un modulo on-line e si apre un formulario in cui inserire i dati personali ecc. e accettare il contratto. A questo punto viene generato il contratto e si genera la firma. Una copia viene inviata tramite e-mail e viene automaticamente inserita nei sistemi, per esempio Adobe.

Quando bisogna far firmare dei documenti, si invia una e-mail alla persona che deve farlo e questa e-mail contiene un messaggio che la invita a inserire la password che appare nella stessa; cliccando sul link contenuto nella e-mail si apre la pagina dove va inserita, appunto, la password ricevuta (immagine seguente). Facendo ciò si manifesta l’intenzione di procedere con la firma e cliccando su OK si apre il documento.

Qui appare il documento con una serie di avvisi e menu, contenenti sia indicazioni, sia azioni alternative (accessibili cliccando sull’apposita voce) contenute in un menu a tendina, come ad esempio la possibilità di firmare più tardi, di comunicare che deve firmare un’altra persona perché chi ha aperto il documento, lettone il contenuto realizza che non è lui a poter firmare e via di seguito (immagien seguente).

 

Decisa l’azione da intraprendere si legge il documento e in calce ad esso, se si intende firmare, basta cliccare nella zona indicata (immagine seguente) dopo aver scelto, nel menu a tendina posto accanto alla dicitura Manifesta la volontà di accettare o rifiutare, cosa intende fare.

 

Cliccando si apre la finestra mostrata nell’immagine seguente, dalla quale si può firmare semplicemente digitando il proprio nome e cognome, ovvero disegnare trascinando il mouse e quindi tracciando a mano la firma come su una tavoletta grafica, caricare un’immagine contenente la scansione della propria firma o procedere alla firma da dispositivo mobile.

In pratica cliccando sull’icona Mobile viene chiesto di specificare un numero di cellulare della nazione scelta nel menu, cui inviare un SMS che rimanda a una procedura di firma.

Banner

Cliccando su Applica si torna al documento, in calce al quale appare il pulsante Clicca per firmare, sul quale occorre fare clic per firmare il documento.

Alla fine appare la schermata proposta nell’immagine seguente, la quale comunica che il documento è stato firmato digitalmente.

La firma è tutto il processo, non è il singolo inserimento.

Dall’apposito pulsante è possibile scaricare una copia del documento firmato oppure riceverla via e-mail. In questo caso il documento contiene la firma elettronica, che in questo caso è proprio di Adobe e che certifica il processo di firma; gli estremi della firma appaiono nella colonna a sinistra del documento e cliccandovi sopra si vede che il documento proviene dai sistemi di Adobee (immagine seguente).

Se si va a cliccare all'interno dell’icona di firma appare un link che rinvia a un registro di Adobe Sign il quale dimostra che il documento e la firma sono autentici (immagine seguente).

Il registro e il suo contenuto sono mostrati nell’immagine senuente.

Adobe Sign consente anche di verificare l’intero processo di firma attraverso una sorta di cronologia di tutto il contratto, contenente quel che è stato fatto dalla creazione del documento a quando il documento è stato inviato, alle operazioni svolte (accesso tramite password, firma, invio ai firmatari).

Ecco che tutto l’insieme consente di garantire l’intero processo di firma

Banner

I particolari del progetto

Per assicurarsi che la firma elettronica abbia l’esito desiderato è necessario seguire un workflow, ossia un flusso di operazioni che può essere ad esempio quello schematizzato nell’immagine seguente, che riguarda la firma per accettazione di un contratto commerciale.

In pratica si utilizzano, per l’invio del documento da firmare, l’indirizzo e-mail del firmatario già in uso, ovvero che si è certi essere attiva e utilizzata; e questo è il primo passo.

Il secondo è la possibilità di collegare questo sistema al proprio CRM (noi l’abbiamo sperimentato su Microsoft Dynamics NAV) e quindi di rendere disponibili già i dati e gestirli dal,CRM rendono veramente l'operazione molto semplice.

Il terzo è l’utilizzo della password per accedere al sistema di firma, che rende chiara la volontà di aderire al processo di firma.

L’indicazione delle fatture e del codice del contratto sono un passaggio molto utile, perché rende chiaro che cosa si sottoscrive.

Questi sono solo alcuni esempi di come rendere efficace un processo di firma elettronica, ma ce ne sono molti altri. Sicuramente più vincoli ha la procedura, più è dimostrabile che la firma elettronica è autentica, come se il documento fosse stato firmato fisicamente a mano; soprattutto agli effetti di Legge.