news

Firma digitale remota ed automatica

Firma digitale remota ed automatica

17/06/2016
Digitalizzazione

Nei processi di digitalizzazione dei documenti delle imprese e degli studi professionali, è sempre più utilizzata la firma digitale, ed in questo articolo andremo ad analizzare le peculiarità della firma digitale remota rispetto a quella automatica, ed i casi in cui è consigliabile utilizzarle.

Così come riportato all’art.1 primo comma lettera s) del Decreto Legislativo 7 marzo 2005 n.82, la firma digitale è “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

La creazione della firma digitale avviene all’interno dei cosiddetti “dispositivi sicuri per la generazione della firma digitale”, come per esempio le smart card oppure i token USB, e tale processo deve svolgersi in modo da garantire che la chiave privata non possa essere in alcun modo intercettata o derivata, e che la firma digitale non possa essere oggetto di contraffazioni (per esempio sostituire il documento firmato senza che il software di verifica se ne accorga).

Il processo di generazione della firma digitale si svolge secondo i seguenti 5 principali passaggi:

1-avvio del software utilizzato per generare la firma digitale, rilevando che oltre a DIKE (certamente il più diffuso) vi sono altri software disponibili gratuitamente e scaricabili dal sito di AgID (www.agid.gov.it ), come per esempio DigitalSign Reader, Firma OK, oppure PK Net;

2-inserimento del codice necessario ad attivare la procedura di generazione della firma digitale (PIN o password), rilevando che a norma dell’art.8 del DPCM 22 febbraio 2013, le informazioni di abilitazione all’uso della chiave privata devono essere conservate separatamente dal dispositivo sicuro di generazione della firma digitale;

3-generazione all’interno del dispositivo sicuro dell’hash del documento informatico  che si intende firmare digitalmente, tramite l’impiego dell’algoritmo SHA-256;

4-generazione della firma digitale all’interno del dispositivo sicuro, ricordando che la firma digitale altro non è che la cifratura dell’hash tramite la chiave privata contenuta nel dispositivo stesso impiegando l’algoritmo RSA;

5-produzione del file firmato digitalmente che a secondo del formato prescelto potrà essere:

CAdES-BES, secondo le specifiche ETSI TS 101 733CAdES

PAdES-BES, secondo le specifiche ETSI TS 102 778

XAdES-BES, secondo le specifiche ETSI TS 101 903  XAdES.

Ma oltre alla firma digitale generata inserendo il PIN per ogni documento che si intende firmare , vi sono almeno altre due diverse procedure per generare la firma digitale, soprattutto nei processi in cui vi è l’esigenza di firmare digitalmente in modo massivo migliaia di documenti, come in molti casi di fatturazione elettronica o digitalizzazione di taluni documenti (e.g. documenti di trasporto, etc). Considerato infatti che il tempo medio impiegato per firmare digitalmente un documento impiegando una smart card è di circa 1,5 secondi, utilizzando per esempio dispositivi di firma HSM è possibile firmare digitalmente migliaia di documenti al secondo, e quindi oltre alla firma digitale generata tramite smart card o token USB, è possibile impiegare la firma digitale remota oppure la  firma digitale automatica.

 

Firma digitale remota

Così come riportato all’art.1 primo comma lettera q) del DPCM 22 febbraio 2013, con firma digitale remota, si intende una “particolare  procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”.

La peculiarità della firma digitale remota sta nel fatto che viene generata tramite l’ausilio di appositi dispositivi sicuri per la generazione della firma, denominati HSM (Hardware Security Module), cioè particolari hardware che tramite specifici software di firma sono in grado di gestire più coppie di chiavi crittografiche (cioè più chiavi private), e quindi sono in grado di consentire la generazione da remoto della firma digitale da parte di centinaia di firmatari localizzati in luoghi diversi rispetto a dove si trova l’HSM. Il dispositivo sicuro di firma HSM su cui sono installati i certificati qualificati e le chiavi private dei diversi firmatari sono gestiti dalle Certification Authority, ed aspetto importante è  che devono essere in grado di “garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”, e questo avviene solitamente tramite richiesta al firmatario dei codici OTP (One Time Password) creati da appositi token o app su smartphone,  oppure riconoscimento biometrico (e.g. firma grafometrica, retina, fisionomia del volto, etc ).

La generazione della firma digitale remota avviene in modo analogo a quando si impiega la smart card o il token USB, anche se  per alcuni aspetti è forse più simile alla generazione della marca temporale (la marca temporale è infatti una firma digitale con l’aggiunta del “tempo”), e si svolge secondo i seguenti tre semplici passaggi:

1-il firmatario, che può essere a migliaia di chilometri di distanza rispetto a dove è localizzato l’HSM, avvia la procedura di firma digitale remota tramite software installato sul client (PC), dopodichè il software genera l’hash del documento informatico che si intende firmare digitalmente tramite l’impiego dell’algoritmo SHA-256 e contestualmente lo trasmette via web all’HSM;

2- l’HSM riceve l’hash (viene trasmesso solo l’hash, mentre il documento informatico che si intende firmare digitalmente non si è mai spostato dal PC), e cifrando l’hash con la chiave privata del firmatario installata sul dispositivo HSM tramite l’algoritmo RSA, viene generata la firma digitale;

3-la firma digitale viene ritrasmessa al client (PC) del firmatario ed associata al documento informatico che risulta così firmato digitalmente.

 

Firma digitale automatica

Così come riportato all’art.1 primo comma lettera r) del DPCM 22 febbraio 2013, con firma digitale automatica, si intende una “particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo”.

La firma digitale automatica, che diversamente dalla firma remota non impiega dispositivi di firma  HSM, consente comunque di eseguire firme massive su più documenti con un’unica richiesta di PIN in fase di attivazione e senza che vi sia la necessità da parte del firmatario di presidiare il dispositivo sicuro per la generazione della firma digitale.

La tecnologia a supporto della firma digitale sta facendo passi da gigante nel consentire al firmatario di poter firmare digitalmente in modo semplice e veloce, e l’innovazione forse più attesa in questo ambito e su cui si sta lavorando da tempo, è la possibilità di firmare digitalmente impiegando lo smartphone quale dispositivo sicuro di firma, dato che se è a tutt’oggi possibile eseguire e ricevere pagamenti, sarà a breve possibile anche firmare digitalmente.

 

A cura di Umberto Zanini, Dottore Commercialista e Revisore Legale

Comments are closed.