fbpx

Servizi Fiduciari

I servizi fiduciari digitali

Cosa sono i servizi fiduciari? Cos’è l’identità digitale? Cosa sono le marche temporali e i sigilli elettronici? A cosa serve la firma digitale e come si fa a firmare digitalmente un documento?

La nostra vita si fa digital e alcune regole cambiano: ecco tutto quello che c’è da sapere sui servizi fiduciari e su come garantire l’identità e l’autenticità dei documenti elettronici, dare data e ora certa a un documento, inserire la firma digitale in un PDF e apporre un sigillo elettronico.

Conosci già questo argomento? Leggi gli articoli correlati per approfondirlo!

OK, APPROFONDIAMO!

Servizi fiduciari: cosa sono?

Partiamo con una definizione: i servizi fiduciari sono servizi forniti da terzi che servono ad autenticare e identificare i documenti elettronici, il commercio on-line, i processi d’acquisto digitali.

Forse senza saperlo avete già familiarità alcuni di questi servizi come la firma digitale, le marche temporali, il sigillo elettronico. Sono tutti servizi fiduciari digitali.

I servizi fiduciari sono stati definiti dal Regolamento Europeo EU/910/2014, per gli amici “eIDAS”, e si inseriscono nel programma comunitario volto alla creazione di un mercato unico digitale.

Sicurezza, trasparenza e certezza delle transazioni: la digitalizzazione dei processi amministrativi passa attraverso questi paradigmi.

E lo fa anche attraverso i servizi fiduciari digitali. Vediamo quali sono e a cosa servono.

 

Cos’è l’eIDAS

Finora abbiamo nominato non poche volte il Regolamento chiave per la comprensione del tema di cui parliamo in questo articolo: l’eIDAS.

Ci sembra giusto perciò dedicargli un breve paragrafo d’approfondimento, per meglio contestualizzare l’argomento.

eIDAS sta per Electronic Identification and Trust Service Regulation, che in italiano si può tradurre con “Regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno”.

Corrisponde al Regolamento (UE) n. 910/2014, sostituisce la precedente direttiva 1999/93/EC e sancisce tutte le norme giuridiche e gli standard riguardanti le firme elettroniche, l’identità digitale, i sigilli digitali.

Si tratta di una normativa applicata a livello europeo, alla quale sono perciò sottoposti tutti gli Stati membri.

L’eIDAS nasce per regolamentare e standardizzare le transazioni elettroniche, i trasferimenti di denaro, le firme elettroniche e altre forme di autenticazione a livello europeo.

Si tratta perciò di un elemento fondamentale nel processo di digitalizzazione dei documenti in quanto definisce tutti i termini per garantire a questi validità legale, pari a quella attribuita ai documenti cartacei.

E lo fa in modo univoco per tutti i paesi europei.

La firma elettronica

Le Tipologie di Firma Elettronica

Il Codice dell’Amministrazione Digitale definisce 4 tipologie di firma elettronica:

1

FIRMA ELETTRONICA

2

FIRMA ELETTRONICA AVANZATA

3

FIRMA ELETTRONICA QUALIFICATA

4

FIRMA DIGITALE

Già da questo primo elenco noterete qualcosa che (forse) non sapevate: firma elettronica e firma digitale sono due cose diverse. Molti le utilizzano come sinonimi ma nel gergo tecnico si tratta di due firme dalle caratteristiche diverse, se pur correlate.
Ecco quindi le singole definizioni di firma elettronica.

FIRMA ELETTRONICA

È l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.

Una definizione molto generica, direte giustamente. Per farvi qualche esempio basti pensare ai PIN dei bancomat o alle credenziali di accesso a un sito web: la firma elettronica è un metodo identificativo nel senso più ampio del termine.

Chiaramente siamo al livello più basso di sicurezza per quanto concerne i sistemi di identificazione in quanto l’ipotetico codice o password possono essere ceduti a terzi, compromettendo la certezza che ad accedere ai dati custoditi vi sia effettivamente il proprietario di quei dati.

FIRMA ELETTRONICA AVANZATA

È l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.

Una definizione molto generica, direte giustamente. Per farvi qualche esempio basti pensare ai PIN dei bancomat , alle credenziali di accesso a un sito web, alla firma grafometrica: la firma elettronica è un metodo identificativo nel senso più ampio del termine.

Chiaramente siamo al livello più basso di sicurezza per quanto concerne i sistemi di identificazione in quanto l’ipotetico codice o password possono essere ceduti a terzi, compromettendo la certezza che ad accedere ai dati custoditi vi sia effettivamente il proprietario di quei dati.

FIRMA ELETTRONICA QUALIFICATA

È un tipo di firma basata su certificati che prevede l’utilizzo di determinati strumenti, a uso esclusivo dell’intestatario, come i token o le smart card.

Si tratta di una firma che si genera attraverso particolari procedure informatiche che collegano, appunto, i dispositivi con i dati del titolare.

FIRMA DIGITALE

Viene definita come un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico di un insieme di documenti informatici.

Vi è già venuto mal di testa? Niente panico, ve lo spieghiamo più semplicemente. La firma digitale si basa su particolari codici (le chiavi) generati da software e dispositivi preposti.

Attraverso questo sistema di crittografie la firma digitale è in grado di certificare l’identità del titolare e il contenuto del documento sulla quale viene apposta, garantendo la stessa validità giuridica della firma autografa.

Le differenze a livello legale

Ogni firma, come avrete notato, viaggia su livelli differenti di sicurezza. Per questo motivo non posseggono la medesima validità legale.

Se volete che un documento abbia valore probatorio in caso di controversie legali, è il caso che vi avvaliate di una firma elettronica avanzata, qualificata o digitale.

La firma elettronica semplice è anch’essa impugnabile in tribunale ma è riposta nelle mani del giudice, e sarà lui a decidere, sulla base del caso, se prenderla in considerazione valutandone qualità, sicurezza e immodificabilità.

La firma digitale

Il valore legale della firma digitale

La validità della firma digitale si basa su tre principi fondamentali: autenticità, integrità e non ripudio.

  • L’autenticità equivale alla certezza dell’identità del sottoscrittore.
  • L’integrità è la garanzia che il documento inviato non sia stato manomesso o modificato.
  • Il non ripudio permette di ricondurre la firma digitale al suo proprietario in modo univoco.

Ecco che quindi si fa più chiaro a cosa serve la firma digitale: in caso di controversie legali, la firma digitale acquisisce valore probatorio.

La firma digitale abbinata alla PEC può risultare estremamente importante nella gestione di determinati documenti.

Come funziona la firma digitale

Nello spiegarvi il significato di firma digitale siamo rimasti molto generici, lo ammettiamo. Questo per evitare di annoiarvi con cose da nerd quali codici, crittografie, chiavi assimmetriche, bit…

In questo paragrafo vi spiegheremo però come funziona la firma digitale: lo riteniamo importante per farvi capire il meccanismo che vi sta sotto in modo da rendervi più consapevoli qualora vi ritrovaste a valutare un fornitore di tale servizio.

Dicevamo che la firma digitale è composta da una coppia di chiavi (codici binari di pari lunghezza).

→ L’ente certificatore assegna a chi richiede la firma un certificato digitale, che associa la sua identità a una delle due chiavi, definita “chiave pubblica”.

→ La seconda chiave che viene generata è invece privata e viene inserita in un dispositivo sicuro come una chiavetta o una smart card. Tale dispositivo è a uso esclusivo del titolare e l’accesso avviene solitamente attraverso l’inserimento di un PIN.

Quando si appone la firma digitale su un documento, utilizzando un apposito software, si avvia la cosiddetta funzione di hash per il calcolo dell’impronta digitale del documento stesso. Ogni documento ha una sua impronta digitale univoca.

→ Il software invia l’impronta al dispositivo (la chiavetta o la smart card) che la attiva dopo l’inserimento del PIN e la cifra con la chiave privata. Ecco che viene generata la firma digitale del documento, quindi associata a quello specifico documento elettronico.

→ A questo punto il mittente del messaggio procede, sempre attraverso il software, all’invio al destinatario, che, grazie al suo software, potrà estrarre la firma, spacchettare il file contenente documento e firma e ricalcolare l’impronta decifrando la chiave pubblica.

La corrispondenza dei codici ricalcolati dal destinatario con quelli generati dal mittente dimostra che il documento non ha subito modifiche durante il suo “viaggio” e rispetta quindi i principi di autenticità, integrità e non ripudio. La firma risulterà quindi valida.

Come avere la firma digitale

Dicevamo nel precedente paragrafo che è necessario predisporre di una chiavetta o una smart card per l’applicazione della firma digitale. Come ottenerla?

Richiedere la firma digitale è semplicissimo. Basta acquistare da un ente certificatore l’apposito kit composto dal dispositivo e dal software di elaborazione.

Se vi ricordate, però, vi è un passaggio fondamentale e propedeutico al rilascio del kit: l’ente deve assicurare la vostra identità e ciò può avvenire solamente presentandosi di persona, ossia con il cosiddetto riconoscimento de visu.

Come apporre la firma digitale su un documento

Una volta ottenuto tutti gli elementi necessari per l’utilizzo della firma digitale, sarete pronti a firmare digitalmente un documento.

Anche qui la procedura è molto semplice e sarà il software stesso a guidarvi.

→ Realizzato il documento (in PDF, Word, exe, ppt ecc…) avviate il software e selezionate il pulsante per la firma.

→ A questo punto vi verrà chiesto a quale documento associarlo e, in seguito, l’inserimento del PIN del dispositivo o la password.

→ Infine, potete scegliere in quale formato inviare quel documento.

→ In aggiunta, è possibile selezionare anche l’opzione di marca temporale (timestamp), per certificare data e ora dell’invio.

La firma digitale sui documenti Word e PDF

Con la procedura che vi abbiamo appena descritto potete facilmente firmare digitalmente PDF, Word, Excell, PowerPoint, Xml e moltissimi altri formati.

A prescindere dal tipo di file che sceglierete, è importante però che vi ricordiate di associarlo al formato corrispondente.

Eccoli di seguito:

TIPO DI FILE Qualsiasi tipo PDF XML
FORMATO CORRISPONDENTE CAdES PAdES XaDES

 

Quindi, ad esempio, se volete firmare su un PDF dovete necessariamente utilizzare il formato PAdES.

Le firme digitali remote

Per definizione la firma digitale appartiene già a una sfera dominata da tecnologia e innovazione. Ma negli ultimi anni sta subentrando nel mercato anche una particolare tipologia di firma digitale di nuova generazione.

Questo tipo di firma è definita “firma cloud” poiché, anziché avvalersi dell’ausilio di software, token e smart card, tutto viene gestito nella “nuvola”.

I certificati vengono salvati in modo sicuro in cloud e sono accessibili attraverso un PIN personale e ulteriori metodi di autenticazione, come i codici OTP inviati al cellulare.

Gli standard per le firme digitali basate su cloud sono definite dal Cloud Signature Consortium in conformità con le norme eIDAS.

Fanno parte del CSC numerose aziende e organizzazione a livello mondiale che si sono poste come obiettivo la realizzazione di un sistema sicuro e al contempo semplice per l’utilizzo delle firme digitali, per incentivare quindi la loro diffusione.

La marca temporale

Marche temporali: cosa sono e a cosa servono

La marca temporale (o timestamp) è un servizio fiduciario qualificato che permette di certificare data e ora di un documento.

Perché può risultare utile apporre una marca temporale sui documenti informatici?

Immaginate di dover partecipare a un concorso pubblico che scade in una certa data. Inviate il documento, anche firmato digitalmente, ma per qualche motivo l’ente che ha indetto il concorso non vi fa partecipare perché, a detta sua, avete inviato la domanda di partecipazione oltre la data di scadenza.
Chiaramente l’e-mail che inviate riporta questa informazione, ma in caso di contenzioso potrebbe non bastarvi.

La marca temporale vi permette di dare data e ora certa a un documento e ne garantisce la validità legale opponibile a terzi.

Firma digitale e marca temporale sono i due elementi che vi garantiscono maggior tutela nella vostra gestione dei documenti aziendali.

Ad esempio potrebbe succedere che un documento con firma digitale risulti scaduto: se la marca temporale è stata apposta prima della scadenza, la firma digitale risulterà comunque valida.

Chiaramente i due servizi possono non essere utilizzati in abbinata. Quindi potete apporre una firma digitale su un documento fiduciario e non la marcatura temporale e viceversa.

La validità della marcatura temporale

Tutte le cose belle finiscono, ahimé. È nel normale corso delle cose.

Niente paura, però: la marca temporale ha vita lunga.

Per legge, infatti, la marcatura temporale deve essere conservata per 20 anni. Questo permette di prolungare nel tempo la validità di un documento informatico.

Marca temporale: come funziona e come viene generata?

A livello pratico la marca temporale è una sequenza di caratteri alfanumerici, chiamata digest, che contiene una data e un orario.

Ogni documento possiede una stringa univoca e viene perciò certificato anche nel suo contenuto.

Il processo di generazione di una marca temporale si basa sulla funzione di hash, quindi, come per la firma digitale, su un sistema di crittografie algoritmiche.

Le informazioni contenute nella marca temporale sono le seguenti:

  • identità del titolare
  • numero di serie della marca temporale
  • l’algoritmo di sottoscrizione
  • la chiave per la verifica
  • data e ora
  • l’id dell’hash utilizzato per la generazione dell’impronta

Come si ottiene la marca temporale

Le marche temporali vengono rilasciate da un certificatore autorizzato, chiamato Time Stamp Authority, che sincronizza data e ora con il segnale emesso da un Istituto ufficiale secondo la normativa vigente.

Se vi serve una marca temporale basta quindi rivolgersi a un prestatore di servizi fiduciari accreditato. La procedura è molto semplice:

  • inviate la richiesta al prestatore (TSA) contenente l’impronta del documento, generata attraverso l’hashing;
  • ricevete la marcatura generata dal TSA.

I vantaggi della marca temporale

Come abbiamo detto nei paragrafi precedenti, la marcatura temporale può garantirvi maggiori garanzie e, di conseguenza, portarvi alcuni vantaggi. In paarticolare:

  • potete rendere un documento informatico opponibile a terzi;
  • potete estendere la validità temporale del documento oltre la durata della firma digitale.

Il sigillo elettronico

Cos’è un sigillo elettronico e a cosa serve

Dopo aver parlato di firma digitale arriviamo a un altro servizio fiduciario molto simile ma che, come vedremo, si differenzia dalla firma elettronica per alcuni elementi sostanziali.

Per ovviare sin da subito a qualsiasi dubbio, iniziamo col dire cosa NON è il sigillo elettronico.
Per quanto il nome stesso possa in effetti scatenare qualche equivoco, il sigillo elettronico non equivale al timbro elettronico (detto anche glifo o contrassegno elettronico). Di quello parleremo più avanti.

Possiamo invece definire il sigillo elettronico (o eSeal) come l’equivalente informatico del timbro su carta.

Quindi, analogamente, il sigillo elettronico ha lo scopo di rendere subito visibile i dati del documento quali l’origine e la ragione sociale.

Andando più sul tecnico, il regolamento eIDAS definisce il sigillo elettronico come dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi.

Nel dettaglio, il sigillo elettronico ha il compito di garantire:

  • l’integrità del documento
  • l’identità del mittente

Anche l’eSeal, come la firma digitale, si basa su un sistema di crittografia e sulle chiavi e, come per la firma digitale, si tratta di uno strumento riconosciuto e standardizzato a livello europeo.

Sigillo elettronico e firma digitale: differenze e analogie

Già nel precedente paragrafo abbiamo introdotto alcune delle analogie che accomunano il sigillo elettronico con la firma digitale. Ma non finisce qui.

Gli scopi del sigillo elettronico e della firma digitale sono infatti uguali: assicurare l’integrità e l’origine del documento sui cui vengono apposti.

In cosa si differenziano quindi? La risposta è molto semplice: la firma digitale viene apposta da una persona fisica, il sigillo elettronico da una persona giuridica.

Esattamente come una firma autografa a un timbro.

Portale-personalizzato-gestione-documentale

Esiste un’altra differenza di non poco conto tra i due strumenti, che derivano proprio dalla natura degli stessi. Il sigillo elettronico, infatti, non è in grado di confermare l’identità della persona che lo ha apposto sul documento.

grafologo-digitale

Il grafologo digitale

In questo contesto, come per gli altri servizi fiduciari digitali, si è resa necessaria la presenza di un organo di controllo, che verifichi e convalidi tutte le sottoscrizioni a livello legale.

In Italia questo ruolo è assunto dall’AgID.

Sigillo elettronico avanzato e sigillo elettronico qualificato

Esistono più tipologie di sigillo elettronico, che dipendono, in sostanza, dal livello di sicurezza che queste garantiscono.
Vediamole insieme:

SIGILLO ELETTRONICO AVANZATO

• è connesso unicamente al creatore del sigillo;
identifica il creatore del sigillo;

• si basa sui dati appartenenti al suo creatore e da lui controllati;

• è collegato ai dati del suo creatore e permette di rilevarne ogni successiva modifica.

SIGILLO ELETTRONICO QUALIFICATO

• è connesso unicamente al creatore del sigillo;
identifica il creatore del sigillo;

• si basa sui dati appartenenti al suo creatore e da lui controllati;

• è collegato ai dati del suo creatore e permette di rilevarne ogni successiva modifica;

• si basa su certificati qualificati e realizzati attraverso dispositivi sicuri.

Quindi, meglio utilizzare un sigillo elettronico avanzato o qualificato?

Diciamo che dipende dai casi. Se il documento su cui viene apposto dovrà essere utilizzato in tribunale, certamente è opportuno apporvi il sigillo elettronico qualificato.

Ma sul valore legale dell’eSales ci spostiamo al prossimo paragrafo.

La validità legale del sigillo elettronico

Di per sé, poiché non è apposto da una persona fisica, il sigillo elettronico non ha un vero valore probatorio a livello nazionale.

Diciamo che si tratta più che altro di un vuoto legislativo, forse lasciato volutamente dal legislatore italiano ritenendo già sufficiente quanto esplicitato dall’eIDAS.

Ne consegue che la sua validità legale in caso di contenzioso viene di volta in volta valutata dal giudice, sulla base del caso.

Quando e dove utilizzare il sigillo elettronico

Ma allora, quando dobbiamo (o possiamo) utilizzare un sigillo elettronico?

Possiamo rispondere così: in tutti i casi in cui è necessario apporre le informazioni di una persona giuridica su un documento informatico.

Qualche esempio? Su una fattura elettronica, su una cartella clinica, su un referto o una radiografia, su una fotografia. In sostanza, su tutti quei documenti sui quali non è necessaria una sottoscrizione autografa.

Nel caso del sigillo elettronico qualificato, questo può addirittura sostituirsi alla firma digitale in alcuni casi specifici connessi alla conservazione sostitutiva e digitale.

Molti ritengono che possa anche inserirsi nel meccanismo della blockchain, ma qui si aprono scenari molto più ampi, che non approfondiremo in questa sede. A ogni modo, stay tuned.

L'identità digitale

I prestatori di Servizi Fiduciari