Apporre la firma digitale su un documento: la firma elettronica avanzata

Si torna a parlare, nel nostro Paese, di firma digitale, importantissimo strumento che permette non solo alle imprese ma anche alla pubblica amministrazione ed ai cittadini, di svincolarsi da procedure antidiluviane – ancora basate sull’uso del cartaceo -. L’utilizzo di firme digitali consente, ad esempio, di scambiare documenti validi dal punto di vista legale senza l’apposizione della classica firma autografa.

Apporre la firma digitale su un documento Word, LibreOffice, OpenOffice o PDF è piuttosto semplice: per ottenere la firma è sufficiente rivolgersi ad un’autorità di certificazione che, una volta effettuati alcuni controlli, la metterà a disposizione dell’utente.
Grazie all’uso delle firme digitali il destinatario del documento può sempre verificare l’autenticità della firma e, quindi, l’identità del mittente; il mittente, da parte sua, non potrà disconoscere (il cosiddetto “non ripudio”) un documento da lui firmato; nessuno dei soggetti può alterare un documento firmato da terzi.

Nella Gazzetta Ufficiale n. 117 del 21 maggio 2013 è stato pubblicato il decreto 22 febbraio 2013 che definisce le regole tecniche per la generazione, apposizione e verifica delle cosiddette firme elettroniche avanzate, qualificate e digitali (il testo completo è pubblicato in questa pagina).
Oltre a chiarire alcuni punti relativamente alla normativa già in vigore sulle firme qualificate e digitali, il decreto introduce delle novità per ciò che riguarda quelle che vengono definite “firme elettroniche avanzate”. “La firma elettronica avanzata è apposta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, è creata con mezzi sui quali quest’ultimo conserva un controllo esclusivo ed è collegata ai dati ai quali si riferisce, in modo da consentire di rilevare se gli stessi sono stati successivamente modificati“, si legge nella presentazione del decreto.

Sulla base delle regole tecniche contenute nel decreto appena adottato, viene dato il benestare per l’impiego di una serie di nuovi strumenti – utilizzati sinora soprattutto nel settore bancario – che garantiscono sicurezza e attendibilità e che permettono di semplificare e favorire l’uso delle nuove tecnologie anche nei rapporti tra utenti e pubbliche amministrazioni.

Il provvedimento ministeriale di fatto liberalizza il mercato dei prodotti correlati con il rilascio delle firme elettroniche (cosa peraltro già prevista nello stesso Codice dell’Amministrazione Digitale datato 2005), consentendo ad imprese e cittadini di scegliere liberamente il certificatore che fornisce sistemi di firma elettronica avanzata (maggiori informazioni nell’articolo Pubblicate le regole tecniche sull’uso delle firme elettroniche).

Per acquisire una propria firma elettronica avanzata basta rivolgersi ad un certificatore o ai soggetti delegati alla vendita, non solo in Italia ma anche sull’intero territorio europeo. Importante notare che non è neppure necessario recarsi fisicamente presso gli sportelli del certificatore per fornire i propri documenti ed attestare la propria identità.
La normative vigente, infatti, punisce pesantemente coloro che presentano false dichiarazioni al certificatore (495-bis e 640-quinquies del codice penale) ed il certificatore stesso nel caso di sua responsabilità.

Importante è che, per ovvi motivi di sicurezza, la firma elettronica avanzata venga richiesta ed erogata attraverso una connessione sicura SSL: tutte le autorità di certificazione sono però attrezzate in tal senso.

Richiedere la firma digitale (firma elettronica avanzata)

Un certificatore italiano che permette di ottenere una firma digitale è Globaltrust.
Per richiedere la firma elettronica avanzata personale è sufficiente collegarsi con questa pagina web e compilare accuratamente il modulo proposto.

Nei vari campi vanno inseriti i propri dati anagrafici, gli estremi di un documento in corso di validità (carta d’identità, patente di guida, passaporto) ed il proprio codice fiscale.
Poco più sotto, bisognerà specificare una password sufficientemente complessa: essa dev’essere lunga almeno 8 caratteri e contenere almeno una lettera maiuscola, una minuscola ed un carattere speciale (simbolo).

Per motivi tecnici legati alla generazione di un certificato perfettamente valido, è necessario effettuare l’intera procedura dallo stesso personal computer ricorrendo sempre al medesimo browser web (Mozilla Firefox oppure Microsoft Internet Explorer).

Noi abbiamo effettuato la procedura di richiesta con Mozilla Firefox: dopo aver debitamente compilato tutti i campi, cliccando sul pulsante Accetto, in basso, Firefox ha mostrato per qualche istante il messaggio seguente:

Al termine di questa fase, è importante annotare il numero d’ordine visualizzato nella finestra successiva: sarà indispensabile al passo successivo.

Effettuati i controlli del caso, sempre che non venissero rilevate cause ostative al rilascio del cerificato digitale, Globaltrust invierà un’e-mail all’indirizzo di posta elettronica specificato all’atto della richiesta della firma.

Tale messaggio contiene un link da seguire per provvedere all’installazione automatica del certificato di firma sul proprio sistema.
La procedura di richiesta ed attivazione del certificato digitale va effettuata utilizzando il medesimo browser web, sullo stesso personal computer usato per il passo precedente.
Visitando il link presente nell’e-mail ricevuta (è questo), si dovrà indicare, negli appositi campi, il numero dell’ordine e la password precedentemente scelta.

Dopo aver cliccato sul pulsante Conferma, nella pagina successiva, si dovrà inserire il lungo codice alfanumerico ricevuto per e-mail. Per evitare errori, suggeriamo di effettuare un copia&incolla dal corpo dell’e-mail alla casella visualizzata nel browser web.

Cliccando su Conferma, dopo qualche istante di attesa, comparirà il messaggio seguente:

Il certificato personale così richiesto consentirà di apporre la propria firma digitale su documenti Word, LibreOffice, OpenOffice, PDF, di firmare digitalmente i messaggi di posta elettronica ed eventualmente di cifrare le e-mail garantendo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse a terzi.

Esportare ed importare la firma elettronica avanzata. Come conservarla e come usarla nelle varie applicazioni

GlobalTrust (o comunque l’autorità di certificazione che emette il certificato) provvede a fornire all’utente facente richiesta, un certificato contenente l’identificativo dell’algoritmo crittografico usato, un numero di serie, la firma digitale, il nome della CA, le informazioni riguardanti la validità ed una chiave pubblica. Questo insieme di informazioni identifica colui che ha richiesto il certificato come unico possessore ed utilizzatore dello stesso.
Il certificato digitale appena generato sarà aggiunto tra quelli conservati da parte del browser web (nel nostro caso, di Mozilla Firefox).

Firefox utilizza un proprio sistema per la gestione dei certificati digitali, diverso ad esempio da quello di Internet Explorer. Google Chrome, invece, si appoggia al meccanismo di gestione dei certificati del sistema operativo, condiviso anche da Internet Explorer.
I cerificati presenti in Internet Explorer sono quindi utilizzabili, senza ulteriori passaggi, anche da Chrome e viceversa.

Ad ogni modo, è consigliabile provvedere a salvare il certificato digitale sul disco fisso in modo che possa essere facilmente impiegato, con un qualsiasi browser o con qualunque client di posta elettronica. Il certificato può essere memorizzato sotto forma di file con estensione .pfx o .p12: tale file non dovrà, per nessun motivo, essere trasmesso a terzi dato che contiene anche la propria chiave privata.

Nel caso si sia richiesto il certificato da Internet Explorer, questo potrà essere salvato su disco in formato .pfx avviando il browser di Microsoft, cliccando sul menù Strumenti, Opzioni Internet quindi su Contenuto. Facendo riferimento al pulsante Certificati quindi selezionando il proprio certificato digitale dalla scheda Personale ed infine premendo Esporta…, si potrà produrre il file .pfx.

Qualora, invece, come nel nostro caso, si fosse utilizzato Firefox, la procedura di esportazione del certificato si concretizza cliccando sul menù Strumenti, Opzioni del prodotto (premere il tasto ALT per farlo comparire), accedendo alla scheda Avanzate, cliccando su Cifratura ed infine sul pulsante Mostra certificati.

Selezionando la scheda Certificati personali, si noterà la presenza del certificato appena generato ed ottenuto da Globaltrust.

Per esportare il certificato bisogna selezionarlo, cliccare su Salva, indicare la cartella di destinazione ed un nome per il file che sarà memorizzato con estensione .p12 (PKCS12). Firefox richiede di definire anche una password a protezione della copia di backup del certificato.

In tutte le fasi di esportazione ed importazione del certificato digitale verrà sempre richiesta la password scelta a protezione del file: mai dimenticarla!

Dal momento che molte applicazioni (ad esempio Word e gli altri programmi che compongono la suite Office, oltre a LibreOffice, OpenOffice e Adobe Acrobat) che integrano strumenti per apporre la firma digitale sui documenti attingono ai certificati digitali gestiti da Internet Explorer e memorizzati nella finestra Opzioni Internet del sistema operativo, è bene importare il cerificato appena ottenuto.

Se la procedura di generazione del certificato digitale fosse stata effettuata usando Internet Explorer, non si dovranno effettuare interventi d’importazione aggiuntivi.

Accedendo al Pannello di controllo di Windows, facendo doppio clic sull’icona Opzioni Internet, cliccando sulla scheda Contenuto quindi sul pulsante Certificati, si dovrebbe già trovare in elenco il certificato messo a disposizione, gratuitamente, da Globaltrust:

Qualora si fosse invece generato il certificato digitale utilizzando Firefox, si dovrà importarlo manualmente. Selezionando la scheda Personale, si dovrà poi cliccare su Importa quindi fare clic sul pulsante Avanti alla comparsa della seguente procedura guidata:

In corrispondenza della casella Nome file, bisognerà quindi fare clic su Sfoglia… ed individuare il certificato precedentemente esportato da Firefox: nella finestra di dialogo per la scelta del file, si dovrà selezionare – nel campo Tipo file la voce Scambio di informazioni personali (.pfx, .p12) -.

Nella finestra successiva si dovrà introdurre la password a protezione della copia di backup del certificato specificata in Firefox.

Le caselle sottostanti possono essere configurate così come in figura. Si abbia comunque sempre cura di conservare, in un luogo sicuro, la copia di backup del certificato.
Infine, nell’ultima schermata, è possibile lasciare selezionata l’opzione Colloca tutti i cerificati nel seguente archivio (Personale).

A questo punto, è tutto pronto per apporre la firma digitale su documenti ed e-mail oltre che per crittografare i messaggi di posta elettronica.

La validità, a livello mondiale, della firma elettronica avanzata è legata all’identità del certificatore. Affinché la firma ottenuta abbia validità globale, è indispensabile che l’autorità di certificazione sia elencata nella lista degli enti universalmente riconosciuti.
L’elenco delle autorità riconosciute a livello mondiale viene costantemente aggiornato dai principali produttori di browser web. Dalla finestra Opzioni Internet del sistema operativo, cliccando su Contenuto, Certificati quindi sulle schede Autorità di certificazione radice attendibili ed Autorità di certificazione intermedie, è possibile verificare i nomi degli enti e compararli con quelli presenti nel certificato richiesto (scheda Percorso certificazione del singolo certificato digitale):

Il sistema si esprime già, comunque, circa la validità o la non validità del certificato digitale selezionato.

Per quanto riguarda le modalità di conservazione del certificato, gli obblighi relativi al rilascio di un certificato in un “dispositivo sicuro” (smart card, chiavetta USB,…) rimangono solo per i certificati qualificati. Nel caso della firma elettronica avanzata, quindi, la conservazione del certificato digitale va fatta come e forse con maggiore attenzione del PIN del Bancomat. Il certificato, infatti, altro non è che un file di testo dalle dimensioni ridottissime che viene normalmente acquisito dallo stesso utente tramite una connessione sicura ad un URL inviato dal certificatore.
Nel caso in cui si dovesse realizzare di aver perso il certificato o comunque di non averne più il controllo (perdita della password), è indispensabile contattare l’autorità che lo ha rilasciato chiedendo la revoca dello stesso.

Firma digitale (firma elettronica avanzata) su documenti Word e LibreOffice

L’apposizione della firma elettronica avanzata su un documento equivale ad una firma autografa. Grazie alla propria firma elettronica avanzata è quindi possibile stipulare contratti, firmare atti, certificare il contenuto di un documento da trasmettere a terzi.
I documenti sui quali viene apposta la firma elettronica avanzata devono essere riconosciuti così come se fossero siglati davanti ad un notaio o ad un pubblico ufficiale.

Funzionalità che permettono la gestione della firma digitale sono disponibili nella suite Microsoft Office, in LibreOffice, OpenOffice, Adobe Acrobat ed Adobe Reader.
Per il momento Adobe consente l’apposizione della firma elettronica avanzata sui documenti PDF solamente utilizzando il software Acrobat. Da alcune versioni a questa parte anche Adobe Reader supporta l’inserimento delle firme digitali nei documenti PDF ma ciò dev’essere espressamente permesso dall’autore del documento stesso. Nella maggior parte delle situazioni, Adobe Reader non permette – per il momento – di attingere ai certificati digitali memorizzati nel sistema perché il documento PDF, tipicamente, non dispone dei diritti utente (user rights) corretti per l’apposizione della firma.
Per inserire la propria firma digitale in un documento PDF, quindi, è per il momento necessario ricorrere ad Adobe Acrobat.

Firma digitale su documenti Word

Diverso il quadro, invece, nel caso di prodotti come Microsoft Office, LibreOffice ed OpenOffice. Tutti i programmi, infatti, consentono di apporre la firma digitale sui documenti elaborati.

Nel caso di Office, a partire dalla versione 2010, Microsoft ha introdotto la firma digitale avanzata XaDes aderendo contemporaneamente, insieme con Mozilla ed altre società, al CAB Forum, organizzazione che riunisce i principali enti certificatori di tutto il mondo.

Per firmare un documento Word (la nostra procedura si riferisce a Word 2013 ma è identica nel caso di Word 2010) è sufficiente cliccare sul menù File, su Proteggi documento quindi su Aggiungi firma digitale:

Word inviterà a salvare preventivamente il documento (bisognerà cliccare su Sì):

Il programma mostrerà quindi una finestra di dialogo attraverso la quale si potrà scegliere la propria firma elettronica avanzata (Firma come) e specificare alcune informazioni accessorie (suggeriamo di introdurre anche i dati sul firmatario cliccando su Dettagli):

Word dovrebbe visualizzare il messaggio seguente, confermando l’apposizione della firma elettronica:

Non appena si riaprirà il documento Word, il programma mostrerà l’avviso Il documento contiene firme valide ed il tasto Visualizza che permette di controllare chi ha firmato digitalmente il file.

Ogni volta che qualcuno tenterà di modificare il documento, Word esporrà un avviso spiegando che la firma digitale sarà automaticamente rimossa.
La presenza della firma digitale certifica che il documento è identico all’originale, così come è stato redatto dal firmatario e che quindi non è stato modificato.

Firma digitale su documenti LibreOffice e OpenOffice

La procedura da seguire per firmare digitalmente un documento nel caso in cui si utilizzino software come LibreOffice ed OpenOffice è molto simile.

Anche in questo caso, si dovrà salvare il documento prima dell’apposizione della firma digitale poi, si potrà scegliere il comando Firme digitali dal menù File:

Alla comparsa della finestra successiva, bisognerà fare clic sul pulsante Firma documento:

Si potrà quindi scegliere il certificato emesso da Globaltrust:

Facendo clic sul pulsante OK quindi su Chiudi, si concluderà il processo di firma:

Ogniqualvolta il documento verrà modificato, LibreOffice ed OpenOffice provvederanno a rimuovere la firma digitale precedentemente applicata.

– A questo indirizzo è possibile consultare le FAQ elaborate da Globaltrust in materia di Firma eletttronica avanzata.

Si precisa che il certificato S/MIME che può essere richiesto gratuitamente seguendo le indicazioni riportate in questo articolo è da intendersi per uso personale. Per tutti gli altri impieghi, la pagina Globaltrust di riferimento è questa.