78024 Letture

Apporre la firma digitale su un documento: la firma elettronica avanzata

Si torna a parlare, nel nostro Paese, di firma digitale, importantissimo strumento che permette non solo alle imprese ma anche alla pubblica amministrazione ed ai cittadini, di svincolarsi da procedure antidiluviane - ancora basate sull'uso del cartaceo -. L'utilizzo di firme digitali consente, ad esempio, di scambiare documenti validi dal punto di vista legale senza l'apposizione della classica firma autografa.

Apporre la firma digitale su un documento Word, LibreOffice, OpenOffice o PDF è piuttosto semplice: per ottenere la firma è sufficiente rivolgersi ad un'autorità di certificazione che, una volta effettuati alcuni controlli, la metterà a disposizione dell'utente.
Grazie all'uso delle firme digitali il destinatario del documento può sempre verificare l'autenticità della firma e, quindi, l'identità del mittente; il mittente, da parte sua, non potrà disconoscere (il cosiddetto "non ripudio") un documento da lui firmato; nessuno dei soggetti può alterare un documento firmato da terzi.

Nella Gazzetta Ufficiale n. 117 del 21 maggio 2013 è stato pubblicato il decreto 22 febbraio 2013 che definisce le regole tecniche per la generazione, apposizione e verifica delle cosiddette firme elettroniche avanzate, qualificate e digitali (il testo completo è pubblicato in questa pagina).
Oltre a chiarire alcuni punti relativamente alla normativa già in vigore sulle firme qualificate e digitali, il decreto introduce delle novità per ciò che riguarda quelle che vengono definite "firme elettroniche avanzate". "La firma elettronica avanzata è apposta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, è creata con mezzi sui quali quest'ultimo conserva un controllo esclusivo ed è collegata ai dati ai quali si riferisce, in modo da consentire di rilevare se gli stessi sono stati successivamente modificati", si legge nella presentazione del decreto.

Sulla base delle regole tecniche contenute nel decreto appena adottato, viene dato il benestare per l'impiego di una serie di nuovi strumenti - utilizzati sinora soprattutto nel settore bancario - che garantiscono sicurezza e attendibilità e che permettono di semplificare e favorire l'uso delle nuove tecnologie anche nei rapporti tra utenti e pubbliche amministrazioni.


Il provvedimento ministeriale di fatto liberalizza il mercato dei prodotti correlati con il rilascio delle firme elettroniche (cosa peraltro già prevista nello stesso Codice dell'Amministrazione Digitale datato 2005), consentendo ad imprese e cittadini di scegliere liberamente il certificatore che fornisce sistemi di firma elettronica avanzata (maggiori informazioni nell'articolo Pubblicate le regole tecniche sull'uso delle firme elettroniche).


Per acquisire una propria firma elettronica avanzata basta rivolgersi ad un certificatore o ai soggetti delegati alla vendita, non solo in Italia ma anche sull'intero territorio europeo. Importante notare che non è neppure necessario recarsi fisicamente presso gli sportelli del certificatore per fornire i propri documenti ed attestare la propria identità.
La normative vigente, infatti, punisce pesantemente coloro che presentano false dichiarazioni al certificatore (495-bis e 640-quinquies del codice penale) ed il certificatore stesso nel caso di sua responsabilità.

Importante è che, per ovvi motivi di sicurezza, la firma elettronica avanzata venga richiesta ed erogata attraverso una connessione sicura SSL: tutte le autorità di certificazione sono però attrezzate in tal senso.

Richiedere la firma digitale (firma elettronica avanzata)

Un certificatore italiano che permette di ottenere una firma digitale è Globaltrust.
Per richiedere la firma elettronica avanzata personale è sufficiente collegarsi con questa pagina web e compilare accuratamente il modulo proposto.

Nei vari campi vanno inseriti i propri dati anagrafici, gli estremi di un documento in corso di validità (carta d'identità, patente di guida, passaporto) ed il proprio codice fiscale.
Poco più sotto, bisognerà specificare una password sufficientemente complessa: essa dev'essere lunga almeno 8 caratteri e contenere almeno una lettera maiuscola, una minuscola ed un carattere speciale (simbolo).

Per motivi tecnici legati alla generazione di un certificato perfettamente valido, è necessario effettuare l'intera procedura dallo stesso personal computer ricorrendo sempre al medesimo browser web (Mozilla Firefox oppure Microsoft Internet Explorer).


Noi abbiamo effettuato la procedura di richiesta con Mozilla Firefox: dopo aver debitamente compilato tutti i campi, cliccando sul pulsante Accetto, in basso, Firefox ha mostrato per qualche istante il messaggio seguente:


Al termine di questa fase, è importante annotare il numero d'ordine visualizzato nella finestra successiva: sarà indispensabile al passo successivo.

Effettuati i controlli del caso, sempre che non venissero rilevate cause ostative al rilascio del cerificato digitale, Globaltrust invierà un'e-mail all'indirizzo di posta elettronica specificato all'atto della richiesta della firma.

Tale messaggio contiene un link da seguire per provvedere all'installazione automatica del certificato di firma sul proprio sistema.
La procedura di richiesta ed attivazione del certificato digitale va effettuata utilizzando il medesimo browser web, sullo stesso personal computer usato per il passo precedente.
Visitando il link presente nell'e-mail ricevuta (è questo), si dovrà indicare, negli appositi campi, il numero dell'ordine e la password precedentemente scelta.


Dopo aver cliccato sul pulsante Conferma, nella pagina successiva, si dovrà inserire il lungo codice alfanumerico ricevuto per e-mail. Per evitare errori, suggeriamo di effettuare un copia&incolla dal corpo dell'e-mail alla casella visualizzata nel browser web.

Cliccando su Conferma, dopo qualche istante di attesa, comparirà il messaggio seguente:

Il certificato personale così richiesto consentirà di apporre la propria firma digitale su documenti Word, LibreOffice, OpenOffice, PDF, di firmare digitalmente i messaggi di posta elettronica ed eventualmente di cifrare le e-mail garantendo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse a terzi.


  1. Avatar
    cpzf
    11/06/2013 22:03:40
    Io ho seguito le vostre istruzioni (uso Ubuntu 12.04 e LibreOffice), il certificato rilasciato dalla GlobalTrust è correttamente installato, ma al momento di apporre la firma LibreOffice non visualizza il certificato. Come devo fare? Grazie
  2. Avatar
    Michele Nasi
    08/06/2013 12:09:27
    Il certificato presentato consente anche di firmare documenti. A breve anche verranno pubblicate anche le FAQ di Globaltrust in calce all'articolo.
  3. Avatar
    Francesco_1
    08/06/2013 10:14:26
    Ho firmato dei pdf, con jsignpdf, con il certificato ottenuto seguendo la procedura indicata; al test di verifica firma fatto ad esempio qui "http://portal.andxor.it/vol/" mi riporta errore; cioè è un certificato valido solo per firmare e-mail dato che è gratuito oppure l' errore che ho riportato dipende dal metodo seguito per firmare il pdf? Ciao :confuso:
  4. Avatar
    Lettore anonimo
    05/06/2013 15:52:22
    Tutto ok finché il documento rimane su supporti informatici connessi ad internet per la verifica di firme, certificati e quant'altro. Ma quando il documento firmato digitalmente diventa cartaceo (leggasi : stampa) ? Chi può garantire che sia identico all'originale così com'è stato inviato? Il notaio o chi per esso. E torniamo inesorabilmente indietro.
  5. Avatar
    Michele Nasi
    05/06/2013 13:11:32
    Un malware così come persone non autorizzate possono sottrarre il certificato. Il rischio è quello di impersonare l'altrui identità se il file del certificato contiene anche la propria chiave privata. Come indicato nell'articolo, in questi casi è bene contattare immediatamente l'autorità che ha emesso il certificato per richiederne l'immediata revoca. Ovviamente dovrà essere cura dell'utente mettere in atto tutte le possibili precauzioni per proteggere adeguatamente il file del certificato digitale contenente anche la chiave privata. In caso di reinstallazione del sistema operativo basta ovviamente reimportare il certificato. Su sistemi operativi diversi da Windows il certificato si utilizza allo stesso modo: nel caso in cui si utilizzasse Mozilla Firefox come browser web su una qualunque distribuzione Linux, la procedura di importazione/esportazione è identica a quella vista nell'articolo.
  6. Avatar
    Altro
    05/06/2013 11:34:33
    Mi preme comprendere più approfonditamente alcune cose: - un virus od altro malware può appropriarsi del certificato ? - quali danni ciò potrebbe comportare ? - si conferma che in caso di formattazione e reinstallazione del SO è sufficiente recuperare la firma di back-up ? - si installa allo stesso modo su Linux (es. UBUNTU) ? Grazie svrmy14
Apporre la firma digitale su un documento: la firma elettronica avanzata - IlSoftware.it