Come verificare la firma digitale sui documenti informatici

Verifica della firma digitale apposta su un documento PDF in formato PAdES o su un file CAdES. Quali strumenti utilizzare.

La firma digitale è l’unico strumento utile ad attestare in maniera inoppugnabile l’autenticità e l’integrità dei documenti trasmessi.
Apporre la firma autografa su un documento cartaceo, scannerizzarlo e inviarlo via PEC ha valore legale secondo la giurisprudenza: è però essenziale che si tenga sempre archiviata la ricevuta di avvenuta consegna completa del messaggio PEC inviato insieme con il PDF allegato.

La PEC va però considerata come un mezzo di comunicazione che nella sua attuale implementazione (ma sono in arrivo modifiche importanti in questo senso) non certifica l’identità del mittente: è la firma elettronica qualificata (FEQ) o firma digitale che, come ricorda anche AgID, garantisce l’autenticità, l’integrità e il non ripudio dei documenti informatici.
Soprattutto in sede di giudizio possono evidenziarsi dei problemi allorquando il certificato digitale usato dai vari gestori per firmare la busta di trasporto del messaggio PEC risultasse ormai scaduto. Per questo è importante usare un servizio per la conservazione sostitutiva e soprattutto rendere il documento informatico capace di reggersi su se stesso e avere piena valenza legale nel tempo proprio grazie alla firma digitale.

Comprese le differenze tra le varie tipologie di firma, il consiglio è quello di creare sempre documenti in formato PDF/A progettato per l’archiviazione nel lungo periodo e pienamente conforme con le indicazioni contenute nel Codice dell’amministrazione digitale (CAD).

In un altro articolo abbiamo visto come creare e apporre la firma digitale sui documenti. Ma come si fa a verificare la firma digitale apposta su un documento?

Verifica della firma digitale sui documenti informatici

Chi appone una firma digitale su un documento informatico può usare i formati CAdES o PAdES: il primo genera una busta con estensione .p7m che può contenere qualunque tipo di documento (ad esempio DOCX, ODT, XSLX e via dicendo).
Il secondo, invece, viene utilizzato per firmare digitalmente i file PDF che però conserveranno la loro estensione .pdf originale e potranno essere aperti con il browser così come con gli altri visualizzatori compatibili (Adobe Acrobat Reader, FoxIt e così via…).

La firma digitale consiste nella creazione di un file (busta crittografica) che contiene il documento, l’evidenza informatica della firma e la chiave per la verifica della stessa a sua volta contenuta nel certificato emesso a nome del sottoscrittore da un soggetto autorizzato (Pubblica Amministrazione o Soggetto certificatore, meglio ancora “prestatore di servizi fiduciari qualificati“).

L’aspetto positivo è che sia il formato CAdES che il PAdES permettono di ospitare più firme digitali con l’aggiunta di eventuali informazioni senza la modifica del documento originale (si pensi ad esempio a un contratto che deve essere firmato dalle varie parti).

Il formato CAdES permette l’apposizione di due o più firme digitali reimbustando in una nuova busta crittografica la busta generata con la precedente sottoscrizione (“controfirma”) oppure aggiungendo le firme addizionali alla busta con l’inserimento dei corrispondenti certificati (“firme congiunte”).
Non essendo possibile gestire diverse versioni di uno stesso documento all’interno della busta crittografica non è in questo caso permesso aggiungere annotazioni successive alla firma iniziale se non producendo due documenti (il secondo privo della firma del sottoscrittore originale).

Con il formato PAdES, invece, è possibile gestire diverse versioni dello stesso documento PDF senza invalidare le firme digitali applicate dai vari soggetti.
PAdES supporta il versioning quindi consente la gestione diretta delle versioni del documento successive alla prima con ogni modifica al documento (apposizione di una nuova firma digitale o aggiunta di testo e immagini) che produce una versione del documento a sua volta contenente la versione originale non modificata.

Per verificare la firma digitale in un documento o le firme nel caso in cui ne fossero presenti più di una, è possibile usare Acrobat Reader che – innanzi tutto – all’apertura del documento mostra l’avviso “Il file è conforme allo standard PDF/A” nella parte superiore della finestra qualora fosse stato usato il formato PDF/A.

Cliccando sull’icona della penna nella barra laterale di sinistra si possono verificare le firme digitali presenti nel documento e accertarne la validità.
Nel caso di firme multiple non si dovrebbe essere tratti in inganno da messaggi quali Almeno una delle firme non è valida e Il documento dopo la firma è stato
modificato o si è danneggiato
poiché agendo sul pannello di gestione delle firme è comunque possibile accedere alla versione del documento correttamente sottoscritta (compare Fare clic per visualizzare questa versione).

All’eventuale comparsa dell’avviso “Sono disponibili per il download certificati affidabili, che migliorano l’uso dei documenti firmati. lnstallarli? si dovrà sempre rispondere affermativamente.

In aggiunta, per verificare le firme digitali dei documenti si possono usare programmi come Aruba Sign (cliccare su Software di firma Aruba Sign), GoSign e FirmaOK.

Aruba Sign è disponibile nelle versioni per Windows, Linux e macOS oltre con il nome Firma Digitale Aruba sotto forma di app per Android e iOS, scaricabile dai corrispondenti store Google ed Apple.
GoSign è disponibile nelle versioni per Windows, macOS, Android e iOS mentre FirmaOK è compatibile con Windows, Linux e macOS.

In tutti i casi basta installare l’applicazione quindi cliccare sul riquadro o sulla scheda Verifica per “dare in pasto” al programma il documento contenente le firme digitali da verificare.

Va detto che alcuni software di firma ad oggi ancora non verificano correttamente la firma elettronica apposta con applicazioni quali CieSign (sviluppata dall’Istituto Poligrafico e Zecca dello Stato) e la nota Firmo con CIE, entrambe utilizzabili per apporre una FEA (firma elettronica avanzata) usando le nuove carte d’identità elettroniche dotate di modulo NFC integrato.

La CIE, ampiamente utilizzata come metodo di identificazione forte ai fini dell’autenticazione sui servizi online erogati dalla Pubblica Amministrazione, soddisfa pienamente i requisiti minimi stabiliti per la FEA e può essere infatti utilizzata come strumento di firma elettronica tra privati nei limiti di legge. Pronto per l’uso, gratuito e di immediato utilizzo: basta infatti dotarsi di uno smartphone dotato di chip NFC.

L’immagine a corredo dell’articolo è di Andrea Piacquadio (Pexels), che ringraziamo.

Ti consigliamo anche

Link copiato negli appunti