In un’epoca in cui gli episodi di manomissione e falsificazione dei dati sono sempre più diffusi, è diventato imperativo proteggere tutti i dati inviati online; per questo motivo le firme digitali stanno crescendo in popolarità tra i professionisti grazie alla loro capacità di convalidare l’autenticità di un documento, file o software. Oltre al fatto che in molti contesti sono divenute assolutamente imprescindibili da un punto di vista normativo.
Cos’è una firma digitale?
Come suggerisce il nome, una firma digitale è un tipo di firma associata ad un pin matematico, definito da un apposito algoritmo, che consente di raggiungere due obiettivi molto importanti: convalidare l’autenticità di un documento in formato digitale (file) e legare lo stesso ad un soggetto, ovvero una persona fisica identificata e certa.
Una firma digitale viene utilizzata per assicurarsi che i file inviati digitalmente appartengano a una fonte “certa” e raggiungano il destinatario previsto nel suo formato originale senza alcuna manomissione. In altre parole una firma digitale funziona allo stesso modo in cui una volta funzionavano le comunicazioni con i sigilli imperiali.
Come funziona?
Le firme digitali si basano su un’infrastruttura a chiave pubblica (PKI), termine usato per descrivere un insieme di leggi, ruoli e politiche necessari per la creazione, la gestione, la distribuzione, l’utilizzo, l’archiviazione e talvolta la revoca delle chiavi pubbliche, che sono l’essenza degli scambi di dati sicuri tramite internet. È essenziale precisare che qualsiasi forma di dati sensibili scambiati su Internet richiede PKI per la sicurezza.
Con questo meccanismo vengono generate due chiavi:
- una chiave privata conservata dal firmatario (in modo sicuro).
- una chiave pubblica (che deve avere il destinatario) per decrittografare il messaggio.
Ad esempio, Paolo vuole inviare un messaggio a Marco. Come detto sopra, Paolo deve avere una chiave privata per firmare digitalmente il messaggio.
Prima di crittografare il messaggio utilizzando la chiave privata, un algoritmo denominato “Algoritmo MD” crittografa il messaggio che deve essere inviato da Paolo in un formato a 128/256 bit noto come valore hash . Quindi la chiave privata di Paolo crittografa questo valore hash. Al termine di entrambi i processi, si dice che il messaggio di Paolo sia firmato digitalmente.
Per quel che concerne Marco, invece, il messaggio firmato digitalmente viene decifrato con l’aiuto della chiave pubblica del firmatario. La chiave pubblica decrittografa il messaggio e lo converte in un altro valore hash.
Quindi il programma utilizzato per aprire il messaggio (ad es. MS Word, Adobe Reader ecc.) confronta questo valore hash con il valore hash originale che è stato generato da Paolo. Se il valore hash di Marco corrisponde al valore hash generato da Paolo, il programma consentirà l’apertura del messaggio. Il programma non consentirà l’apertura del documento se entrambi i valori hash non corrispondono.
La semplice spiegazione di questa procedura lascia comprendere quando sia sicuro e affidabile questo sistema di firma.
Come scegliere un fornitore da cui comprare la firma digitale
I primi passi da compiere per iniziare ad utilizzare una forma elettronica o digitale sono i seguenti:
- individuare uno dei provider che vendono i kit di firma digitale, approfondendo le caratteristiche del servizio che propongono;
- completare l’acquisto e passare all’identificazione. Bisogna essere identificati da un Pubblico Ufficiale in Comune, o presso un ufficio postale, a domicilio (tramite un postino) o via web (mediante web cam). In tutti questi casi l’identificazione avviene attraverso la presentazione della carta d’identità in corso di validità o documento equipollente come un passaporto o patente. I provider possono essere virtuali (utilizzare i quali richiede tempo e procedure non proprio semplici per chi non ha dimestichezza con gli strumenti informatico), o ci si può affidare a dei provider di prossimità che come appunto BBSPRATICHE che possono procedere all’autenticazione immediata per consentirti di essere immediatamente operativo ed evitare lunghe attese o file;
- attivare il kit acquistato, usando le differenti procedure che variano per ogni provider. NB: questo passaggio verrebbe superato per chi si rivolge a noi;
- dopo avere verificato la presenza di aggiornamenti di software e driver, va avviato il programma con cui utilizzare la firma digitale;
- per firmare un documento va selezionato il file su cui apporre la propria firma digitale, scegliendo il formato che si vuole ottenere (modalità CADES che produce un secondo file con estensione P7M, oppure in modalità PADES applicabile solo su file PDF che in questo caso verrebbero modificati integrando la firma che diventa visibile )
Quando si fa la scelta del fornitore, quindi, si devono mettere sul piatto della bilancia sia gli aspetti economici che quelli organizzativi. A volte il tempo risparmiato e la garanzia di avere un consulente affidabile pronto a risolvere qualsiasi problematica in maniera rapida ed efficiente valgono molto di più di qualche euro. Mai come in questo caso possiamo dire che per gli imprenditori il tempo è davvero denaro.
Parliamo del prezzo
I costi di un dispositivo di firma o delle credenziali per la sottoscrizione remota (dispositivo disponibile in modalità server) sono variabili e dipendono dall’offerta del mercato e dai meccanismi di vendita connessi.
In generale l’ordine di grandezza può variare da qualche decina di euro (25/30 + IVA) per quelle in sottoscrizione remota, fino a superare i 100 euro per prodotti più complessi, come il Namirial Token Wireless.
Rilasciano la firma digitale anche le camere di commercio, con tutti i limiti che questo comporta in termini di accessibilità, e alcuni ordini professionali
I limiti di questi canali non sono dati dai prezzi, che sicuramente sono più economici, ma soprattutto dalle tempistiche (raramente gli ordini hanno uno stock di firme a disposizione), dagli orari poco flessibili, dalla necessità di fare delle file, dalle modalità di pagamento. Inoltre per gli appassionati della smart card c’è anche il problema del lettore di cui bisogna dotarsi. Con un servizio come quello di BBSPRATICHE tutti questi problemi sono ovviamente superati.
