Firma OTP
OTP – One Time Password
L’utilizzo del codice OTP oggi è ampiamente diffuso e rappresenta un importante elemento di sicurezza per tutte le nostre operazioni online. Per comprenderne a fondo le dinamiche ecco un approfondimento riguardante il significato della firma OTP, come funziona e qual è il suo valore legale.
Cos’è il codice OTP
Molto frequentemente, una transazione bancaria può essere confermata inserendo un codice ricevuto via SMS oppure via mail, basti pensare all’esecuzione di un bonifico attraverso l’applicazione home banking del proprio istituto. Questo è esattamente un codice OTP, un metodo di autenticazione e identificazione oggi molto diffuso e implementato per confermare le proprie operazioni online.
OTP è l’acronimo di One Time Password ed è stato introdotto per la prima volta negli anni ’90, proprio come sistema per proteggere le transazioni finanziarie online. La sua funzione principale è quella di fornire una password temporanea, che viene generata ogni volta che l’utente accede a un sistema o completa una transazione online. Si tratta di una password usa e getta, quindi che viene utilizzata solo per una singola sessione, e che può essere composta da 4 o più cifre.
Il funzionamento del codice OTP è abbastanza semplice. Una volta conclusa l’operazione online riceviamo il codice attraverso i metodi sopra citati (SMS o mail). Il codice può essere utilizzato in un tempo limite (per esempio, 90 secondi) e deve essere inserito nella casella di firma per concludere l’operazione.
L’autenticazione a 2 fattori
Il sistema di sicurezza che sostiene il codice OTP è la cosiddetta autenticazione a due fattori, conosciuta in inglese come 2FA (acronimo di Two-factor Authentication). Si tratta di un sistema che provider e servizi di firma utilizzano per confermare l’identità dell’utente che effettua l’operazione e che si basa, appunto, su un doppio fattore di riconoscimento.
In questo sistema, l’utente deve fornire due fattori di autenticazione: il primo step è l’inserimento della password (primo fattore), passo necessario per accedere al proprio account, mentre il secondo step è appunto l’inserimento di un codice numerico (secondo fattore), il quale può essere recapitato all’utente in diverse modalità: SMS, mail, app dedicate o token hardware fisici.
Firma elettronica e OTP: cosa sapere
L’OTP può essere utilizzato come forma di firma elettronica. Nel dettaglio ci sono due casistiche in cui il codice OTP è un elemento centrale nella firma elettronica: la FEA (Firma Elettronica Avanzata) e la Firma Elettronica con Autenticazione Avanzata OTP SMS.
La prima soluzione (FEA), molto utilizzata nei sistemi bancario, finanziario e assicurativo, viene adottata laddove ci sono ambiti dove è necessaria un’identificazione forte del firmatario. In questo caso l’identità viene verificata attraverso il codice OTP e l’utilizzo di un software apposito, proprio per garantire la protezione più elevata in caso di controversia.
La seconda soluzione, ovvero la Firma Elettronica con Autenticazione Avanzata OTP SMS, è quella invece di utilizzo più comune e utilizzata come “rinforzo” alla FES, ovvero la Firma Elettronica Semplice. Dopo l’inserimento delle proprie credenziali in un sistema, per esempio per l’acquisto di un prodotto online, viene richiesta una seconda identificazione attraverso il codice OTP.
A livello di firma digitale un ulteriore ambito di utilizzo del codice OTP è la sottoscrizione dei contratti e dei documenti digitali. Essendo spesso collegati alla firma digitale gli utenti scelgono questo metodo per evitare l’utilizzo di supporti fisici, come token o smart card, rendendo più rapido il riconoscimento e garantendo lo stesso standard di sicurezza.
Gli ambiti di utilizzo del codice OTP
Sono diversi gli ambiti dove il codice OTP è utilizzato per garantire la sicurezza del processo di identificazione. Come sopra menzionato gli ambiti bancario, assicurativo e finanziario ne fanno ampio utilizzo, così come i sistemi di firma digitale. Ne sono esempi gli accessi all’Home Banking, alle aree private delle carte di credito o ai portali insurance. L’utilizzo dell’OTP, però, è abbastanza frequente anche in altri contesti, come, per esempio, l’ecommerce.
Nel dettaglio, l’adozione di questo sistema di verifica rende l’autenticazione e la registrazione sugli e-shop molto più sicuri e riduce sensibilmente i rischi per gli utenti. Il messaggio arriva su un device di proprietà, collegato a una mail o un numero di telefono utilizzato per censirsi alla piattaforma. Grazie a questo sistema, nel mondo eCommerce, qualsiasi ordine non viene processato finché non si verifica l’autenticazione attraverso l’OTP.
La validità legale della firma OTP
La firma OTP è riconosciuta legalmente in molti paesi del mondo. Ad esempio, nell’Unione Europea, la firma OTP è considerata una forma di Firma Elettronica Avanzata. Ciò significa che ha lo stesso valore legale di una firma autografa su carta. Tuttavia, per essere considerata legalmente valida, la firma OTP deve soddisfare determinati requisiti, come l’autenticazione dell’identità dell’utente e l’integrità del documento firmato.
A livello nazionale ci sono principalmente due riferimenti normativi che assicurano la validità del codice OTP, anche quando utilizzato in abbinamento alla firma elettronica:
- DPCM 22/02/2013 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”.
- il Codice dell’Amministrazione Digitale (D. Lgs. 82/2005).