La firma digitale: CAdES, PAdES e XAdES
Immaginando un’organizzazione lavorativa sempre più votata al digitale, nasce l’esigenza di garantire la riconoscibilità del documento, sia per quanto riguarda chi lo ha prodotto (autenticità) sia per il contenuto medesimo (integrità). La soluzione è riposta innanzitutto nelle firme digitali che consentono a un documento informatico, ex lege, il riconoscimento del suo valore giuridico.
La firma digitale è un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro. Questa tipologia di firma consente al titolare di firma elettronica, tramite la chiave privata, e a un soggetto terzo, tramite la chiave pubblica, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Per spiegare meglio la funzione delle firme digitali all’interno delle aziende occorre fare un’ulteriore distinzione. Queste possono essere, infatti, di tre tipologie: CAdES, PAdES e XAdES. Sottolineando il fatto che a livello di efficacia giuridica devono essere considerate del tutto paritetiche ed equivalenti, cerchiamo di illustrarne le differenze.
La firma CAdES (acronimo di Cryptographic Message Syntax Advanced Electronic Signature) permette la firma di qualsiasi tipologia di file (PDF, fogli Word, immagini, fogli di calcolo). Il documento, una volta firmato con questa modalità, modifica il suo nome. Infatti, si crea una “busta crittografica” (cioè un nuovo file, che ha una sua estensione specifica e che al proprio interno contiene il documento da firmare) avente come estensione “.p7m”, che contiene sia il file firmato sia la sua impronta cifrata col certificato privato di firma.
Con la firma CAdES è possibile anche applicare due o più firme allo stesso documento in due differenti modalità:
- la cosiddetta firma “a matrioska”, ossia re-imbustando in una nuova busta CAdES la busta generata della sottoscrizione precedente;
- le firme “congiunte”, aggiungendo cioè nella busta ulteriori firme, accompagnate dai relativi certificati.
In entrambi i casi è presente un’unica versione del documento che, essendo diventato un “.p7m”, può essere letto solo attraverso un apposito software di firma digitale. Tutte le firme CAdES, inoltre, non sono visibili graficamente.
Al contrario, la firma PAdES (acronimo di PDF Advanced Electronic Signature) consente di firmare esclusivamente file PDF. Il documento mantiene il proprio nome, il suo formato e la sua estensione, anche dopo essere stato sottoscritto digitalmente; pertanto, la busta crittografica che viene creata avrà sempre l’estensione “.pdf”. In pratica, il certificato di firma viene direttamente incorporato nel file “.pdf” e in questo modo resta associato al documento firmato. C’è, quindi, il grande vantaggio che questi documenti possono essere aperti e letti con un qualsiasi lettore di file PDF; inoltre, possono riportare una firma visibile, aggiungendo l’immagine scansionata di una firma autografa, preventivamente scansionata o realizzata in digitale.
Infine, il formato XAdES (XML Advanced Electronic Signature) è lo standard per la sottoscrizione elettronica dei documenti in formato XML. Grazie a questa modalità è possibile andare a firmare agendo sui “metadati” del documento, ossia su quelle informazioni che sono contenute nei “tag” del documento scritto in XML. Come per il formato PADES, il certificato di firma viene incapsulato all’interno del file “.xml” che, pertanto, manterrà la medesima estensione anche dopo la sottoscrizione digitale. Queste tipologie di documenti, tuttavia, non sono semplicissimi da leggere.
Facendo propri i concetti sopra esplicati, se da una parte qualsiasi firma elettronica può tecnicamente permettere il raggiungimento dell’obiettivo – firmare un documento senza stampare alcunché di cartaceo – dall’altra risulta opportuno conoscere le differenze e le modalità di utilizzo delle diverse tipologie di firma digitale e i flussi logici che implica l’uso di una piuttosto che dell’altra.
Quando utilizzare questi formati?
La firma PAdES è consigliabile in uno dei casi riportati di seguito, a puro titolo esemplificativo e non esaustivo:
- la maggior parte dei documenti da firmare sono in formato PDF;
- sussiste la necessità di veicolare a più soggetti i documenti firmati digitalmente senza costringerli all’installazione (non sempre facile) di un apposito software di lettura;
- la visibilità della firma sul documento è importante per tutte le parti interessate al documento;
- si opera a livello internazionale e si desidera disporre di un formato di firma ampiamente riconosciuto e accettato.
La firma CAdES è consigliabile, per esempio, se:
- i documenti da firmare hanno un formato file diverso dal PDF (immagini, word, ecc.);
- la sicurezza è una priorità e si desidera sfruttare i vantaggi di una firma dotata di un elevato livello di crittografia;
- si adottano abitualmente applicazioni specifiche per visualizzare le firme sui documenti.
La firma XAdES, infine, è preferibile quando si è in presenza unicamente di file in formato “.xml”. È il caso, ad esempio, delle fatture elettroniche che l’emittente ha deciso di firmare in questa modalità prima di trasmetterle al Sistema di Interscambio.
In definitiva, la scelta di una o di altra tipologia di firma dipende:
- dai formati di file utilizzati;
- dalle esigenze specifiche dell’impresa o dello studio professionale che deve applicare tale firma.
Nel caso degli studi di professionisti, ad esempio, prendendo in considerazione la tipologia documentale “DICHIARAZIONI” è senza dubbio ottimale l’utilizzo della firma PAdES: si lavora, infatti, con file PDF e la visibilità delle firme apposte è decisamente importante.
Se invece i destinatari appartengono alla Pubblica Amministrazione, è preferibile firmare i documenti in modalità CAdES, anche se si tratta di file in formato “.pdf”.
La scelta, in sintesi, può dipendere da vari fattori. rima di implementare un sistema di firma è quindi importante valutare tutte le implicazioni di processo nel passaggio dalla metodologia attualmente utilizzata (tipicamente di firma cartacea) a quella digitale. A valle di qualche riflessione, sarà molto più facile decidere il “come”.