Utilità e semplicità della firma digitale remota
La firma digitale è un tipo di firma elettronica qualificata, diffusa in Italia da tanti anni, prevista dall’ordinamento normativo comunitario e nazionale e che permette di garantire ai documenti sottoscritti autenticità, integrità e piena certezza giuridica, oltre che l’efficacia probatoria prevista per le scritture private dall’art. 2702 del Codice Civile.
L’apposizione della firma digitale su un documento elettronico avviene mediante dispositivi di firma sicuri e procedure che possono essere manuali o automatiche. In scenari di business sempre più nativamente digitali, utilizzare la sottoscrizione elettronica con firma digitale è sicuramente un passaggio obbligato per molti operatori economici al fine di garantire la competitività, l’efficienza e la riduzione dei costi operativi alle proprie organizzazioni.
La firma digitale spesso viene associata ai dispositivi di firma smartcard o token usb, da connettere ai PC, che il titolare firmatario deve utilizzare in prima persona ed in modo manuale per poter firmare il documento, dopo aver inserito il proprio pin. Questa procedura di firma basata su dispositivi hardware in possesso del firmatario costringe il firmatario stesso a portarsi dietro il dispositivo di firma, con tutti i rischi connessi di perdita, furto o danni per caduta, ecc.
Non si può omettere che nella prassi operativa, spesso, molti firmatari delegano, sotto la propria esclusiva responsabilità, il dispositivo di firma ed il pin ad un proprio fiduciario, che quindi lo custodisce e appone la firma sui documenti come se fosse il firmatario stesso, potendone gestire l’utilizzo in modo autonomo.
Questa pratica “non conforme alla normativa vigente” porta con sé dei forti rischi per il firmatario, in quanto la normativa prevede espressamente all’art. 21 del Codice dell’Amministrazione Digitale (CAD) che l’utilizzo del dispositivo di firma digitale si presume riconducibile al titolare, salvo che questi ne dia prova contraria, provocando così un’inversione dell’onere della prova. Quindi, spetta alla persona che appare nel documento come sottoscrittore dimostrare la falsità della firma digitale, eventualmente apposta in maniera fraudolenta da altro soggetto. Per questo il dispositivo deve essere sempre in possesso e sotto il controllo esclusivo del titolare firmatario.
Inoltre, oggi e ancor più nei prossimi anni, i servizi e le transazioni avvengono sempre più in modalità online ed in mobilità. Gli operatori di business sono sempre più abituati a viaggiare e a gestire il proprio business anche in movimento tramite smartphone, tablet e portatili.
Per rispondere pienamente alla doppia esigenza, da una parte quella di mantenere il controllo esclusivo sulla propria firma e dall’altra di poterla apporre in modo rapido e semplice, in mobilità e tramite web, si stanno sempre più diffondendo soluzioni di firma digitale remota.
La normativa vigente definisce e disciplina la firma remota nel DPCM 22 febbraio 2013 come una particolare procedura di firma digitale, generata su dispositivi sicuri HSM,custoditi e gestiti presso un certificatore accreditato presso l’Agenzia per l’Italia Digitale (AgID), che consente di garantire al firmatario il controllo esclusivo della propria chiave privata per la firma.
La legge prevede espressamente che la firma remota sia realizzata con misure organizzative e tecniche, esplicitamente approvate da AgID, nell’ambito delle attività di cui agli artt. 29 e 31 del CAD, e da OCSI, per quanto concerne la sicurezza del dispositivo ai sensi dell’art. 35 del CAD, tali da garantire al titolare il controllo esclusivo della propria chiave privata di firma.
In pratica, il firmatario accede in modo semplice al proprio servizio di firma digitale in modalità remota web e l’accesso è assolutamente sicuro in quanto è basato su una o più modalità di autenticazione forte, molti similari alle modalità di acceso all’internet banking.
Operativamente, il firmatario deve inserire prima la propria password per accedere al servizio, a quel punto il documento informatico da firmare è presentato chiaramente e senza ambiguità al titolare, prima dell’apposizione della firma; la conferma della volontà di apporre la propria firma viene espressa dal titolare stesso attraverso, ad esempio, l’inserimento da parte sua di una seconda password “usa e getta” ricevuta dal servizio via sms sul proprio smartphone o attraverso una chiamata che il titolare fa con il proprio cellulare ad un numero verde del servizio, che permette di identificare il firmatario, tracciare la sua volontà di firma e quindi sbloccare e firmare il documento elettronico.
In conclusione, la firma digitale remota, grazie alla sua semplicità, sicurezza ed usabilità, basandosi sull’integrazione con applicazioni web e mobile e prevedendo l’ausilio del cellulare, si candida ad una diffusione ed un utilizzo sempre più di massa nel breve futuro.