Oggi vogliamo fare chiarezza su uno dei temi centrali riguardanti la firma digitale: quando la firma digitale è valida? Lla firma digitale è sempre sicura a livello giuridico e informatico?
Sono tutte domande a cui daremo una risposta. Ma prima è importante ribadire il concetto che la definizione “firma digitale” non include un unico tipo di firma, bensì scoprirete che c’è dietro un mondo molto più grande in questo business. E soprattutto, non tutte le firme hanno lo stesso tipo di tutela legale e sicurezza informatica.
Se volete adottare anche voi un sistema di digitalizzazione della firma all’interno dell’azienda, leggete con attenzione.
Tipi di firma digitale: le quattro versioni più diffuse
Ovviamente gettiamo via il pensiero della carta, questa non esiste nel mondo digitalizzato. Da questo concetto, iniziamo ad analizzare tutti i tipi di firma digitale e i loro pro e contro:
-
Firma Elettronica Semplice
Come dice la parola, si tratta della firma digitale più semplice e, per essere più chiari, va definita elettronica. Con questo sistema non si riesce a stabilire con certezza l’identificazione del firmatario e allo stesso tempo non si può garantire che il documento non sia stato modificato.
Esempi di firma elettronica semplice sono il click o flag sulla presa visione di un’informativa privacy o di espressione del consenso o anche il “point&click” per la conclusione di un contratto e-commerce.
-
Firma Elettronica Avanzata
In questo caso l’identificazione del firmatario è garantita grazie a un insieme di dati elettronici connessi a un documento informatico. Chi utilizza questo tipo di firma può star sicuro di avere il controllo esclusivo di essa ed è possibile verificare che il documento firmato non abbia subito modifiche.
Il fatto che essa possa essere ricondotta a un preciso firmatario la rende molto più legittima e valida a livello giudiziario. Un esempio di firma elettronica avanzata è l’OTP, la firma biometrica e la firma grafometrica.
-
Firma Elettronica Qualificata
Molto simile alla firma elettronica avanzata è quella qualificata che si basa su un certificato qualificato e creato mediante dispositivo sicuro di firma con token o smart card.
Fa parte di questa categoria la firma digitale, che quindi in realtà non è un termine ombrello per indicare tutte le firme ma è un’entità a sé stante con le proprie peculiarità. Essa si basa su un sistema di chiavi crittografiche asimmetriche, una pubblica e una privata, correlate tra loro.
-
Firma con SPID
L’ultima e la più nuova tra le firme è quella con SPID, introdotta nel 2020 dall’AgID, e riconosciuta dal sistema giuridico come valida. Come per le firme elettroniche avanzate e le firme digitali, anche la firma con SPID garantisce sicurezza nell’affermare l’immodificabilità del documento e la sua proprietà.
Posso usare lo smartphone o il tablet con la firma digitale?
La risposta generale è … sì. Anche attraverso smartphone, tablet e i propri computer si può firmare digitalmente ma per quanto riguarda poi la loro validità giuridica bisogna appunto vedere il tipo di firma scelto.
Ad esempio la Firma Elettronica Semplice, non potendo essere attribuita con sicurezza al firmatario, non ha sempre valore probatorio. Sarà il giudice a verificare secondo la situazione sotto sua libera decisione. Mentre invece possiamo tutelarci molto di più con documenti firmati con FEA, firma digitale o firma con SPID dove la connessione è riconosciuta.
Esistono dei casi dove NON si può firmare con il tablet?
Purtroppo sì, in quanto per legge, in alcuni casi, non si può utilizzare la firma elettronica avanzata o grafometrica.
Quali sono questi casi?
- Tutti gli atti dell’art. 1350 c.c. quindi, ad esempio, contratti che trasferiscono la proprietà di beni immobili.
- Le comunicazioni giuridiche tra sottoscrittore e soggetto erogante della soluzione di firma in contesti diversi da motivi istituzionali, societari o commerciali.
La firma digitale sui file PDF è sicura?
La firma su pdf è spesso usata in vari ambiti e viene riconosciuta come piuttosto sicura ma recentemente gli hacker sono riusciti ad infiltrarsi anche in questo sistema riuscendo a frodare contratti o documenti importanti.
Qual è il compito di una firma digitale su un PDF?
Informa l’utente che apre il documento della presenza di modifiche dello stesso.
Alcuni recenti studi hanno però dimostrato che c’è un modo per aggirare questo sistema e quindi non accorgersi di modifiche non approvate. Parliamo di social engineering: l’hacker, o un semplice frodatore savvy, falsifica il documento per ottenere vantaggio economico.
In questo caso parliamo di Shadow Attacks, attacchi ombra che riescono ad evadere tutte le contromisure esistenti e a sorpassare il sigillo di integrità digitale dei file PDF firmati.
Come funziona un shadow attack su file pdf?
Immaginiamo questa situazione: qualcuno prepara un documento da inviare e aggiunge al documento dei layers, degli strati nascosti in più che sono invisibili all’occhio del ricevente, e lo manda alla vittima. Quando il ricevente firmerà il documento vedrà solo lo strato benigno e firmerà sull’accordo scritto che è in grado di vedere ma quando il frodatore riceverà indietro il documento potrà scambiare lo strato visibile con un altro precedentemente nascosto.
E adesso come si fa ad evitare questa problematica?
Si possono ricorrere a tool specifici per il rilevamento di questi attacchi d’ombra su documenti PDF ma sicuramente bisogna sempre tenere gli occhi aperti e porsi sempre delle domande prima di firmare qualcosa. E soprattutto, restare sempre più aggiornati sulle tecniche di sicurezza informatica: ormai gli attacchi hacker sono sempre di più e bisogna essere preparati a difendersi.
Noi di Copying siamo sia fornitori di firme elettroniche e digitali sia fornitori di sistemi di sicurezza informatica, per aiutare le aziende a digitalizzarsi e a difendersi sempre di più.
Che azienda è Copying?
La nostra azienda crede fermamente nell’importanza di una cultura digitale all’interno delle realtà aziendali. Per questo motivo, da anni siamo un punto di riferimento per i nostri clienti in questo ambito.
Se siete una realtà interessata ad intraprendere un percorso di digitalizzazione aziendale, noi possiamo supportarvi sotto qualsiasi aspetto con servizi personalizzati e sempre aggiornati, con un’attenzione in più verso la sostenibilità.
Siamo specializzati in:
- Digitalizzazione e dematerializzazione dei documenti
- Connettività
- Firma e fatturazione elettronica
- Gestione delle infrastrutture IT
- Politiche di privacy e cybersecurity
- Cloud Computing
Qui la lista completa dei nostri servizi.
Se desideri iniziare il tuo percorso di digitalizzazione, contattaci.