Firmare digitalmente i documenti grazie alla firma remota

2 Maggio 2019

I servizi di firma remota consentono di firmare digitalmente uno o più file attraverso l’impiego di certificati digitali memorizzati su server remoti, trasferendo solo l’hash e non l'intero documento.

In seguito all’emanazione del Regolamento eIDAS (UE) 910/2014, i documenti firmati digitalmente hanno avuto una rapida diffusione nei contesti di business. In particolare, all'interno dell'UE, questa direttiva impone che l’erogazione dei servizi fiduciari (le firme e i sigilli elettronici, le marche temporali, i servizi di posta elettronica certificata e l’autenticazione dei siti web) avvenga secondo regole definite, logiche internazionali e attribuisca alle transazioni elettroniche lo stesso valore giuridico dei processi cartacei.

In linea con il panorama normativo appena descritto (apertura verso contesti internazionali, con una forte governance sulla gestione dei dati) le soluzioni di firma digitale remota sono presto divenute molto apprezzate dalle aziende in ogni settore. Ciò che le contraddistingue è l’estrema flessibilità con cui permettono di certificare, tramite l’apposizione di una firma elettronica qualificata (FEQ), le transazioni di un atto di acquisto di prodotti o servizi su internet, come ad esempio un contratto, oppure i documenti con valenza fiscale o civilistica, come ad esempio un atto notarile oppure una semplice fattura.

La firma così apposta fornisce al documento informatico un valore probatorio equiparato dalla legge a quello di un documento sottoscritto con “firma autografa”. Il documento, certificato e inclusivo di tutti i sui dati, potrà successivamente essere conservato a norma con standard di sicurezza estremamente elevati che fanno uso della crittografia per proteggerne l’integrità del contenuto.

 

Come funziona la firma remota?

La firma remota è un servizio estremamente flessibile e integrabile in svariati processi di business che consente di firmare digitalmente i documenti usando certificati digitali X.509 memorizzati su server remoti. Ciò garantisce un’elevata protezione delle informazioni trattate in linea con le migliori best practice in materia di cybersecurity e trattamento dei dati perché l’intero processo si svolge senza che il documento lasci mai il dispositivo in cui risiede.

Il processo di firma prevede le seguenti fasi:

  • Un client locale calcola l'hash del documento che viene inviato al servizio di firma remota
  • L'hash del documento viene firmato digitalmente in remoto e il risultato viene inviato al client
  • Il client aggiunge la firma digitale al documento originale
  • Il risultato è un documento con firma digitale e con valenza legale

 

Modularità e differenti configurazioni possibili per piccoli o grandi volumi di documenti

Il servizio può prevedere un singolo certificato aziendale utilizzato da più utenti che operano per conto dell’azienda. In questo caso il vantaggio risiede nel fatto che uno stesso certificato può essere utilizzato da figure differenti, in diversi contesti.

Contestualmente, una soluzione di firma remota ottimale deve essere scalabile e in grado di soddisfare ogni esigenza (in termini di numero di documenti da firmare) e in grado di gestire grandi quantità di credenziali (chiavi e certificati). Deve quindi permettere l’apposizione multipla di firme digitali che può variare da poche centinaia a decine di milioni senza dover modificare il codice sorgente delle applicazioni con cui il servizio si integra.

Di seguito gli elementi base che compongono una soluzione di firma remota:

  • Un server di firma dove risiede la componente software in grado di interfacciare i dispositivi crittografici di firma
  • Un modulo client che mette a disposizione specifiche API per l’integrazione con altri applicativi già in uso
  • Uno o più dispositivi crittografici di firma (HSM) a seconda della numerosità degli utenti da gestire e dalla configurazione scelta
  • La Certification Authority per l’emissione di uno o più certificati di firma validi
  • La Time Stamping Authority per l’emissione delle marche temporali

 

L’importante ruolo dei prestatori di servizi fiduciari

È fondamentale valutare attentamente come e da chi viene erogato un servizio di firma digitale remota; questo è il motivo per cui il Regolamento eIDAS include la seguente disposizione al paragrafo 52.

"... in order to ensure that such electronic signatures receive the same legal recognition as electronic signatures created in an entirely user-managed environment, remote electronic signature service providers should apply specific management and administrative security procedures and use trustworthy systems and products, including secure electronic communication channels…"

I fornitori dei servizi di firma remota, per operare nel rispetto della normativa europea, devono essere in possesso della certificazione di Qualified Trust Service Provider (QTSP) concessa da enti autorizzati e sono soggetti al continuo monitoraggio delle autorità competenti che mantengono e pubblicano l’elenco di fornitori di servizi fiduciari qualificati.

È fondamentale accertarsi della presenza di tale qualifica per essere certi che i documenti firmati siano legalmente validi.

Share This