Firma Elettronica: strumento per la digitalizzazione dei contratti

Firma Elettronica_ la digitalizzazione dei contratti

LA TRASFORMAZIONE DIGITALE

La firma elettronica: vediamo come un’azienda può attuare una Digital Transformation del processo di gestione dei contratti in maniera efficace ed efficiente attraverso questo strumento.

 Chiara Ponti

INDICE:

La firma elettronica

La sottoscrizione dei documenti informatici ha lo scopo di replicare digitalmente quello che nel mondo fisico viene effettuato manualmente, attraverso la cosiddetta “firma elettronica” di cui spesso si sente parlare.

Tipi di firma elettronica e risvolti giuridici

Molteplici sono, nel mondo digitale, le possibili firme elettroniche pur evidenziando sin d’ora, che non tutti i tipi di firma elettronica (firme elettronica semplice – FES, firma elettronica avanzata – FEA, firma elettronica qualificata – FEQ, firma digitale – FD) hanno lo stesso grado di sicurezza ed affidabilità. Pur essendo il Codice dell’Amministrazione Digitale D.lgs. 7.03.2005, n. 82 – CAD (che ha subito oltretutto svariate modifiche nel tempo) il comune riferimento normativo, per ciascuna di esse si delineano differenti profili di funzionamento e correlata validità legale (regimi giuridici). Per dare una idea della complessa evoluzione normativa avvenuta in materia, si veda lo schema seguente:
tipologie di firma elettronica

Caratteristiche tecniche della firma qualificata

Vista la complessità della materia, riteniamo efficace indicare le caratteristiche tecniche di ciascun tipo di firma qualificata nella tabella che segue (la cui definizione è tratta appunto dall’art. 1, del CAD):

Please provide a valid CSV file.

Brevi cenni sulle tecnologie per la firma digitale elettronica qualificata

Soffermiamoci ora sulla firma digitale, peraltro la più “forte” in assoluto, ed in particolare sull’utilizzo delle tecnologie per la stessa. Poiché il funzionamento della firma digitale risulta piuttosto complesso da comprendere, al fine di illustrarlo semplicemente ci avvarremo di alcuni schemi esemplificativi idonei, nondimeno a suddividere il processo tra la parte di produzione della firma ed il destinatario. Brevemente, i principali passaggi di un processo di firma digitale sono:
  1. il sottoscrittore predispone il documento da firmare;
  2. il software di firma applica un algoritmo cosiddetto di Hash che crea un’impronta (una stringa di bit di lunghezza fissa, inseriti all’interno del documento);
  3. dopo di che, il software usa la chiave privata del sottoscrittore per cifrare (con algoritmo di cifratura asimmetrica) l’impronta del documento, ed il risultato di questa è il documento firmato digitalmente.

processo per la firma digitale elettronica qualificata

La firma digitale qualificata è associata al documento trasmesso, quindi, al destinatario. Il destinatario (verificatore) elabora il documento con un software che:
  1. calcola l’impronta del documento con lo stesso algoritmo di Hash usato dal sottoscrittore;
  2. decifra la firma digitale con la chiave pubblica associata alla chiave privata usata per firmare: il risultato deve essere ancora l’impronta;
  3. se le due copie di impronta così ricavate sono uguali allora la firma è valida e il documento è integro
processo per firma digitale elettronica qualificata

Funzione di Hash

La “funzione di Hash” rappresenta un algoritmo matematico che mappa dei dati di lunghezza arbitraria (messaggio) in una stringa binaria di dimensione fissa chiamata “valore di Hash”, ma spesso indicata anche con il termine inglese “message digest” (o semplicemente “digest”). Tale funzione è progettata per essere unidirezionale (one-way), ovvero difficile da invertire.

Certification Authority

L’uso di firme certificate, aumenta la valenza della firma elettronica.

Per ottenere una firma elettronica certificata, ci si avvale di Certificatori che sono, ai sensi dell’art. 1 lett. g) del citato CAD, i soggetti che prestano «servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi con queste ultime».

Si tratta di un soggetto giudicato attendibile che accerta della identità del titolare del certificato e lo autentica apponendovi la propria firma.

Il certificato è normalmente inserito nel documento insieme alla stringa di bit che ne costituisce la firma. Sicché il verificatore avrà subito a disposizione la chiave pubblica da impiegare nella verifica e potrà verificarne l’autenticità.

fima certificata esempio

La crittografia nel processo di firma elettronica

Un sistema crittografico garantisce innanzitutto la riservatezza del contenuto dei messaggi.

Tuttavia, l’uso delle tecniche crittografiche è più articolato e complesso.

La Crittografia, infatti, è una tecnica che permette, mediante l’utilizzo di un algoritmo matematico, di trasformare un documento leggibile (da tutti) in un formato illeggibile e decifrabile solo attraverso le chiavi di decifratura.

Esistono due tipi di Crittografia: una Simmetrica, ed una Asimmetrica.

Crittografia Simmetrica

La crittografia simmetrica è una tecnica che utilizza una sola chiave segreta, sia per criptare che decriptare il documento.

Tale sistema manifesta la sua debolezza nella necessità di condividere in forma sicura l’unica chiave, tra mittente e destinatario.

Questa modalità caratterizza le firme elettroniche “deboli”, come la FES.

crittografia simmetrica e firma elettronica certificata

 

Crittografia Asimmetrica

La crittografia asimmetrica invece utilizza due chiavi, una privata (o diretta) che deve restare segreta, ed una pubblica (o inversa) da potersi divulgare.

Ciascuna chiave può quindi essere utilizzata sia per cifrare che per decifrare.

La chiave utilizzata per cifrare un documento non può essere utilizzata per decifrare lo stesso.

La sola conoscenza di una delle due chiavi, non fornisce elementi sufficienti per giungere alle informazioni.

crittografia asimmetrica e firma elettronica certificata

Questa trasmissione garantisce che al destinatario B, giunga il documento dal mittente A con certezza della sua origine, in quanto il mittente A è l’unico soggetto a possedere la chiave di “cifratura privata”.

Tuttavia, il documento potrà essere decifrato da chiunque utilizzi la chiave pubblica di A.

crittografia asimmetrica e firma elettronica certificata mod b

Questa tipologia di trasmissione garantisce al mittente A che il messaggio inviato potrà essere decifrato solo dal destinatario B, unico soggetto a possedere la “chiave privata”.

Tuttavia, in questo caso, la paternità del documento non è certa in quanto chiunque potrebbe averlo generato tramite la chiave pubblica B.

crittografia asimmetrica e firma elettronica certificata mod c

 

Questo scenario, che rappresenta l’insieme dei due precedenti, ne eredita le caratteristiche principali.

Tale modalità garantisce che il mittente A abbia la certezza che il documento possa essere decifrato solo dal destinatario B, il quale a sua volta avrà la garanzia che il messaggio ricevuto sia riferibile con certezza al mittente A.

Questa ultima tipologia è senz’altro la più utilizzata e sicura in ambito delle firme elettroniche “forti”, in quanto garantisce la segretezza e la paternità del documento.

Processo di gestione dei flussi documentali

É indubbio come, a prescindere dagli strumenti tecnologici individuati e selezionati ai fini della firma, un’Organizzazione debba riuscire a strutturare processi di gestione e supporto (anch’essi basati su strumenti digitali) al fine di governare la gestione della firma elettronica dei documenti nel suo complesso. Ecco perché è importante avere ben chiaro il processo di gestione dei flussi documentali. Quest’ultimo, in estrema sintesi si può rappresentare come segue: processo di gestione dei flussi documentali La gestione dei flussi documentali correlata ai necessari annessi strumenti è assolutamente basilare dal momento che essa guida tutte le attività relative alla firma digitale (per tutto il ciclo di vita dei documenti, dalla loro produzione alla loro archiviazione/conservazione sostitutiva). Tali strumenti che per loro natura incorporano funzioni di workflow avanzate, gestione di processi approvativi, possibilità di assegnazione di compiti specifici, necessitano tuttavia di un ulteriore passaggio integrativo che li porti a dialogare direttamente con gli strumenti gestionali utilizzati dall’Organizzazione. Solo in tal modo si potrà quindi garantire una completa e granulare integrazione tale da rendere la firma elettronica un elemento idoneo ad aumentare considerevolmente il valore generato dai processi, attraverso l’attuazione di un incremento produttivo ed una razionalizzazione degli stessi, ed evitando inutili dispersioni di tempo e produttività.

Le Soluzioni Cloud

Nell’ottica di semplificare l’interazione con entità esterne all’Organizzazione (Clienti, Fornitori, Partner, ecc.) e nel diminuire le esigenze relative alle infrastrutture di supporto (sempre più difficili da manutenere e sostenere nel tempo), la naturale spinta del mercato sta portando a selezionare soluzioni (prodotti e strumenti) utilizzabili in ambito Cloud.

Questa opportunità, se da un lato sostiene ed agevola la distribuzione e la raccolta dei documenti da firmare, dall’altra solleva importanti questioni relative alla sicurezza.

Occorrerà pertanto che le Organizzazioni indirizzino le proprie scelte verso soluzioni di mercato in grado di garantire non solo aspetti funzionali e di competitività economica, ma anche una ragionevole certezza rispetto alle imprescindibili attese di sicurezza, ora in relazione alla salvaguardia dei dati e delle informazioni, ma non meno al pieno rispetto delle normative cogenti e vigenti.

Lo scenario, da ultimo, si complica se si pensa ancora che i principali fornitori di queste soluzioni sono al di fuori della Unione Europea (principalmente negli Stati Uniti), dove il decaduto Privacy Shield[1] pone questioni di difficile gestione relative alla compliance GDPR.

[1] Al riguardo, si precisa che come da fonte ufficiale dell’Autorità Garante Privacy, «La Corte di giustizia dell’Unione europea (CGUE) si è pronunciata il 16 luglio 2020 la c.d. “Sentenza Scherms II” in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor. Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.»

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza e relativi effetti consultabili nel sito della citata Autorità nell’apposita sezione “Privacy Shield”.

Torna su