Un servizio della Posta Svizzera

Area principale

Qual è il livello di sicurezza offerto da una firma elettronica?

La tipologia di firma elettronica più sicura è rappresentata dalla firma elettronica qualificata (FEQ), sia in termini di gestione che di cifratura. Sussistono infatti varie misure in grado di garantire tale sicurezza. Scoprite maggiori informazioni all’interno di questo articolo.

Registrazione al webinar

Come avviene la protezione delle firme elettroniche qualificate?

Quando si parla di sicurezza e affidabilità delle firme elettroniche è necessario includere molti altri concetti oltre a quello della tecnologia di cifratura utilizzata. Ad esempio, bisogna considerare i fornitori e una verifica preliminare dell’identità.

Requisiti

Soltanto i fornitori di servizi ufficiali e affidabili come SwissSign sono in grado di offrire firme elettroniche qualificate e di effettuare le relative verifiche dell’identità. Tali fornitori sono infatti tenuti a soddisfare i rigidi requisiti imposti dalla Legge federale a disciplina della firma elettronica (FiEle), oltre a dimostrare costantemente la loro conformità nell’ambito di vari audit.

Verifica dell’identità

In linea di principio, la verifica dell’identità consiste nel garantire che la persona sia effettivamente chi dichiara di essere. Chi desidera firmare utilizzando una firma elettronica qualificata è quindi tenuto a compiere precedentemente questa procedura. Questo consente di associare in modo univoco la firma a una determinata persona con un'identità verificata.

SwissSign, ad esempio, offre il servizio di verifica dell’identità online oppure in loco, in entrambi i casi gratuitamente.

Ulteriori informazioni in merito alla verifica dell’identità

Autenticazione a due fattori (A2F)

Nel caso in cui un documento venga sottoscritto utilizzando una firma elettronica qualificata, tale firma dovrà essere confermata tramite un secondo fattore di controllo. Ad esempio, all’interno della sala firma di SwissID Sign, al firmatario/alla firmataria verrà richiesto di approvare la firma tramite la SwissID App ricorrendo alla procedura biometrica, basata sull’impronta digitale, oppure al riconoscimento facciale.

Crittografia

Quando si parla di cifratura delle firme elettroniche è innanzi tutto necessario chiarire un equivoco molto diffuso. A livello di crittografia si parla infatti di «firma digitale», che però non è sinonimo di firma elettronica. Quello di «firma digitale» è infatti un concetto tecnico legato a una procedura di cifratura. Le firme elettroniche vengono infatti cifrate ricorrendo alla crittografia asimmetrica, in grado di garantire l’autenticità e l’integrità.

  • Autenticità: la firma è stata realizzata da un mittente conosciuto e risulta quindi valida.
  • Integrità: il documento sottoscritto non è stato modificato successivamente.

La crittografia in breve

Nel momento in cui a un documento si applica la crittografia asimmetrica, l'emitente crea una chiave privata unica. Al destinatario verrà quindi inviata una chiave pubblica corrispondente. È proprio questa coppia di chiavi a consentire la procedura legata alla cifratura e alla decrittazione. Nel caso di una firma elettronica, il cosiddetto valore hash, ovvero l’impronta digitale di un documento calcolata secondo una modalità crittografata, viene memorizzato in modalità cifrata. La chiave privata non risulta quindi applicata sul documento in sé, bensì sul relativo valore hash. Tale procedura consente quindi di dimostrare con assoluta esattezza l’eventuale manipolazione di un documento, ovvero la sua modifica avvenuta in un secondo momento. 

Grafico che illustra come funziona la firma digitale.

Validazione

Diversamente dalle firme realizzate a mano, nel caso di una firma elettronica qualificata la verifica non viene effettuata sulla base dei caratteri tipografici, bensì per mezzo di una procedura matematica. Qualsiasi firma elettronica qualificata è provvista di un certificato digitale assegnato a una determinata persona. Nel momento della validazione viene quindi verificato se il firmatario dispone del rispettivo certificato digitale e se tale certificato è stato emesso da un ente di certificazione accreditato.
 

Come riconoscere la validità di una firma elettronica

Schermata della finestra della firma in Adobe Acrobat Reader

Variante 1: Adobe Acrobat Reader

Nel caso in cui un PDF contenga firme elettroniche di un membro appartenente all’Adobe Approved Trust List, al momento dell’apertura del documento, Adobe Acrobat Reader procederà automaticamente a verificare la validità delle firme. L’utente visualizzerà quindi uno dei due seguenti messaggi:

  • «Firmato, tutte le firme sono valide.»
  • «Sussistono problemi almeno in una firma.»

Inoltre, è possibile visualizzare le proprietà relative alle firme. Al loro interno compariranno, tra le altre cose, le seguenti informazioni:

  • nome del firmatario
  • data in cui è stata apposta la firma
  • indicazione in merito a un’eventuale modifica successiva del documento
  • dettagli in merito ai certificati dell’emittente e del firmatario
  • conferma relativa all’appartenenza dell’emittente all’Adobe Approved Trust List (spunta verde)
     

Variante 2: validatore della Confederazione

Come alternativa ad Adobe Acrobat Reader è anche possibile utilizzare il validatore della Confederazione, in grado di verificare i documenti rispetto ai due seguenti punti:

  • Autenticità: la firma elettronica risulta valida ai sensi della FiEle?
  • Integrità: il documento sottoscritto risulta non modificato?
Schermata del validatore. L'immagine mostra la conferma di successo che il documento è stato validamente firmato.

A tal fine basterà soltanto caricare nello strumento il documento oggetto della verifica. In seguito, l’utente riceverà quindi un riassunto della verifica effettuata sul documento:

  • Il documento è stato modificato dopo l’apposizione dell’ultima firma?
  • Le firme risultano valide in conformità alla FiEle?
  • I certificati risultano validi o non revocati?
  • Le marche temporali risultano valide in conformità alla FiEle?

Non è possibile inserire una firma elettronica sotto forma di screenshot?

In linea di principio, è ovviamente possibile creare uno screenshot di una firma elettronica e collocarlo all’interno di un documento. Se, a prima vista, il documento apparirà regolarmente firmato in modalità elettronica, nell’ambito di una più attenta analisi sarà presto possibile accorgersi del fatto che tale firma non risulta valida (a livello legale). Infatti, né Adobe Acrobat Reader né il validatore saranno in grado di riconoscere la firma, dal momento che la suddetta è stata apposta sotto forma di elemento grafico e non come «reale» firma elettronica. Pertanto, la firma non potrà più essere validata.

Conclusioni

Tutti i punti elencati dimostrano l’elevata sicurezza offerta da una firma elettronica qualificata. Infatti, se da una parte non è facile falsificare una firma elettronica qualificata, dall’altra è invece possibile verificarne la validità in modo semplice e in soli pochi step. Tuttavia, a tal fine risulta assolutamente fondamentale memorizzare e archiviare i documenti in modalità digitale, dal momento che solo il formato digitale consente di effettuare una validazione.

Questo potrebbe interessarvi anche

5 firme elettroniche disponibili gratuitamente

Provate subito SwissID Sign senza impegno. Per i nuovi clienti, le prime cinque firme sono gratuite. 

Scheda informativa sulla soluzione di firma

Volete saperne di più sulla nostra soluzione di firma? Allora scaricate ora la nostra scheda informativa.