27 febbraio 2023
Firma digitale
La firma digitale sta diventando sempre più un elemento cruciale nella gestione delle pratiche e delle documentazioni da sottoscrivere online. La comodità di utilizzo è innegabile, ma è importante focalizzare la nostra attenzione anche sulla sicurezza.
La validità e la protezione dell’identità di chi firma, infatti, possono essere compromessi se non sono rispettati alcuni fondamentali requisiti di sicurezza della firma digitale. Questi sono ideati per garantire che la firma sia autentica, integra e non alterata. Vediamoli più nel dettaglio, analizzando come possiamo assicurarci che la firma che scegliamo risponda appieno a questi standard di sicurezza.
I requisiti di sicurezza per la firma digitale sono un insieme di standard che definiscono le condizioni per la creazione di una firma digitale sicura. Essi stabiliscono le linee guida e le misure di sicurezza necessarie per proteggere la firma digitale dall'alterazione e dalla contraffazione.
I requisiti di sicurezza per la firma digitale sono inclusi in vari standard, tra cui lo standard ISO 27001 (lo standard internazionale sulla sicurezza delle informazioni) e il regolamento europeo sull’identità elettronica (eIDAS).
I requisiti di sicurezza sono importanti perché garantiscono che la firma digitale sia autentica e integra. Se la firma non soddisfa tali standard, può essere contraffatta o manipolata. Ciò potrebbe portare a una serie di conseguenze negative, tra cui la perdita di dati sensibili, la violazione della privacy e la frode.
Se stai cercando una firma digitale sicura e perfettamente in linea con gli standard che stiamo per analizzare, puoi affidarti al servizio di LetteraSenzaBusta, la firma digitale cheFirma!.
Uno dei requisiti di sicurezza fondamentali per la firma digitale è l'autenticità. Ciò significa che la firma deve essere riconducibile a una persona specifica. In altre parole, deve essere possibile identificare la persona che ha creato e sottoscritto la firma digitale.
Un altro requisito di sicurezza importante per la firma digitale è l'integrità. È fondamentale che il documento non possa essere alterato in alcun modo dopo l’apposizione della firma.
Se i dati o i contenuti oggetto di firma sono stati manomessi, non è più possibile garantire che la firma rappresenti l'intenzione dell'autore originale di sottoscrivere quel documento.
Il terzo principio di sicurezza per la firma digitale è il non ripudio. Ciò significa che l'autore della firma digitale non può negare di aver firmato quel documento.
In altre parole, una volta che la firma digitale è stata creata, l'autore non può negare di aver firmato o di aver approvato il contenuto della transazione. Questo vale anche per eventuali altri sottoscrittori, andando a tutelare quindi tutte le parti coinvolte in un atto o nella firma di un contratto.
Non tutte le firme digitali rispondono a tutti e tre questi principi di sicurezza. Infatti, non tutti i provider forniscono varianti di firma valide per qualsiasi tipologia di documento. Prima di acquistare un certificato, è fondamentale informarsi bene sulla sua validità e verificare che sia autorizzato secondo le nostre necessità specifiche. Con le dovute differenze in base al provider, la firma digitale si suddivide in genere in:
● Firma digitale semplice: sono firme che non garantiscono l’autenticità e l'integrità. Possono essere utili per processi interni all'azienda o per firmare consegne o ricevute;
● Firma digitale avanzata: ha standard di sicurezza più stringenti, e ha validità legale, ma può non essere accettata per atti verso la pubblica amministrazione o altri particolari servizi;
● Firma digitale qualificata (FEQ): la sua validità è basata su avanzati sistemi crittografici. Sono garantiti autenticità, integrità e non ripudio.
I sistemi più sicuri di firma digitale si basano sulla crittografia asimmetrica o a doppia chiave. Ciò significa che è presente una chiave privata che serve al firmatario per generare la firma e crittografare il documento elettronico, rendendolo illeggibile alle persone non autorizzate.
La chiave pubblica verrà invece trasmessa al mittente, che potrà, di conseguenza, decifrare il documento firmato per visualizzarlo. Il legame tra chiave privata e chiave pubblica è garantito dall’Autorità di Certificazione di competenza (CA), l’ente autorizzato che rilascia i certificati di chiave pubblica e verifica l’identità di chi possiede tale chiave, la validità del certificato e il rispetto dei requisiti di sicurezza.
Il codice di hash è un algoritmo o una funzione che ha la capacità di trasformare qualsiasi stringa che abbia una lunghezza arbitraria, in una stringa caratterizzata da lunghezza predefinita.
Unendo questa tecnologia alla crittografia asimmetrica, si ottengono firme digitali di elevata sicurezza. In particolare, il codice di hash può essere utilizzato per verificare l’integrità delle password, proteggere da errori e applicare alla firma digitale una marcatura temporale, che attesta che la firma è stata apposta nel periodo di validità del certificato.