La crisi sanitaria ha accelerato il processo di digitalizzazione delle aziende. Con la generalizzazione del telelavoro e la limitazione degli spostamenti, la possibilità di firmare documenti a distanza ha rivelato tutto il suo potenziale, e ha permesso alle organizzazioni di continuare a funzionare nonostante le circostanze. Così, il 70 % delle aziende ha accelerato l’adozione della firma elettronica a causa della crisi (Archimag). Hai intenzione di lanciarti anche tu? La tua società ha implementato una soluzione di firma a distanza e vuoi padroneggiare perfettamente l’argomento? Ti proponiamo un lessico di termini essenziali da conoscere in relazione alla firma elettronica.
Firma elettronica
Cominciamo dall’inizio: la firma elettronica è un processo di firma di un documento digitale attraverso crittografia. Non si tratta quindi di una semplice digitalizzazione della firma manoscritta. Il regolamento eIDAS definisce questo tipo di firma come «dati in forma elettronica che sono uniti o associati logicamente ad altri dati in forma elettronica e che il firmatario usa per firmare».
Certificato elettronico
Associato all’uso della firma a distanza per certi livelli di sicurezza, il certificato elettronico è un file che contiene informazioni relative all’identità del suo titolare, nonché tutti i dati che permettono di garantire l’autenticità e l’integrità delle firme effettuate. In breve, crea il collegamento tra la firma elettronica e il firmatario. Questo certificato, generalmente rilasciato a una persona fisica che agisce per conto dell’azienda, è fornito da un terzo di fiducia, per esempio un’Autorità di Certificazione, a sua volta supervisionata in Francia dall’ANSSI.
Autenticazione
L’autenticazione si riferiscealla procedura per cui un utente prova la propria identità per accedere a un servizio. Può avvenire in diversi modi: password, codice unico ricevuto tramite SMS o via e-mail, sistemi di riconoscimento facciale o vocale, domande personali, ecc. Più sono i livelli di autenticazione, più la firma elettronica è sicura e meno può essere contestata: questo perché si usa l’autenticazione a doppio fattore (2FA) in linea con il livello di firma più avanzato.
Regolamento eIDAS
Il regolamento eIDAS è un testo di legge europeo che si applica all’identificazione elettronica, ai servizi fiduciari e ai documenti digitali. Definisce un quadro comune nei paesi membri dell’Unione Europea al fine di favorire la nascita di un «mercato di fiducia digitale». È questo regolamento che prevede, tra le altre cose, i diversi livelli di firma elettronica accessibili e i mezzi da implementare per utilizzarli.
Livelli della firma
Il regolamento eIDAS riconosce tre livelli di firma elettronica:
- La firma semplice.
- La firma avanzata.
- La firma qualificata.
Questi livelli fanno riferimento ai processi distinti di verifica dell’identità del firmatario, più approfonditi man mano che il grado di sicurezza aumenta. Quindi una firma elettronica qualificata necessita di ottenere prima un certificato elettronico con verifica faccia a faccia dell’identità del richiedente. Per quanto riguarda la firma «semplice», questa definisce in realtà tutte le procedure di firma che non sono né avanzate, né qualificate.
Faccia a faccia
In alcuni casi (firma qualificata o avanzata con certificato qualificato), il conseguimento di un certificato prima della firma elettronica richiede una verifica dell’identità approfondita, detta «faccia a faccia». Questa verifica si può fare fisicamente o a distanza, con delle conseguenze sulle modalità di controllo. Al momento del riscontro fisico, i terzi di fiducia rilasciano al firmatario un token da utilizzare per autenticarsi. Al momento di una verifica a distanza, il firmatario deve fornire uno o più video per presentare il proprio volto e il documento d’identità.
Testo SMS
Il testo SMS è una procedura che permette al firmatario di un documento di confermare il proprio consenso. Questo metodo si basa sull’invio di due SMS: il primo per richiedere l’approvazione, il secondo per l’autenticazione (tramite un codice a sei cifre utilizzabile una sola volta).
Crittografia
La crittografia o cifratura è un metodo che vede la trasformazione di un dato in un crittogramma, al fine di proteggerlo e rendendolo incomprensibile alle persone non autorizzate. Per crittografare un dato si utilizzano un algoritmo asimmetrico e due codici di decrittazione che si chiamano «chiavi», uno pubblico (accessibile a tutti) e uno privato (detenuto solo dall’utente). La crittografia permette di garantire l’integrità, l’autenticità e la riservatezza di un documento.
Token
Un token è un dispositivo materiale (chiavetta USB, smart card) che serve a crittografare o a decrittare un contenuto, attraverso una chiave pubblica o privata. Utilizzato nell’ambito di una firma elettronica qualificata, questo dispositivo è consegnato a una persona fisica dopo la verifica faccia a faccia della sua identità e permette a questa di autenticarsi al momento dell’uso dello strumento di firma.
API
Un’API di firma elettronica consente di creare un collegamento tra lo strumento di firma e i software professionali per accedere ai servizi direttamente da questi ultimi e di costruire dei flussi di convalida adattati all’azienda. L’utilizzo di un’API contribuisce a sveltire il processo di firma elettronica, ad abbreviare il ciclo di vendita e a migliorare l’esperienza utente e quindi la soddisfazione del cliente!