È possibile dimostrare digitalmente l’autenticità di un documento. Allo stesso modo, è possibile firmare digitalmente i documenti. Ma come funziona e quali sono le differenze tra sigilli elettronici e firme elettroniche? Ecco una panoramica delle diverse procedure.
Scaricare il modulo, stamparlo, firmarlo, scansionarlo e inviarlo in formato PDF. Quante volte queste procedure dispendiose in termini di tempo vi hanno infastidito? Un elemento di disturbo del lavoro digitale è rappresentato dalle interruzioni del flusso delle informazioni dovute alla necessità di firmare i documenti in modo legalmente valido.
Non c’è da stupirsi che l’esigenza di processi interamente digitali sia cresciuta tra le aziende, le autorità e i privati. Fra contratti, moduli di richiesta, prescrizioni mediche e fatture, le interazioni tra le aziende e i loro clienti e partner commerciali sono gestite sempre più spesso in modo digitale. Questa gestione riduce i costi amministrativi e rende la cooperazione più efficiente e semplice per tutte le parti. Allo stesso tempo, nei processi digitali è importante proteggere i documenti da manipolazioni e quindi anche salvaguardare i clienti da tentativi di frode.
Il problema della sicurezza: l’esempio della fattura QR
Immaginate che il vostro cliente riceva digitalmente una fattura QR che, a prima vista, sembra provenire dalla vostra azienda. Ma chi garantisce che non si tratta di una fattura falsa proveniente da un mittente criminale?
Scenari come questi minacciano ripetutamente le aziende e i loro clienti di tutti i settori e di tutte le dimensioni. Dato che il codice QR contiene tutti i dettagli del pagamento, questi ultimi possono essere manipolati in modo tale da reindirizzare il denaro sul conto di un altro destinatario e modificare l’importo. Per le aziende e i loro clienti, questa situazione comporta una grande quantità di spese aggiuntive se non addirittura seri danni di reputazione. La gestione di documenti digitali come possono essere le fatture QR richiede quindi una protezione ottimale dagli abusi. Questa protezione si crea permettendo a tutte le parti di verificare il mittente e il contenuto invariato dei documenti.
Questo articolo presenta cinque approcci con cui non solo le aziende possono firmare i documenti digitali in modo legalmente valido, ma con cui anche i clienti e i partner commerciali possono verificare l’autenticità e l’inalterabilità dei documenti che ricevono.
Il sigillo elettronico come firma digitale
Le aziende hanno la possibilità di dotare i file di un sigillo elettronico. Questo sigillo rappresenta in un certo senso un timbro aziendale digitale e corrisponde a una firma elettronica avanzata o qualificata per le persone fisiche (per maggiori informazioni, si veda oltre). I sigilli elettronici servono a provare che il documento (un contratto, una fattura, una foto, ecc.) è stato rilasciato da un’organizzazione specifica e ne dimostrano al contempo l’integrità e l’origine. La persona ricevente ha la garanzia che il documento è stato rilasciato dal mittente previsto ed è autentico (autenticità). Inoltre, il sigillo dimostra che il contenuto effettivo non è stato modificato (integrità).
Come ogni firma digitale, il sigillo elettronico si basa su una crittografia asimmetrica. Questo metodo a chiave pubblica utilizza una chiave pubblica e una privata (segreta). Con la chiave privata viene generata la firma digitale, mentre con la chiave pubblica viene verificata l’autenticità della firma.
Il sigillo elettronico basato su blockchain
Il sigillo elettronico basato su blockchain costituisce un perfezionamento di questa tecnologia che dimostra parimenti l’integrità e l’origine del documento. Nella fattispecie, il valore di hash («impronta digitale» o cifra di controllo) del documento è salvato nella blockchain in modo sicuro contro le manomissioni. Questo sigillo può essere usato per certificare singoli file o transazioni, ma anche per eseguire elaborazioni di massa.
Le persone destinatarie possono a questo punto verificare se il valore di hash di un documento corrisponde a quello salvato nella blockchain. «Dato che in questo caso viene utilizzata la tecnologia blockchain, per verificare l’autenticità ai clienti non occorre altro che l’elemento salvato, perché lo scopo della blockchain è proprio quello di dimostrare l’inalterabilità», spiega Nicole Sigrist, Head Customer Success & Projects di Swisscom Blockchain. Tornando all’esempio della fattura QR, in questo caso il sigillo viene depositato nella blockchain immediatamente dopo la creazione della fattura. Successivamente, la persona ricevente può verificare in autonomia l’autenticità.
Electronic Seal di Swisscom Blockchain
Electronic Seal di Swisscom Blockchain salva l’impronta digitale univoca del vostro documento certificato sulla Swiss Trust Chain, l’infrastruttura blockchain altamente sicura di Swisscom e La Posta. La soluzione conveniente consente di salvare 1000 sigilli al secondo ed è scalabile per qualsiasi volume. Potete non solo far firmare i PDF, ma anche scambiare in modo certificato con i vostri clienti qualsiasi tipo di file. Anche la revoca (invalidazione) di un sigillo è possibile senza problemi. I vostri clienti possono validare l’impronta digitale con pochi clic.
La firma elettronica semplice
Secondo la legge federale sulla firma elettronica, le firme elettroniche semplici sono dati «allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati per la loro autenticazione». Sono comprese le firme disegnate su un documento PDF in Adobe Reader, per esempio. Il certificato creato in background assicura soltanto l’integrità del documento: se identificato come valido, il certificato conferma soltanto che il documento non è stato modificato tra il momento della firma e quello dell’apertura.
La firma elettronica semplice non serve quindi a identificare una persona. e Pertanto, offre la minore sicurezza legale ed è particolarmente adatta per firme interne all’azienda oppure per dimostrare che un documento non è stato alterato.
La firma elettronica avanzata
A differenza della firma elettronica semplice, la firma elettronica avanzata è utilizzata per l’identificazione di persone, poiché il certificato rilasciato con la firma attribuisce la firma al suo titolare. Questo significa che il titolare ha il controllo esclusivo sui mezzi con cui applica la firma. Si può trattare di una SIM o una smart card che contiene un certificato per l’identificazione dell’utente e uno per la firma elettronica e che viene inserita in un lettore di carte o in una chiavetta USB, oppure si inseriscono tutti i dati necessari sul cellulare e si riceve un codice di autenticazione via SMS. I metodi devono anche rendere visibili le successive modifiche dei dati.
La firma elettronica qualificata
La firma elettronica qualificata ha in linea di principio le stesse caratteristiche della firma elettronica avanzata, ma si basa su un certificato qualificato rilasciato da un fornitore riconosciuto. Con il Signing Service di Swisscom, ad esempio, il certificato e la chiave della firma vengono rigenerati nel cloud a ogni processo di firma e l’autenticazione avviene tramite una carta SIM compatibile con Mobile ID sul proprio cellulare.
In Svizzera, KPMG verifica se i certificati dei fornitori di servizi di firma elettronica soddisfano i requisiti non solo per le firme elettroniche avanzate ma anche per quelle qualificate. Un certificato qualificato deve essere contrassegnato come tale. Inoltre, a differenza del certificato di una firma avanzata, viene rilasciato soltanto a una persona fisica e può essere utilizzato esclusivamente per la firma elettronica. La legge svizzera riconosce soltanto la firma qualificata (Art. 14 2bis CO). Pertanto, solo la firma elettronica qualificata è legalmente equivalente alla firma manoscritta.
In Svizzera, per la maggior parte dei contratti non sono previsti requisiti formali. La firma serve a salvaguardare le parti contrattuali e pertanto in questo caso si fa spesso ricorso alla firma elettronica qualificata, che offre il massimo livello di sicurezza. Per alcuni tipi di contratto questa firma è addirittura obbligatoria, per esempio per un contratto di credito al consumo, una cessione di crediti o un divieto di concorrenza post-contrattuale.
Alla fine, però, a volte rimane una scelta discrezionale, per cui i fattori economici rendono perlopiù la firma elettronica qualificata la scelta più semplice. «Oggi, a differenza del passato, i costi necessari per l’identificazione nelle firme qualificate non sono quasi più un criterio tenuto in considerazione», spiega Benoit Strölin, Product & Innovation Management di Swisscom Trust Services. Infine, una cosa è certa: con la firma elettronica qualificata andate sul sicuro durante la stipulazione digitale di contratti.
