Firma digitale remota: cos'è e come funziona

Cos’è la firma digitale remota, come funziona e quali sono le differenze con la firma digitale classica

Grazie alla firma digitale remota, oggi è possibile sottoscrivere documenti con piena validità legale da qualunque dispositivo connesso a internet dotato di app di firma. A differenza della firma digitale classica, la firma digitale remota non richiede l’utilizzo di un token fisico: il certificato di firma, infatti, viene conservato in un luogo sicuro gestito dal provider, e può essere utilizzato da remoto in qualsiasi momento identificandosi tramite Two-factors Authentication, ovvero inserendo una password e un codice OTP utilizzabile una sola volta che viene generalmente inviato tramite SMS o generato dall’app di firma.

Cos’è la firma digitale remota?

La firma digitale remota è un particolare tipo di firma digitale che permette di sottoscrivere documenti digitali senza utilizzare dispositivi fisici come chiavette USB o smart card. A differenza della firma digitale classica, la firma remota permette di firmare documenti da qualsiasi dispositivo connesso a internet. Esattamente come la firma digitale classica, però, ha lo stesso valore legale di una firma autografa.

In base al DPCM 22 febbraio 2013, che definisce le regole tecniche per la firma digitale in attuazione del Codice dell'Amministrazione Digitale (CAD), la firma digitale remota è “una particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”. 

L’HSM (Hardware Security Module), definito nello stesso decreto, è un sistema che combina hardware e software e che ha lo scopo di generare, proteggere e gestire in modo sicuro le coppie di chiavi crittografiche usate per firmare. Questo dispositivo, che garantisce la sicurezza delle firme elettroniche, è centrale nella definizione della firma remota: la differenza sostanziale tra una firma digitale classica e una remota, infatti, consiste nella posizione di questo HSM. Mentre nelle firme digitali classiche l’HSM si trova all’interno del dispositivo fisico usato per firmare (token USB, smart card, etc.), nelle firme digitali remote è installato all’interno di un server gestito dal provider di servizi fiduciari, cioè il soggetto che emette il certificato di firma qualificato e ne garantisce la sicurezza. Si trova, quindi, in un luogo sicuro lontano dal suo utilizzatore finale.

Come funziona la firma digitale remota?

Dal punto di vista dell’utente, l’uso della firma digitale remota è semplicissimo: per sottoscrivere un documento basta aprire l’app o il software di firma fornito dal provider su PC, smartphone o tablet, selezionare i file da firmare e verificare la propria identità tramite autenticazione a doppio fattore (di solito una combinazione di password o PIN e codice OTP inviato tramite SMS o generato dall’applicazione). 

Durante il processo, il certificato di firma e la relativa chiave privata restano custoditi all’interno dell’HSM. Nel momento in cui si va a firmare un documento, il software di firma invia una richiesta al sistema del provider, che dopo aver verificato l’identità dell’utente usa la chiave privata per generare la firma, che viene rispedita al software e “incollata” al documento originale.

Per ovvi motivi di privacy, le app di firma non condividono con il provider l’intero documento da firmare: il software di firma e l’HSM si scambiano un hash, un codice alfanumerico che lo rappresenta in maniera univoca, una sorta di impronta digitale del file (da cui è impossibile risalire al documento originale) che poi viene criptata dall’HSM generando così la firma digitale che sarà apposta al documento.

Le differenze tra firma digitale e firma digitale remota

Come anticipato, la firma digitale remota ha la stessa validità legale della firma digitale tradizionale, è cioè equiparata alla sottoscrizione autografa in presenza. I due tipi di firma digitale, però, presentano differenze sostanziali, soprattutto dal punto di vista dell’utilizzo. A differenza della firma digitale classica, quella remota:

• Non richiede dispositivi fisici come token USB e smart card;
• Può essere usata da PC, smartphone e tablet;
• Necessita di una connessione a internet;
• Può essere attivata in poche ore, poiché non richiede l’invio del dispositivo di firma e può essere richiesta identificandosi online con SPID o carta d’identità elettronica.

Per questi motivi, la firma digitale remota è generalmente più economica della sua controparte dotata di token fisico. Per ottenerne una è sufficiente acquistare il servizio online da uno dei provider accreditati all’AgID, come Aruba o InfoCert, procedere con il riconoscimento (di persona, tramite webcam o usando SPID o CIE) e completare la configurazione, installando l’app di firma e creando il proprio account.