La firma digitale remota, nel seguito semplicemente firma remota come è definita anche nella normativa italiana, è una particolare modalità di apposizione di una firma elettronica che utilizza dispositivi per la generazione della firma che non sono nella disponibilità fisica del sottoscrittore che, comunque, ne ha il controllo esclusivo durante le attività di apposizione. Vediamo i dettagli.
Firma digitale remota, le norme di riferimento
La normativa nazionale la definisce nel DPCM 22 febbraio 2013, decreto che stabilisce le regole tecniche italiane sulle firme digitali come: “Particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”.
Il medesimo decreto definisce l’HSM (Hardware Security Module) come: “Insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche”.
In pratica l’HSM è un dispositivo caratterizzato da particolari misure di sicurezza fisica e logica che consente ad un utente remoto di accedere alle sue chiavi di sottoscrizione in modo sicuro ed esclusivo.
L’accesso avviene tramite rete e la sottoscrizione dei documenti è sempre in capo ad un software di firma che viene attivato con meccanismi di doppio fattore di autenticazione – DFA (password di accesso e password unica di sessione – OTP). Il DFA è gestito con APP specializzate sul telefono che possono anche gestire i documenti da firmare, consentendo una piena operatività in mobilità.
Uno slogan commerciale molto utilizzato è firma in ogni momento e dappertutto.
Vantaggi della firma digitale remota
I vantaggi della firma digitale remota sono nella semplicità operativa, non serve un dispositivo di firma come la smart card o la chiavetta USB, e nella libertà di poter operare senza vincoli di tempo e di spazio. La particolare architettura tecnologica degli HSM ha favorito anche l’integrazione della firma remota con una moltitudine di applicativi favorita anche dalla naturale predisposizione tecnologica all’utilizzo in cloud. In questo modo le operazioni di firma sono disponibili direttamente in applicazioni che operano in rete diventando un tutt’uno con il sistema informativo di riferimento.
La possibilità di generare chiavi crittografiche in modo semplice e velocissimo fornisce anche l’opportunità di gestire migliaia di utenti anche non permanenti.
La firma disposable (nota anche come one shot) si è sviluppata proprio nell’ambito della firma remota. Questa modalità di sottoscrizione consente all’utente di apporre la firma in una singola sessione di lavoro (una firma o le firme necessarie per quella singola operazione), terminata la sessione la firma non è più utilizzabile ma i documenti sottoscritti hanno piena validità legale.
In questo modo, chi non dispone di una firma digitale può farne uso per la singola operazione prescelta.
Come ottenere una firma digitale remota: requisiti e procedure
La firma remota è offerta da tutti i prestatori di servizi fiduciari qualificati che offrono servizi di emissione degli specifici certificati qualificati.
L’elenco di questi soggetti è pubblico e quello nazionale è disponibile sul sito dell’Agenzia per l’Italia Digitale (AgID) al collegamento seguente.
La firma remota è offerta anche da soggetti esteri ed è valida anche in Italia visto che le regole legali di riferimento sono su base comunitaria.
L’elenco europeo dei soggetti europei che offrono servizi di firma è disponibile tramite il cruscotto pubblicato al seguente collegamento.
Purtroppo, sia a livello nazionale che comunitario non sono disponibili informazioni esplicite sull’offerta di servizi di firma remota. Peraltro in Italia tutti i soggetti in elenco che sono sul mercato (non sono sul mercato gli ordini professionali come, per esempio il Notariato) offrono servizi di firma remota.
Una volta scelto il fornitore, si devono seguire le regole di attivazione che avvengono nella quasi totalità dei casi da remoto. Un operatore autorizzato procede al riconoscimento da remoto e completata l’operazione si dispone delle credenziali di utilizzo della firma remota e si può iniziare a firmare da remoto.
Firma digitale remota e firma digitale: confronto e differenze
La firma remota è una particolare modalità di apposizione della firma digitale. I dati per la creazione della firma (in pratica la chiave crittografica privata) non sono in un dispositivo a microcircuito (come ad esempio una carta di credito) gestito dal titolare ma in un server sicuro accessibile da remoto.
Utilizzo della firma digitale remota nel settore finanziario
La firma remota nasce in Italia nel 2009, il lettore interessato alla storia degli inizi può leggerla al seguente collegamento:
Già nei primi mesi di vita la firma remota suscita l’interesse del settore finanziario grazie alle possibilità di integrazione nei sistemi di Internet Banking. Questi sistemi consentono attività commerciali e operatività efficaci ed efficienti alla clientela, ma anche al personale interno.
La normativa è tale da favorire le autorizzazioni per l’attivazione della firma agli utenti.
Le norme antiriciclaggio sono utilizzabili per il riconoscimento del titolare e l’istituto finanziario se ne può avvalere per accelerare il procedimento di attivazione della firma remota.
Nonostante la firma remota sia utilizzata in tutte le grandi banche ancora l’utilizzo della carta e la conseguente non accettazione di documenti firmati digitalmente è significativa.
L’approccio è ancora quello dello sportello e della presenza fisica con la gestione dei contratti tramite la firma grafometrica anche se l’emergenza sanitaria ha accelerato le procedure “a distanza”.
Firma digitale remota e sicurezza delle transazioni online
La firma remota è offerta intrinsecamente in modalità sicura. Questo perché è un servizio disponibile tramite soggetti che sono stati autorizzati dalle istituzioni nazionali (in Italia l’Agenzia per l’Italia Digitale – AgID) dopo il completamento di una procedura di qualifica condotta in conformità a regole europee (il regolamento n. 910/2014 – eIDAS).
Gli HSM sono dei dispositivi certificati in conformità a regole internazionali a livelli di sicurezza di alta garanzia. La sicurezza attiene alla generazione e protezione dei dati per la creazione della firma, al loro utilizzo in rete e al controllo esclusivo da parte del titolare.
In altre parole, la firma remota è sicura perché utilizza apparati certificati e i soggetti che la offrono sono anche soggetti a vigilanza istituzionale.
Firma digitale remota: le opportunità per le aziende
Il ciclo di vita di circa 15 anni della firma remota testimonia ampiamente il successo del servizio. I dati periodicamente pubblicati da AgID evidenziano che oltre il 72% dei certificati qualificati per la firma è utilizzato per la firma remota e che, nella stessa modalità, sono state apposte oltre 3 miliardi e 360 milioni di firme.
Se tanta strada è stata percorsa ancora di più se ne deve percorrere. L’Italia è un paese dove la PMI rappresenta la maggioranza delle imprese. La cultura di queste imprese è ancora significativamente cartacea e i vantaggi del digitale non sono stati colti.
In altri contesti, anche pubblici, il digitale è visto come un adempimento burocratico e non come l’attuazione di procedure moderne efficienti e quindi più economiche. La firma in genere è uno strumento abilitante, la firma remota offre maggiori possibilità operative ma il loro utilizzo è utile solo se attivato in un ambiente progettato per il digitale. Un flusso cartaceo che viene digitalizzato senza modifiche è nella maggior parte dei casi poco efficiente.
Firma digitale remota nel contesto del lavoro da remoto
L’emergenza sanitaria ha accelerato una serie di scelte organizzative che hanno portato al lavoro da remoto. Queste scelte hanno influenzato sia il settore pubblico che quello privato, entrambi hanno dovuto aggiornare i loro modelli organizzativi e operativi.
La firma remota è nativamente caratterizzata dalle funzionalità indispensabili per l’utilizzo “sempre e dovunque”. E’ sicura per impostazione predefinita e per progettazione, disponibile all’interno di ambienti cloud per l’utilizzo nell’ambito di una moderna gestione dei documenti nota come Digital Transaction Management (DTM).
Firma digitale remota e conformità normativa: cosa sapere
La firma remota è offerta da soggetti qualificati (autorizzati) dallo Stato. La conformità normativa è intrinseca nelle autorizzazioni che questi soggetti hanno ottenuto. Le regole sono europee, conformi al Regolamento (UE) n. 910/2014 comunemente noto come eIDAS. Le norme italiane sono stabilite nel Codice dell’Amministrazione Digitale (D.Lgs. 7 marzo 2005, n. 82) e nelle regole tecniche del DPCM 22 febbraio 2013.
A queste norme si aggiungono una serie di norme tecnologiche che sono la base per la definizione e il controllo delle norme di sicurezza della firma remota.
In sintesi la firma remota è equivalente ad una firma autografa e rappresenta una particolare modalità di apposizione di una firma elettronica qualificata, termine europeo per indicare la firma digitale.
Il nuovo regolamento eIDAS, attualmente nelle fasi finali di approvazione comunitaria, inserisce i servizi di firma remota (nel testo comunitario, a distanza) tra quelli fiduciari cioè di rilevanza operativa. Questo aspetto sancisce il pieno successo di una innovazione nata in Italia 15 anni fa.
