La firma elettronica qualificata (FEQ), è uno strumento che ha facilitato lo scambio in rete di documenti. Il suo successo dipende dalla comodità d’uso, ma anche dal fatto che i documenti firmati digitalmente hanno pieno valore legale grazie alla validazione, ovvero la procedura informatica che garantisce l’autenticità, l’integrità e il non ripudio del documento stesso.
Come funziona la firma digitale
Il processo di firma digitale è complesso, ma cercheremo di spiegarlo in termini più semplici possibili.
Per prima cosa, bisogna sapere che a ogni firma digitale è associata una coppia di chiavi crittografiche (serie di numeri binari). Ad associare la firma alla coppia di chiavi è un soggetto certificatore riconosciuto dall’AgID, l’Agenzia per l’Italia digitale.
Dunque, il certificatore, o Trust Service Provider, emette a favore del titolare della firma un certificato che lega una delle due chiavi alla sua identità. Questa è la chiave pubblica, perché è conoscenza di tutti. La chiave privata, invece, è a conoscenza solo del titolare, è sempre emessa dal certificatore ed è conservata in un dispositivo sicuro (per esempio, una smart card o un token). Per essere utilizzata, la chiave privata richiede un’autorizzazione tramite PIN.
Quando deve firmare, il titolare usa un software che calcola l’impronta digitale del documento (tramite la funzione di hash), e ogni documento ha una propria impronta. Una volta creata l’impronta, il software la invia al dispositivo che contiene la chiave privata. Dopodiché, ottenuta l’autorizzazione tramite PIN, l’impronta del documento viene cifrata con la chiave privata e in questo modo il documento è firmato digitalmente.
In Italia, tra gennaio e giugno 2022, risultavano attivi poco meno di 5 milioni di certificati di firma digitale su smart card o token. Tuttavia, per circa 1 milioni di essi le cose stanno per cambiare…
Firma digitale: la comunicazione AgID sui dispositivi non più validi
Con una comunicazione pubblicata lo scorso maggio sul proprio sito web, AgID ha informato gli utenti che dal 2023 non saranno più utilizzabili due dispositivi per la generazione di firme digitali.
La comunicazione è la conseguenza della decisione dell’agenzia francese ANSSI (Agence nationale de la sécurité des systèmes d’information), organismo designato in Francia ai sensi dell’art. art. 30, c1 del Regolamento eIDAS per la certificazione dei dispositivi per la firma elettronica qualificata, di ritirare 2 secure electronic signature creation devices (SSCD) e qualified electronic signature creation devices (QSCD) dall’elenco notificato alla Commissione europea.
Ad essere revocati sono i seguenti dispositivi:
- Smart card di tipo Applet ID One Classic v1.01.1 en configuration CNS, Classic ou CIE chargée sur Cosmo v7.0-n Large, Standard et Basic (modes dual ou contact) sur composants NXP T;
- Smart card TS-CNS con chip NXP ASEPCOS-CNS v1.84 in SSCD configuration with patch PL07 on NXP P60D080PVG dual interface microcontroller T.
La scelta della revoca di validità è stata dettata dall’obsolescenza dei due dispositivi e dalla loro scarsa diffusione sul mercato francese.
Tuttavia, come già accennato, in Italia la situazione è diversa, poiché circa un milione di certificati di firma elettronica qualificata, pari al 25% di tutti i certificati di firma digitale attivi, è ospitato su smart card o token di tali tipologie.
Che cosa succederà dopo il 31 dicembre 2022? Le firme apposte con tali dispositivi non saranno valide legalmente.
Aggiornamento OCSI dicembre 2022
Il 5 dicembre scorso, l’OCSI, Organismo di Certificazione della Sicurezza Informatica, ha avviato la verifica di conformità al Regolamento eIDAS delle smart card “in scadenza” indicate dall’AgID, per poter considerare l’estensione della loro validità oltre il 31/12/2022.
L’OCSI ha dunque effettuato la notifica alla Commissione Europea dei seguenti dispositivi:
- SSCD – Applet ID One Classic v1.01.1 en configuration CNS, Classic ou CIE chargée sur Cosmo v7.0-n Large, Standard et Basic (modes dual ou contact) sur composants NXP;
- QSCD – NXP ASEPCOS-CNS v1.84 in SSCD configuration with patch PL07 on NXP P60D080PVG dual interface microcontroller.
Questi potranno ancora essere utilizzati come dispositivi di firma elettronica qualificata anche oltre il 31/12/2022.
Come scoprire se la tua firma rimarrà valida
Nonostante ciò, Namirial, Identity Provider accreditato per il rilascio dell’identità digitale, è uno dei pochi gestori che non sono stati impattati da tale provvedimento e che può garantire la sicurezza e la validità dei suoi dispositivi di firma presenti sul mercato. Questo significa che se hai acquistato una firma digitale con Namirial, potrai continuare ad utilizzarla senza difficoltà.
Se però vuoi avere la certezza che il tuo certificato rimarrà valido anche nel 2023, puoi procedere alla verifica della tua firma digitale visitando il sito verificafirma.it e seguendo le istruzioni che ti verranno indicate.
Inoltre, nel caso in cui il tuo certificato rientrasse tra quelli che verranno dismessi, potrai accedere ai pacchetti “firma digitale” di Namirial a un prezzo promozionale.
– «Verifica ora se il tuo dispositivo sarà revocato e scopri i vantaggi dei piani di abbonamento Firma Digitale Namirial per gestire la sottoscrizione digitale dei tuoi documenti in tutta sicurezza»