Hai ricevuto un documento PDF firmato elettronicamente e vuoi verificare che la firma elettronica sia valida? Non sai come si interpretano i vari messaggi visualizzati in Adobe Acrobat Reader? Leggendo questo articolo avrai le risposte che cerchi.
Che cos’è Adobe Acrobat?
Adobe Acrobat Reader è un software gratuito specializzato nell’elaborazione di file PDF. L’editore di software ha lanciato un programma privato chiamato “AATL” (Adobe Approved Trust List), il cui scopo è consentire agli utenti di verificare in maniera semplice le firme elettroniche apposte sui documenti Pdf. L’azienda americana ha quindi elaborato una serie di requisiti tecnici da soddisfare per essere inclusi in questa lista. Qualsiasi Autorità di Certificazione (CA) può chiedere di aderire al programma AATL. L’obiettivo di questa certificazione è fornire fiducia agli utenti che usano e condividono documenti firmati. Il suo scopo è anche quello di rendere più facile la comprensione della validità di una firma.
Mentre la verifica di una firma manuale può essere difficile, nel caso di una firma digitale può essere dimostrata rapidamente. Il software Acrobat Reader di Adobe consente di verificare la validità di una firma su un documento PDF.
I 3 diversi codici colore
Quando si apre un PDF firmato usando il software Adobe Acrobat Reader, nella parte superiore del documento si visualizza un banner che fornisce informazioni sulla validità della firma. Esistono 3 diversi “codici colore” per distinguere i diversi stati della firma:
- Un pallino verde con dentro un segno di spunta, accompagnato dal messaggio “Firmato con firme valide”.
- Un triangolo arancione con dentro un punto esclamativo, accompagnato la scritta “Almeno una firma presenta un problema”.
- Una pallino rosso con dentro una croce, accompagnato dal messaggio “Almeno una firma non è valida”.
L’algoritmo L’algoritmo usato dal software analizza i dati del file in base a diversi criteri:
- si assicura dell’integrità del documento, ossia che il contenuto del documento non sia stato modificato dopo la firma;
- verifica che il certificato non sia scaduto o revocato al momento della consultazione.
Al termine di questo controllo, viene visualizzato uno dei 3 messaggi seguenti.
Pallino verde con segno di spunta
Il software mostra un pallino verde con un segno di spunta se è soddisfatto uno dei seguenti criteri:
- L’Autorità di certificazione (CA) è inserita nella lista di fiducia europea EUTL, disciplinata dal regolamento eIDAS, che riguarda esclusivamente servizi qualificati, ossia il livello più alto in Europa.
- La CA fa parte dell’AATL e soddisfa i requisiti tecnici imposti da Adobe.
- Il documento viene firmato usando un certificato di persona giuridica (timbro del server) rilasciato sulla base di un incontro fisico o equivalente: si tratta di una firma semplice conforme a eIDAS.
Sfumatura tra segni rossi e arancioni
Nel caso delle firme elettroniche avanzate, questo livello è suddiviso in diversi livelli di certificato. Questi includono i livelli LCP e NCP+:
- Il livello LCP (Lightweight Certificate Policy) richiede l’autenticazione con la prova della verifica dell’identità del firmatario tramite un documento d’identità.
- Il livello NCP+ (Extended Normalized Certificate Policy) corrisponde al livello LCP, con autenticazione completata da un faccia a faccia fisico o equivalente e da un dispositivo HSM.LCP (Lightweight Certificate Policy) richiede l’autenticazione con la prova della verifica dell’identità del firmatario tramite un documento d’identità.
Questi diversi livelli di firma avanzata sono certificati e quindi conformi al regolamento eIDAS. Tuttavia, una firma LCP avanzata può far scattare una spunta rossa o arancione, anche se rispetta rigorosamente il regolamento europeo che la disciplina. Se l’OID (signature policy identifier) del certificato usato non è elencato nell’AATL, il software visualizza un pallino rosso contenente una croce. Quest’ultimo caso non significa necessariamente che ci sia un problema di integrità della firma; potrebbe essere perfettamente valida dal punto di vista crittografico.
Questo vale anche per una firma semplice, che può essere valida e riconosciuta come tale da un tribunale, ma che in Acrobat ha un segno di spunta rosso.
Se il certificato è scaduto e la firma non è stata convalidata a lungo termine (cioè non contiene i dati di revoca del certificato), il software visualizza un triangolo arancione. Il documento può anche mostrare in precedenza un pallino verde con segno di spunta, ma solo temporaneamente: si parla in tal caso di un segno di spunta verde effimero.
I segni rossi e arancioni devono quindi essere qualificati e possono riguardare firme perfettamente valide. Ma i messaggi rossi possono anche riguardare certificati contenenti errori: quando il documento è stato modificato dopo l’apposizione della firma, o quando la marca temporale non è presente. Per decifrare le ragioni della comparsa di un messaggio con pallino rosso o arancione, dobbiamo esaminare i dati del documento in modo più dettagliato.
Controllare le proprietà
Per verificare i dettagli del certificato usato, i passaggi da compiere sono i seguenti:
- Aprire il file PDF
- Nel pannello di sinistra, selezionare l’icona della piuma, quindi dispiegare le informazioni e fare clic sulla freccia.
- Cliccare su “dettagli del certificato”.
- Viene visualizzata una finestra che mostra le informazioni contenute nel certificato del firmatario.
È possibile ottenere informazioni anche facendo clic con il tasto destro del mouse sulla firma e poi su “Visualizza proprietà della firma”. Nel caso di pallino rosso, può essere importante controllare le informazioni dettagliate sui certificati. Possiamo assicurarci che il documento non sia stato modificato da quando è stato firmato o che contenga una marca temporale. È anche possibile convalidare manualmente la firma nella scheda Approvazione. Il pallino rosso con la croce diventa immediatamente un pallino verde con segno di spunta.
Per verificare la configurazione del software e assicurarsi che l’elenco degli attendibili sia aggiornato :
- Nel pannello Modifica, selezionare Preferenze
- Selezionare la categoria “Gestione approvazioni”.
- Aggiornare l’AATL.
In alcuni casi, il software richiede l’approvazione manuale della firma e visualizza il seguente messaggio: “È necessario convalidare almeno una firma, compilare il seguente modulo”.
I limiti del programma AATL
Nonostante l’ambizione del programma e il suo desiderio di rendere più semplice e chiaro il controllo dello stato di una firma elettronica, esso presenta una serie di limiti di cui bisogna essere consapevoli.
Ricordiamo innanzitutto che questo programma è gestito da una società privata, che in quanto tale non ha i poteri per poter garantire la validità legale della firma digitale. Due firme che forniscono prove identiche, di cui solo una fa riferimento a un fornitore iscritto all’AATL, di fatto avranno lo stesso valore legale, ma potenzialmente mostreranno segni differenti in Adobe Acrobat Reader.
Il codice colore visualizzato non è quindi garanzia di sicurezza. Semplicemente, facilita la lettura di una firma elettronica, che a volte può essere complessa. Il valore legale di una firma non può essere messo in discussione solo da questa interpretazione.
I messaggi rossi e arancioni non indicano necessariamente un problema di integrità della firma.
Infine, il possesso di un contrassegno verde è positivo e dimostra una firma valida, ma può essere il retaggio di norme meno restrittive (presenti ad esempio nella versione 1 di AATL) che non possono essere annullate.
La firma elettronica di Namirial
Terza parte fidata e riconosciuta come Autorità di Registrazione e Certificazione, Namirial offre soluzioni di firma elettronica conformi al regolamento eIDAS e fa parte dall’elenco AATL Adobe Approved Trust List.