Redirecting you to
Post del blog set 09, 2021

Firme digitali: requisiti legali e conformità globale

Le firme digitali, una forma sicura di firme elettroniche, usano il PKI per autenticare i firmatari e garantire l'integrità dei documenti. Sono legalmente valide negli Stati Uniti (ESIGN Act) e a livello globale con normative come eIDAS nell'UE. Offrono sicurezza superiore rispetto ad altre firme elettroniche, garantendo autenticità, integrità dei dati e non ripudio.

Indice

Cosa si intende per firma digitale?

La firma digitale è una classe speciale di firme elettroniche sicure. Sfruttano l'infrastruttura a chiave pubblica (PKI) per autenticare e identificare l'autore di vari elementi come documenti, applicazioni, programmi o altri tipi di file elettronici.

Un certificato di firma digitale è un certificato basato su PKI che autentica l'identità del firmatario e garantisce che i documenti e i messaggi digitali trasmessi elettronicamente non siano stati falsificati o manomessi. L'uso della crittografia a chiave pubblica viene applicato per autenticare correttamente un record. Le firme digitali sono semplicemente codici incorporati nei file, che possono essere visualizzati se il caso d'uso lo richiede.

Sono simili alle firme fisiche sui documenti cartacei, nel senso che entrambe sono uniche per il firmatario, ma nel caso dei documenti firmati digitalmente, la firma offre di fatto molta più sicurezza e la garanzia dell'origine, dell'identità e dell'integrità del documento. Basate sui più elevati standard di sicurezza, sono legalmente vincolanti negli Stati Uniti e in molti altri Paesi.

Grazie ai loro metodi crittografici sicuri, le firme digitali sono conformi alle normative più severe, tra cui l'Electronic Signatures in Global and National Commerce Act (ESIGN Act) degli Stati Uniti, l'Uniform Electronic Transactions Act (UETA) e altre leggi internazionali.

La differenza tra firma digitale e firma elettronica

Sebbene molti utilizzino spesso questi termini in modo intercambiabile, le firme elettroniche e le firme digitali non sono in realtà la stessa cosa. La distinzione è incredibilmente importante dal punto di vista legale.

Le firme elettroniche sono l'insieme più ampio di soluzioni che utilizzano un processo elettronico per apporre una firma su un documento o una transazione. L'uso di questo tipo di firma è cresciuto incredibilmente nel corso del tempo, poiché i documenti e le comunicazioni si spostano sempre più nel regno digitale e le aziende e i consumatori di tutto il mondo abbracciano la velocità e la convenienza di questa soluzione. Esistono però diversi tipi di firma elettronica, ognuno dei quali consente agli utenti di firmare i documenti in modo digitale e offre un certo grado di autenticazione dell'identità.

La firma digitale è un tipo di firma elettronica ed è la più sicura. I certificati digitali sfruttano i certificati PKI digitali emessi da un'autorità di certificazione (CA) affidabile come Sectigo, che autentica correttamente l'identità del richiedente. Questo tipo di autenticazione è necessario per garantire l'integrità dei documenti elettronici e collegare direttamente l'identità del firmatario al documento è il modo migliore per assicurarne la legittimità.

Altri tipi di firma elettronica utilizzano tipi di autenticazione elettronica diversi e meno sicuri. Questi possono includere indirizzi e-mail, numeri di telefono o altri tipi di informazioni di contatto.

Per essere considerata una firma digitale legittima, ci sono alcuni requisiti. Il requisito fondamentale è che l'identità del firmatario sia legata a un certificato o a un altro tipo di credenziale identificativa che possa essere crittografata e autenticata. Un certificato digitale basato su PKI serve a questo scopo. Con questa opzione, viene generata una coppia di chiavi pubbliche/private tramite un algoritmo per autenticare l'identità del firmatario e mantenere la convalida del certificato. In questo modo, la firma è considerata non ripudiabile ed è legata all'identità del firmatario.

Il processo di firma digitale è molto più complicato rispetto alle firme elettroniche più semplici e dipende in larga misura dal caso d'uso.

Qual è lo scopo della firma digitale?

La firma digitale utilizza una chiave digitale sicura che certifica l'identità dell'autore di un messaggio digitale, di un modulo elettronico o di un documento. In questo modo i clienti hanno la certezza che i documenti firmati provengano da una fonte riconosciuta e che i loro documenti elettronici non siano stati falsificati o manomessi.

Diversi fornitori di servizi offrono firme digitali per affrontare una varietà di situazioni. DocuSign è uno dei più diffusi, così come Adobe. I certificati di firma dei documenti Adobe offerti da Sectigo consentono alle organizzazioni di proteggere i documenti Adobe Acrobat con la firma digitale. La certificazione proviene da Adobe Certified Document Services (CDS) o dalle autorità di certificazione che fanno parte dell'Adobe Approved Trust List (AATL). La certificazione attesta che il firmatario è stato verificato da Adobe per la conformità ai suoi requisiti e che il certificato risiede su hardware protetto.

Queste firme e, per estensione, i relativi certificati, sono stati sviluppati per contribuire a risolvere il problema dell'identità e della fiducia. Si tratta di una modernizzazione della firma notarile sui documenti fisici, di cui ci si fida da tempo. Una terza parte fidata, a sua volta controllata da un ente governativo, convalida e verifica l'identità del firmatario. Nel caso della firma digitale, la terza parte fidata, che potrebbe essere un'autorità di certificazione (CA) come Sectigo, detiene questa responsabilità.

Casi d'uso

Le firme digitali sono utilizzate in molti modi su Internet. Questi casi d'uso possono essere suddivisi in tre grandi categorie:

  • Attribuzione: se la firma è allegata a un file, a un messaggio o a un documento, si può essere legalmente certi che il proprietario della firma sia stato coinvolto. Non vi è alcun dubbio o rischio di ripudio e vi sarà anche una conservazione dei documenti che lascerà una traccia di controllo.
  • Autenticità: l'utilizzo di una firma significa che l'identità del firmatario è stata convalidata da una CA di terze parti, come Sectigo. Questo livello di convalida e autenticazione supporta l'attribuzione della firma.
  • Integrità: l'apposizione di una firma a un file, in particolare a un messaggio o a un'e-mail, informa il destinatario (umano o di sistema) che i dati non sono stati alterati o manomessi durante il trasporto. È importante notare che la firma in sé non ha alcuna misura di protezione, ma piuttosto indica al destinatario se è stata rilevata un'interferenza. Ciò consente al destinatario e al mittente di decidere con cognizione di causa come reagire, comprendendo meglio i possibili vettori di attacco.

La firma digitale è legalmente vincolante?

Le diverse giurisdizioni hanno spesso regole e normative leggermente diverse per quanto riguarda questo tipo di firma. Molte leggi interpretano le firme digitali come firme elettroniche qualificate (QES) o certificati elettronici sicuri. Per questo motivo, nella maggior parte dei casi in cui le firme elettroniche semplici sono accettate, lo sono anche le firme digitali. Un PDF firmato digitalmente è legale nella maggior parte delle giurisdizioni. Tuttavia, ci sono situazioni in cui la firma digitale e il processo ad essa associato possono essere considerati eccessivi.

Prima di decidere quale tipo di firma sia meglio utilizzare per voi o per la vostra organizzazione, fate riferimento alle normative locali e alle best practice del settore. In questa sezione, daremo uno sguardo di alto livello alla legalità negli Stati Uniti (U.S.) e nell'Unione Europea (UE).

Stati Uniti

Le firme digitali e le firme elettroniche in generale sono legalmente vincolanti negli Stati Uniti. Ciò è dovuto in gran parte a due normative, l'UETA (Uniform Electronic Transactions Act) redatto nel 1999 e l'ESIGN Act (Electronic Signatures in Global and National Commerce Act) approvato nel 2000.

Quando la commissione per le leggi uniformi ha creato l'UETA, intendeva creare un quadro giuridico che potesse essere utilizzato dagli Stati per emanare leggi simili sulle firme elettroniche a tutti i livelli. L'UETA ha fornito una base di standard minimi per tutto ciò che riguarda le modalità di creazione, trasferimento e conservazione dei documenti, nonché le tracce di controllo richieste lungo il percorso.

Prima dell'emanazione di queste leggi federali, esistevano solo leggi e quadri statali frammentari sulla legalità della firma digitale ed elettronica. Ciò ha complicato qualsiasi tipo di standardizzazione nazionale per le organizzazioni negli Stati Uniti.

Ad oggi, l'UETA è stata promulgata da 48 dei 50 Stati americani. New York e l'Illinois non hanno adottato direttamente il quadro normativo, ma hanno leggi proprie che affrontano i requisiti di firma in modo analogo.

Mentre l'UETA ha cercato di standardizzare i requisiti minimi per le leggi statali sulle firme elettroniche, l'ESIGN Act ha cercato di facilitarne l'adozione e l'accettazione. Questa legge ha garantito che le firme elettroniche qualificate possano essere utilizzate in quasi tutte le situazioni in cui è possibile utilizzare una firma autografa. Ciò include situazioni importanti come le prove nei processi civili e penali. Questa legge ha essenzialmente codificato la validità delle firme elettroniche e le ha definite come dichiarazioni di identità applicabili.

La legalità delle firme elettroniche e digitali negli Stati Uniti si basa su quattro pilastri principali:

  1. Intento - Questo aspetto non è diverso da quello di una firma autografa. Deve essere chiaro che il firmatario intende effettivamente apporre il proprio nome/identità sul documento elettronico. In questo caso, non si può costringere qualcuno a rinunciare e considerarla una firma legale.
  2. Consenso - Quando si firma un documento o un contratto elettronico, ogni parte che lo sottoscrive deve acconsentire specificamente alla firma elettronica. Senza questo consenso, l'uso della firma elettronica non può essere considerato valido, a meno che il firmatario non abbia optato per una data precedente e non abbia mai ritirato il proprio consenso.
  3. Accuratezza - Il metodo specifico utilizzato per apporre la firma elettronica non solo deve essere registrato, ma deve anche essere di comprovata accuratezza. Tale registrazione deve inoltre spiegare in modo esauriente il metodo utilizzato per creare e apporre la firma elettronica.
  4. Conservazione - La registrazione di una firma elettronica deve essere accuratamente riprodotta e disponibile per gli archivi di chiunque abbia diritto a tali dati. In questo modo si ottiene una traccia di controllo e si può accedere a qualsiasi documento necessario.

Unione Europea

L'Unione Europea (UE) ha emanato il regolamento eIDAS (electronic IDentification, Authentication, and Trust Services) nel 2014 per regolamentare le firme elettroniche, i vari processi coinvolti e gli enti normativi che si occupano dell'applicazione. eIDAS ha creato standard minimi per l'uso di diverse aree, tra cui le firme digitali, denominate certificazioni di firma qualificata all'interno della legislazione.

Le firme digitali previste da eIDAS offrono un grado di garanzia più elevato e alcune hanno lo stesso effetto legale di una firma con inchiostro umido. La conformità ai requisiti eIDAS richiede un certificato qualificato memorizzato in una delle diverse soluzioni di firma qualificata che devono essere emesse e gestite da un fornitore di servizi fiduciari qualificato (QTSP) come Sectigo.

I certificati qualificati di Sectigo consentono a individui e organizzazioni di firmare o sigillare documenti e di soddisfare i requisiti eIDAS.

I requisiti della firma digitale eIDAS includono:

  1. Identità - Il firmatario viene identificato e convalidato.
  2. Intento - Registrazione della comprensione del contenuto e dell'intenzione di firmare da parte del firmatario.
  3. Affidabilità - È affidabile e sicura per il caso d'uso specifico. Questo può significare
  • La manomissione o la modifica del contenuto o della firma viene rilevata e registrata.
  • Il processo o la soluzione utilizzati per creare la firma digitale sono gestiti esclusivamente dal firmatario e collegati solo alla sua identità.

Assicuratevi di soddisfare i requisiti legali per le firme digitali nel vostro Paese - scoprite le diverse offerte di certificati di firma di Sectigo, tra cui: Crittografia e-mail S/MIME, firma di codici e firma di documenti. Esplorate anche i nostri certificati eIDAS.

Scopri di più? Contattateci per prenotare una demo di Sectigo Certificate Manager!

Messaggi relativi:

7 diversi tipi di certificati SSL spiegati

Cosa succede quando il vostro certificato SSL scade e come rinnovarlo

Cos'è un certificato autofirmato e come crearlo