Come apporre la firma digitale

di Salvatore Aranzulla
La firma digitale è uno strumento attraverso il quale professionisti, aziende e privati cittadini
possono attribuire valore legale ai documenti firmati sul computer. È l'equivalente elettronico della
firma elettronica. Si basa su tre principi fondamentali: autenticità, integrità e non ripudio in
quanto i documenti firmati sono integri – nel senso che non hanno subìto modifiche dopo la firma –
e sono riconducibili a una specifica persona che non può ripudiarne la paternità.

Per ottenere la firma digitale occorre acquistare un apposito kit da aziende private, definite
generalmente enti certificatori. Il kit in questione è composto da uno o più dispositivi hardware, un
certificato di firma digitale (generalmente fornito tramite smart card e con una validità di tre anni) e
da un software che consente di applicare la firma ai documenti elettronici. Il software può essere
fornito "di serie" con il kit o può essere disponibile per il download sul sito dell'ente certificatore. I
tipi file a cui è possibile applicare la firma digitale sono molteplici: si va dai classici PDF ai
documenti di Word. In sede di applicazione della firma, poi, è possibile scegliere un tipo di file da
ottenere come output; ma di questo parleremo meglio tra un po'.

Altra cosa importante da sapere è che per utilizzare un kit di firma digitale bisogna verificare la
propria identità (tramite un'apposita procedura che prevede il riconoscimento dell'utente de visu,
cioè in prima persona) e bisogna attivare il kit tramite il sito dell'ente certificatore. Lo so, detta così
sembra un'operazione complicatissima, ma in realtà ti assicuro che le cose stanno in maniera
diversa: è tutto molto più semplice di quel che sembra. Se non ci credi, prenditi cinque minuti di
tempo libero e scopri come apporre la firma digitale grazie alle indicazioni che sto per darti.

Indice
 Cos'è la firma digitale (differenze con la firma elettronica)
 I kit di firma digitale
 Come ottenere la firma digitale
 Come usare la firma digitale

Cos'è la firma digitale (differenze con la firma elettronica)

Prima di entrare nel vivo del tutorial e vedere in dettaglio come apporre la firma digitale, è bene
fare un po' di chiarezza sulla definizione tecnica di questo strumento e sulla sua differenza con la
firma elettronica. Volendo arrivare subito al succo del discorso, possiamo dire che la firma digitale
è una firma elettronica che ha un valore legale certo, ma meglio essere più precisi e sottolineare le
differenza fra i vari tipi di firma elettronica.
 Firma elettronica – è il tipo di firma più semplice e non ha un valore legale intrinseco (in quanto
non prevede l'uso di strumenti capaci di garantire l'autenticità e l'integrità dei documenti firmati).
Spetta a un giudice valutare, di caso in caso, l'autenticità di un documento firmato tramite firma
elettronica semplice.
 Firma elettronica avanzata – è una firma elettronica generata con mezzi che consentono di
dimostrare l'integrità del documento, sui quali il firmatario ha un controllo diretto ed esclusivo (es.
un tablet di proprietà del firmatario). Ha valore legale certo, eccetto che nei contratti immobiliari.
 Firma elettronica qualificata – è una delle forme più avanzate di firma elettronica. Viene
applicate con strumenti qualificati, come ad esempio i kit di firma che si acquistano dagli enti
certificatori, quindi ha pieno valore legale e certifica sia l'originalità che l'integrità dei documenti
firmati.
 Firma elettronica digitale – è una firma elettronica avanzata che prevede l'utilizzo di sistemi
crittografici asimmetrici, cioè di sistemi di crittografia in cui una coppia di chiavi (una pubblica e
una privata) viene usata per verificare l'integrità e l'originalità dei documenti firmati. Ha pieno
valore legale.
Molti kit di firma elettronica digitale (o firma elettronica qualificata) includono anche la Carta
Nazionale dei Servizi (CNS): un certificato che consente di verificare la propria identità nelle
comunicazioni con la Pubblica Amministrazione, ad esempio sul sito dell'Agenzia delle Entrate o
sui portali che alcuni professionisti, ad esempio gli avvocati, devono usare obbligatoriamente per
lavoro.

Infine, una cosa a cui tengo molto: la firma elettronica non va confusa con la PEC, che non
permette di firmare i singoli documenti, bensì permette di assegnare valore legale ai messaggi che si
scambiano tramite posta elettronica. Te ne ho parlato più in dettaglio nel mio tutorial su come
registrare un indirizzo PEC.

I kit di firma digitale

Come detto in apertura del post, per usare la firma digitale occorre acquistare un apposito kit. Ci
sono vari tipi di kit e i loro prezzi variano generalmente fra i 30 e i 60 euro. I kit più semplici da
utilizzare sono quelli in formato USB, i quali si possono suddividere in token USB e key all-in-
one: i primi permettono di usare delle smart card in formato SIM con dei piccoli lettori simili a
penne USB e prevedono il download del software di firma separatamente; le key all-in-one, invece,
fungono da token USB e al loro interno includono sia la smart card con il certificato di firma sia il
software per l’applicazione di quest'ultima. In alternativa ci sono i kit più tradizionali che sono
composti da una smart card in formato carta di credito con il certificato di firma e un lettore smart
card da tavolo. In entrambi i casi, il certificato di firma ha una validità media di 3 anni che va
rinnovata in prossimità della scadenza.

Sono poi disponibili dei sistemi di firma digitale remota che consentono di firmare i documenti da
qualsiasi dispositivo senza utilizzare componenti hardware specifici (si basano sull'utilizzo di una
smart card virtuale). Di solito vengono forniti insieme a una chiavetta che genera delle password
temporanee (simile a quelle che usano molte banche per i propri servizi online) ma, volendo, le
password in questione possono essere generate anche tramite app per smartphone o tramite
SMS. Sta a te scegliere qual è la soluzione più adatta alle tue esigenze.

Come ottenere la firma digitale

Per acquistare un kit di firma digitale (firma elettronica digitale o firma elettronica qualificata), devi
collegarti al sito Internet di un ente certificatore e scegliere il kit che ti sembra più adatto alle tue
esigenze. I kit più costosi sono quelli che comprendono le chiavette USB all-in-one, mentre quelli
più economici sono quelli composti da smart card e lettore di smart card. Se sei già in possesso di
un lettore di smart card o di un token USB, puoi anche acquistare il solo certificato di firma digitale
risparmiando un bel po' di soldi.
 Fra gli enti certificatori più popolari del momento ti segnalo Aruba, Poste Italiane e InfoCert che
offrono delle ottime soluzioni per la firma digitale a prezzi abbordabili, ma ci sono anche altre
aziende a cui puoi rivolgerti: trovi l'elenco completo sul sito dell'Agenzia per l'Italia Digitale. Se poi
sei titolare di un'impresa, sappi che puoi richiedere un kit di firma digitale anche alla Camera di
Commercio della tua città. Gli step necessari ad acquistare e a attivare un kit di firma
digitale sono fondamentalmente tre.

 Acquisto del kit – come già detto, il primo passo che devi compiere è collegarti al sito Internet di
un ente certificatore e acquistare il kit di tuo interesse. Per completare l'operazione dovrai creare un
account sul sito dell'ente certificatore e fornire tutti i tuoi dati personali più un metodo di pagamento
valido (carta di credito, carta ricaricabile o PayPal).
 Verifica dell'identità – per utilizzare il kit di firma digitale devi verificare la tua identità. La
verifica va fatta de visu, quindi di persona, andando in Comune (con acquisto di marca da bollo),
nella sede di un corriere, in un ufficio postale, oppure si può fare a domicilio tramite il postino che
consegna il kit.
 Attivazione del kit – dopo aver fornito tutta la documentazione necessaria e aver verificato la tua
identità, devi collegarti nuovamente al sito dell'ente certificare e attivare il tuo kit fornendo il seriale
della smart card, il codice fiscale e altri dati ottenuti in seguito alla verifica dell'identità.
Per informazioni più dettagliate su tutti e tre i passaggi appena elencati, consulta la mia guida
su come ottenere la firma digitale.

Come usare la firma digitale

In seguito alla verifica dell'identità e all'attivazione del kit, puoi cominciare ad apporre la firma
digitale sui tuoi documenti. Per apporre la firma digitale, però, potresti dover scaricare i driver e
i software di firma dal sito Internet dell'ente certificatore. Questi sono i link alle pagine di
download dei principali enti certificatori.

 Driver e software di firma digitale Aruba

 Driver e software di firma digitale Postecert
 Driver e software di firma digitale InfoCert
A download effettuato, per installare driver e software di firma, non devi far altro che estrarli
dai pacchetti zip in cui sono contenuti, avviare i loro eseguibili (es. setup.exe se utilizzi Windows
o nomefile.pkg se utilizzi macOS) e seguire le indicazioni su schermo. Generalmente basta cliccare
sempre su Avanti/Continua e il gioco è fatto.

Il download dei driver e del software di firma è necessario per i lettori di smart card, per i token
USB ma non per le chiavette USB all-in-one, che invece includono anche i software di firma e non
necessitano di driver per poter funzionare. Se hai acquistato un kit dell'ultimo tipo, salta pure questa
fase e vai avanti.

Firmare un documento

Quando sei pronto a firmare un documento elettronico, avvia il software di firma incluso nel tuo kit
(o che hai scaricato separatamente dal sito Internet dell'ente certificatore), clicca sul pulsante di
firma e seleziona il file sul quale apporre la firma digitale. Come già anticipato in precedenza, puoi
selezionare un file PDF, un documento di Word o altri documenti.
 Nella finestra che si apre, inserisci quindi il PIN della smart card che contiene il tuo certificato di
firma digitale (oppure la tua password se hai acquistato un kit di firma remota) e seleziona il tipo
di file di output che intendi ottenere. Puoi scegliere fra varie tipologie di file.

 Busta crittografia P7M (CAdES) – selezionando quest'opzione otterrai un file in formato P7M
contenente il documento originale e i file della firma digitale.
 PDF – selezionando quest'opzione, che come facilmente intuibile è disponibile solo per i file in
formato PDF, otterrai un file PDF con la firma digitale inclusa. La firma può essere invisibile o
grafica, cioè visibile.
 XML (XAdES) – anche quest'opzione crea un file in formato P7M.
Dopo aver selezionato la tipologia del file di output, puoi avviare direttamente l'applicazione della
firma digitale cliccando sull'apposito pulsante oppure puoi scegliere di applicare una marca
temporale (timestamp) o una password per cifrare il file. La marca temporale è una certificazione
che permette di verificare la data e l'ora in cui è stato firmato un documento, estende il valore legale
di quest'ultimo mantenendolo valido anche in caso di scadenza del certificato di firma. La cifratura,
invece, permette invece di limitare l'accesso al documento consentendone l'apertura solo mediante
l'utilizzo di una chiave pubblica da parte di destinatari selezionati.

Se vuoi maggiori informazioni sul funzionamento del kit di firma che hai acquistato, ti consiglio
vivamente di fare un salto sul sito Internet dell'ente certificatore: lì troverai sicuramente una
documentazione dettagliata che illustra tutte le funzionalità del software. Di seguito trovi i link per
accedere alle guide ufficiali dei principali kit di firma digitale: Aruba, Postecert e InfoCert.
Nota: se hai acquistato un kit di firma remota, prima di firmare i tuoi documenti dovrai accedere
alle impostazioni del software di firma e inserire i dati di autenticazione del tuo certificato. Ad
esempio, nel software di firma Aruba bisogna andare su Opzioni e parametri e inserire il proprio
username nella scheda Firma remota.

Usare il certificato di firma in applicazioni di terze parti

I kit di firma digitale in formato chiavetta USB, quelli che funzionano senza driver e includono
anche i software di firma, funzionano in modalità HID (Human Interface Device) ma
all’occorrenza è possibile convertirle in dispositivi CCID, cioè in comuni lettori di smart card che
permettono di firmare i documenti con software alternativi rispetto a quelli inclusi nel kit, come ad
esempio Adobe Acrobat, LibreOffice o Microsoft Office.

Se vuoi convertire un kit di firma USB in un dispositivo CCID, devi avviare il software di gestione
di quest'ultimo e richiamare l'apposita opzione. Ad esempio, se utilizzi una key USB di Aruba devi
cliccare sulla voce Utilities e selezionare l'opzione "Import" Certificato dalla schermata che si
apre, mentre se utilizzi un kit di firma Postecert devi andare su Gestione chip e selezionare
l'icona HID<>CCID. Dopo aver selezionato l'opzione per convertire il kit di firma in dispositivo
CCID, devi seguire le indicazioni su schermo ed entro pochi clic l'operazione sarà conclusa.
Adesso devi configurare il certificato di firma digitale nel software "alternativo" con cui intendi
firmare i tuoi documenti. Se vuoi utilizzare Adobe Acrobat, apri quest'ultimo, vai nel
menu Modifica > Preferenze e seleziona la voce Firme dalla barra laterale di sinistra.

Successivamente, fai clic sul pulsante Altre… che si trova nel campo Identità e certificati
affidabili, espandi la voce ID digitali, vai su Moduli e token PKCS, pigia sul pulsante Aggiungi
modulo e seleziona il file per l'utilizzo del kit di firma in modalità CCID (detto modulo PKCS): a
seconda del kit in tuo possesso, dovrebbe
essere C:\Windows\System32\bit4ipki.dll, C:\Windows\System32\
bit4opki.dll o X:\System\Firma4NG_Windows\Firma4.

Per concludere, seleziona il modulo PKCS dal campo Moduli e token PKCS, effettua
il login inserendo il PIN del tuo certificato di firma e firma i tuoi documenti usando l'apposita
funzione di Acrobat. Maggiori info qui.
Se preferisci utilizzare LibreOffice o OpenOffice, puoi richiamare la funzione dedicata alle firme
digitali nel menu File (in alto a sinistra), mentre se vuoi usare Microsoft Word devi andare nel
menu File e devi selezionare la voce Aggiungi firma digitale dal menu Proteggi documento.
Per utilizzare i certificati di firma digitale in applicazioni come LibreOffice, OpenOffice e
Microsoft Office, potrebbe essere necessario importarli prima nei browser Web; operazione che tra
l’altro abilita anche alla firma dei moduli online.

Per importare un certificato in Firefox, clicca sul pulsante ≡ collocato in alto a destra, seleziona la
voce Opzioni dal menu che compare e vai su Avanzate > Certificati per poi cliccare sul
pulsante Dispositivi di sicurezza. Per compiere la stessa operazione in Internet Explorer, collegati
alla pagina Web fornita dall’ente certificatore e segui le indicazioni presenti su schermo. Potresti
dover scaricare e installare un piccolo software. Per maggiori informazioni, consulta le guide
ufficiali di Aruba, Postecert e InfoCert.

Quando hai finito di firmare i tuoi documenti con Acrobat, LibreOffice o Microsoft Office, rimuovi
la chiavetta USB con la firma digitale dal computer e il kit, dall’utilizzo successivo, dovrebbe
tornare a funzionare in modalità HID. Qualora così non fosse, recati nel pannello di controllo di
Windows o nel menu delle applicazioni di macOS e cancella i software che si sono installati quando
hai attivato la modalità CCID del kit (es. Ak Switcher per le chiavette di Aruba).

Se arrivato a questo punto del tutorial non sei ancora riuscito ad apporre la firma digitale, prova a
contattare il supporto tecnico dell’ente certificatore. Potrebbero esserci problemi con il tuo kit o
errori di configurazione che hai tralasciato in fase di installazione del dispositivo o del certificato.