Quando firmiamo un documento, sottoscrivendolo con il nostro nome, rendiamo fermo quell’atto. Firmando, garantiamo l’autenticità, la provenienza, l’integrità e la validità del documento al suo destinatario.

Nel firmare, la nostra immaginazione evoca due elementi: la carta e la penna!

Ora, se proviamo oggi a convertire i due elementi in qualcosa di informatico altrettanto usabile, ecco quello che salta fuori:

La carta, con il suo contenuto testuale, si trasforma in un documento PDF e la penna nella firma digitale remota, due elementi caratterizzati da estrema semplicità d’uso, così come la carta e la penna, e specificatamente per il formato PDF, dalla larghissima diffusione del visualizzatore Adobe Reader gratuito.

I due momenti che caratterizzano il processo di approvazione e condivisione di un documento sono la firma e la sua verifica: la prima la appone chi sottoscrive il documento, la seconda la effettua chi lo riceve. Della “penna digitale” usabile (firma digitale remota, ndr.), coerentemente con il titolo del blog “firma facile”, abbiamo ampiamente parlato nei post precedenti, del documento e della sua verifica affrontiamo il tema qui di seguito con l’aiuto di Andrea Valle (Enterprise Solution Development Manager c/o Adobe Systems Europe, aka Adobe Guru).

La genesi

Al principio (correva l’anno 1999 …) fu il PKCS#7, meglio noto come p7m, interprete del documento “mensa.pdf.p7m” nel testo “Guida alla firma digitale” del CNIPA.  Un formato caratterizzato da numerose limitazioni d’uso (fra cui complicati cambi di formato ed estensioni con tanto di “imbustamenti” e “sbustamenti”) e che non ha brillato nel ruolo “don’t make me think“. Passano 7 lunghi anni e il CNIPA e Adobe Systems Inc. sottoscrivono un protocollo d’intesa al fine di introdurre nel nostro ordinamento la possibilità di utilizzare il formato di firma definito nelle specifiche PDF, attraverso il RFC 3778, in altre parole il formato PDF viene riconosciuto come formato di firma digitale opponibile a terzi. Il 16 febbraio 2006 rappresenta il giorno in cui la firma digitale e lo standard Portable Document Format (ISO/IEC 32000) iniziano il loro cammino insieme per determinare un successo ineguagliato (e ineguagliabile) nell’ambito della usabilità, interoperabilità e diffusione (a livello mondiale) del documento firmato digitalmente e/o elettronicamente.  Il sodalizio si consolida con la Deliberazione CNIPA n. 45 del 21 maggio 2009, che riconosce il formato PDF per la firma digitale come specifica pubblica e quindi non più in base alla stipula di un protocollo specifico con Adobe (in “tecnichese” parliamo di PAdES). Dalla versione 9 del prodotto Acrobat (nelle versioni Professional e Reader), è stata sviluppata un’utile funzione che permette di gestire automaticamente l’aggiornamento dei certificati usati dai certificatori accreditati in Italia, pubblicati dal CNIPA/DigitPA attraverso l’elenco pubblico dei certificatori accreditati. La società Adobe ha reso disponibile, come funzione nativa, la verifica delle firme digitali, oltre a consentire di poter utilizzare la versione gratuita di Adobe Reader per sottoscrivere con firma digitale (utilizzando i dispositivi di firma forniti dai certificatori accreditati) un documento PDF appositamente predisposto.

L’usabilità in formato PDF

Una tecnologia usabile …

In ambito “don’t make me think”, il formato PDF si contraddistingue per due importanti caratteristiche:

1. standard documentale de facto per lo scambio e la gestione dei documenti (non solo quelli firmati!), ampiamente condiviso e utilizzato da oltre il 90% degli utenti informatici in rete, e attraverso sistemi desktop di produttività individuale (MS Office, OpenOffice, ecc.);
2. “Portable Document Properties”: roaming di tutte le proprietà associate alla firma utili alla verifica di integrità (assenza di alterazioni dopo la sottoscrizione), autenticità/paternità, validità, nonchè datazione/marca temporale, per il riconoscimento del pieno valore legale del documento firmato.

La verifica della firma

La procedura di verifica della firma digitale apposta ad un documento informatico consiste sostanzialmente nel verificare che:

1. il documento non sia stato modificato dopo la firma;
2. il certificato del sottoscrittore sia garantito da una Autorità di Certificazione (CA) inclusa nell’Elenco Pubblico dei Certificatori pubblicato dal CNIPA/DigitPA;
3. il certificato del sottoscrittore non sia scaduto;
4. il certificato del sottoscrittore non sia stato sospeso o revocato.

In uno “struggente” passaggio contenuto nelle “Linee guida per l’utilizzo della Firma Digitale” del CNIPA (Versione 1.1 – maggio 2004), antecendente al riconoscimento dello standard PDF del 2006, c’è scritto:

Per eseguire queste verifiche (punti 1,2,3,4, ndr.), oltre che per rendere leggibile il contenuto del documento, sono utilizzati specifici software. Detti software sono forniti dai certificatori ai titolari dei certificati; coloro che non sono dotati di un kit di firma digitale possono altresì utilizzare dei software disponibili per uso personale a titolo gratuito: attualmente ne sono stati segnalati quattro, tre da installare sul proprio PC, il quarto disponibile via web. Detti software freeware sono stati resi disponibili dal CNIPA (Verifica_CT – www.cnipa.gov.it/), dalla Comped (DigitalSign – www.comped.it/), da Postecom (FirmaOK – www.poste.it/online/postecert), dalla società Digitaltrust (Sign’ncrypt – www.signncrypt.it) e da TrustItalia (Signo Reader – https://firmadigitale.trustitalia.it/). […] … nel caso in cui i software forniti non abbiano già i certificati delle CA caricati, è necessario scaricare dal sito preposto l’elenco pubblico che contiene detti certificati e procedere alla loro installazione.

Nonostante gli sforzi operati dal CNIPA e dalle CA, colpa anche della difficoltà di reperimento, gli “specifici software”, utili per la verifica della firma, non hanno avuto l’ampia diffusione sperata, mentre all’indomani del riconoscimento del formato PDF, come standard valido ai fini della firma digitale, la disponibilità diffusa, e già da tempo consolidata del verificatore gratuito Adobe Reader da parte della stragrande maggioranza degli utenti di personal computer, ha consentito in maniera facile e “indolore” la verifica della validità e delle caratteristiche della firma. A partire dalle versioni 8 e 9 di Adobe Acrobat e Adobe Reader, Adobe Systems Italia ha messo a disposizione un add-on per la firma digitale gratuito per Adobe Acrobat e Adobe Reader, che consente di verificare firme digitali apposte a documenti PDF secondo la specifica ISO 32000-1, nel rispetto dei requisiti della normativa vigente in Italia e nell’Unione Europea, inclusivo dell’ultimo Elenco Pubblico dei Certificatori Accreditati al CNIPA/DigiPA costantemente aggiornato nel tempo.

Mostra Proprietà Firme Digitali

• firma:
  • validità della firma;
  • controllo di revoca (certificato valido, scaduto, sospeso, o revocato);
• informazioni:
  • tipo di firma (digitale o elettronica);
  • nome del firmatario;
  • tipo di certificato;
  • tempo di conservazione del documento (10 anni, 20 anni, ecc.);
  • motivo;
  • associazione della firma alla revisione;
• marca temporale:
  • data e ora certe;
  • ente (CA) emittente.

Alcune delle altre caratteristiche di usabilità del formato PDF:

Gestione dell’aspetto visivo della firma digitale nel documento associabile a luogo e motivo della firma

Elemento che favorisce la riduzione del c.d. “digital divide” per coloro che non sono del tutto avvezzi alle tecniche informatiche e che spesso, con la gestione digitale dei documenti, temono di non vedere completamente rispettata l’espressione della loro volontà.

Accesso immediato al documento firmato

Il documento PDF firmato digitalmente rimane tale, senza cambiare formato e/o estesioni, come invece avviene per il formato P7M (vedasi il famoso file mensa.pdf.p7m) consentendo un accesso immediato (il tempo di avviare Adobe Reader!) ai documenti firmati.

Possibilità di associare una marca temporale alla firma

Lo scopo della marca temporale (fornita ed apposta da una CA) è stabilire in maniera affidabile, e senza possibilità di errore, il momento (data e ora) in cui è stato firmato un documento. Il formato PDF consente di associare la marca temporale ad una firma digitale in maniera del tutto trasparente per l’utente, che visualizza sempre un documento PDF senza “subire” cambi di formato, aggiunta di suffissi, o file esterni al documento.

Il formato PDF ha introdotto una tale semplificazione di processo nella creazione e veicolazione della documentazione firmata e la corrispondente verifica, che ad oggi risulta essere de facto l’unico standard di firma digitale mondialmente condiviso; il Portable Document Format è in grado di garantire una interoperabilità effettiva a livello nazionale ed internazionale, indipendentemente dal tipo di certificato (nazionale, europeo, worldwide), dal dispositivo di firma, o dall’applicazione di firma. Il grande impulso dato dal PDF alla diffusione dello strumento firma digitale ha determinato un enorme balzo in avanti, consentendo piena e libera circolazione dei documenti sottoscritti, facilmente verificabili (grazie alla disponibilità diffusa su tutti i Pc di Adobe Reader).

Per ulteriori approfondimenti: Adobe PDF per la firma digitale – Caratteristiche e applicazioni (a cura di Andrea Valle)