Autenticazione del firmatario: modalità e problematiche

Perché l'autenticazione è fondamentale

L'autenticazione del firmatario è ilanello più deboledella catena delle prove. Senza di essa è impossibile provare chi ha effettivamente firmato. Una moderna piattaforma di firma deve offrire diversi meccanismi graduali.

Metodi disponibili

E-mail attendibile

Il firmatario riceve un collegamento univoco al proprio indirizzo e-mail. Solo il titolare della scatola può fare clic. Semplice, efficace per il SES.

Rischio residuo: furto di account di posta elettronica. Accettabile per documenti a bassa posta in gioco.

OTP tramite SMS

Codice monouso inviato al numero di telefono. Combinato con e-mail = AES.

Rischio residuo: scambio SIM (raro ma noto per obiettivi di alto valore).

OTP per app

Codice generato da un'app (Google Authenticator, Authy, Twilio Authy). Più sicuro degli SMS per la posta in gioco alta.

Biometria

Impronte digitali, riconoscimento facciale. Utilizzato su dispositivi mobili per semplificare l'esperienza. Non archiviato sul lato server (conformità GDPR).

Certificato personale

Certificato crittografico emesso da un QTSP, memorizzato su un dispositivo (YubiKey, smart card). Obbligatorio per QES.

VideoKYC

Verifica dell'identità tramite videoconferenza o registrazione. Utilizzato per i settori regolamentati (bancario, assicurativo).

Identità digitale nazionale

FranceConnect+, itsme (Belgio), SPID (Italia). Riconosciuto come livello “sostanziale” da eIDAS.

Livelli di garanzia (LoA)

eIDAS definisce tre livelli:

Livello | Requisito | Esempio

Basso | E-mail o equivalente | IL SUO

Sostanziale | Doppio fattore | AES (e-mail + OTP)

Alto | Verifica rigorosa dell'identità | QES, video KYC

Allineamento con il problema

• Documento interno, ordine di acquisto: Un LoA basso (SES) è sufficiente
• Contratto di lavoro, locazione, NDA: LoA sostanziale (AES)
• Atto notarile, mercato pubblico: LoA elevato (QES)

Errori comuni

• Usa SES per tutto (sottodimensionato)
• Impilamento delle autenticazioni inutilmente (attrito)
• Non registrare i metodi utilizzati (evidenza indebolita)
• Raccogliere troppi dati biometrici (GDPR)

Protezione contro gli attacchi

• Phishing: istruire i firmatari a verificare il mittente
• L'uomo nel mezzo: TLS 1.3 richiesto
• Scambio SIM: OTP tramite app per puntate molto alte
• Video deepfake KYC: controlli di vitalità + controllo incrociato

Caso concreto: neo-banca

Processo di apertura del conto:

1. E-mail attendibile
2. SMS OTP
3. Carica documento di identità
4. Test di vitalità (selfie)
5. Controllo incrociato delle basi sanzionatorie
6. Firma AES

LoA: sostanziale. Conforme all'ACPR. Processo in 10 minuti.

Come Certyneo ti aiuta

Certyneo offre tutti i meccanismi comuni: e-mail, SMS OTP (tramite Twilio Verify), integrazione di certificati qualificati per QES, video KYC opzionale, integrazione FranceConnect+. Ciascun metodo viene registrato nell'audit trail.

Scopri la soluzione di firma elettronica Certyneo

FAQ

Gli SMS sono abbastanza sicuri?

Per AES sì. Per una posta in gioco molto alta, preferisci l'app OTP o la biometria.

I dati biometrici vengono archiviati?

Lato server no (conformità GDPR). I modelli rimangono sul dispositivo.

Possiamo combinare più metodi?

Sì, per rafforzare le prove.

FranceConnect+ è riconosciuto?

Sì, livello sostanziale. Può attivare AES e QES.

Cosa succede se l'OTP scade?

Il firmatario può richiederne uno nuovo. Sono in vigore limiti anti-forza bruta.

Conclusione

Una buona autenticazione è valutata, tracciata e adattata al problema. Un'autenticazione eccessiva crea attrito; la sottoautenticazione indebolisce la prova. Il saldo si trova documento per documento.

Prova Certyneo per inviare, firmare e tenere traccia dei tuoi documenti online in modo semplice, rapido e sicuro.