Come funziona una firma elettronica?

Il principio generale

Il principio generaleUna firma elettronica non è un'immagine. Si tratta di unprocesso crittografico

che collega quattro elementi inseparabili: il documento, l'identità del firmatario, il momento della firma e la prova tecnica che nulla è stato successivamente modificato.Questo processo si basa su due pilastri: l'⬥⬥⬥ autenticazionedel firmatario e l'⬥⬥⬥ integritàdel documento.Passaggio 1: autenticare il firmatario

L'autenticazione consiste nello stabilire un collegamento tra la persona che firma e un'identità verificabile. Esistono diverse tecniche che possono essere combinate:

L'autenticazione consiste nello stabilire un collegamento tra la persona che firma e un'identità verificabile. Esistono diverse tecniche che possono essere combinate:

• Indirizzo email attendibile ⬥⬥⬥: viene inviato un collegamento univoco. Solo il proprietario dell'email può fare clic e firmare.Codice OTP (One-Time Password) ⬥⬥⬥: un codice monouso viene inviato tramite SMS. Il firmatario lo inserisce per dimostrare di possedere il numero di telefono associato.
• Certificato personale ⬥⬥⬥: per la firma qualificata, un certificato rilasciato da un fornitore di servizi qualificato comprova l'identità del firmatario.Il livello dei requisiti varia a seconda del livello di firma target: vedi
• le differenze tra i livelli ⬥⬥⬥.Passo 2: calcolo dell'impronta digitale crittografica

Prima di firmare, la piattaforma calcola unaimpronta digitaleimpronta digitale

(hash) del documento. È una sequenza univoca di caratteri che rappresenta il contenuto del file. Qualsiasi cambiamento, anche di un solo carattere, produce un'impronta completamente diversa.

L'impronta digitale è come la firma digitale del file: è piccola (poche decine di byte) ma ne garantisce l'integrità. Se qualcuno modifica il documento dopo la firma, l'impronta non corrisponde più: la firma viene invalidata.Passo 3: associare identità e impronta digitaleLa piattaforma crittografa l'impronta digitale con una

chiave crittografica

legata all'identità del firmatario (tramite la PKI per il QES, o tramite la piattaforma per il SES/AES). Il risultato è il

token di firma ⬥⬥⬥: un oggetto digitale che contiene sia:l'impronta digitale del documentol'impronta digitale del documentol'identificativo del firmatarioil timestamp preciso

• la firma crittografica stessa
• Questo token viene incorporato nel PDF finale secondo il formato
• PAdES
• (PDF Firme Elettroniche Avanzate), uno standard europeo. Concretamente, quando si apre un PDF firmato in Adobe Acrobat Reader, il lettore controlla automaticamente il token e visualizza "Firma valida" se tutto corrisponde.

Step 4: marca temporaleLaLa

marca temporale

collega la firma ad un orario preciso e verificabile. Una marca temporale qualificata emessa da un prestatore di servizi fiduciari fornisce la prova legale che il documento esisteva a quella data: un argomento decisivo in caso di controversia sulla data dell'impegno.Veditimestamp elettronico

per comprendere il ruolo e i livelli dei timestamp.Step 5: registrazione in audit trailAd ogni passaggio del ciclo di firma, la piattaforma registra un evento cronodatato:

invio della busta

invio della busta

• apertura da parte del firmatario (con IP e user-agent)
• inserimento dell'OTP
• firma effettiva
• eventuale rifiuto
• scadenza
• L'insieme costituisce la

audit trail(audit trail). Questa è la prova operativa del processo. È incluso nel PDF finale e conservato per 10 anni. Vedi(audit trail). Questa è la prova operativa del processo. È incluso nel PDF finale e conservato per 10 anni. Vediprova della firma elettronica ⬥⬥⬥.Cosa succede realmente dal lato firmatario

Dal punto di vista del firmatario, l'esperienza è minimalista:

Riceve un'e-mail con un collegamento.

1. Clicca e apre il documento nel suo browser.
2. Legge, poi clicca su “Firma”.
3. Per AES: inserisce un codice SMS ricevuto sul suo telefono.
4. È finita. Riceve una copia del PDF firmato.
5. È finita. Riceve una copia del PDF firmato.

Nessun account da creare, nessuna applicazione da installare, nessun certificato da generare (ad eccezione di QES). Tutto viene fatto in 1-3 minuti.

Cosa succede lato mittente

Il mittente controlla il processo dalla sua dashboard:

• invio del documento (PDF, conversione automatica se Word)
• inserimento dei destinatari e posizionamento dei campi per la firma
• scelta del livello e dell'ordine della firma (parallela o sequenziale)
• impostazione automatica promemoria e data di scadenza
• invio

In tempo reale, vede ogni busta passare da "inviata" ad "aperta" a "firmata". Webhook o notifiche push possono segnalare questi eventi a un CRM o HRIS.

In tempo reale, vede ogni busta passare da "inviata" ad "aperta" a "firmata". Webhook o notifiche push possono segnalare questi eventi a un CRM o HRIS.

• Perché la firma elettronica è difficile da falsificareImpronta digitale crittografica ⬥⬥⬥: qualsiasi modifica invalida la firma
• Autenticazione forte ⬥⬥⬥: senza accesso a e-mail E telefono (per AES), impossibile fingere di essere il firmatarioTraccia audit con timestamp ⬥⬥⬥: ogni passaggio è tracciato con IP e user-agent
• Traccia audit con timestamp ⬥⬥⬥: ogni passaggio è tracciato con IP e user-agentChiavi crittografiche ⬥⬥⬥: la chiave privata del firmatario (QES) non lascia mai il suo dispositivo hardware
• Archiviazione per 10 anni ⬥⬥⬥: la prova rimane disponibile per molto tempo dopo la firmaCome ti aiuta Certyneo
• In Certyneo, l'intera pipeline crittografica viene eseguita nel backend su server europei (Germania, IONOS): invio PDF, calcolo dell'hash SHA-256, integrazione del token PAdES, timestamp, salvataggio della traccia di controllo in un database PostgreSQL crittografato. Beneficerai di un processo conforme a eIDAS senza dover comprendere i dettagli tecnici.Scopri la soluzione di firma elettronica Certyneo

Scopri la soluzione di firma elettronica Certyneo

FAQ

Posso verificare una firma senza la piattaforma che l'ha emessa?

Sì. Un PDF firmato in formato PAdES può essere controllato da qualsiasi lettore PDF compatibile (Adobe Reader, pdfsig, ecc.). Anche se la piattaforma emittente scompare, la firma resta verificabile.

Cosa succede se modifico il PDF dopo averlo firmato?

La firma diventa non valida. Il lettore PDF visualizza l'avviso "Il documento è stato modificato dopo la firma" e l'impronta digitale non corrisponde più.

La firma diventa non valida. Il lettore PDF visualizza l'avviso "Il documento è stato modificato dopo la firma" e l'impronta digitale non corrisponde più.

Quanto dura una firma elettronica?

La firma rimane valida finché sono validi gli algoritmi crittografici utilizzati. Per garantire una validità a lungo termine vengono utilizzati formati PAdES-LTA (Long Term Archive) che includono timestamp qualificati rigenerati periodicamente.

Possiamo firmare più documenti contemporaneamente?

Sì. Una busta Certyneo può contenere diversi documenti che possono essere tutti firmati con un solo clic. Ogni documento mantiene la propria impronta ma la traccia di controllo è comune.

L'impronta digitale rivela il contenuto del documento?

L'impronta digitale rivela il contenuto del documento?

No. L'impronta digitale è una strada a senso unico: puoi calcolare l'impronta digitale dal documento, ma non trovare il documento dall'impronta digitale. Questa è una delle proprietà fondamentali delle funzioni hash crittografiche.

Conclusione

Una firma elettronica è un processo crittografico che collega in modo verificabile un firmatario, un documento, una data e un consenso. Il firmatario non deve capire nulla di tutto ciò: per lui si tratta di un clic e di un codice SMS. Per te è una prova solida, archiviata e utilizzabile.

Prova Certyneo per inviare, firmare e tenere traccia dei tuoi documenti online in modo semplice, rapido e sicuro.