Le firme digitali sono come “impronte digitali”. Nella forma di un messaggio in codice, la firma digitale associa in modo sicuro un firmatario con un documento in una transazione registrata.
Le firme digitali utilizzano un formato standard accettato, chiamato Public Key Infrastructure (PKI), per fornire i massimi livelli di sicurezza e accettazione universale. Si tratta di un’implementazione tecnologica specifica della firma elettronica (eSignature).
Qual è la differenza tra una firma digitale e una firma elettronica?
L’ampia categoria di firme elettroniche (eSignatures) comprende molti tipi di firme elettroniche. La categoria comprende le firme digitali, che rappresentano un’implementazione tecnologica specifica delle firme elettroniche. Sia le firme digitali che le altre soluzioni di eSignature consentono di firmare i documenti e autenticare il firmatario. Tuttavia, vi sono differenze di scopo, implementazione tecnica, uso geografico e accettazione legale e culturale delle firme digitali rispetto ad altri tipi di firme elettroniche.
In particolare, l’uso della tecnologia di firma digitale per le firme elettroniche varia in modo significativo tra i paesi che seguono leggi eSignature aperte e neutrali dal punto di vista tecnologico, inclusi Stati Uniti, Regno Unito, Canada e Australia e quelli che seguono modelli di eSignature a livelli che preferiscono standard definiti localmente che si basano sulla tecnologia della firma digitale, compresi molti paesi dell’Unione europea, del Sud America e dell’Asia. Inoltre, alcune industrie supportano standard specifici basati sulla tecnologia della firma digitale.
Come funzionano le firme digitali?
Le firme digitali, come le firme autografe, sono uniche per ciascun firmatario. I fornitori di soluzioni di firma digitale, come DocuSign, seguono un protocollo specifico, chiamato PKI. PKI richiede al provider di utilizzare un algoritmo matematico per generare due numeri lunghi, chiamati tasti. Una chiave è pubblica e una chiave è privata.
Quando un firmatario firma elettronicamente un documento, la firma viene creata utilizzando la chiave privata del firmatario, che viene sempre conservata in modo sicuro dal firmatario. L’algoritmo matematico agisce come un cifrario, creando dati corrispondenti al documento firmato, chiamati hash e crittografando tali dati. I dati crittografati risultanti sono la firma digitale. La firma è anche contrassegnata con l’ora in cui il documento è stato firmato. Se il documento cambia dopo la firma, la firma digitale viene invalidata.
Ad esempio, Gianni firma un accordo per vendere una multiproprietà usando la sua chiave privata. L’acquirente riceve il documento. L’acquirente che riceve il documento riceve anche una copia della chiave pubblica di Gianni. Se la chiave pubblica non può decodificare la firma (tramite il codice da cui sono state create le chiavi), significa che la firma non è di Gianni, o è stata cambiata da quando è stata firmata. La firma è quindi considerata non valida.
Per proteggere l’integrità della firma, PKI richiede che le chiavi vengano create, condotte e salvate in modo sicuro e spesso richiede i servizi di un’autorità di certificazione (CA) affidabile. I fornitori di firme digitali, come DocuSign, soddisfano i requisiti PKI per la firma digitale sicura.
