Firma

Preparazione del documento

Per poter apporre una firma elettronica, necessaria nella maggior parte dei casi per trasmettere atti scritti in forma elettronica all’interno dell’Amministrazione, il documento deve essere innanzitutto convertito in un formato adeguato. In pratica si tratta solitamente del formato PDF o, preferibilmente, della sua variante archiviabile PDF/A.

È possibile convertire un documento con la funzione «Print-to-PDF» di Microsoft, con i prodotti Microsoft Office, con LibreOffice (freeware) o con uno dei tanti programmi gratuiti (freeware) di conversione in PDF.

Ai fini della trasmissione di atti scritti per via elettronica alle autorità, il formato PDF/A (ISO 32000-x, ISO 19005-x, ISO 14289) non è obbligatorio ma raccomandato, anzi auspicato.

I collaboratori dell’Amministrazione federale generalmente creano documenti PDF/A utilizzando funzioni del sistema di gestione degli affari (GEVER) o applicazioni specifiche.

Apposizione della firma

Per apporre una firma elettronica su un documento è necessario un programma o un servizio di firma. I programmi e i servizi utilizzati per firmare i documenti PDF spesso dispongono soltanto di una funzione di «firma» standard, ma talvolta anche di una funzione di «certificazione» (con o senza le opzioni indicate di seguito). Secondo gli standard PDF, la «firma di certificazione» serve a garantire l’integrità e l’origine di un documento. Può essere apposta sui documenti solo come prima firma o firma unica. Tuttavia, non ha il valore legale richiesto per approvare il contenuto del documento o confermare la dichiarazione di volontà del firmatario. All’interno dell’Amministrazione federale, i servizi di firma non permettono di apporre «firme di certificazione».

Nota per i pubblici ufficiali

I programmi di firma che dispongono della funzione di «certificazione» offrono generalmente tre opzioni:
opzione 1= dopo la certificazione non è più possibile modificare la firma o aggiungere altre firme al documento;
opzione 2= dopo la certificazione si possono aggiungere soltanto firme con la funzione di «firma»;
opzione 3= dopo la certificazione si possono aggiungere soltanto firme con la funzione di «firma» e annotazioni.

Se su un documento è apposta una «firma di certificazione» secondo l’opzione 1, non è ad esempio possibile apporre sugli atti elettronici la conferma di ammissione al Registro svizzero dei pubblici ufficiali sotto forma di sigillo elettronico regolamentato senza violare o invalidare la precedente firma qualificata del pubblico ufficiale. A seguito dei problemi riscontrati in questo contesto nel 2022, a partire dalla versione 1.06 il programma Cygillum è stato modificato affinché dall’inizio del 2023 gli atti corredati di una «firma di certificazione» siano rifiutati, a prescindere dall’opzione scelta.

Scelta e ottenimento di un certificato

Per poter firmare elettronicamente un documento è necessaria una chiave di firma con relativo certificato. I certificati prescritti dalla legge sulla firma elettronica (FiEle; RS 943.03) sono il certificato qualificato personale e il sigillo elettronico regolamentato per le organizzazioni. È preferibile scegliere un certificato qualificato se le firme eseguite con esso devono godere del massimo livello di fiducia, disporre del massimo valore probatorio e soddisfare anche il requisito della firma scritta secondo gli articoli 12–14 del Codice delle obbligazioni (CO, RS 220).

Il personale dell’Amministrazione federale deve ottenere i certificati attraverso la Swiss Government PKI (SG-PKI) dell’UFIT, il prestatore di servizi riconosciuto conformemente alla FiEle. La SG-PKI rilascia tuttavia i certificati soltanto all’Amministrazione. Le persone che non lavorano per l’Amministrazione devono rivolgersi a uno dei tre prestatori di servizi di certificazione privati riconosciuti (ulteriori informazioni sono disponibili alla pagina Prestatori di servizi privati).

Le persone che intendono ottenere un certificato qualificato devono dimostrare la propria identità secondo quanto prescritto dalla legge, ad esempio presentando la carta di identità o il passaporto al prestatore di servizi di certificazione riconosciuto, oppure sulla base di una procedura di video identificazione, anch’essa disciplinata dalla legge. Il certificato è registrato localmente sulla smartcard oppure depositato, o generato di volta in volta, su un cosiddetto servizio di firma remota.

Se il diritto applicabile richiede una firma elettronica valida nell’area dell’UE, occorre scegliere un prestatore di servizi di certificazione che sia riconosciuto anche conformemente al regolamento sull’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS). Al momento di apporre la firma tramite il servizio di firma remota di uno di questi prestatori, si può scegliere di volta in volta se firmare con un certificato regolamentato o qualificato secondo il diritto svizzero oppure con un certificato secondo il diritto europeo. Tutti i tre prestatori propongono anche certificati qualificati secondo il diritto europeo.

Certificati locali su smartcard

Oggi i certificati su smartcard sono piuttosto un’eccezione poiché non possono essere impiegati sui tablet e sugli smartphone. È possibile però ottenere ancora certificati locali su smartcard presso i prestatori riconosciuti secondo la FiEle.

Per poter firmare con certificati locali, sono necessari i cosiddetti driver per i lettori di smartcard (nella maggior parte dei casi una chiavetta USB) e per la smartcard stessa, così come un’applicazione installata localmente per la firma, ad es. Adobe Acrobat Reader. Nell’applicazione per la firma deve essere configurato un sistema di marcatempo che alleghi alla firma qualificata anche la marca temporale. Chiedete al vostro prestatore se avete bisogno di un driver sulla vostra piattaforma di sistema (Windows, Apple, Linux) e come configurare il sistema di marcatempo.

Uso di servizi di firma remota

Tutti i prestatori di servizi di certificazione riconosciuti dispongono di servizi centrali di firma remota in Internet. Questi servizi possono contenere certificati per una persona identificata o generare, a ogni processo di firma, un certificato di breve durata per la persona identificata dal sistema (la firma apposta in questo modo mantiene così la sua validità).

Durante il processo di firma, l’hash (impronta digitale del documento) viene firmato con la chiave di firma e con il certificato corrispondente memorizzato sul servizio di firma remota. A seconda del servizio, è necessario inserire un PIN sullo smartphone utilizzando un’applicazione o la Mobile ID. L’hash firmato viene quindi inviato nuovamente all’applicazione dell’utente finale che controlla il processo e inserisce la firma generata nel documento. La Mobile ID può essere attivata su tutti gli smartphone con una carta SIM di un operatore svizzero di telefonia mobile.

A seconda del servizio di firma remota e dell’applicazione

  • il documento da firmare deve essere caricato su un’applicazione web che controlla tutto il processo di firma e inserisce la firma nel documento. Al termine, il documento viene scaricato; oppure
  • un’applicazione di firma installata localmente crea soltanto l’hash del documento, che è inviato al servizio di firma remota per essere firmato e rimandato all’applicazione locale. L’applicazione aggiunge poi l’hash al documento. In questo caso, il documento rimane sempre salvato localmente e non è mai trasmesso.

Se occorre garantire un elevato grado di confidenzialità o se le regole deontologiche (ad es. nel caso di avvocati, notai, fiduciari ecc.) vietano di caricare documenti con contenuti confidenziali su un’applicazione web centrale, per fare in modo che il documento non venga mai trasmesso si deve optare per un certificato locale su smartcard in combinazione con un’applicazione locale per la firma oppure per un servizio di firma remota che utilizzi un’applicazione locale.

20200422-Characterdesign.V3.0_incircle.V2
https://www.bit.admin.ch/content/bit/it/home/temi/elektronische-signatur/signieren.html