Firma Digitale CAdES: Cos'e e Come Funziona
Guida completa alla firma digitale in formato P7M, dal funzionamento tecnico al valore legale
Cos'e la firma digitale CAdES
La firma digitale CAdES (CMS Advanced Electronic Signatures) e uno dei tre standard europei per la firma elettronica qualificata, definito dalla specifica tecnica ETSI TS 101 733. E lo standard che produce i famosi file con estensione .p7m che avvocati, commercialisti e dipendenti della Pubblica Amministrazione conoscono bene.
CAdES e basato sul formato PKCS#7/CMS (Cryptographic Message Syntax), uno standard crittografico sviluppato originariamente da RSA Laboratories. Il concetto e semplice: il documento originale viene "imbustato" in una struttura crittografica che contiene sia il file sia la firma e il certificato del firmatario.
Quando firmi un documento con CAdES, il risultato e un singolo file .p7m che contiene tutto: il documento, la firma crittografica e le informazioni sul certificato. Questo rende CAdES particolarmente robusto perche il documento firmato e la firma viaggiano sempre insieme -- non possono essere separati accidentalmente.
Come funziona tecnicamente
Il processo di firma CAdES si articola in diversi passaggi crittografici:
-
Calcolo dell'hash
Il software di firma calcola un'impronta digitale (hash) del documento originale utilizzando un algoritmo come SHA-256. Questa impronta e unica: qualsiasi modifica al documento, anche di un singolo bit, produrrebbe un hash completamente diverso.
-
Cifratura con chiave privata
L'hash viene cifrato con la chiave privata del firmatario, conservata nel dispositivo di firma (smart card, token USB o firma remota). Questo produce la firma digitale vera e propria.
-
Creazione della busta P7M
Il software assembla una struttura PKCS#7 che contiene: il documento originale, la firma cifrata, il certificato X.509 del firmatario (con la chiave pubblica), e metadati come la data e ora della firma.
-
Verifica
Chi riceve il file .p7m puo verificare la firma ricalcolando l'hash del documento e decifrandolo con la chiave pubblica del firmatario. Se i due hash coincidono, la firma e valida e il documento non e stato alterato.
Differenze tra CAdES, PAdES e XAdES
L'Unione Europea riconosce tre formati di firma elettronica avanzata, tutti con uguale valore legale. Ecco le differenze principali:
| Caratteristica | CAdES (.p7m) | PAdES (.pdf) | XAdES (.xml) |
|---|---|---|---|
| Formato output | File .p7m (busta PKCS#7) | File .pdf (firma nel PDF) | File .xml (firma nel XML) |
| Tipi di documento | Qualsiasi file | Solo PDF | Solo XML |
| Visualizzazione | Serve software apposito | Qualsiasi lettore PDF | Serve parser XML |
| Uso principale | PA, PEC, atti legali | Contratti, documenti | Fatturazione elettronica |
| Standard ETSI | TS 101 733 | TS 102 778 | TS 101 903 |
In Italia, CAdES e il formato piu diffuso nella Pubblica Amministrazione e nelle comunicazioni PEC, perche puo firmare qualsiasi tipo di file (non solo PDF o XML). PAdES e preferito per i contratti perche il documento resta visualizzabile come un normale PDF. XAdES e usato principalmente per la fatturazione elettronica (FatturaPA).
Valore legale in Italia
La firma digitale CAdES ha pieno valore legale in Italia e in tutta l'Unione Europea. Il quadro normativo si basa su due pilastri:
- Regolamento eIDAS (UE 910/2014) -- Definisce il quadro giuridico per le firme elettroniche in tutta l'UE. Una firma elettronica qualificata ha l'equivalente effetto giuridico di una firma autografa (Art. 25.2).
- Codice dell'Amministrazione Digitale (D.Lgs. 82/2005) -- La normativa italiana che recepisce eIDAS e regola le firme digitali nel contesto nazionale. L'articolo 21 stabilisce che il documento informatico sottoscritto con firma digitale ha l'efficacia prevista dall'art. 2702 del Codice Civile.
In termini pratici, un documento firmato digitalmente con CAdES:
- Ha lo stesso valore di un documento con firma autografa autenticata
- Fa piena prova fino a querela di falso (art. 2702 c.c.)
- E valido in tutti i Paesi dell'Unione Europea
- Garantisce l'integrita del documento (nessuna modifica dopo la firma)
- Garantisce il non ripudio (il firmatario non puo negare di aver firmato)
La catena di fiducia AgID
Affinche una firma digitale sia riconosciuta come qualificata in Italia, il certificato del firmatario deve essere stato emesso da un prestatore di servizi fiduciari qualificato (QTSP) iscritto nell'elenco gestito da AgID (Agenzia per l'Italia Digitale).
Questo elenco e la TSL (Trusted Service List), una lista XML pubblica che contiene tutti gli enti certificatori autorizzati. La TSL italiana e pubblicata all'indirizzo ufficiale AgID e viene aggiornata periodicamente.
Quando verifichi una firma digitale, il software controlla che:
-
Il certificato sia nella TSL
L'ente che ha emesso il certificato del firmatario deve essere presente nella Trusted Service List di AgID.
-
Il certificato sia valido
Il certificato non deve essere scaduto ne revocato al momento della firma.
-
La firma sia integra
L'hash del documento deve corrispondere a quello firmato crittograficamente.
DocKit, sia nella versione web che nell'app mobile, esegue questa verifica automaticamente confrontando il certificato con la TSL AgID che include oltre 500 enti certificatori italiani.
Principali enti certificatori in Italia
In Italia operano diversi prestatori di servizi fiduciari qualificati (QTSP) autorizzati da AgID. I principali sono:
- Aruba PEC S.p.A. -- Uno dei maggiori provider italiani, offre firma digitale remota e su smart card.
- InfoCert S.p.A. -- Societa del gruppo Tinexta, fornisce i certificati per Dike e LegalMail.
- Poste Italiane -- Offre firma digitale PosteCert tramite gli uffici postali.
- Namirial S.p.A. -- Provider di firma digitale e fatturazione elettronica.
- Actalis S.p.A. -- Societa del gruppo Aruba, certificatore per aziende e professionisti.
- Telecom Italia Trust Technologies -- Servizi di firma digitale per grandi aziende e PA.
Tutti questi enti sono presenti nella TSL AgID e i certificati da loro emessi sono riconosciuti da DocKit per la verifica della firma digitale.
