Nell’ultimo post abbiamo dato un’occhiata ai termini che, dalla A alla F, caratterizzano i trust services e i loro dintorni.
Ora, proviamo a completare questo glossario sulla Firma Digitale con la parte restante dell’alfabeto.
LOGIN
È il termine che indica la procedura di autenticazione per l’accesso a un sistema informatico, tramite l’inserimento – da parte dell’utente – di un codice identificativo (nome utente, username o user ID) e di una parola d’ordine (in forma di password, OTP o passphrase).
MARCA TEMPORALE
La marca temporale è un servizio offerto da un certificatore accreditato (la TSA – Time Stamp Authority), che consente di associare data ed ora, certa e legalmente valida, ad un documento informatico, permettendo una validazione temporale del documento opponibile a terzi.
Se applicata ad un documento firmato digitalmente, nei casi in cui il certificato di una Firma Digitale dovesse scadere o venire revocato, con la marca temporale è possibile attestare che il momento di apposizione della Firma Digitale sia antecedente alla scadenza o alla revoca del certificato stesso. Quindi un documento provvisto di Firma Digitale e marca temporale ha anche valore probatorio (può cioè fungere da prova verso terzi).
PASSWORD, OTP E PASSPHRASE
Con password s’intende una stringa di caratteri alfanumerici e speciali, senza spazi e generalmente di lunghezza compresa tra 8 e 16 caratteri, che abbinata al Nome utente (Username o user ID) consente l’autenticazione e l’accesso esclusivo a un sistema informatico o la cifratura di un documento informatico.
Le OTP (One Time Password) sono password dinamiche “usa e getta”, generate da appositi dispositivi (es. token) o App, valide per un tempo limitato e non riutilizzabili.
La passphrase, invece, è statica come la password tradizionale (quindi, riutilizzabile fin quando l’utente non decida di modificarla o il sistema glielo richieda) ma di lunghezza superiore.
PIN
Letteralmente “Personal Identification Number”, cioè “Numero Identificativo Personale”, è una stringa di caratteri numerici associata a un dispositivo o a un servizio. L’utente deve digitarlo per dimostrare, in fase di verifica, di essere il titolare di quel dispositivo o servizio. Ad esempio, il PIN associato a una Firma Digitale consente al suo titolare di apporla a un determinato documento.
QTSP
È l’acronimo di “Qualified Trust Service Provider”, cioè “Prestatore di Servizi Fiduciari Qualificati”. È un soggetto accreditato al rilascio di certificati qualificati conformi alle norme europee e, in particolare, ad eIDAS. I QTSP sono presenti in tutti gli Stati membri dell’UE.
In Italia, il loro accreditamento avviene ai sensi dell’articolo 29 del CAD, secondo cui il soggetto deve presentare all’AgID un’apposita richiesta, corredata dal report di accertata conformità da parte di ACCREDIA, l’organismo di valutazione nazionale.
L’elenco dei soggetti accreditati viene pubblicato e costantemente aggiornato da AgID, analogamente a quanto avviene negli altri Stati UE ad opera dei rispettivi organismi: un apposito elenco della Commissione europea, disponibile online, consente la facile individuazione di tutti i QTSP in Europa.
InfoCamere è stata riconosciuta come QTSP delle Camere di Commercio italiane nell’estate del 2020.
RICONOSCIMENTO
È la procedura per l’identificazione certa del soggetto cui rilasciare un certificato digitale: può avvenire in presenza allo sportello o, online via webcam, in forma di incontro da remoto con un operatore.
Il riconoscimento può avvenire anche con un altro strumento di identità di cui si è già in possesso, come SPID o CNS Carta Nazionale dei Servizi. In questo modo la procedura è snellita dal fatto che il riconoscimento è già avvenuto in precedenza.
SIGILLO ELETTRONICO
In pratica, è equivalente alla Firma Elettronica ma, mentre questa si riferisce a una persona fisica (individuabile con certezza attraverso nome, cognome, codice fiscale e così via), il sigillo riguarda una persona giuridica riconoscibile da denominazione, partita IVA o codice fiscale (senza alcun riferimento a chi ha materialmente usato le credenziali per generarlo).
Usando il sigillo elettronico, ad esempio, una società assicura l’origine e l’integrità dei dati e si tutela dal rischio di modifiche non autorizzate o contraffazioni di un proprio documento. Peraltro, così come ci sono più tipi di firme elettroniche, di sigillo elettronico ne esiste un tipo avanzato e un altro qualificato.
SMART CARD
Supporto fisico dall’aspetto simile a una carta di credito e fornito di microchip con software: contiene il certificato digitale che può essere letto solo mediante apposito lettore collegato al PC.
TOKEN
Consiste in una chiavetta dotata di microchip con software come la Smart Card ma, al contrario di questa, è collegabile direttamente al pc tramite la porta USB o, via Bluetooth, a smartphone e tablet, e già completa di driver e software per l’utilizzo. È uno dei dispositivi più versatili per l’uso della Firma Digitale, come nel caso di ID InfoCamere, fornita anche di CNS Carta Nazionale dei Servizi.