Nel corso degli anni, la firma digitale si è notevolmente evoluta: da un punto di vista tecnologico ma, soprattutto, da un punto di vista normativo.
Questo significa che oggi possiamo ritrovarci a trattare documenti firmati con certificati rilasciati a fronte di una normativa diversa da quella attuale e con una validità influenzata dalle regole vigenti al momento del rilascio.
Per rendere più intuitivo il riconoscimento di queste diverse tipologie di file, GoSign Desktop utilizza icone di colore diverso.
Cliccando sulla funzione Verifica, disponibile nella home page del programma GoSign Desktop, ho la possibilità di selezionare il documento da verificare, oppure più documenti se sto lavorando con una licenza PRO attiva, e di richiamarlo all’interno del software.
Una volta caricato il documento che si vuole verificare, sono possibili tre scenari.
L'icona Verde Chiaro indica che il documento è stato richiamato correttamente dal software e che ha potuto svolgere l’operazione di verifica delle firme e/o delle marche temporali apposte sul documento e sono state trovate delle firme e/o delle marche temporali.
L'icona Blu indica che il documento è stato richiamato correttamente dal software e che ha potuto svolgere l’operazione di verifica delle firme e/o delle marche temporali apposte al documento ma non sono state rilevate nè firme nè marche temporali sul documento.
L'icona di pericolo indica che il c’è stato un errore di connessione durante il richiamo del documento da parte del software e non è stato possibile analizzare le firme e/o delle marche temporali apposte al documento.
Aprendo la sezione Dettagli , vengono visualizzate tutte le firme e le marche temporali contenute nel documento e tramite colori e icone differenti, indicano se sono state verificate in modo completo, parziale oppure se non sono verificate.
Cliccando sull’icona dell'occhio, verrà aperta una finestra popup che mostra maggiori informazioni sulla firma, sul firmatario e sul certificato utilizzato per firmare. Tra le informazioni di dettaglio è presente anche la data di aggiornamento della lista CRL, ovvero la lista che fornisce informazioni sui certificati revocati, sospesi o scaduti.
Le informazioni cambieranno in base alla tipologia del documento:
Se viene selezionato un documento firmato in modalità PDF (standard PAdES), si ottengono maggiori informazioni sulla firma, sul firmatario e sul certificato utilizzato per firmare nonché sui particolari della firma PDF: motivo, luogo della firma, eventuale contatto del firmatario. Se è presente anche una marca temporale avrò anche le relative informazioni;
Se vengono selezionati documenti marcati in formato .m7m. Si tratta di documenti che riuniscono al loro interno il documento elettronico firmato e la relativa marca temporale che in effetti ha estensione .tsr. E’ per questo motivo che, in fase di verifica, non è necessario selezionare il file da associare alla marca temporale.
PRO: Se viene selezionato un documento firmato in modalità XML (standard XAdES), si ottengono maggiori informazioni sulla firma, sul firmatario e sul certificato utilizzato per firmare nonché sui particolari della firma XML: data della firma come da postazione di lavoro.
Nella analisi di verifica delle firme e/o marca temporale all’interno dei documenti sono possibili gli esiti che sono descritti di seguito.
L'icona di firma/marca temporale verde indica che le firme digitali e/o delle marche temporali apposte al documento sono pienamente valide ai sensi della normativa attualmente vigente.
Il documento, pertanto, assume pieno valore legale sia in Italia che nei Paesi della Comunità Europea ai sensi, rispettivamente, del D.L. 7 marzo 2005, n. 82 - Codice dell'Amministrazione Digitale - con le successive modifiche e integrazioni e del Regolamento UE n° 910/2014 - eIDAS.
L'icona di firma/marca temporale azzurra può indicare che:
La firma è valida ma potrebbe non essere riconosciuta in Italia in base alla Determina AGID 189 del 23 Giugno 2017 ed alla norma EIDAS ETSI EN 319 412-2 poiché l'utilizzo della chiave di firma non è tra quelli ammessi.
La firma è valida ma il formato della firma PDF non soddisfa i requisiti minimi de regolamento eIDAS (firma PADES-Basic, esempio riportato nella figura).
La firma è valida ma il formato della firma CADES non soddisfa i requisiti minimi del regolamento eIDAS (Cades/Pades senza SigningTime).
Firma con algoritmo di calcolo dell'hash SHA1, non conforme a delibera AGID 189 23/6/2017.
La marca temporale è stata apposta usando un algoritmo di calcolo dell'hash SHA1, non conforme alla delibera AGID 189 23/6/2017.
L'icona di firma/marca temporale arancione indica che la verifica del documento è stata fatta utilizzando solo il cosiddetto Certificato di Root (Root Certificate) presente nella firma e non le liste dei certificati scaduti, revocati o sospesi che ogni Fornitore di Servizi Fiduciari (TSP o Certificatore) è tenuto a rendere pubblici per consentire la verifica del documento.
Una volta effettuata la Verifica è possibile avere un report di verifica ed è ottenibile cliccando sull'icona del file accanto al link report.
Cliccando sull'icona si apre una pagina browser vengono indicati:
Il documento che è stato verificato con il suo percorso file;
Data e ora della verifica;
I dati relativi alle firme e/o marche temporali verificate.