La Firma Digitale è l’equivalente informatico di una tradizionale firma apposta su carta.
La sua funzione è quella di attestare la validità, la veridicità e la paternità di un documento, come una lettera, un atto, un messaggio o, in generale, qualunque file di dati (testo, immagini, musica, ecc.). Come tale, non va confusa con altri oggetti omofoni definiti genericamente “elettronici”, come ad esempio la firma autografa scansionata e conservata come immagine.
La Firma Digitale è infatti il risultato di una procedura informatica basata su un sistema di codifica crittografica a chiavi asimmetriche (una pubblica e una privata), che consente:

• la sottoscrizione di un documento informatico;
• la verifica, da parte dei destinatari, dell’identità del soggetto firmatario;
• la sicurezza della provenienza del documento;
• la certezza che l’informazione contenuta nel documento non sia stata alterata.

La Firma Digitale può essere apposta su qualunque documento informatico (ad esempio, bilanci e atti societari, contratti, ordini, ecc...).

Nello specifico, la Firma Automatica viene solitamente utilizzata all'interno di applicativi che firmano massivamente i documenti, per cui non è necessario che la firma sia presidiata (per esempio, in applicativi di fatturazione elettronica e conservazione digitale).

La Firma Remota e la Business Key prevedono, invece, il presidio da parte del titolare di firma che, oltre a visualizzare il contenuto del documento a cui sta apponendo la firma, dovrà digitare il proprio PIN e inserire l'OTP o il proprio dispositivo di firma.

La firma digitale equivale a livello informatico esattamente a una firma autografa scritta su un documento cartaceo ed ha il suo stesso valore legale.
Tramite l’apposizione della firma digitale, è possibile sottoscrivere il contenuto di un documento, assicurandone la provenienza e garantendo l’inalterabilità delle informazioni in esso contenute.
L'utilizzo del dispositivo di firma elettronica qualificata si presume riconducibile al titolare, salvo che questi dia prova contraria: è il sottoscrittore che deve provare di “non avere firmato”, per cui l’efficacia di questo strumento è molto forte, determina una inversione dell’onere della prova.
Inoltre grazie al regolamento eIDAS n. 910/2014, le firme digitali rilasciate da Zucchetti sono considerate valide su tutto il territorio europeo.

E’ un certificato qualificato rilasciato dall’ente certificatore autorizzato. Esso è un insieme di informazioni atte a definire con certezza la corrispondenza tra il nome del soggetto certificato e la sua chiave pubblica. Nel certificato compaiono altre informazioni tra cui il Certificatore che lo ha emesso, il periodo di tempo in cui il certificato può essere utilizzato, ecc. Lo scopo di questo certificato è di dare il valore della “forma scritta” ai documenti informatici.

L' utente deve:

• fornire informazioni corrette e veritiere sulla propria identità;
• custodire in maniera sicura il dispositivo di firma, se presente, ovvero gli strumenti di autenticazione per la firma remota;
• mantenere la segretezza della chiave privata e dei codici per l'attivazione;
• garantire la protezione della segretezza e la conservazione del codice di emergenza necessario alla sospensione del certificato;
• utilizzare il certificato per le sole modalità previste dal Manuale Operativo, nel rispetto dei limiti d'uso o di valore eventualmente inseriti nel certificato e dalle vigenti leggi nazionali e internazionali;
• utilizzare il certificato solo se questo NON è revocato, sospeso o scaduto;
• richiedere la revoca o sospensione del certificato nei casi previsti dal Manuale Operativo (per esempio: smarrimento del dispositivo di firma, furto dei codici personali per l'utilizzo del certificato).

Utilizzando il software FirmaCheck, distribuito gratuitamente da Zucchetti. FirmaCheck consente di apporre e/o verificare una o più firme su qualunque tipo di file, in conformità alle regole AgID.

Possono dotarsi di un certificato di sottoscrizione tutte le persone fisiche: cittadini, amministratori, professionisti, dipendenti di società e le pubbliche amministrazioni ecc. Per richiedere un certificato di sottoscrizione è necessario aver compiuto 18 anni ed essere in possesso del Codice Fiscale, o altro codice di identificazione personale equivalente. Successivamente, rivolgersi ad un certificatore accreditato come Zucchetti.

Concluso il pagamento, per consentire la registrazione del certificato di firma e il rilascio del dispositivo stesso, verrà richiesto di procedere alla configurazione dei dati tramite l’apposita sezione “Gestione Firme”, dove sarà possibile inserire tutti i dati del Titolare di firma ed eventualmente quelli dell’organizzazione ed inserire i limiti d’uso o di valore del dispositivo. Successivamente verrà richiesto di scegliere ed effettuare la modalità di Riconoscimento, per autenticare l’effettiva identità del titolare.
Per maggiori dettagli sull’iter da seguire, consultare la sezione "Guida all'acquisto".

L’OTP ricevuto via SMS e’ un codice numerico di 8 cifre. Sincerarsi di inserire l’ultimo OTP ricevuto nello spazio riservato ad esso e, nel caso in cui si stiano utilizzando tablet o iPad, fare attenzione alla digitazione corretta dei caratteri e alle maiuscole impropriamente settate.

Il codice IUT (Identificativo Univoco del Titolare) è un codice associato al titolare che lo identifica univocamente presso il Certificatore; il titolare ha codici diversi per ogni ruolo per il quale può firmare.
Lo IUT del proprio certificato è presente nella mail inviata al momento del rilascio del certificato o è rintracciabile visualizzando i dettagli del certificato da FirmaCheck.

Il codice ERC (Emergency Request Code) è il numero di dieci cifre contenuto all’interno della busta virtuale ricevuta via email al momento del rilascio del certificato. Tale codice è utile per effettuare la sospensione del certificato di firma (tramite l’apposita funzionalità dello Zucchetti Store) o per revocare quest’ultimo in maniera immediata.

Il PUK (Personal Unblock Key) è il codice che consente al titolare di effettuare lo sblocco del dispositivo di firma. Corrisponde alle ultime otto cifre del codice ERC.

Il PIN (Persona Identification Number) è il codice numerico che consente al Titolare di accedere alle funzioni del dispositivo di firma.
Al momento del rilascio, il Titolare riceve una busta virtuale contenente i codici di sicurezza del dispositivo: PIN, PUK e Codice di Emergenza.
Il PIN, della lunghezza di 8 caratteri, serve per inizializzare il dispositivo di firma e la sua modifica è obbligatoria.
Il Titolare procede con la modifica, sostituendo il PIN di attivazione con un nuovo PIN, di identica lunghezza, utilizzando il software FirmaCheck.
Il PIN così ottenuto è un codice di cui solo il Titolare è a conoscenza, che potrà essere comunque modificato ulteriormente e che dovrà essere conservato con cura.

OTP è l’acronimo di One Time Password, ovvero una password che si può utilizzare una sola volta.

Per richiedere il codice OTP si dovrà utilizzare la funzione di Invio OTP resa disponibile dal programma o dal Portale utilizzato.
La richiesta del codice OTP è indipendente dal fatto che venga richiesto per firmare un documento o rinnovare un certificato.
Il testo del messaggio indica la data della richiesta, l’ora di consegna ed il Codice OTP generato, di 8 cifre, da riportare nel campo dedicato facendo attenzione a digitarle correttamente.

Se si sbaglia a digitare il PIN di firma per tre volte consecutive, esso si blocca per 10 minuti. Al termine di questo intervallo di tempo sarà possibile inserire il PIN corretto.

E’ necessario procedere allo sblocco del PIN utilizzando l’apposita funzione all’interno del software gratuito FirmaCheck.
Si ricorda che per eseguire lo sblocco del PIN è necessario utilizzare il PUK presente sulla busta cifrata inviata al momento del rilascio della Business Key.

Il codice PUK si trova sulla busta cifrata inviata al momento del rilascio della Business Key. Se non trova la busta cifrata la Business Key è inutilizzabile, ti invitiamo a contattarci tramite email.

Se non ricordi la password di accesso al Portale di Attivazione, puoi utilizzare la funzione di recupero delle credenziali presente nella home page, “Hai dimenticato la password?”.

Le CRL (Certificate Revocation List) rilasciate dalle Certification Authority (CA), sono liste di certificati revocati o sospesi, e quindi non validi.
Questo tipo di controllo permette al programma di firma di controllare se il certificato di firma di un soggetto è valido o meno. Se appare questo errore molto probabilmente si sono presentati dei problemi di connessione al protocollo di verifica.
Questi problemi posso essere causati dalla mancanza di connessione ad Internet della macchina, oppure da connessioni controllate da Firewall o Router

Questo errore compare soprattutto quando le impostazioni locali di data ed ora del proprio Sistema Operativo non sono correttamente aggiornate. In tal caso occorre controllare che, sia la data sia l’anno o il mese siano effettivamente quelli correnti.

È possibile ottenere la firma LTV (Long Term Validation) utilizzando l’opzione Aggiungi informazioni per la verifica a lungo termine che FirmaCheck PRO mette a disposizione firmando e marcando temporalmente uno o più documenti .pdf in modalità PAdES.
Il risultato di questa operazione è un documento autoconsistente, che racchiude in sé la firma digitale apposta, la marca temporale e le informazioni relative allo stato di validità del certificato al momento della apposizione della firma e della marca, incluse sotto forma di risposta ottenuta dal servizio OCSP (Online Certificate Status Protocol) oppure di lista dei certificati revocati o sospesi (CRL, Certificate Revocation List).
Il documento così ottenuto sarà valido oltre la scadenza del certificato con cui è stato firmato e della marca temporale apposta. E poiché si porta dietro tutte le informazioni necessarie, è verificabile anche quando la postazione di lavoro non è collegata ad Internet.
È possibile verificare la validità di un documento con firma LTV aprendolo con Adobe Reader.
Se è presente il riquadro grafico che contiene i dati di firma, un clic permetterà di visualizzare l’esito della verifica.
Per ottenere le informazioni complete sul documento e verificare che siano effettivamente presenti delle informazioni necessaria alla Long Term Validation della firma e della marca, è possibile procedere con un clic sul pulsante Pannello firma posto in alto a destra.
Nelle informazioni di dettaglio è presente la conferma che il documento verificato è abilitato per una convalida a lungo termine.

Il controllo dello stato di un certificato si può effettuare da FirmaCheck con la funzione Configurazione - Firma Remota/Dispositivi e poi visualizzare i dettagli del certificato, oppure al termine della firma di un qualsiasi file verrà comunque indicato il periodo di validità del certificato con il quale si sta lavorando.

Prima della scadenza dei tuoi certificati, Zucchetti ti invierà una comunicazione all’indirizzo email da te comunicato. E’ pertanto importante inserire o aggiornare l’indirizzo di posta elettronica, richiedendo un nuovo invio della busta cifrata al servizio di assistenza Zucchetti Certifica. 

Il certificato di firma avrà una durata (validità) di 3 anni a partire dalla data in cui è stato registrato il certificato.

Non è possibile rinnovare i certificati di Firma Digitale già scaduti né per le Firma Remote né per le Business Key.
Se ti dovessi trovare in questa situazione dovrai necessariamente procedere con l’acquisto di un nuovo certificato di firma/dispositivo.