Firma OTP: a cosa serve e quali vantaggi offre
Cos’è la firma OTP? Di seguito tutto quello che devi sapere su questa firma elettronica, paragonata alle altre tipologie presenti sul mercato e ai workflow, interni ed esterni all’azienda, che si possono sviluppare grazie a questa soluzione.
Indice dei contenuti:
La firma OTP
La One Time Password rientra nella categoria delle firme digitali FEA (firma elettronica avanzata) e sfrutta la sicurezza di un sistema di autenticazione a due fattori (Two-factor Authentication o 2FA), grazie al quale è possibile identificare l’identità dell’utente firmatario.
Cos’è la firma OTP
La firma elettronica con OTP è un tipo di firma che non richiede standard di riconoscimento preventivo per quanto riguarda l’autentificazione del firmatario, a differenza della firma con il Token che ha la prerogativa di un riconoscimento visivo e personale dell’utente. Questo processo si avvale infatti dell’invio di un codice OTP sul numero di cellulare associato al firmatario, garanzia di un’autenticazione forte dell’identità e del valore legale della firma.
Questo tipo di firma elettronica può rivelarsi utile nella gestione di documenti che non presentano particolari rischi finanziari e legali come, per esempio, pre-contratti, preventivi, contratti di vendita o generici.
La verifica a due fattori
Attivato il workflow di firma digitale remota, l’utente riceverà il documento tramite e-mail o PEC. La ricezione, avvenuta tramite un account personale, rappresenta il primo fattore di sicurezza del processo di firma.
Aperto il documento, il firmatario dovrà digitare o inserire il secondo fattore: una password temporanea (pseudocasuale secondo uno specifico algoritmo e con una durata di circa 30) di quattro cifre inviata sul numero di telefono tramite SMS. Con l’inserimento del codice il documento risulterà firmato digitalmente, con una valenza pari a quella della firma autografa.
Tipologie di firma elettroniche e codice OTP
Esistono varie tipologie di firme tra cui scegliere a seconda del documento e al grado di approvazione necessario.
Firma elettronica semplice
La Firma Elettronica Semplice, comunemente abbreviata in FES, è una firma che non richiede standard di sicurezza complessi né autentificazioni da parte del firmatario. Questa tipologia di firma viene utilizzata solitamente per i workflow approvativi in cui è sufficiente il Click To Sign per presa visione.
Nonostante questo, secondo il regolamento eIDAS (Il Regolamento europeo per l'identificazione elettronica), anche alla firma elettronica semplice (FES) non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica. Questo però non le garantisce lo stesso potere di firma della FEA e della FEQ.
Firma elettronica avanzata
La FEA, più nello specifico, soddisfa i requisiti come indicato dall’articolo 26 del Regolamento (UE) n. 910/2014 e propone una verifica dell’identità del firmatario con un software in aggiunta dell’inserimento di una One Time Password via SMS per la firma.
Questo tipo di firma viene perlopiù utilizzata nell’ambito assicurativo e bancario o della pubblica amministrazione, ovvero per quei tipi di documenti che necessitano di un’identificazione forte del firmatario e di una maggior protezione in caso di controversia.
Firma elettronica qualificata
La firma elettronica con il potere più forte è la FEQ, ovvero la Firma Elettronica Qualificata: “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche;” (fonte: articolo 3 del regolamento eIDAS 910/2014).
Questo tipo di firma elettronica è, ad oggi, la più complessa, in quanto creata con mezzi qualificati, come ad esempio il Token. Essendo equivalente alla firma autografa, l’integrità e l’originalità dei documenti è totalmente riconosciuta.
Flussi approvativi e firma OTP
Con l’utilizzo di questa tipologia di firma è possibile attivare, in modo semplice e veloce, un workflow approvativo sui documenti elettronici.
A seconda delle esigenze i workflow possono essere impostati in due modi:
- flusso di lavoro fisso, ovvero preimpostato per codice commessa e quindi sempre uguale a seconda del flusso di documenti;
- flusso di lavoro «usa e getta», configurabile ogni volta a seconda delle esigenze di approvazione sul singolo documento. Il workflow potrà essere impostato fino ad un massimo di 7 livelli di approvazione.
Ogni step della sessione può essere visualizzato al fine di dare evidenza dello stato di avanzamento del workflow e concedere agli utenti configurati di avanzare tra uno step e l’altro.
Al fine di migliorare al massimo l’esperienza di navigazione e gestione dei singoli utenti, è possibile inserire nel momento dell’approvazione una nota che verrà recapitata alla persona successiva nel workflow. La nota, nello specifico, sarà sviluppata come una «chat» in cui ogni utente potrà rispondere.
Una volta che tutti i componenti avranno dato la loro approvazione, l’utente titolare del workflow potrà visualizzare un report riepilogativo in cui sarà data evidenza di chi avrà firmato e quando.
Sicurezza e valore legale dell’OTP
Il sistema della firma con One Time Password, come abbiamo visto, è un modo sicuro per digitalizzare un processo solitamente lungo e cartaceo. Apporre la firma in queste modalità, attraverso un corretto sistema di autenticazione, facilita notevolmente il lavoro non tralasciando però gli effetti di legge legati alla firma.
Infatti, come definito nella Legge 15 MARZO 1997 n. 59, Art. 15, Comma 2 “gli atti, dati e documenti formati dalla Pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”.
Inoltre, come deducibile dal Codice dell'Amministrazione Digitale (D.Lgs. n. 82/2005) una firma elettronica con codice OTP ha valore legale se il documento viene sottoscritto nel rispetto delle caratteristiche tecniche che garantiscano l'identificabilità dell'autore, l'integrità e l’impossibilità di modifica del documento stesso.
A conclusione del processo, e con lo scopo di consolidare ulteriormente la validità di questi documenti firmati digitalmente, viene predisposta l’archiviazione e trasmissione dei documenti nella Piattaforma di Gruppo CMT e la loro successiva Conservazione Digitale.
Vieni a scoprire la nostra soluzione D-Sign dedicate alle firme digitali: personalizzabile per ogni tua esigenza e documento!
Domande Frequenti
Che cosa si intende per firma OTP?
La One Time Password rientra nella categoria delle firme digitali FEA (firma elettronica avanzata) e sfrutta la sicurezza di un sistema di autenticazione a due fattori (Two-factor Authentication o 2FA), grazie al quale è possibile identificare l’identità dell’utente firmatario.
Come funziona la firma digitale OTP?
Tramite l’attivazione del workflow di firma digitale remota: l’utente riceverà il documento tramite e-mail o PEC (primo fattore di sicurezza), dopodiché dovrà digitare o inserire il secondo fattore, l’OTP ricevuto tramite SMS.
La firma OTP ha valore legale?
Una firma elettronica con codice OTP ha valore legale se il documento viene sottoscritto nel rispetto delle caratteristiche tecniche che garantiscano l'identificabilità dell'autore, l'integrità e l’impossibilità di modifica del documento stesso.