Cosa è la Firma OTP

In questo articolo descriveremo in dettaglio la firma elettronica con codice OTP: come funziona e quali sono i prerequisiti necessari affinché questo tipo di firma risulti legalmente valido e riconosciuto? 

Senza saperlo infatti, avrai sicuramente utilizzato questo metodo di autenticazione nell’ambito della tua vita di tutti i giorni in quanto ormai è molto diffuso anche nell’ambito bancario – perché soggetto a specifiche regolamentazioni dell’UE come la PSD2 – oltre che in quello della firma elettronica.

Partiamo innanzitutto da una definizione fondamentale: che cosa significa la sigla OTP? L’acronimo inglese OTP sta per One Time Password ovvero “ password valida solo una volta”. La password in questione, necessaria per autenticarsi, può’ essere ricevuta sul proprio telefono via SMS o Server di Messaggio vocale oppure nel corpo di una mail.

Il codice ricevuto tramite SMS sul proprio smartphone, mail o server vocale, può essere composto da 4 o più cifre e sarà valido solamente per una singola sessione di firma nel momento in cui viene generato ed inserito. 

Il codice ha una validità di tempo limitata, di solito qualche minuto, e dovrà essere inserito nell’apposita casella durante la firma di un documento ed utilizzato nel tempo limite per evitare che scada e se ne debba richiedere uno nuovo. Se su uno stesso documento sono presenti più caselle di firma a nome della stessa persona, basterà inserire un solo codice per apporre tutte le firme.

L’OTP e l’autenticazione a due fattori

L’utilizzo del codice OTP nella firma elettronica dei documenti, sfrutta la sicurezza di un sistema di autenticazione a due fattori (Two-factor Authentication o 2FA), utilizzato ormai nella grande maggioranza dei servizi di firma e providers per verificare l’identità dell’utente.

L’autenticazione a due fattori è una metodologia molto semplice che viene utilizzata per confermare l’identità di un utente: dopo aver inserito la password – detta anche primo fattore- , necessaria per accedere al proprio account (o dopo aver cliccato sul link della procedura di firma ottenuto via email) bisognerà digitare o inserire il secondo fattore (codice numerico). Il secondo fattore può’ essere ottenuto dall’utilizzatore in vari modi, il più comunemente utilizzato è la ricezione tramite SMS ma si possono utilizzare anche applicazioni dedicate o token hardware fisici.

Il secondo codice è di fatto inattaccabile, perché l’OTP viene generato in maniera pseudocasuale secondo uno specifico algoritmo ed ha una durata molto limitata nel tempo (solitamente 30 secondi). Per questo motivo, lo si definisce anche OTP: “one time password”. (fonte cybersecurity360.it)

Il codice OTP e i diversi tipi di firma elettronica

Nell’ambito della firma elettronica abbiamo quindi due modalità di firma con codice OTP.

In aggiunta alla firma elettronica semplice con un solo click senza codice OTP – modalità Click to Sign –  infatti, possiamo trovare nel panorama italiano: la firma elettronica con autenticazione avanzata OTP SMS e la firma elettronica avanzata (FEA).

La firma elettronica con autenticazione avanzata OTP SMS, un modo di autenticazione avanzata che da più sicurezza della firma elettronica semplice classica (FES); questo perché, come spiegato in precedenza, permette una doppia identificazione del firmatario tramite la ricezione dei documenti via email e l’inserimento in un secondo momento del codice OTP SMS per firmare.

La firma elettronica avanzata (FEA) vera e propria invece propone una verifica dell’identità del firmatario con un software in aggiunta dell’inserimento del codice OTP SMS per la firma. Questo tipo di firma viene perlopiù utilizzata nell’ambito assicurativo e bancario, per quei tipi di documenti che necessitano di un’identificazione forte del firmatario e di una maggior protezione in caso di controversia.

In Italia vi è ancora un po’ di confusione riguardo questa distinzione perché altri provider di firma elettronica si avvalgono spesso del gergo FEA OTP per descrivere la firma elettronica con autenticazione avanzata. Abbiamo visto precedentemente, invece, che l’acronimo “FEA” può essere utilizzato solo per la firma elettronica con annessa verifica del documento di identità di un firmatario. Senza il caricamento del documento di identità e l’annessa verifica dello stesso il documento non potrà essere firmato tramite FEA certificata.

La firma OTP è legalmente valida?

Come abbiamo già potuto osservare negli articoli precedenti, la firma elettronica con OTP è giuridicamente vincolante. Infatti, come definito nella Legge15 MARZO 1997 n. 59, Art. 15, Comma 2 “gli atti, dati e documenti formati dalla Pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”. (Fonte privacy.it)

Inoltre, come specificato nel Codice dell’Amministrazione Digitale (D.Lgs. n. 82/2005) una firma elettronica con codice OTP ha valore legale se il documento viene sottoscritto nel rispetto delle caratteristiche tecniche che garantiscano l’identificabilità dell’autore, l’integrità e l’impossibilità di modifica del documento stesso.

Beebeeboard e Yousign

Per la gestione di tutto il processo di firma OTP, Beebeeboard ha deciso di appoggiarsi a Yousign! Tramite la webapp di Yousign infatti, potrai firmare dei documenti in tutta tranquillità inserendo il codice nell’apposito riquadro dopo aver preso visione dei documenti :

inserimento codice otp yousign

Visto che Yousign ha molto a cuore la sicurezza delle informazioni e la protezione dei tuoi documenti, abbiamo inserito nella webapp dei link protetti.

Quando invii una richiesta di firma infatti, il link che consente ai suoi partecipanti di accedervi è valido per 24 ore. Questo permette di garantire la sicurezza della tua richiesta di firma e dei documenti in essa contenuti.

Se un partecipante utilizza un link dopo il limite di 24 ore, verrà reindirizzato ad una pagina in cui potrà richiedere un nuovo link che verrà generato ed inviato all’indirizzo e-mail del firmatario. Il firmatario non dovrà quindi far altro che cliccare sul nuovo link per accedere ai documenti da firmare!