La firma digitale è un mezzo sempre più utilizzato nelle aziende e nel settore della pubblica amministrazione. Tuttavia, se non si adottano adeguate misure di sicurezza informatica, può diventare un vettore di attacco per hacker e truffatori: grazie al social engineering questi possono ingannare il firmatario facendogli credere che un documento sia legittimo e, attraverso la sua firma, ottenere l’autorizzazione per svolgere altre operazioni senza il suo consenso, oltre a tante altre attività dannose. Come possiamo evitarlo?
Confronto tra firma digitale ed elettronica
Per prima cosa, è importante fare una distinzione tra firma elettronica e firma digitale, perché la sicurezza informatica gioca un ruolo essenziale nella differenza che esiste tra i due concetti. Anche se molti media e fonti utilizzano questi termini in modo intercambiabile, di fatto tutte le firme digitali sono elettroniche, ma non tutte le firme elettroniche sono digitali.
In teoria, lo scopo delle firme elettroniche è quello di attestare l’autenticità del documento; le firme digitali, invece, fanno di più. Si tratta di un particolare tipo di firma elettronica capace di fornire un’ulteriore sicurezza. Oltre a garantire l’autenticità del documento, la firma digitale utilizza metodi di crittografia standardizzati come i certificati digitali (ad es. SSL) per fare in modo che nessun terzo interferisca con i processi. Per offrire la massima garanzia rispetto alla legittimità dei firmatari e alla loro integrazione nei certificati di firma digitale (DSC) mantenendo un certo livello di sicurezza informatica è necessario adottare l’autenticazione a più fattori (MFA).
Livelli di sicurezza
I certificati di firma digitale si dividono in tre categorie:
- Certificati di classe 1 (DSC1): offrono un livello di sicurezza base poiché la firma viene convalidata solo da email e/o password. Pertanto, non sono indicati in ambito legale e sono utili solo per ambienti e documenti a bassissimo rischio.
- Certificati di classe 2 (DSC2): si tratta del livello di sicurezza più comune per la firma dei documenti. Attestano l’autenticità del firmatario analizzando un database predefinito in cui il soggetto è stato inserito in precedenza al momento della registrazione e, sempre più spesso, offrono un secondo livello di verifica per garantire che il firmatario sia quello originale presente in archivio.
- Certificati di classe 3 (DSC3): offrono il livello di sicurezza più alto, ma anche il meno pratico, poiché richiedono la presenza di un’organizzazione o di un terzo che verifichi l’identità del firmatario prima della firma. Per questo motivo, il loro utilizzo tende a essere limitato ai documenti legali, in cui le conseguenze di una violazione della sicurezza potrebbero essere molto gravi.
Per la stragrande maggioranza dei documenti utilizzati in ambito aziendale, dovrebbe essere sufficiente un certificato DSC2, poiché i processi che richiede la classe dei DSC3 sono generalmente troppo costosi sia in termini di risorse che di tempo.
Tuttavia, è fondamentale che questi certificati DSC2 includano un ulteriore metodo di verifica. A questo proposito va ricordato che il 61% delle violazioni dei dati ha coinvolto le credenziali della vittima. Se i criminali informatici ottengono queste credenziali, possono utilizzare anche i certificati digitali ottenuti in precedenza. Se però l’azienda dispone di un secondo metodo di verifica come un servizio MFA, che è facilmente gestibile e altamente sicuro, le probabilità di accesso ai documenti si riducono sensibilmente. In tal senso, le soluzioni più avanzate offrono una protezione MFA aggiuntiva sugli stessi cellulari, consentendo l’accesso solo ai dispositivi autorizzati e impedendo così ai malintenzionati di utilizzare telefoni clonati.
FONTE: https://www.watchguard.com/it/wgrd-news/blog/la-firma-digitale-la-mfa-e-un-must
