In questo articolo descriveremo in dettaglio la firma elettronica con codice OTP: come funziona e quali prerequisiti sono necessari affinché sia legalmente valida e riconosciuta.

Senza saperlo, avrai sicuramente già utilizzato questo metodo di autenticazione nella tua vita quotidiana, poiché è ormai molto diffuso anche nel settore bancario – a causa delle specifiche regolamentazioni dell'UE come la PSD2 – e nello stesso modo nella firma elettronica.

Partiamo innanzitutto con una definizione fondamentale: cosa significa la sigla OTP? L’acronimo inglese OTP sta per One Time Password, ovvero una password valida solo una volta. La password, necessaria per autenticarsi, può essere ricevuta sul proprio telefono via SMS, tramite un server di messaggio vocale o nel corpo di un'email.

Il codice ricevuto tramite SMS sul proprio smartphone, email o server vocale può essere composto da 4 o più cifre e sarà valido solo per la singola sessione di firma in cui viene generato e inserito.

Il codice ha una validità temporale limitata, di solito qualche minuto. Deve essere inserito nell’apposita casella durante la firma di un documento e usato entro il termine previsto per evitare che scada; in tal caso sarà necessario richiederne uno nuovo. Se su un documento sono presenti più caselle di firma a nome della stessa persona, basta inserire un solo codice per apporre tutte le firme.

L’utilizzo del codice OTP nella firma elettronica sfrutta la sicurezza di un sistema di autenticazione a due fattori (Two-factor Authentication o 2FA), ormai adottato dalla maggioranza dei servizi di firma e provider per verificare l’identità dell’utente.

L’autenticazione a due fattori è una metodologia molto semplice che viene utilizzata per confermare l’identità di un utente: dopo aver inserito la password, detta primo fattore, necessaria per accedere al proprio account (o dopo aver cliccato sul link di firma ricevuto via email), dovrà essere inserito il secondo fattore (codice numerico). Il secondo fattore può essere ottenuto dall'utente in vari modi; il più comunemente utilizzato è la ricezione tramite SMS, ma si possono utilizzare anche applicazioni dedicate o token hardware fisici.

Il secondo codice è praticamente inattaccabile, poiché l’OTP viene generato in maniera pseudocasuale secondo un algoritmo specifico e ha una durata molto limitata (solitamente 30 secondi). Per questo motivo si chiama anche “one-time password” (OTP). (fonte cybersecurity360.it)

Nell’ambito della firma elettronica abbiamo quindi due modalità di firma con codice OTP.

In aggiunta alla firma elettronica semplice con un solo click e senza codice OTP – modalità Click to Sign – possiamo trovare nel panorama italiano: la firma elettronica con autenticazione avanzata OTP SMS e la firma elettronica con autenticazione avanzata OTP tramite email.

firma elettronica avanzata (FEA).
​
La firma elettronica con autenticazione avanzata OTP SMS è un metodo di autenticazione che garantisce maggiore sicurezza rispetto alla firma elettronica semplice classica (FES). Come già spiegato, consente una doppia identificazione del firmatario tramite la ricezione dei documenti via email e l’inserimento successivo del codice OTP SMS per firmare.
​
La firma elettronica avanzata (FEA) vera e propria, invece, prevede una verifica dell’identità del firmatario mediante un software in aggiunta all’inserimento del codice OTP SMS. Questo tipo di firma è soprattutto utilizzato nei settori assicurativo e bancario, per documenti che richiedono un’identificazione forte e una maggiore protezione in caso di controversia.

In Italia esiste ancora confusione sulla distinzione, perché alcuni provider di firma elettronica utilizzano il termine FEA OTP per descrivere la firma elettronica con autenticazione avanzata. Come abbiamo visto, l’acronimo “FEA” può essere usato solo per la firma elettronica con la verifica annessa del documento di identità del firmatario. Senza il caricamento e la verifica del documento di identità, il documento non potrà essere firmato tramite FEA certificata.

Come già osservato, la firma elettronica con OTP è giuridicamente vincolante. In base alla Legge 15 marzo 1997 n. 59, art. 15, comma 2 “gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge” (fonte privacy.it).

Inoltre, il Codice dell’Amministrazione Digitale (D.Lgs. n. 82/2005) stabilisce che una firma elettronica con codice OTP ha valore legale se il documento viene sottoscritto nel rispetto delle caratteristiche tecniche che garantiscono l’identificabilità dell’autore, l’integrità e l’impossibilità di modificare il documento stesso.

Per gestire l’intero processo di firma OTP, Beebeeboard ha deciso di affidarsi a Yousign. Tramite la webapp di Yousign, potrai firmare i documenti in tutta tranquillità inserendo il codice nell’apposito riquadro dopo aver esaminato i documenti:

Visto che Yousign ha molto a cuore la sicurezza delle informazioni e la protezione dei tuoi documenti, abbiamo inserito nella webapp dei link protetti.
​
Quando invii una richiesta di firma, il link che consente ai partecipanti di accedervi è valido per 24 ore. In questo modo si garantisce la sicurezza della tua richiesta di firma e dei documenti in essa contenuti.

Se un partecipante apre il link oltre le 24 ore, verrà reindirizzato a una pagina dove potrà richiedere un nuovo link, che verrà generato e inviato all’indirizzo e-mail del firmatario. Il firmatario potrà quindi cliccare sul nuovo link per accedere ai documenti da firmare!