Aprendo un PDF firmato e vedendo un banner di avviso giallo che indica che la firma è "non verificata" o "sconosciuto" è allarmante, ma di solito non significa che la firma sia falsa. In genere significa che lo spettatore non può confermare l'identità del firmatario, il che è un problema diverso con una spiegazione semplice.
La differenza tra verificato e valido
Le firme digitali PDF hanno due proprietà separate che spesso vengono confuse. Validità significa che il documento non è stato modificato da quando è stato firmato: l'hash crittografico della firma corrisponde al contenuto del documento. Verifica significa che l'identità del firmatario è stata confermata da un'autorità di certificazione attendibile. Una firma può essere valida (inalterata) ma non verificata (identità non confermata), che è il caso più comune per le firme elettroniche di tutti i giorni.
Il "non verificato" avviso di solito significa: la firma è crittograficamente valida, il documento non è stato manomesso, ma chi visualizza non riconosce il certificato utilizzato per creare la firma come proveniente da un'autorità fidata.
Prova a firmare PDF
Nessuna installazione necessaria. Funziona direttamente nel tuo browser.
Perché la maggior parte delle firme elettroniche vengono visualizzate come non verificate
Le firme elettroniche semplici (nomi digitati, firme tracciate o immagini di firme inserite su un PDF) non utilizzano affatto certificati crittografici. Sono immagini inserite nella pagina, non operazioni crittografiche. La convalida della firma di Adobe Reader si applica solo alle firme digitali crittografiche con certificati. Una firma digitata o disegnata è solo un'immagine; il "non verificato" l'avviso non si applica a questi perché non esiste alcun certificato da verificare.
Se visualizzi un messaggio "non verificato" avviso, la firma è stata creata come firma digitale crittografica, ma utilizzando un certificato autofirmato (non emesso da un'autorità di certificazione riconosciuta) o un certificato di un'autorità non presente nell'elenco di fiducia del visualizzatore.
Certificati autofirmati
Chiunque può creare un certificato digitale e firmare un PDF con esso. A self-signed certificate proves the document hasn't changed since signing, but doesn't prove who the signer is — because anyone could create a certificate with any name. I browser e i visualizzatori PDF non si fidano dei certificati autofirmati per impostazione predefinita, da qui l'avviso non verificato.
Se ti fidi del mittente e devi solo confermare che il documento sia integro, ciò che conta è lo stato di validità. Fai clic con il pulsante destro del mouse sulla firma in Adobe Reader → Proprietà firma → fai clic su "Mostra certificato" per visualizzare i dettagli del certificato e determinare se si tratta del firmatario previsto.
Quando la verifica è davvero importante
Per la maggior parte dei contratti aziendali, degli NDA e degli accordi quotidiani, lo stato di verifica di una firma digitale è meno importante dell'avere una chiara documentazione di chi ha firmato, quando e cosa ha firmato. Un thread di posta elettronica che mostra il PDF firmato restituito dall'indirizzo di posta elettronica noto del firmatario costituisce una prova evidente dell'accordo, indipendentemente dallo stato del certificato.
La verifica è importante in contesti regolamentati specifici: invio di documenti governativi che richiedono firme certificate, transazioni finanziarie che richiedono identità verificata, archiviazioni legali in cui la firma deve essere attribuibile a uno specifico individuo identificato. In questi casi, un certificato emesso da un'autorità di certificazione (CA) attendibile come DocuSign, Adobe Sign o da un fornitore di servizi fiduciari qualificato fornisce la catena di identità verificabile che soddisfa il requisito.
Come ottenere una firma verificata
Per le firme che dovrebbero essere visualizzate come verificate nei visualizzatori PDF, il firmatario necessita di un certificato digitale emesso da un'autorità di certificazione presente nell'elenco di attendibilità approvata di Adobe (AATL) o nell'archivio radice attendibile del visualizzatore. Questi certificati sono ottenuti da CA commerciali (DigiCert, GlobalSign, Comodo) o tramite piattaforme di firma elettronica dedicate che forniscono certificati di firma ai propri utenti come parte del servizio.
Le piattaforme di firma elettronica come DocuSign e Adobe Sign utilizzano certificati supportati da CA, motivo per cui le loro firme Sign PDF in genere vengono visualizzate come verificate. Per la firma quotidiana dei documenti senza queste piattaforme, per la maggior parte degli scopi è sufficiente una firma non verificata ma valida e l’avviso di verifica può essere compreso nel contesto anziché trattato come prova di un problema.
Prova a firmare PDF
Nessuna installazione necessaria. Funziona direttamente nel tuo browser.