La firma digitale si basa, da un lato, su un sistema a chiavi crittografiche asimmetriche (una privata ed una pubblica) che viene utilizzato per cifrare il documento e, dall’altro, su di un certificato digitale che attesta i dati anagrafici del soggetto titolare ed autore del testo, rilasciato da un soggetto certificatore con specifiche capacità professionali garantite dallo Stato. 

In particolare, la firma digitale è generata dall’applicazione di un algoritmo matematico che riassume i dati del documento da sottoscrivere; l’estratto o riassunto del documento originale viene poi cifrato da una delle due chiavi previste dal sistema crittografico, quella privata, contenuta a bordo di una smart card specifica. 
In seguito, sia il documento che la chiave privata vengono inserite dal titolare del documento all’interno di un nuovo file contenente anche il suo certificato digitale, anch’esso presente sulla smart card in suo possesso. 

Il processo di verifica da parte del destinatario del documento può così avvenire senza altre informazioni aggiuntive. 
Chi riceve infatti l’oggetto sottoscritto con firma digitale, attiva semplicemente il processo della sottoscrizione in senso inverso: ricalcola l’impronta del documento originale e poi procede a decifrarlo con la chiave pubblica trovata dentro al certificato relativo al soggetto sottoscrittore e se queste due informazioni corrispondono ha la garanzia di integrità ed autenticità. 

Quindi, per firmare digitalmente un documento, occorre avere a disposizione un dispositivo di firma o smart card con il certificato di sottoscrizione rilasciato dall’Ente certificatore ed un lettore di smart card. 
Inoltre bisogna aver provveduto ad installare sul proprio computer il sofware che permette al lettore di dialogare con il PC, quello che permette di leggere la smart card ed infine il software di firma. 
Allo stesso modo, anche per la verifica di una firma digitale occorre che il ricevente abbia installato sul proprio computer il software di firma digitale.

Gli elementi costitutivi

La firma digitale si basa:
• su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare di una smart card tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. Se un testo viene cifrato con una chiave privata può essere decifrato unicamente con la chiave pubblica corrispondente 

• su un certificato digitale di sottoscrizione, ossia da un oggetto informatico, rilasciato al titolare di una smart card dall’Ente Certificatore. Il certificato di sottoscrizione è un file generato seguendo precise indicazioni e standard stabiliti per legge e conserva informazioni che riguardano l’identità del titolare della smart card ed soggetto sottoscrittore, la chiave pubblica attribuitagli al momento del rilascio, il periodo di validità del certificato stesso oltre ai dati dell’Ente Certificatore. Il certificato digitale di un titolare, una volta entrato a far parte dell’elenco pubblico dei certificati tenuto dall’Ente Certificatore, garantisce la corrispondenza tra la chiave pubblica e l’identità del titolare. 

• una smart card, ossia un dispositivo sicuro di generazione delle firme, che necessita di un PIN (Personal Identification Number) di protezione, necessario per utilizzare il dispositivo stesso. Essa contiene la chiave privata e il certificato del sottoscrittore.

I soggetti coinvolti

La firma digitale prevede la presenza di un soggetto titolare del documento da sottoscrivere, o mittente, di un soggetto certificatore e di un soggetto destinatario o ricevente.  

Per soggetto titolare si intende il soggetto, pubblico o privato, a cui è attribuita la firma elettronica, che ha accesso al dispositivo per la creazione della firma e i cui dati sono contenuti ed assicurati nel certificato rilasciato dall’ente certificatore.

Per ente certificatore si intende il soggetto pubblico o privato, appositamente accreditato ed autorizzato, che ha il compito di garantire l’autenticità e l’integrità dell’informazione contenuta nel documento. Il certificatore infatti dota in modo univoco il titolare della smart card delle due chiavi, quella privata, in possesso e conosciuta solo dal titolare, e quella pubblica, resa disponibile attraverso il certificato da rilasciato dal certificatore stesso. E’ soggetto ad attività di vigilanza da parte del CNIPA. Al gennaio 2009 secondo il CNIPA esistevano 17 certificatori accreditati.

Per soggetto ricevente si intende il soggetto, pubblico o privato, destinatario dell’oggetto sottoscritto dal titolare, che al momento della ricezione dello stesso, attiva il processo di decodifica utilizzando la chiave pubblica trovata all’interno del certificato allegato, garantito dal certificatore.