Quali sono i tipi di firma elettronica?

firma elettronica

La firma elettronica, equivalente elettronico della firma autografa, ha sicuramente rivoluzionato in positivo le nostre vite: pensiamo alla firma di documenti e contratti, soprattutto quando avviene da remoto, quindi in formato elettronico, senza alcun supporto cartaceo con l’effetto positivo di annullare il rischio di deterioramento o perdita del formato cartaceo, semplicemente perché non esiste. 

Tuttavia, la mera conoscenza superficiale di questo sistema di sottoscrizione elettronico con validità legale non è sufficiente: per un uso consapevole impariamo a conoscere le tipologie di firma elettronica disciplinate dal nostro ordinamento e gli ambiti in cui sono previste. Il rischio, infatti, è quello di operare ai limiti della legalità rischiando di fare affidamento errato sull’opponibilità di un documento a terzi.  

Ad ogni modo, è importante affidarsi ad un partner esterno quando si sceglie di dotarsi di questo strumento di sottoscrizione elettronica. 

 

 

Firma Elettronica Semplice (FES)

Nella forma più semplice, una firma elettronica può essere generata con un processo di identificazione del sottoscrittore che è basato su delle semplici credenziali come la ben nota combinazione di User Id e Password. Per tali ragioni si è diffusa, nel gergo colloquiale, la tendenza a definirla “Firma semplice o Firma Debole”. La norma non prescrive l’utilizzo di un processo di sottoscrizione con specifici requisiti di riconoscimento del firmatario o specifiche garanzie di sicurezza.  

Una Firma Elettronica (FE) può essere generata e applicata però anche con strumenti e attraverso processi che offrono livelli di sicurezza maggiori rispetto alla semplice identificazione del sottoscrittore tramite user id e password. Ne sono esempio i dispositivi OTP, la Carta Nazionale dei servizi, la Tessera Sanitaria o l’Identità elettronica basata su SPID (che offre tre livelli di sicurezza). 

Infatti, è il processo di apposizione della firma elettronica ad assumere principale rilevanza ai fini della valutazione complessiva sulla opponibilità a terzi del documento sottoscritto (o firmato digitalmente) 

 

Firma Elettronica Avanzata (FEA) 

La Firma Elettronica Avanzata (FEA) è una seconda tipologia di sottoscrizione, in cui gli aspetti specifici del processo di riconoscimento del sottoscrittore e apposizione della firma, assumono particolare significato.  

Disciplinata dall’Art.3 punto 11 del Regolamento UE n.910/2014, noto come Regolamento eIDAS, una firma è FEA se soddisfa contemporaneamente i requisiti stabiliti dall’Art. 26 di eIDAS: 

  1.  è connessa unicamente al firmatario 
  2. è idonea a identificare il firmatario  
  3. è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo 
  4. è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati  

Nell’ordinamento giuridico italiano, invece, sono richieste alla FEA caratteristiche più ampie.  

All’Art. 56 “Caratteristiche delle soluzioni di firma elettronica avanzata” del DPCM 22/02/2013 è stabilito che le soluzioni di firma elettronica avanzata garantiscono:  

  1. l’identificazione del firmatario del documento 
  2. la connessione univoca della firma al firmatario 
  3. il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima 
  4. la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma 
  5. la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto 
  6. l’individuazione del soggetto di cui all’art. 55, comma 2, lettera a) 
  7. l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati 
  8. la connessione univoca della firma al documento sottoscritto 

Inoltre, la legge ci dice che la FEA non è soggetta ad autorizzazioni preventive per la sua autorizzazione e questa libertà se da un lato rappresenta una facilitazione alla diffusione nel mercato, dall’altro si configura come un limite perché per definizione viene meno l’interoperabilità fra diverse soluzioni di firma.

Infine, una FEA per l’ordinamento italiano è utilizzabile limitatamente ai rapporti giuridici che intercorrono tra le parti.  

 

Firma Elettronica Qualificata (FEQ)

L’ultima tipologia di firma disciplinata dal Regolamento eIDAS e, conseguentemente ripresa dal CAD, è la Firma elettronica qualificata (FEQ), definita dall’Art.3 punto12 del Regolamento eIDAS come: una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche 

Risulta immediatamente chiaro che viene creata con uno specifico dispositivo come gli HSM, le smartcard oppure i token USB purché soddisfino i requisiti previsti da Regolamento eIDAS all’Art. 30 "Certificazione dei dispositivi per la creazione di una firma elettronica qualificata": 
 
1. La conformità dei dispositivi per la creazione di una firma elettronica qualificata con i requisiti stabiliti all’allegato II è certificata da appropriati organismi pubblici o privati designati dagli Stati membri.
 
2.Gli Stati membri notificano alla Commissione i nomi e gli indirizzi dell’organismo pubblico o privato di cui al paragrafo 1. La Commissione mette tali informazioni a disposizione degli Stati membri.
 
3. La certificazione di cui al paragrafo 1 si basa su uno dei seguenti elementi:
  1. un processo di valutazione di sicurezza condotto conformemente a una delle norme per la valutazione di sicurezza dei prodotti informatici incluse nell’elenco redatto conformemente al secondo comma;

  2. un processo diverso da quello di cui alla lettera a), a condizione che utilizzi livelli di sicurezza comparabili e che l'organismo pubblico o privato di cui al paragrafo 1 notifichi tale processo alla Commissione. Detto processo può essere utilizzato solo in assenza delle norme di cui alla lettera a) ovvero quando è in corso un processo di valutazione di sicurezza di cui alla lettera a)

La Commissione adotta, mediante atti di esecuzione, un elenco di norme per la valutazione di sicurezza dei prodotti delle tecnologie dell'informazione di cui alla lettera a). Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 48, paragrafo 2. 

4.  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 47 riguardo alla fissazione di criteri specifici che gli organismi designati di cui al paragrafo 1 del presente articolo devono soddisfare.

 
Vale la pena precisare che la FEQ è una tipologia di firma che si basa su un certificato digitale di firma, rilasciato da una certification authority accreditata.
 
Per la FE e la FEA non è richiesto l'utilizzo di certificati digitali di firma, ma soprattutto per la FEA, se il processo lo giustifica, è possibile utilizzare dei sigilli elettronici, rilasciati dunque a persona giuridica, a garanzia della corretta esecuzione del processo di sottoscrizione.
 

Per l’ordinamento giuridico italiano, l’uso della FEQ è previso solo nei casi disciplinati dall’Art. 1350 del c.c. comma 1 dai punti 1 a 12, mentre gli ulteriori casi previsti allo stesso Articolo al comma 1 riguardano alcuni atti che possono essere sottoscritti a pena di nullità con una firma elettronica avanzata, firma qualificata o digitale. 

Questo ci fa intuire come la firma elettronica e la firma elettronica avanzata possano, a seconda del processo implementato, essere idonei a garantire una piena validità ai documenti informatici così firmati

 

Firma Elettronica Digitale: La Firma Elettronica disciplinata solo in Italia

Solo nell’ordinamento giuridico italiano, inoltre, è disciplinata una specifica tipologia di Firma Elettronica Qualificata: la Firma Digitale.  

Si tratta di un sistema di attribuzione di paternità digitale del documento informatico basata su una particolare procedura informatica in quanto per la sua generazione è necessario utilizzare il metodo di crittografia a doppia chiave, ossia un sistema basato su una coppia di chiavi asimmetriche: una privata e l’altra pubblica fornite al titolare della FD. 

In estrema sintesi, in questo modo, la chiave privata viene utilizzata come metodo di apposizione della FD (quindi come mezzo di cifratura), mentre quella pubblica è finalizzata a decifrare la prima per verificarne quindi l’autenticità.  

Valgono poi le stesse prescrizioni della FEQ e della FEA per cui, la procedura informatica garantisce la connessione univoca tra firmatario e firma, il firmatario esercita un controllo esclusivo sui mezzi attraverso i quali la firma è generata, ovviamente anche la FD è in grado di garantire integrità, autenticità e non ripudiabilità del documento.

 

Potrebbe interessarti

come creare valore nel tempo

Cosa si intende per firma elettronica?

come creare valore nel tempo

Che differenza c'è tra firma elettronica e firma digitale?

come creare valore nel tempo

Qual è la differenza tra firma digitale e firma elettronica qualificata?