Firmare digitalmente un documento significa garantire riservatezza, confidenzialità, autenticità, integrità e non ripudio del suo contenuto.
Continua però ad aleggiare una gran confusione sull’argomento firma digitale e, soprattutto, sulla differenza tra firma elettronica semplice (FES), firma elettronica avanzata (FEA) e firma elettronica qualificata (FEQ).
Spesso i termini vengono utilizzati senza distinzioni, ritenendo che gli appellativi siano sostanzialmente sovrapponibili. In realtà, le differenze sono piuttosto marcate e hanno conseguenze dirette – soprattutto sul versante legale – nei rapporti verso terzi.
In Italia il D.P.C.M. 22 febbraio 2013 (G.U. n.117 del 21-5-2013) è il provvedimento che ha fatto da “spartiacque” ponendo diversi “paletti” e meglio definendo alcuni termini che oggi sono capisaldi nei rapporti fra imprese, fra professionisti e privati, tra cittadino e pubblica amministrazione.
Lo stesso decreto, in particolare, ha di fatto posto nelle mani di tutti i cittadini italiani uno strumento – la CNS, Carta Nazionale dei Servizi – che se utilizzato per apporre la firma elettronica avanzata sui documenti scambiati con la pubblica amministrazione ha l’efficacia della scrittura privata.
Cos’è la firma elettronica
La firma elettronica è “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica“.
Rispetto ad altre metodologie di firma, la firma elettronica può essere pensata come quella più “basilare” dal momento che il legislatore non fa riferimento alle sue caratteristiche tecniche e alle misure di sicurezza da implementare.
Sul piano legale, il valore probatorio di un documento dotato di semplice firma elettronica non è certo a priori e anzi spetta al giudice valutarne le caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
La firma elettronica semplice è intrinsecamente debole tanto che in molti frangenti può essere liberamente giudicabile. Si può pensare alla FES come alla coppia username/password per l’accesso a un servizio sul web. In alcuni casi, quindi, anche una semplice email (quindi neppure una PEC) può assumere valore probatorio.
Firma elettronica avanzata
La FEA (firma elettronica avanzata) non è altro che una firma elettronica con alcune caratteristiche di sicurezza addizionali. Nel decreto si legge infatti che la firma elettronica avanzata “è apposta attraverso una procedura informatica che garantisce la connessione univoca al firmatario; è creata con mezzi sui quali quest’ultimo conserva un controllo esclusivo ed è collegata ai dati ai quali si riferisce, in modo da consentire di rilevare se gli stessi sono stati successivamente modificati“.
Per essere considerata tale, una FEA deve assolvere una serie di requisiti previsti dalla normativa:
– Identificazione del firmatario del documento
– Connessione univoca della firma al firmatario
– Controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima
– Possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma
– Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
– Individuazione del soggetto che eroga la soluzione di firma elettronica avanzata
– Assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
– Connessione univoca della firma al documento sottoscritto
Per acquisire una propria firma elettronica avanzata è sufficiente rivolgersi ad un certificatore o ai soggetti delegati alla vendita, non solo in Italia ma anche sull’intero territorio europeo.
Per l’ottenimento della firma elettronica avanzata non è neppure necessario recarsi fisicamente presso gli sportelli del certificatore per fornire i propri documenti ed attestare la propria identità. La normative vigente, infatti, punisce pesantemente coloro che presentano false dichiarazioni al certificatore (495-bis e 640-quinquies del codice penale) ed il certificatore stesso nel caso di sua responsabilità.
Un esempio di firma elettronica avanzata? Quella che alcune regioni italiane offrono da tempo ai cittadini residenti con l’erogazione della TS-CNS (Attivazione tessera sanitaria per accedere ai servizi della PA).
In alcuni casi la CNS può essere usata per apporre sui documenti una firma elettronica avanzata equiparando tali documenti alle scritture private (ai sensi dell’articolo 2702 del codice civile).
In altri casi, invece, la CNS può al limite essere usata per apporre una firma elettronica semplice (la differenza tra le due procedure consiste nel fatto che la firma elettronica avanzata permette, con certezza, di attribuire valore legale al documento).
In generale strumenti come TS-CNS, CNS, CIE, Passaporto Elettronico sono valevoli per l’apposizione della FEA sui documenti destinati alla Pubblica Amministrazione.
Per usare la TS-CNS per apporre la FEA su un documento, è necessario scaricare i driver più appropriati da questa pagina previa verifica della sigla presente sulla carta sanitaria stessa.
La FEA potrà essere successivamente applicata usando software come File Protector o Aruba Sign.
La FEA apposta con una CNS/TS-CNS ha un elevato livello di sicurezza perché prodotta con uno strumento (smart card) che rispetta gli standard definiti a livello internazionale (ISO/IEC 15408, Common Criteria, EAL4+); inoltre, certificato digitale e chiavi crittografiche sono generate da un certificatore accreditato da AgID.
Un altro esempio di FEA è la firma grafometrica apposta su un tablet appositamente configurato per concludere la stipula di un contratto in banca, presso l’ufficio postale o presso una società assicurativa.
Più di recente alcune aziende, nei rapporti con i cittadini e altri soggetti giuridici, hanno iniziato a usare quella che è stata battezzata FEA non grafometrica.
Si legge: “l’univocità della connessione della firma al firmatario nel caso di FEA non grafometrica viene garantita dalla sottoscrizione effettuata previo riconoscimento del firmatario nonché dall’utilizzo da parte di quest’ultimo di un numero di cellulare riferito ad una SIM card di cui dichiara di avere, in quel momento e per tutto l’arco temporale del processo di sottoscrizione, piena ed esclusiva disponibilità. Il firmatario effettua una chiamata ad un numero verde ed inserisce una One Time Password (“OTP”) di firma sulla tastiera del proprio telefono. Le informazioni raccolte dal sistema durante la transazione telefonica sono inserite all’interno di ogni firma e collegano in maniera univoca quella firma al firmatario. Il sistema certifica che il numero dichiarato come proprio dall’utente abbia effettuato una
chiamata al numero verde indicato e abbia inserito l’OTP relativo a quella transazione e relativo a quel documento“.
In altre parole, per la stipula di alcuni contratti, si sta utilizzando un meccanismo che non prevede l’apposizione di alcuna firma autografa e neppure di dispositivi accessori come i lettori di smart cart. Il codice (OTP) comunicato dal fornitore del servizio e inviato a una numerazione telefonica “ad hoc” dal cellulare del sottoscrittore, sono considerati una modalità per l’apposizione di FEA accettabile e compatibile con la normativa.
Un caso particolare è l’apposizione della firma elettronica con SPID: Firmare digitalmente i documenti con l’identità SPID: ecco come funziona.
Gli effetti sono gli stessi di una FEA (come stabilito nelle linee guida AgID di marzo 2020) anche se a rigore l’apposizione di una firma usando l’identità digitale SPID non è annoverabile tra le FEA. Questo perché l’utilizzo di SPID non è abbracciato dalla normativa europea (eIDAS) ed è quindi un “unicum” italiano, valevole solo entro i confini del nostro Paese.
Firma elettronica qualificata
La FEQ (firma elettronica qualificata) entra in gioco quando il contratto oggetto di stipula richiede tutele ancora più ampie: si pensi, ad esempio, ai contratti immobiliari e a tutti gli atti relativi alla cessione di proprietà.
La FEQ si basa su un certificato qualificato ed è realizzata mediante un dispositivo sicuro per la creazione della firma.
Nel caso della FEQ viene utilizzato un certificato qualificato emesso da un Ente Certificatore accreditato (“Prestatore di Servizi Fiduciari qualificati”), lo standard tecnologico è ben definito, è richiesto l’utilizzo di un dispositivo sicuro di firma (Smart Card, Token USB, HSM) e massima interoperabilità. L’Ente Certificatore accreditato è responsabile di verificare e garantire la corrispondenza tra le chiavi di firma e l’identità del sottoscrittore.
Firma elettronica digitale
La firma elettronica digitale viene infine definita dalla normativa come “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici“.
In più rispetto ai casi precedenti, la firma digitale aggiunge – come requisito essenziale – l’utilizzo della crittografia asimmetrica.