Seleziona una pagina
20.02.2020

Firma Elettronica e Firma Digitale: differenze e quadro normativo

Firma elettronica e firma digitale

Scopri insieme a noi la differenza tra firma elettronica e la firma digitale, quali tipologie di firma utilizzare, in base al contesto normativo attuale e con quali strumenti.

Sia le firme elettroniche che quelle digitali sono disciplinate dal Codice dell’amministrazione digitale, decreto legislativo 7 marzo 2005, n. 82 ss.mm.ii., nonché dal Regolamento eIDAS, Reg. Eu 910/2014, ovvero il Regolamento Europeo che disciplina l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato Europeo sostituendo la precedente direttiva 1999/93/CE.

Diversamente da quanto previsto dalla precedente normativa, in quella attuale, le firme elettroniche nonché le marche temporali fuori dai confini nazionali e in tutto l’ambito comunitario assumono il medesimo status giuridico.

La firma elettronica e la firma digitale, secondo il quadro normativo eiDAS

Il Regolamento eIDAS indica determinati requisiti di sicurezza e trasparenza e gli obblighi minimi per tutti i fornitori di servizi fiduciari che intendono accreditarsi in ambito europeo.

Lo stesso Regolamento eIDAS ha definito poi anche le tipologie di firme previste ed utilizzabili in ambito comunitario, ovvero: firma elettronica semplice, firma avanzata e firma qualificata. Possiamo inserire tra questa tipologie di firma la firma digitale, introdotta dal CAD ma non espressamente ripresa dal regolamento eIDAS. Scopriamo nel dettaglio le differenze tra tutte queste tipologie di firme.

La firma elettronica è definita dal Regolamento eIDAS, come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.

La firma digitale è invece prevista solo dallo stato italiano; viene definita dal codice dell’amministrazione digitale come “un particolare tipo di Firma Elettronica Avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

Grazie a queste normative, un documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando è stata inserita una firma digitale o altro tipo di firma elettronica qualificata o elettronica avanzata.

L’art. 2702 c.c. dispone, infatti, quanto segue “la scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”.

In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità.

Un documento sottoscritto con firma elettronica avanzata, qualificata e digitale, nel nostro ordinamento, ha quindi piena efficacia giuridica, a condizione che non sia modificato dopo l’apposizione della firma.

Per acquisire le firme elettroniche qualificate e digitali è comunque necessario rivolgersi ad un prestatore di servizi fiduciari qualificati, autorizzato dall’Agenzia per l’Italia Digitale (AgID), che garantisca l’identità dei soggetti che utilizzano la firma digitale e l’adeguatezza delle tecnologie utilizzate.

Varie tipologie di firma elettronica e digitale: dettagli e modalità di utilizzo

La firma elettronica semplice non richiede particolari requisiti per la sua costituzione, il suo valore probatorio è liberamente valutabile in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità ai sensi dell’art. 21 CAD. Il regolamento eIDAS lascia al diritto nazionale dei singoli Paesi la determinazione dei suoi effetti giuridici.

La firma elettronica avanzata è invece il risultato di un processo ed è idonea a garantire l’identità dell’autore, l’integrità e l’immodificabilità del documento su cui è apposta. Per garantire l’identità  certificata del titolare è necessario avvalersi di un processo di riconoscimento  per il controllo  che può essere implementato da chi offre il servizio o da un QTSP (Qualified Trust Service Provider). La suddetta può avvenire de visu o a distanza per mezzo di strumenti di registrazione audio e/o video che devono essere realizzati nel rispetto della normativa vigente. La firma elettronica avanzata ha l’efficacia probatoria della scrittura privata e integra la forma scritta ad substantiam, ovvero una forma necessaria per dare sostanza a un contratto.

La firma elettronica qualificata prevede l’impiego di una tecnologia individuata e richiesta dal Legislatore. La firma deve essere costituita su un certificato qualificato e deve essere generata mediante un dispositivo sicuro. Come per la firma elettronica avanzata, è richiesta una procedura per garantire la connessione univoca al firmatario. Inoltre, questa tipologia di firma deve rispondere da un punto di vista tecnologico ai protocolli standard definiti da ETSI (European Telecommunications Standards Institute) e deve essere creata con mezzi idonei sui quali il firmatario può conservare il controllo esclusivo, deve essere collegata ai dati ai quali si riferisce in modo da consentire di rilevare siano stati successivamente modificati.

Come per la firma elettronica avanzata, l’efficacia probatoria della scrittura privata integra la forma scritta ad substantiam, ma in questo caso è previsto l’inversione dell’onere della prova. Pertanto, in caso di disconoscimento della sottoscrizione del documento dovrà essere lo stesso soggetto che contesta l’apposizione della firma a dover dar prova di quanto sopra.

La firma digitale è un tipo particolare di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto e al documento o all’insieme di documenti cui è apposta o associata. Esattamente come per la firma elettronica qualificata, in caso di disconoscimento di un documento a cui è stata apposta la firma digitale è previsto l’inversione dell’onere della prova.

Quali sono i dispositivi necessari per la firma digitale?

Spostando il discorso sulle tecnologie che integrano le tipologie di firma, quella grafometrica è l’esempio che viene  inserito su una tavoletta idonea alla registrazione delle caratteristiche  analoghe al gesto manuale di creazione della firma su carta. Sulla tavoletta devono essere individuate le caratteristiche proprie del soggetto firmatario quali, a mero titolo esemplificativo, velocità, pressione, accelerazione. Questa tecnologia è quasi esclusivamente adottata per implementare delle firme elettroniche avanzate mentre è più complessa l’implementazione tecnica di una firma elettronica qualificata o digitale.

Da tempo sono presenti sul mercato i token USB, dotati di chip da collegare direttamente al PC, che in alcuni casi sono stati sostituiti da strumenti più sofisticati (ad es. firme remote in vari ambiti).

Recentemente, vi è stata una diffusione crescente della firma remota che ha richiesto l’implementazione di tecniche sempre più sofisticate di strong authentication quali ad esempio le One Time Password (OTP), ovvero password usa e getta che sono inviate e/o generate all’interno del dispositivo mobile utilizzato dal firmatario.

Intesa: tutte le tipologie di firme

Intesa (Gruppo IBM), in qualità di CA accreditata presso AgID dal 2001 e eIDAS TSP dal 2017, è in grado di generare tutte le tipologie di firma sopracitate e si avvale di una propria piattaforma capace di generare workflow di firma customizzabili in base alle necessità ed esigenze dei propri clienti.

Scopri di più

 

A cura di Beatrice Tafini – Digital Compliance Consultant, Intesa (Gruppo IBM)
Vuoi saperne di più?
Cos’è la firma elettronica?

La firma elettronica è definita dal Regolamento eIDAS come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.

Scopri tutte le soluzioni di firma di Intesa (Gruppo IBM)

Quali sono le diverse tipologie di firma elettronica?

Firma elettronica semplice, il suo valore probatorio è liberamente valutabile in giudizio.
Firma elettronica avanzata, ha la stessa efficacia probatoria della scrittura privata e assicura la validità giuridica del contratto, l’identità dell’autore, l’integrità e l’immodificabilità del documento su cui è apposta.
Firma elettronica qualificata, oltre all’efficacia probatoria, si aggiunge anche l’inversione dell’onere della prova: in caso di disconoscimento della sottoscrizione del documento dovrà essere lo stesso soggetto che contesta l’apposizione della firma a dover dar prova di quanto sopra.
Anche la grafometria è un particolare tipo di firma elettronica avanzata (FEA)

Cos’è la firma digitale?

La firma digitale è un tipo particolare di firma elettronica avanzata esclusivamente prevista dall’ordinamento italiano. Esattamente come per la firma elettronica qualificata, in caso di disconoscimento di un documento a cui è stata apposta la firma digitale è previsto l’inversione dell’onere della prova.

Scopri come integrare la firma digitale nei più comuni processi aziendali

Come posso acquisire una firma elettronica e digitale?

Per acquisire le firme elettroniche è necessario rivolgersi ad un QTSP (Qualified Trust Service Providers), accreditato presso l’Agenzia per l’Italia Digitale (AgID).
• Per la firma semplice non è richiesta l’attività di identificazione o riconoscimento.
• Per la firma elettronica avanzata e qualificata e per la firma digitale è, invece, richiesta l’identificazione del richiedente la firma.

Affidati ad un Qualified Trust Service Provider eIDAS per le tue firme

Potrebbero interessarti