Seleziona una pagina

Firma Elettronica e Firma Digitale: differenze e quadro normativo

3 Dicembre 2019

Quali tipologie di firma utilizzare, in base al contesto normativo attuale e con quali strumenti.

Sia le firme elettroniche che quelle digitali sono disciplinate dal Codice dell’amministrazione digitale, decreto legislativo 7 marzo 2005, n. 82 ss.mm.ii., nonché dal Regolamento eIDAS, Reg. Eu 910/2014, ovvero il Regolamento Europeo che disciplina l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato Europeo sostituendo la precedente direttiva 1999/93/CE.

Diversamente da quanto previsto dalla precedente normativa, in quella attuale, le firme elettroniche nonché le marche temporali fuori dai confini nazionali e in tutto l’ambito comunitario  assumono il medesimo status giuridico. Per questo motivo il Regolamento eIDAS indica determinati requisiti di sicurezza e trasparenza e gli obblighi minimi per tutti i fornitori di servizi fiduciari che  intendono accreditarsi in ambito europeo.

Lo stesso Regolamento eIDAS ha definito poi anche le tipologie di firme previste ed utilizzabili in ambito comunitario, ovvero: firma elettronica semplice, avanzata e qualificata. A queste tipologie di firma possiamo inoltre considerare nel nostro ordinamento nazionale  quella di tipo digitale, introdotta dal CAD ma non espressamente ripresa dal regolamento eIDAS.

La firma elettronica è definita dal Regolamento eIDAS, come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.

La firma digitale è invece prevista solo dallo stato italiano; viene definita dal codice dell’amministrazione digitale come “un particolare tipo di Firma Elettronica Avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

Grazie a queste normative, un documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando è stata inserita una firma digitale o altro tipo di firma elettronica qualificata o elettronica avanzata.

L’art. 2702 c.c. dispone, infatti, quanto segue “la scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”.

In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità.

Un documento sottoscritto con firma elettronica avanzata, qualificata e digitale, nel nostro ordinamento, ha quindi piena efficacia giuridica, a condizione che non sia modificato dopo l’apposizione della firma.

Per acquisire le firme elettroniche qualificate e digitali è comunque necessario rivolgersi ad un prestatore di servizi fiduciari qualificati, autorizzato dall’Agenzia per l’Italia Digitale (AgID), che garantisca l’identità dei soggetti che utilizzano la firma digitale e l’adeguatezza delle tecnologie utilizzate.

 

Varie tipologie di firma: dettagli e modalità di utilizzo

La firma elettronica semplice non richiede particolari requisiti per la sua costituzione, il suo valore probatorio è liberamente valutabile in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità ai sensi dell’art. 21 CAD. Il regolamento eIDAS lascia al diritto nazionale dei singoli Paesi la determinazione dei suoi effetti giuridici.

La firma elettronica avanzata è invece il risultato di un processo ed è idonea a garantire l’identità dell’autore, l’integrità e l’immodificabilità del documento su cui è apposta. Per garantire l’identità  certificata del titolare è necessario avvalersi di un processo di riconoscimento  per il controllo  che può essere implementato da chi offre il servizio o da un QTSP (Qualified Trust Service Provider). La suddetta può avvenire de visu o a distanza per mezzo di strumenti di registrazione audio e/o video che devono essere realizzati nel rispetto della normativa vigente. La firma elettronica avanzata ha l’efficacia probatoria della scrittura privata e integra la forma scritta ad substantiam, ovvero una forma necessaria per dare sostanza a un contratto.

La firma elettronica qualificata prevede l’impiego di una tecnologia individuata e richiesta dal Legislatore. La firma deve essere costituita su un certificato qualificato e deve essere generata mediante un dispositivo sicuro. Come per la firma elettronica avanzata, è richiesta una procedura  per garantire la connessione univoca al firmatario. Inoltre, questa tipologia di firma deve rispondere da un punto di vista tecnologico ai protocolli standard definiti da ETSI (European Telecommunications Standards Institute) e deve essere creata con mezzi idonei sui quali il firmatario può conservare il controllo esclusivo, deve essere collegata ai dati ai quali si riferisce in modo da consentire di rilevare siano stati successivamente modificati.

Come per la firma elettronica avanzata, l’efficacia probatoria della scrittura privata integra la forma scritta ad substantiam, ma in questo caso è previsto l’inversione dell’onere della prova. Pertanto, in caso di disconoscimento della sottoscrizione del documento dovrà essere lo stesso soggetto che contesta l’apposizione della firma a dover dar prova di quanto sopra.

La firma digitale è un tipo particolare di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto e al documento o all’insieme di documenti cui è apposta o associata. Esattamente come per la firma elettronica qualificata, in caso di disconoscimento di un documento a cui è stata apposta la firma digitale è previsto l’inversione dell’onere della prova.

Spostando il discorso sulle tecnologie che integrano le tipologie di firma, quella grafometrica è  l’esempio che viene  inserito su una tavoletta idonea alla registrazione delle caratteristiche  analoghe al gesto manuale di creazione della firma su carta. Sulla tavoletta devono essere individuate le caratteristiche proprie del soggetto firmatario quali, a mero titolo esemplificativo, velocità, pressione, accelerazione. Questa tecnologia è usata quasi esclusivamente adottata per implementare delle firme elettroniche avanzate mentre è più complessa l’implementazione tecnica di una firma elettronica qualificata o digitale.

Da tempo sono presenti sul mercato i token USB, dotati di chip da collegare direttamente al PC, che  in alcuni casi sono stati sostituiti da strumenti più sofisticati (ad es. firme remote in vari ambiti).

Recentemente, vi è stata una diffusione crescente della firma remota che ha richiesto l’implementazione di tecniche sempre più sofisticate di strong authentication quali ad esempio le One Time Password (OTP), ovvero password usa e getta che  sono inviate e/o generate all’interno del dispositivo mobile utilizzato dal firmatario.

Intesa (Gruppo IBM), in qualità di CA accreditata presso AgID dal 2001 e eIDAS TSP dal 2017, è in grado di generare tutte le tipologie di firma sopracitate e si avvale di una propria piattaforma capace di generare workflow di firma customizzabili in base alle necessità ed esigenze dei propri clienti.

 

A cura di Beatrice Tafini – Digital Consultant, Intesa (Gruppo IBM)

Potrebbero interessarti