Differenza tra Firma Elettronica e Firma Digitale

Sei ancora confuso riguardo i concetti di firma elettronica o firma digitale?

Molto spesso questi due tipi di firma vengono scambiati e le loro definizioni erroneamente utilizzate come sinonimi, sebbene ci siano alcune similitudini tra le due firme, le differenze possono risultare molto significative!

Non preoccuparti, in questo articolo faremo chiarezza sulle differenze tra queste due tipologie di firma e spiegheremo in dettaglio i loro usi, le loro principali caratteristiche e le loro peculiarità.

Come già introdotto nel nostro precedente articolo dedicato ai formati di firma elettronica CAdES e PAdES, la firma digitale viene definita dal Codice dell’Amministrazione Digitale come segue (articolo 24, dlgs 82/2005): 

“La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.”

La firma digitale è una tipologia di firma elettronica qualificata, che ha la stessa equivalenza della firma autografa in quanto garantisce un riconoscimento di identità forte del firmatario che la utilizza e dà un valore legale certo del documento firmato.

In maniera più specifica, lo strumento della firma digitale ed il suo funzionamento sono basati su tre principi fondamentali riconosciuti:

• Il principio dell’autenticità del firmatario - la cui identità viene riconosciuta con l’uso di un sistema di chiavi di autenticazione che descriveremo più avanti;
• Il principio dell’integrità dei documenti firmati - che non verranno e non potranno essere modificati dopo l’apposizione della firma digitale;
• Il principio del non ripudio dei documenti - un documento firmato da una persona tramite firma digitale non potrà essere disconosciuto dalla persona che lo ha firmato.

Sia i liberi professionisti che le imprese hanno la possibilità di usufruire della firma digitale e di firmare dei documenti tramite l’utilizzo di questo strumento.

La firma digitale è utile per facilitare lo scambio di documenti tra la Pubblica Amministrazione ed i privati e/o le imprese perché permette di firmare documenti in formato digitale come contratti, visure camerali, comunicazioni ufficiali, ecc.

Come si può ottenere questo tipo di firma? Per disporre di una firma digitale che, ricordiamo, ha lo stesso valore di una firma manoscritta, è necessario:

1. Acquistare uno dei diversi kit di firma digitale in commercio, il cui contenuto può variare a seconda dell’uso di firma digitale necessario;
2. Attivare il kit dopo aver verificato la propria identità.

La verifica della propria identità può avvenire in vari modi, più o meno complessi, a seconda della modalità e del livello di sicurezza dei servizi online in possesso e del kit acquistato: a domicilio con presentazione del documento di identità, con riconoscimento via webcam, tramite pagamento di marca da bollo e verifica di un Pubblico Ufficiale, tramite ufficio postale, ecc.

Da un punto di vista tecnico, la firma digitale remota funziona tramite l’utilizzo di un sistema di crittografia asimmetrica. Due chiavi crittografiche, di cui una pubblica (appartenente al destinatario) ed una privata (appartenente al titolare), vengono usate per assicurarsi dell’integrità e dell’originalità di uno o più documenti informatici.

L’assegnazione delle chiavi crittografiche avviene tramite un certificatore, ovvero un’istituzione qualificata che “emette a favore del titolare un certificato digitale che associa il numero binario di 2048 bit alla sua identità." (Fonte: agendadigitale.eu). 

In Italia è l’AgID (Agenzia per l’Italia digitale) che si occupa dell’emissione del certificato di firma digitale, il quale lega l’identità di una persona fisica alla chiave pubblica e che garantisce la veridicità di questo legame e l’identità del titolare.

La chiave crittografica del dispositivo di firma è installata su un dispositivo sicuro, quale una smart card, un token o una chiavetta USB e può essere sbloccata solo tramite l’utilizzo di un PIN o lettori smart card specifici.

• La generazione dell’impronta digitale di un documento che è unica per ogni documento e non invertibile;
• La generazione della firma digitale criptata con la chiave privata del titolare tramite il dispositivo di firma;
• Apposizione ed associazione della firma digitale sul documento in una posizione predefinita tramite dei formati specifici (PAdES, CAdES, XAdES). 

Ti ricordiamo che, al momento della firma, è possibile applicare sul documento anche una marca temporale. Come definito in maniera più dettagliata nel nostro articolo dedicato disponibile sul blog, la marca temporale permette di mantenere il valore legale di un documento associando una data e un’ora precise e legalmente valide allo stesso. Quindi, anche se il documento è stato firmato con un certificato elettronico successivamente scaduto o revocato, risulterà comunque legalmente valido al momento della firma.

Per verificare la validità di una firma digitale, il destinatario dovrà servirsi di uno specifico software che sarà in grado di estrarre la chiave pubblica dal certificato del titolare. I più conosciuti da scaricare su PC sono ArubaSign, Dike e FirmaOK!

Il file generato dopo la firma verrà quindi aperto per essere esaminato e per verificare che le due impronte (quella del mittente e quella del destinatario) siano identiche.

Se le due “impronte” sono identiche, la firma digitale sarà valida. In caso contrario, ulteriori verifiche sono necessarie per capire quale passaggio ha generato l’errore.

Si può subito notare come, a differenza della verifica della validità di una firma elettronica, verificare una firma digitale sia un processo più articolato, complesso e richieda l’installazione di software dedicati a tale attività.

Come specificato nel numero 10 dell’articolo 3 del regolamento eIDAS 910/2014, si può definire una firma elettronica un insieme di “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare.”

Tutti! Ebbene sì, anche tu! 

La firma elettronica, grazie alla sua semplicità d’uso e ad aziende tecnologiche come Yousign è facilmente accessibile a tutti i tipi di società, liberi professionisti, PMI e grandi gruppi.

Inviare una procedura di firma elettronica è facile e veloce tramite la nostra piattaforma cloud. 

Per firmare dei documenti non servono né processi complicati né tecnologie specifiche perché basterà connettersi tramite un browser come Chrome, Firefox o EDGE per accedere ai documenti tramite un'e-mail di invito e di inserire un codice OTP ricevuto tramite SMS per confermare l’identità.

Il documento una volta firmato avrà un certificato elettronico integrato e sarà possibile visualizzare un’immagine di firma all’interno dei documenti per rassicurare i vostri firmatari, il tutto senza dover installare nessun software né per voi né per il firmatario!

Esistono tre principali tipi di firma elettronica: la firma elettronica semplice, la firma elettronica avanzata e la firma elettronica qualificata.

Tutti e tre i tipi di firma elettronica sono legalmente validi e, per ogni settore e per ogni tipologia di documento, è importante valutare e scegliere quale livello di firma risulti il più adatto. 

La firma elettronica semplice, comunemente abbreviata in FES, è una firma che  non richiede standard di sicurezza complessi per quanto riguarda il riconoscimento del firmatario. La più comunemente utilizzata è quella con invio di codice OTP (One Time Password) il cui inserimento è necessario per firmare il documento. Il regolamento eIDAS dice inoltre che non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate o digitali.

Con questo tipo di firma possiamo firmare dei documenti come contratti di lavoro, preventivi, mandati, precontratti, informative, ecc.

Le firma elettronica avanzata (FEA) soddisfa i seguenti requisiti come indicato dall’articolo 26 DEL Regolamento (UE) n. 910/2014:

a) è connessa unicamente al firmatario; 
b) è idonea a identificare il firmatario; 
c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; 
d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

Con un FEA possiamo firmare dei documenti che richiedono un’identificazione del firmatario più forte come contratti specifici quali ad esempio le polizze assicurative. , etc.

La firma elettronica qualificata (FEQ) è “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche;” (fonte: articolo 3 del regolamento eIDAS 910/2014). 

Questo tipo di firma elettronica è, ad oggi, la più complessa e costosa, in quanto creata con mezzi qualificati. Essendo equivalente alla firma manoscritta, i documenti firmati con una firma elettronica qualificata hanno un valore legale molto forte e, nel caso di disconoscimento della firma, starà in capo al firmatario dimostrare che non ha firmato il documento.

L'integrità e l’originalità dei contratti firmati in questo modo è quindi totalmente riconosciuta in qualunque ambito e con la FEQ è possibile firmare documenti come sottoscrizioni di crediti bancari, apertura conti correnti e fideiussioni.

Per verificare la validità di una firma elettronica sono necessari diversi accorgimenti a seconda della sua complessità e del formato in cui il documento è stato convertito dopo la firma (.pdf, .p7m). 

Come già citato in precedenza, infatti, per verificare la validità di firme digitali apposte su determinati documenti, si ha bisogno di software specifici che sono a volte a pagamento.

Per quanto riguarda la verifica di firme elettroniche semplici, avanzate ed altri tipi di firme qualificate, il discorso è meno complesso ed a seconda del formato di firma utilizzato (PAdES o CAdES) possiamo disporre di diverse alternative.

Una di queste è lo strumento offerto dalla Commissione Europea per verificare i documenti, la DSS Demonstration WebApp, disponibile sul sito web dedicato. 

In questo caso basterà caricare il documento da verificare e attendere il responso del sito riguardo la validità delle firme:

La verifica di una firma elettronica è possibile anche tramite l’apertura del documento in questione con dei lettori PDF quali Adobe Acrobat Reader, Acrobat Standard e Acrobat Professional (tuttavia per una verifica più certa ed approfondita si consiglia sempre la verifica tramite il sito dedicato della Commissione Europea).

All’apertura del documento, andando nella sezione “Firme”, si dovrà constatare che:

• la firma è valida
• il documento non è stato modificato dopo l'apposizione della firma
• l'identità del firmatario è valida 
• la firma è abilitata per convalida a lungo termine

È possibile verificare il motivo della firma, la sua posizione e la data in cui il firmatario l’ha apposta cliccando su “Dettagli firma”. Nella sezione "Dettagli certificato" invece si può esaminare il certificato utilizzato per la firma del documento.

Non esitare a consultare il nostro articolo “Come verificare l'autenticità di una firma elettronica pdf con Adobe Acrobat Reader” per avere più dettagli sulle spunte di diverso colore che possono apparire su un documento.

Yousign utilizza una soluzione di firma elettronica in formato PAdES con verifica dell’identità del firmatario tramite codice OTP (per la FES) o tramite OTP e verifica del documento d’identità (per la FEA). 

Ciò vuol dire che i documenti che caricherai sull’applicazione cloud dovranno essere in formato .pdf.

Come già sai, la firma elettronica Yousign è conforme al regolamento eIDAS e Yousign è approvata come Autorità di Certificazione (Certification Authority - CA) riconosciuta e certificata a livello europeo per gli standard eIDAS.
Forniamo quindi delle firme elettroniche completamente sicure e legalmente vincolanti utilizzando i nostri certificati elettronici.

Alla firma dei documenti, non avrai nulla di cui preoccuparti perché ogni firma elettronica emessa tramite Yousign è giuridicamente vincolante nell'UE e ciò vuol dire che i documenti sono legalmente validi e riconosciuti. 

---

Questo documento è fornito esclusivamente a scopo informativo. Non ne garantiamo la completezza, né che sia aggiornato rispetto alle normative vigenti. Questo documento non è fornito in sostituzione di una consulenza legale.

Cosa aspetti a passare alla firma elettronica Yousign?
Visita il nostro sito e scopri tutti gli altri vantaggi che possiamo offrirti 🙂