Firma elettronica avanzata e sicurezza dei documenti

Nell'epoca della trasformazione digitale, garantire la sicurezza e la validità legale dei propri documenti è senza dubbio una delle priorità sia delle aziende che dei singoli cittadini. È a questo scopo che esistono gli strumenti di firma elettronica e le normative che li regolamentano.

In questo articolo parleremo di una tipologia di firma particolarmente utile allo scopo di securizzare i propri documenti: la Firma elettronica avanzata.

La Firma elettronica avanzata è una tipologia di firma elettronica che connette in modo univoco il firmatario alla sottoscrizione. Introdotta dal DPCM 22 febbraio 2013, è regolamentata dalla legge e, per avere valore legale, deve possedere le seguenti caratteristiche:

• Deve prevedere un passaggio di verifica dell'identità del firmatario tramite l'invio e la registrazione del documento d'identità.
• Deve essere fornita da un prestatore di servizi fiduciari qualificati in linea con la normativa eIDAS, come Yousign.
• Deve svolgersi o in modalità grafometrica, vale a dire con una firma apposta manualmente su un terminale digitale, o da remoto tramite autenticazione con una “one-time password” (OTP), una password valida una sola volta creata in modo casuale e inviata al dispositivo del firmatario, ad esempio lo smartphone.
• Consente di legare in modo inequivocabile il firmatario alla firma apposta e al documento firmato, garantendo inoltre che quest'ultimo non sia stato modificato dopo l'apposizione.

Come probabilmente già sai, esistono diverse tipologie di firma elettronica:

• Firma elettronica semplice (FES), una definizione generica che abbraccia tutta una serie di firme che non prevedono una forte autenticazione del firmatario.
• Firma elettronica avanzata (FEA), prevede, come dicevamo, un'identificazione univoca del firmatario, insieme a una connessione chiara della firma al documento firmato e la possibilità di verificare che il documento sia rimasto integro dopo la firma.
• Firma elettronica qualificata (FEQ) o firma digitale: grazie all'utilizzo di sistemi di identificazione ancora più forti tramite una smartcard o un token, è la tipologia più sicura. Ha vincoli normativi ben definiti per quanto riguarda la protezione della chiave di firma e la verifica dell'identità del firmatario. La FEQ o Firma digitale è creata con mezzi su cui il firmatario può conservare un controllo esclusivo.

La Firma elettronica avanzata, dunque, si colloca in una posizione intermedia e livello di sicurezza e di “rigidità” delle modalità di identificazione del firmatario, pur garantendo già di per sé il valore legale della firma e la sua identificazione univoca sia con il firmatario che nei confronti del documento firmato. Per tutti questi motivi, tale tipo di firma elettronica è molto usato per una miriade di casi d'uso.

La Firma elettronica avanzata è la soluzione più utilizzata per tutta una serie di documenti in cui è necessario garantire una validità legale della firma tramite un'identificazione certa del firmatario, senza però le complessità della FEQ e della firma digitale.

Vediamo qualche esempio:

• contratti di lavoro e altri documenti relativi alle risorse umane
• documenti assicurativi (ad esempio polizze)
• documenti di ambito bancario e finanziario (come i contratti di mediazione creditizia)
• NDA e clausule di non concorrenza
• contratti di esclusiva commerciale
• ...e molti altri

Andiamo ora a fare una veloce panoramica delle leggi che regolamentano la firma elettronica in Italia. Oltre che nel Codice dell'Amministrazione Digitale (CAD), il cui ambito di competenza è la digitalizzazione della pubblica amministrazione, le normative più importanti a questo proposito sono racchiuse nel regolamento eIDAS.

Come abbiamo spiegato, la conformità alle normative vigenti è indispensabile per garantirsi una soluzione di FEA in grado di offrire piena validità legale alla firma. In questa sezione dunque riassumeremo tutte le disposizioni di legge più importanti da conoscere.

Per prima cosa, bisogna sapere che la normativa che costituisce l'impalcatura fondamentale del sistema della firma elettronica in Europa è il regolamento eIDAS. Acronimo che sta per Electronic Identification, Authentication and trust Services, è, appunto, una legge europea entrata in vigore nel 2014 che ha lo scopo di uniformare e rendere sicuri i servizi fiduciari digitali, tra cui c'è la firma elettronica.

In sostanza, offre un framework normativo per i servizi come quelli di firma elettronica e garantisce che le firme apposte a norma di legge siano valide in tutta l'UE.

Se la normativa eIDAS stabilisce tutta una serie di regole tecniche che i fornitori di soluzioni di firma elettronica devono rispettare, per i comuni cittadini e imprese che desiderano usufruirne basta fondamentalmente seguire una sola regola: affidarsi a un prestatore di servizi fiduciari qualificati autorizzato a rilasciare un certificato qualificato che garantisce l'autenticazione della firma.

L'AgID (Agenzia per l'Italia Digitale) è l'ente che, in Italia, ha il compito di verificare il rispetto della normativa eIDAS da parte dei prestatori di servizi, fornendo poi un elenco di quelli autorizzati nel suo sito web. Basterà, insomma, assicurarsi di scegliere un servizio autorizzato per garantirsi la conformità della firma.

Vediamo ora i diversi passaggi per apporre una Firma elettronica avanzata:

• Scegli un prestatore di servizi fiduciari qualificati come Yousign.
• Sarà a quel punto il prestatore a offrirti l'interfaccia per inviare le richieste di firma e per firmare a tua volta.
• A questo punto, sempre tramite la piattaforma, ogni firmatario dovrà inviare il suo documento d'identità, necessario per apporre la FEA.
• Una volta verificato il documento, la firma può essere effettivamente apposta.
• Se questa avviene totalmente da remoto, sarà necessario autenticare la propria identità di firmatari tramite una one-time password inviata sul proprio dispositivo (PC o smartphone).
• I migliori prestatori offrono poi anche una moltitudine di funzionalità utili come il monitoraggio dello status della firma o l'invio automatico di solleciti.

La soluzione di Firma elettronica avanzata di Yousign ti offre:

• conformità alle normative eIDAS, CAD e GDPR
• interfaccia utente intuitiva e pratica
• possibilità di utilizzare altre tipologie di firme in caso di bisogno
• verifica immediata dell'identità tramite invio di documento identificativo
• monitoraggio in tempo reale
• maggiore sicurezza grazie all'hosting in Francia
• applicazione SaaS pronta all'uso
• API facile da integrare se preferisci una soluzione da includere nei tuoi sistemi informatici.