Come ottenere una firma elettronica qualificata in Italia?

Uno degli aspetti chiave della nostra epoca, la digitalizzazione ha senza dubbio reso la vita di tutti noi molto più semplice sotto diversi aspetti, il primo dei quali è la minore necessità di essere fisicamente presenti in un luogo per ottenere e firmare dei documenti. E tuttavia, ci sono diversi casi in cui è più che indispensabile accertare l'identità di chi firma in un modo inequivocabile. È a questo scopo che nasce la firma elettronica qualificata (FEQ). 

In questo articolo vedremo di che si tratta e ti spiegheremo come ottenerne una. 

La firma elettronica qualificata è la tipologia di firma elettronica con il livello di sicurezza più elevato, poiché prevede una verifica forte dell'identità del firmatario. Questa avviene tramite un sistema di crittografia asimmetrica e viene compiuta da un prestatore di servizi fiduciari qualificato che ne certifica l'autenticità. 

Vediamo in sintesi le caratteristiche della firma elettronica qualificata o FEQ:

• Ha valore legale pari a una firma autografa.
• Conferisce pieno valore legale ai documenti digitali.
• Un documento informatico su cui viene apposta una FEQ non può essere modificato in seguito.
• Per ottenerla, occorre rivolgersi a un prestatore di servizi fiduciari accreditato e riconosciuto dall'AgID (Agenzia per l'Italia Digitale).
• Viene assegnata solo dopo una validazione forte della propria identità di persona, tramite webcam o tramite metodi di verifica dell'identità digitale, come lo SPID.
• La procedura di firma spesso richiede la presenza di un dispositivo hardware (come una smartcard o una dispositivo USB) per la validazione dell'identità.
• Con la firma elettronica qualificata, vige il principio di non ripudio dei documenti. Vale a dire che il firmatario non può disconoscere un documento firmato, tranne nel caso in cui riesca a dimostrare che la firma è stata contraffatta. 
• La FEQ è legalmente riconosciuta in tutta l'Unione Europea, anche se esiste soltanto in Italia.

Quello delle firme elettroniche è un ambito che è normato a livello europeo dal Regolamento eIDAS, che ha lo scopo di uniformare questo campo tanto strategico e importante all'interno di tutta l'UE. È dunque importante accertarsi di ottenere una firma elettronica qualificata che sia in linea con tale normativa. Di questo parleremo meglio in seguito. 

Chiunque può richiedere una firma elettronica qualificata, sia in quanto privato cittadino che nel suo ruolo professionale. Può essere utile in diversi casi:

• Firma di documenti in relazione con la Pubblica Amministrazione (gare d'appalto pubbliche, documenti da inviare all'Agenzia delle Entrate, ecc).
• Importanti documenti societari, come bilanci, acquisizioni, ecc.
• Documenti legati a servizi bancari o assicurativi.

Se la firma elettronica qualificata può essere senza dubbio molto utile per capi d'impresa e persone che nel loro ruolo professionale hanno spesso a che fare con la Pubblica Amministrazione, non è indispensabile nella vita quotidiana della maggior parte di noi. 

Per i cittadini comuni, i liberi professionisti e le piccole imprese, l'utilizzo di una firma elettronica avanzata, di una firma elettronica semplice o di una firma OTP può essere già sufficiente per semplificare e velocizzare le relazioni tra privati o tra aziende. 

La firma elettronica qualificata, come dicevamo, è una prerogativa italiana e non esiste altrove (nonostante sia riconosciuta a livello europeo). Nel nostro paese, è anche nota più semplicemente come firma digitale. 

Firma digitale è dunque un altro nome con cui la FEQ viene comunemente chiamata. È invece diversa dalla firma elettronica, che è un concetto più ampio che raggruppa diverse tipologie di firma remota, di cui la FEQ rappresenta la soluzione con il livello di sicurezza più elevato. Tra le firme elettroniche si trovano infatti anche le già citate firma elettronica semplice, firma OTP e firma elettronica avanzata.

Per prima cosa, occorre comprendere che apporre una firma elettronica qualificata prevede il coinvolgimento di tre soggetti: il firmatario, la controparte che riceve la firma, e un prestatore di servizi fiduciari accreditato e riconosciuto dall'AgID, anche detto Trust Service Provider o TSP. Quest'ultimo certifica la validità della firma in modo sicuro, garantendone l'autenticità.

Tra i prestatori di servizi fiduciari accreditati vi sono enti pubblici (come Poste, Banca d'Italia e altri) e aziende private (come Aruba, Intesa Sanpaolo e altre). 

Vediamo ora i diversi passaggi necessari a ottenere una firma digitale o FEQ:

• Rivolgersi al prestatore di servizi fiduciari di propria scelta e sottoscrivere un contratto per il servizio di firma digitale.
• Completare il processo di verifica sicura della propria identità, che può essere remoto (tramite webcam, SPID e altri) o di persona, presentando un documento d'identità valido in una sede dell'azienda o dell'ente prescelto. 
• Acquisire il dispositivo hardware per l'apposizione della firma (come token USB o smart card) o un altro sistema di autenticazione software, come un'apposita app per smartphone.
• Scaricare e installare il software necessario per apporre la firma sui documenti.
• Utilizzando l'autenticazione e il software nel momento della firma, si ottiene un certificato di firma elettronica qualificata (contenente informazioni sull'identità del firmatario, il suo codice fiscale, il documento firmato e via dicendo) che garantisce valore legale della firma.

Come puoi vedere, ottenere una firma digitale non è un processo complesso, ma richiede un tipo di autenticazione forte spesso un po' laborioso da gestire (specialmente quando si impiegano token USB o altri dispositivi hardware). 

Ecco perché, quando l'utilizzo di una firma elettronica qualificata non sia strettamente necessario, è senza dubbio più semplice usare altre tipologie di firma elettronica, come quelle proposte da Yousign.

Noi di Yousign offriamo una soluzione semplice e intuitiva per l'apposizione di firme OTP o di firme elettroniche avanzate (FEA), in conformità con i requisiti legali del Regolamento eIDAS. 

Essendo considerati Autorità di Certificazione (AC), siamo autorizzati all'invio di firme elettroniche riconosciute dal punto di vista legale su tutto il territorio europeo, e garantiamo la sicurezza e la riservatezza dei documenti grazie a misure quali la cifratura dei dati, l'hosting UE (in Francia), la gestione accurata dei rischi e un accesso securizzato alla nostra infrastruttura.

La nostra soluzione si articola in due modalità:

• SaaS: pronta all'uso e intuitiva, la nostra applicazione SaaS ti consente di automatizzare e velocizzare i processi di firma, rendendo più semplici e agili le relazioni con i tuoi collaboratori i clienti. 
• API: integrabile nei tuoi sistemi di gestione e nelle tue applicazioni in meno di una settimana, per semplificare la firma dei tuoi documenti senza causare alcun disturbo nei tuoi attuali flussi di lavoro.

Una volta apposta una firma, Yousign genera un certificato di firma che consente di provarne l'autenticità in modo facile, chiaro e veloce. Non solo, ma attraverso la marca temporale siamo in grado di fissare un documento in un modo valido agli occhi della legge, per garantirne l'integrità al momento della firma. Le nostre marche temporali garantiscono la validità di un documento nel tempo e la veridicità della data presente sul documento stesso.