Firma elettronica dei documenti

Firma elettronica semplice, avanzata, qualificata (o firma digitale): qual è la differenza?

Livelli di firma elettronica
Matthieu Duault

Matthieu Duault

Brand Manager @Yousign

Illustration: Léa Coiffey

Esistono diversi tipi di firme elettroniche, con diversi livelli di complessità tecnica e sicurezza. Naturalmente, tendiamo a scegliere automaticamente quello con il più alto livello di sicurezza, anche se potrebbe essere eccessivo per le nostre esigenze e addirittura controproducente.

L’eIDAS (Electronic Identification, Authentication and Trust Services) è una regolamentazione europea sull'identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche nel Mercato Unico Europeo e definisce 3 tipi di firme elettroniche:

  • Firma Elettronica Semplice*
  • Firma Elettronica Avanzata (FEA)
  • Firma Elettronica Qualificata (o Firma Digitale) (FEQ / FD)

* Firma Elettronica “Semplice” è un nome colloquiale che raggruppa tutte le firme elettroniche che non sono avanzate o qualificate. Anche se è utilizzato dalla maggior parte dei provider di firma digitale, l’eIDAS non usa questo termine. Tuttavia, per semplificare la comprensione di questo articolo, useremo il termine “firma semplice” per indicare il primo dei 3 livelli di firma elettronica.

Secondo l’eIDAS, una firma elettronica rappresenta “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”. 

Idealmente, dovrebbe:

  • rispettare gli standard di firma ETSI (European Telecommunications Standards Institute), insieme alla regolamentazione eIDAS sull'identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel Mercato Unico Europeo.
  • utilizzare la certificazione elettronica
  • utilizzare un sistema di verifica dell'identità
  • avere un modo per dimostrare che il documento non sia stato modificato dopo essere stato firmato. 

È uno standard del settore firmare i documenti elettronicamente tramite un provider affidabile che sia anche un'autorità di certificazione. È possibile trovare l'elenco completo delle autorità di certificazione qualificate in Europa sul sito web della Commissione Europea.

La differenza tra i 3 tipi di firma è principalmente il livello di sicurezza di ciascun tipo e la complessità del sistema di verifica dell'identità del firmatario che ciascuno di essi utilizza. La forza della firma risiede quindi nel grado di fiducia che fornisce circa l'identificazione del firmatario e nella prova che il documento sia effettivamente quello firmato.

Quindi, quanto è utile chiedere ai propri clienti di utilizzare un sistema che richiede diversi passaggi complessi quando una firma semplice o avanzata può già avere un adeguato livello di validità e sicurezza?

Per evitare incomprensioni, ti spiegheremo le differenze tra i tre livelli di firma elettronica esistenti e la loro utilità, che ovviamente cambierà a seconda del tipo di documento da firmare.

Firma elettronica semplice

La firma elettronica semplice è attualmente la procedura più utilizzata. Oggi la stragrande maggioranza delle firme elettroniche in commercio sono cosiddette “semplici” perché più idonee e facilitano un utilizzo rapido e fluido. La firma elettronica semplice corrisponde al primo livello di sicurezza e il riconoscimento legale della firma di un documento.

Livello di sicurezza

Secondo il regolamento eIDAS, a una firma elettronica semplice (FES) non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate. L’art. 20 comma 1-bis del CAD stabilisce che l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità della soluzione di firma elettronica adottata.

Non esiste dunque un elenco stabilito di requisiti per questo tipo di firma. Potrai quindi, in soli 2 click e senza alcun processo concreto di verifica dell'identità o consenso, far firmare un documento. In questo caso, sarebbe molto facile per il firmatario negare di averlo firmato. Secondo questa definizione, una firma scansionata o una firma digitale di base, come quella che apponi sul terminale del fattorino che ti porta i tuoi pacchi, ad esempio, sono le cosiddette firme semplici.

Il processo di firma elettronica semplice può però essere rafforzato e acquisire maggior valore legale se si aggiunge un ulteriore passaggio di autenticazione, come il sistema di doppia autenticazione di cui dispone Yousign, dove un codice SMS ricevuto dal firmatario è necessario per firmare il documento.

Allo stesso modo, sebbene non sia obbligatorio avere un tracking di controllo con le firme elettroniche semplici, è chiaro che la creazione e l'archiviazione di uno, così come il numero e la qualità delle prove che saranno raccolte in questo file, sapranno fornire un livello di credibilità molto più elevato in caso di contestazione del contratto.

Questo file di tracking di controllo può essere composto da elementi quali l'indirizzo e-mail del firmatario, il suo numero di telefono, l'indirizzo IP del computer utilizzato per firmare il documento, ecc. Lo scopo di questo file di prova è di dare agli avvocati la possibilità di rintracciare facilmente le diverse fasi di una transazione passo dopo passo.

Anche nel caso di una firma elettronica semplice, Yousign crea un file di verifica con data e ora per ogni procedura contenente una serie di tracce informatiche che saranno archiviate per 10 anni presso un archivista di terze parti governativo chiamato Arkhinéo, un archiviatore di terze parti, certificato a livello europeo

Tipi di documenti

Ordini / Conferme d'ordine Preventivi Informativa sulla privacy Condizioni generali di contratto Contratti di vendita di beni mobili Contratti di lavoro Contratti di servizio Dichiarazioni di riservatezza Contratti con il fornitore Contratti di locazione ...

Firma elettronica avanzata

La firma elettronica avanzata, più sicura, è consigliata per transazioni finanziarie di grandi dimensioni o per firmare documenti che possono presentare interessi legali significativi.

Livello di sicurezza

Come visto poco fa, la definizione di firma elettronica semplice è piuttosto ampia e aperta all'interpretazione. Al contrario, la firma elettronica avanzata deve soddisfare criteri di verifica dell'identità più rigorosi e quindi ha un livello di sicurezza più elevato come stabilito nella regolamentazione eIDAS e completato dall'ordinamento giuridico italiano. Quest'ultimo definisce che una soluzione di FEA è pienamente compliant se segue le disposizioni delle regole tecniche in materia di FEA di cui al Titolo V, artt. 55-61, del DPCM 22 febbraio 2013.

Una firma elettronica avanzata (FEA) deve permettere:

  • Identificazione del firmatario del documento
  • Connessione univoca della firma al firmatario
  • Controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi idati biometrici eventualmente utilizzati per la generazione della firma medesima
  • Possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma
  • Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
  • Individuazione del soggetto erogatore
  • Assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
  • Connessione univoca della firma al documento sottoscritto

Questo può essere fatto attraverso soluzioni come il caricamento e la verifica in tempo reale del documento d’identità del firmatario e la sua aggiunta al processo di controllo, come proposto da Yousign. L'aggiunta della prova del consenso del firmatario, come una casella di spunta per dimostrare che il documento è stato correttamente compreso, o un testo da copiare prima della firma, dimostrerà ulteriormente, in caso di controversia, la volontà del firmatario di firmare il documento. Tutti questi sistemi di verifica dell'identità e prova del consenso possono essere combinati per rafforzare ulteriormente la validità legale della firma.

Esiste anche una procedura di firma avanzata con certificato qualificato che richiede la verifica faccia a faccia (fisicamente o da remoto) dell'identità del firmatario e può essere utilizzata in casi specifici. È la soluzione intermedia tra la firma avanzata e la firma qualificata.

Tipi di documenti

Atto di compravendita di beni immobili Apertura conto bancario Contratti assicurativi, come ad esempio: l'assicurazione sulla vita, l'assicurazione contro gli infortuni o l'invalidità professionale, RC Auto, ecc. Contratti bancari ...

Firma elettronica qualificata o firma digitale

La firma elettronica qualificata (FEQ) è il livello più altro della sicurezza per una firma elettronica. In Italia la FEQ é diffusa e nota anche come firma digitale , che rappresenta un tipo di FEQ che prevede il certificato qualificato e una coppia di chiavi asimmetriche, privata e pubblica. Può essere particolarmente complessa e costosa, e viene utilizzata solo in casi molto specifici in cui è assolutamente richiesta la qualifica.

Livello di sicurezza

Da un punto di vista legale c'è un grande divario tra firme elettroniche qualificate (o firme digitali) e firme elettroniche semplici o avanzate. La firma elettronica qualificata (o firma digitale) ha vincoli normativi definiti con precisione in termini di modalità di verifica dell'identità del firmatario e di protezione della chiave di firma. Il suo valore legale è equivalente a quello di una firma autografa, mentre gli altri livelli di firma elettronica hanno valore probatorio. È quindi legalmente riconosciuta in tutti gli Stati Membri dell'Unione Europea.

Si presume che un processo di firma elettronica sia affidabile quando utilizza una firma elettronica qualificata rilasciata da un'autorità di certificazione. Queste autorità di certificazione sono controllate in Italia dall’AGID (Agenzia per l’Italia Digitale) e da enti equivalenti negli altri Stati europei. 

La procedura di firma digitale utilizza gli stessi criteri di sicurezza della firma avanzata, ma richiede che l'identità del firmatario venga preventivamente convalidata e che la chiave della firma si trovi in ​​un dispositivo per la creazione di una firma elettronica qualificata (QSCD). Mentre in precedenza la verifica dell'identità richiedeva un incontro fisico, ora può essere eseguita da remoto se vengono soddisfatte determinate condizioni.

Ciò può essere quindi fatto con un incontro fisico durante il quale al firmatario verrà fornito un metodo di identificazione chiamato "token" (smart card, chiavetta USB, badge...) che consente all'autorità di certificazione di convalidare la sua identità affinché possa firmare i suoi documenti dopo aver inserito un codice PIN personale. Questa chiave crittografata deve essere estremamente protetta e affidabile, e quindi, logicamente, deve essere conservata in un luogo sicuro. Sarà stata preventivamente verificata e validata dall'AGID al momento del rilascio del dispositivo. La stessa chiave può essere spesso utilizzata fino a 3 anni.

Un'alternativa alla consegna di una chiave crittografata è l'utilizzo di un HSM nel Cloud, che consente di effettuare questa operazione da remoto con un'autenticazione a due fattori del firmatario una volta che la richiesta di firma è stata attivata, dopo una primo incontro fisico iniziale di verifica dell'identità.

Tipi di documenti

Registro di protocollo informatico, Libri societari, Libro inventari, Bilancio d’esercizio, Registri IVA, Gare d’appalto pubbliche, ...

Ricapitolando...

Dopo l’accurata analisi dei livelli di firma elettronica riportata in questo articolo, possiamo quindi definire i diversi gradi di complessità e sicurezza che contraddistinguono i tre tipi di firma elettronica: firma elettronica semplice (FES), firma elettronica avanzata (FEA) e firma elettronica qualificata (FEQ).

Ma quale tipo di firma elettronica devo scegliere per far firmare i miei documenti?

Molti pensano erroneamente che bisognerebbe utilizzare sempre delle firme qualificate o avanzate per i documenti che si vogliono far firmare. 

La verità è che per la maggior parte dei documenti aziendali, per i quali  si potrà risparmiare maggiormente tempo e denaro, sarà necessaria solamente una firma elettronica semplice.

Si potrà quindi scegliere una firma elettronica semplice (FES) per firmare dei documenti che non richiedono un’identificazione complessa del firmatario di un documento come per esempio: contratti di lavoro, informative sulla privacy, preventivi standard, contratti e polizze assicurative, contratti di affitto, contratti di fornitura di servizi continuativi, etc.

La firma più comunemente utilizzata in Italia è un ibrido tra la FES e la FEA e consiste in una firma elettronica a cui viene aggiunto un  codice OTP (one time password) per esempio via SMS o server vocale, il cui inserimento è necessario per firmare il documento.

Per quanto riguarda i documenti per i quali si avrà bisogno o di un’identificazione più complessa abbiamo:

  • Le firma elettronica avanzata (FEA) con verifica di un documento d’identità e che deve  soddisfare i requisiti eIDAS dall’articolo 26 DEL Regolamento (UE) n. 910/2014, ed equivale ad una firma manoscritta.

Si sceglierà quindi una FEA per firmare dei documenti più complessi come per esempio: contratti di affitto di durata inferiore a 9 anni, moduli privacy, per i moduli informativi e i mandati all’agente immobiliare e ai professionisti terzi, polizze assicurative sulla vita, contratti per l’apertura di un conto bancario, etc.

  • La firma elettronica qualificata (FEQ) è un tipo di firma elettronica creata con mezzi qualificati ed è equivalente come la FEA ad una firma manoscritta. I documenti firmati con una firma elettronica qualificata hanno quindi valore legale e la loro integrità e originalità è quindi totalmente riconosciuta, la differenza legale rispetto alla FEA precedente riguarda il fatto che l’onere della prova ricade su colui sul firmatario e non sul mittente.

Con questo tipo di firma possiamo firmare: contratti preliminari di compravendita immobiliare e di locazione di periodo superiore a nove anni, fatture, comunicazioni con la pubblica amministrazione, bilanci, ordini di acquisto.

Nota Bene

Vi ricordiamo inoltre che firmare i vostri documenti apponendo un’immagine di firma in .png non ha nessun valore legale, così come non ha valenza legale la foto di un documento firmato! Questo tipo di firma infatti non rientra in nessuna delle categorie sopra descritte e, in caso di disputa, non garantisce l’integrità del documento firmato.

L’immagine di firma sul documento ha essenzialmente un valore estetico e psicologico ed esprime materialmente il consenso del firmatario mentre la firma elettronica che ha valore legale, è un processo crittografico, immateriale e invisibile ed integrato nel formato del documento PDF.

In conclusione

Ora che ti abbiamo illustrato tutte le opzioni possibili sta a voi scegliere la firma elettronica più adatta alle vostre esigenze. 

Abbiamo visto che è sempre più essenziale digitalizzare i processi - aziendali e non - così’ da lavorare  in maniera sempre più sicura e legale. La firma elettronica inoltre porta con sè tanti benefici in termini di  produttività e risparmio

----

Hai ancora dei dubbi? 

Ti interessa scoprire come dematerializzare i tuoi documenti può permetterti di velocizzare i tuoi processi? 

Iscriviti al nostro webinar gratuito dove potrai scoprire la nostra soluzione di firma elettronica Yousign!  

Per avere più dettagli sui tipi di firma elettronica non esitare a fare domanda al nostro consulente che ti aiuterà a scegliere il tipo di firma elettronica di cui hai bisogno.