9 min

Aggiornato 29 Lug, 2024

Pubblicato 2 Ago, 2022

Firma elettronica semplice, avanzata, qualificata

Livelli di firma elettronica
Fabian Stanciu

Fabian Stanciu

Country Manager Italy @Yousign

Illustrazione: Léa Coiffey

Indice

Esistono diversi tipi di firme elettroniche, con diversi livelli di complessità tecnica e sicurezza. Naturalmente, tendiamo a scegliere automaticamente quello con il più alto livello di sicurezza, anche se potrebbe essere eccessivo per le nostre esigenze e addirittura controproducente.

L’eIDAS (Electronic Identification, Authentication and Trust Services) è una regolamentazione europea sull'identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche nel Mercato Unico Europeo e definisce diversi livelli di firme elettroniche:

  • Firma Elettronica Semplice*
  • Firma Elettronica con OTP
  • Firma Elettronica Avanzata (FEA)
  • Firma Elettronica Qualificata (o Firma Digitale) (FEQ / FD)

* Firma Elettronica “Semplice” è un nome colloquiale che raggruppa tutte le firme elettroniche che non sono avanzate o qualificate. Anche se è utilizzato dalla maggior parte dei provider di firma digitale, l’eIDAS non usa questo termine. Tuttavia, per semplificare la comprensione di questo articolo, useremo il termine “firma semplice” per indicare il primo dei livelli di firma elettronica.

Secondo l’eIDAS, una firma elettronica rappresenta “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”. 

Idealmente, dovrebbe:

  • rispettare gli standard di firma ETSI (European Telecommunications Standards Institute), insieme alla regolamentazione eIDAS sull'identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel Mercato Unico Europeo.
  • utilizzare la certificazione elettronica
  • utilizzare un sistema di verifica dell'identità
  • avere un modo per dimostrare che il documento non sia stato modificato dopo essere stato firmato. 

È uno standard del settore firmare i documenti elettronicamente tramite un provider affidabile che sia anche un'autorità di certificazione. È possibile trovare l'elenco completo delle autorità di certificazione qualificate in Europa sul sito web della Commissione Europea.

La differenza tra i livelli di firma è principalmente il livello di sicurezza di ciascun tipo e la complessità del sistema di verifica dell'identità del firmatario che ciascuno di essi utilizza. La forza della firma risiede quindi nel grado di fiducia che fornisce circa l'identificazione del firmatario e nella prova che il documento sia effettivamente quello firmato.

Quindi, quanto è utile chiedere ai propri clienti di utilizzare un sistema che richiede diversi passaggi complessi quando una firma semplice o avanzata può già avere un adeguato livello di validità e sicurezza?

Per evitare incomprensioni, ti spiegheremo le differenze tra i tre livelli di firma elettronica esistenti e la loro utilità, che ovviamente cambierà a seconda del tipo di documento da firmare.

Firma elettronica semplice

La firma elettronica semplice è attualmente la procedura più utilizzata. Oggi la stragrande maggioranza delle firme elettroniche in commercio sono cosiddette “semplici” perché più idonee e facilitano un utilizzo rapido e fluido. La firma elettronica semplice corrisponde al primo livello di sicurezza e il riconoscimento legale della firma di un documento.

Livello di sicurezza

Secondo il regolamento eIDAS, a una firma elettronica semplice (FES) non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate. L’art. 20 comma 1-bis del CAD stabilisce che l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità della soluzione di firma elettronica adottata.

Non esiste dunque un elenco stabilito di requisiti per questo tipo di firma. Potrai quindi, in soli 2 click e senza alcun processo concreto di verifica dell'identità o consenso, far firmare un documento. In questo caso, sarebbe molto facile per il firmatario negare di averlo firmato. Secondo questa definizione, una firma scansionata o una firma digitale di base, come quella che apponi sul terminale del fattorino che ti porta i tuoi pacchi, ad esempio, sono le cosiddette firme semplici.

Il processo di firma elettronica semplice può però essere rafforzato e acquisire maggior valore legale se si aggiunge un ulteriore passaggio di autenticazione, come il sistema di doppia autenticazione di cui dispone Yousign, dove un codice SMS ricevuto dal firmatario è necessario per firmare il documento.

Allo stesso modo, sebbene non sia obbligatorio avere un tracking di controllo con le firme elettroniche semplici, è chiaro che la creazione e l'archiviazione di uno, così come il numero e la qualità delle prove che saranno raccolte in questo file, sapranno fornire un livello di credibilità molto più elevato in caso di contestazione del contratto.

Questo file di tracking di controllo può essere composto da elementi quali l'indirizzo e-mail del firmatario, il suo numero di telefono, l'indirizzo IP del computer utilizzato per firmare il documento, ecc. Lo scopo di questo file di prova è di dare agli avvocati la possibilità di rintracciare facilmente le diverse fasi di una transazione passo dopo passo.

Anche nel caso di una firma elettronica semplice, Yousign crea un file di verifica con data e ora per ogni procedura contenente una serie di tracce informatiche che saranno archiviate per 10 anni presso un archivista di terze parti governativo chiamato Arkhinéo, un archiviatore di terze parti, certificato a livello europeo.

Tipi di documenti

Ordini / Conferme d'ordine Preventivi Consenso privacy Condizioni generali di contratto Contratti di vendita di beni mobili Firma Contratto di lavoro Contratti di servizio Dichiarazioni di riservatezza NDA Contratti con il fornitore Firma contratti di locazione Firma contratti online ...

Firma elettronica con OTP

Nel mercato italiano si crede erroneamente che la firma elettronica con OTP equivalga alla FEA, quando in realtà sono due tipi di firma diversi. Abbiamo scritto un articolo dove spieghiamo in maniera dettagliata quali sono le differenze tra OTP e FEA.

Partendo dalla sua definizione, OTP sta per “One Time Password”, ossia “password valida solo una volta”. Al momento di firmare il documento, al firmatario viene infatti inviato un codice di almeno 4 cifre via SMS, e-mail, o attraverso un messaggio vocale, per confermare la sua identità. Questo codice, come dice il suo nome, non potrà essere usato una seconda volta: sarà valido per un’unica sessione di firma. Inoltre, per garantire la massima sicurezza del procedimento, la password in questione ha una durata limitata di alcuni minuti. E’ quindi è importante inserirla prima che questa scada, e in caso accada sarà necessario chiedere l’invio di un altro codice.

Livello di sicurezza

Paragonandola con la firma elettronica semplice, la firma con OTP ha un grado di sicurezza più elevato, poiché il codice inviato è garanzia di autenticazione del firmatario. Inoltre, grazie al dossier di prova in cui figura/appare il numero di telefono, è possibile verificare ulteriormente/confermare l’identità della persona che firma. 

Come tutti gli altri tipi di firma presentati in questo articolo, anche la firma con OTP è legalmente riconosciuta. Come affermato nella Legge15 MARZO 1997 n. 59, Art. 15, Comma 2:gli atti, dati e documenti formati dalla Pubblica amministrazione e dai privati con strumenti informatici e telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge”. (Fonte privacy.it)

Tipi di documenti

Pre-contratti, preventivi, lettere d’incarico, contratti di vendita o generici, informativa sulla privacy …

Firma elettronica avanzata

La firma elettronica FEA, più sicura, è consigliata per transazioni finanziarie di grandi dimensioni o per firmare documenti che possono presentare interessi legali significativi.

Livello di sicurezza

Come visto poco fa, la definizione di firma elettronica semplice è piuttosto ampia e aperta all'interpretazione. Al contrario, la FEA deve soddisfare criteri di verifica dell'identità più rigorosi e quindi ha un livello di sicurezza più elevato come stabilito nella regolamentazione eIDAS e completato dall'ordinamento giuridico italiano. Quest'ultimo definisce che una soluzione di FEA è pienamente compliant se segue le disposizioni delle regole tecniche in materia di FEA di cui al Titolo V, artt. 55-61, del DPCM 22 febbraio 2013.

Una firma avanzata FEA deve permettere:

  • Identificazione del firmatario del documento
  • Connessione univoca della firma al firmatario
  • Controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima
  • Possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma
  • Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
  • Individuazione del soggetto erogatore
  • Assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
  • Connessione univoca della firma al documento sottoscritto

Questo può essere fatto attraverso soluzioni come il caricamento e la verifica in tempo reale del documento d’identità del firmatario e la sua aggiunta al processo di controllo, come proposto da Yousign. L'aggiunta della prova del consenso del firmatario, come una casella di spunta per dimostrare che il documento è stato correttamente compreso, o un testo da copiare prima della firma, dimostrerà ulteriormente, in caso di controversia, la volontà del firmatario di firmare il documento. Tutti questi sistemi di verifica dell'identità e prova del consenso possono essere combinati per rafforzare ulteriormente la validità legale della firma.

Esiste anche una procedura di FEA con certificato qualificato che richiede la verifica faccia a faccia (fisicamente o da remoto) dell'identità del firmatario e può essere utilizzata in casi specifici. È la soluzione intermedia tra la firma avanzata e la firma qualificata.

Prova la firma elettronica OTP e avanzata di Yousign

Tipi di documenti

Atto di compravendita di beni immobili Apertura conto bancario Contratti assicurativi, come ad esempio: l'assicurazione sulla vita, l'assicurazione contro gli infortuni o l'invalidità professionale, RC Auto, ecc. Contratti bancari ...

Sei interessato a provare la firma elettronica di Yousign gratuitamente? Iscriviti qui e approfitta di 14 giorni di prova gratuita senza impegno.

Firma elettronica qualificata o firma digitale

La firma elettronica qualificata (FEQ) è il livello più altro della sicurezza per una firma elettronica. In Italia la FEQ é diffusa e nota anche come firma digitale , che rappresenta un tipo di FEQ che prevede il certificato qualificato e una coppia di chiavi asimmetriche, privata e pubblica. Può essere particolarmente complessa e costosa, e viene utilizzata solo in casi molto specifici in cui è assolutamente richiesta la qualifica.

Livello di sicurezza

Da un punto di vista legale c'è un grande divario tra firme elettroniche qualificate (o firme digitali) e firme elettroniche semplici o avanzate. La firma elettronica qualificata (o firma digitale) ha vincoli normativi definiti con precisione in termini di modalità di verifica dell'identità del firmatario e di protezione della chiave di firma. Il suo valore legale è equivalente a quello di una firma autografa, mentre gli altri livelli di firma elettronica hanno valore probatorio. È quindi legalmente riconosciuta in tutti gli Stati Membri dell'Unione Europea.

Si presume che un processo di firma elettronica sia affidabile quando utilizza una firma elettronica qualificata rilasciata da un'autorità di certificazione. Queste autorità di certificazione sono controllate in Italia dall’AGID (Agenzia per l’Italia Digitale) e da enti equivalenti negli altri Stati europei. 

La procedura di firma digitale utilizza gli stessi criteri di sicurezza della firma avanzata, ma richiede che l'identità del firmatario venga preventivamente convalidata e che la chiave della firma si trovi in ​​un dispositivo per la creazione di una firma elettronica qualificata (QSCD). Mentre in precedenza la verifica dell'identità richiedeva un incontro fisico, ora può essere eseguita da remoto se vengono soddisfatte determinate condizioni.

Ciò può essere quindi fatto con un incontro fisico durante il quale al firmatario verrà fornito un metodo di identificazione chiamato "token" (smart card, chiavetta USB, badge...) che consente all'autorità di certificazione di convalidare la sua identità affinché possa firmare i suoi documenti dopo aver inserito un codice PIN personale. Questa chiave crittografata deve essere estremamente protetta e affidabile, e quindi, logicamente, deve essere conservata in un luogo sicuro. Sarà stata preventivamente verificata e validata dall'AGID al momento del rilascio del dispositivo. La stessa chiave può essere spesso utilizzata fino a 3 anni.

Un'alternativa alla consegna di una chiave crittografata è l'utilizzo di un HSM nel Cloud, che consente di effettuare questa operazione da remoto con un'autenticazione a due fattori del firmatario una volta che la richiesta di firma è stata attivata, dopo una primo incontro fisico iniziale di verifica dell'identità.

Tipi di documenti

Registro di protocollo informatico, Libri societari, Libro inventari, Bilancio d’esercizio, Registri IVA, Gare d’appalto pubbliche, ...

Ricapitolando...

Dopo l’accurata analisi dei livelli di firma elettronica riportata in questo articolo, possiamo quindi definire i diversi gradi di complessità e sicurezza che contraddistinguono i tre tipi di firma elettronica: firma elettronica semplice (FES), firma elettronica OTP ,firma avanzata (FEA) e firma elettronica qualificata (FEQ).

Ma quale tipo di firma elettronica devo scegliere per far firmare i miei documenti?

Molti pensano erroneamente che bisognerebbe utilizzare sempre delle firme qualificate o avanzate per i documenti che si vogliono far firmare. 

La verità è che per la maggior parte dei documenti aziendali, per i quali  si potrà risparmiare maggiormente tempo e denaro, sarà necessaria solamente una firma elettronica semplice.

Si potrà quindi scegliere una firma elettronica semplice (FES) per firmare dei documenti che non richiedono un’identificazione complessa del firmatario di un documento come per esempio: contratti di lavoro, informative sulla privacy, preventivi standard, contratti e polizze assicurative, contratti di affitto, contratti di fornitura di servizi continuativi, etc.

La firma più comunemente utilizzata in Italia è un ibrido tra la FES e la FEA e consiste in una firma elettronica a cui viene aggiunto un  codice OTP (one time password) per esempio via SMS o server vocale, il cui inserimento è necessario per firmare il documento.

Per quanto riguarda i documenti per i quali si avrà bisogno o di un’identificazione più complessa abbiamo:

  • Le firma elettronica avanzata (FEA) con verifica di un documento d’identità e che deve  soddisfare i requisiti eIDAS dall’articolo 26 DEL Regolamento (UE) n. 910/2014, ed equivale ad una firma manoscritta.

Si sceglierà quindi una FEA per firmare dei documenti più complessi come per esempio: contratti di affitto di durata inferiore a 9 anni, moduli privacy, per i moduli informativi e i mandati all’agente immobiliare e ai professionisti terzi, polizze assicurative sulla vita, contratti per l’apertura di un conto bancario, etc.

  • La firma elettronica qualificata (FEQ) è un tipo di firma elettronica creata con mezzi qualificati ed è equivalente come la FEA ad una firma manoscritta. I documenti firmati con una firma elettronica qualificata hanno quindi valore legale e la loro integrità e originalità è quindi totalmente riconosciuta, la differenza legale rispetto alla FEA precedente riguarda il fatto che l’onere della prova ricade su colui sul firmatario e non sul mittente.

Con questo tipo di firma possiamo firmare: contratti preliminari di compravendita immobiliare e di locazione di periodo superiore a nove anni, fatture, comunicazioni con la pubblica amministrazione, bilanci, ordini di acquisto.

Nota Bene

Vi ricordiamo inoltre che firmare i vostri documenti apponendo un’immagine di firma in .png non ha nessun valore legale, così come non ha valenza legale la foto di un documento firmato! Questo tipo di firma infatti non rientra in nessuna delle categorie sopra descritte e, in caso di disputa, non garantisce l’integrità del documento firmato.

L’immagine di firma sul documento ha essenzialmente un valore estetico e psicologico ed esprime materialmente il consenso del firmatario mentre la firma elettronica che ha valore legale, è un processo crittografico, immateriale e invisibile ed integrato nel formato del documento PDF.

In conclusione

Ora che ti abbiamo illustrato tutte le opzioni possibili sta a voi scegliere la firma elettronica più adatta alle vostre esigenze. 

Abbiamo visto che è sempre più essenziale digitalizzare i processi - aziendali e non - così’ da lavorare  in maniera sempre più sicura e legale. La firma elettronica inoltre porta con sè tanti benefici in termini di  produttività e risparmio

----

Hai ancora dei dubbi? 

Ti interessa scoprire come dematerializzare i tuoi documenti può permetterti di velocizzare i tuoi processi? 

Parla con i nostri consulenti di firma elettronica e spiegaci le tue necessità.

-

Questo documento è fornito esclusivamente a scopo informativo. Non ne garantiamo la completezza, né che sia aggiornato rispetto alle normative vigenti. Questo documento non è fornito in sostituzione di una consulenza legale.

Prova Yousign gratuitamente
per 14 giorni

Unisciti ora alle +15000 imprese che hanno deciso di digitalizzare i processi di firma in modo sicuro, semplice e legale.

green arrow
cta illustration

Prova la firma OTP gratis per 14 giorni