Glossario della firma elettronica: tutto quello da sapere!

L’acronimo AgID indica l’Agenzia per l’Italia Digitale, l’ente tecnico della Presidenza del Consiglio dei Ministri incaricato di guidare e coordinare i processi di innovazione tecnologica nella Pubblica Amministrazione e nei servizi rivolti a cittadini e imprese.

Il suo ruolo principale è quello di garantire l’attuazione degli obiettivi dell’Agenda Digitale Italiana e di favorire la diffusione delle tecnologie dell’informazione e della comunicazione (ICT) come strumento di crescita economica, semplificazione amministrativa e miglioramento dei servizi pubblici.

Tra i suoi compiti rientrano:

• sostenere la trasformazione digitale del Paese,
• promuovere le competenze digitali,
• collaborare con istituzioni nazionali e organismi internazionali,
• favorire efficienza, trasparenza e legalità nell’uso delle tecnologie digitali.

In sintesi, AgID rappresenta l’organo di riferimento per lo sviluppo e la regolamentazione della digitalizzazione in Italia, con un impatto diretto anche sul settore della firma elettronica e sulla sua corretta applicazione normativa.

L’acronimo CAD sta per Codice dell’Amministrazione Digitale, introdotto con il decreto legislativo 7 marzo 2005, n. 82. Si tratta del testo unico di riferimento che raccoglie e organizza le norme relative all’informatizzazione della Pubblica Amministrazione (PA) nei rapporti con cittadini e imprese. Il regolamento si applica a tutte le pubbliche amministrazioni, comprese le istituzioni universitarie e le società a controllo pubblico.

Il CAD rappresenta la base normativa principale per la trasformazione digitale della PA e definisce i diritti digitali fondamentali. Tra i principi più rilevanti:

• Diritto all’uso delle tecnologie digitali: cittadini e imprese possono richiedere di utilizzare strumenti digitali nelle comunicazioni con la PA e indicare un domicilio digitale come unico indirizzo per ricevere notifiche e atti ufficiali.
• Alfabetizzazione digitale: lo Stato deve promuovere iniziative per diffondere le competenze digitali e semplificare l’accesso ai servizi online.
• Connettività: viene garantito l’accesso a banda larga e ultra larga negli uffici pubblici e nei luoghi di interesse pubblico.
• E-government: il canale digitale è riconosciuto come canale primario per i servizi della Pubblica Amministrazione.
• Dematerializzazione dei documenti: il CAD stabilisce regole precise per la creazione, gestione e conservazione digitale dei documenti, assicurandone autenticità e integrità, anche quando sono sottoposti a firma elettronica.

In sintesi, il CAD è la cornice legislativa che disciplina la digitalizzazione della Pubblica Amministrazione in Italia e rappresenta un punto di riferimento indispensabile per comprendere la validità legale dei documenti firmati elettronicamente.

Il Regolamento eIDAS (Regolamento UE n. 910/2014), adottato il 23 luglio 2014, stabilisce le regole europee sull’identificazione elettronica e sui servizi fiduciari per le transazioni digitali nel Mercato Unico Europeo.

L’obiettivo principale di eIDAS è creare una base normativa comune tra gli Stati membri per garantire interazioni elettroniche sicure tra cittadini, imprese e Pubbliche Amministrazioni.

Il regolamento introduce un quadro giuridico uniforme e standardizzato che disciplina:

• le firme elettroniche (semplici, avanzate e qualificate),
• le identità digitali riconosciute a livello europeo,
• i sigilli elettronici per le entità commerciali,
• le marcature temporali elettroniche,
• i documenti elettronici con validità legale,
• i servizi elettronici di recapito certificato (ERDS),
• i certificati di autenticazione dei siti web.

Per garantire la piena validità legale e la tutela giuridica dei documenti digitali, è fondamentale utilizzare esclusivamente soluzioni di firma elettronica certificate eIDAS, come quelle offerte da Yousign.

La Firma Elettronica Semplice (FES) è la forma più basica di firma elettronica, in quanto non richiede standard di sicurezza complessi per l’identificazione del firmatario.

Un esempio comune di FES è la firma apposta su un documento senza l’utilizzo di un codice OTP (One Time Password). In questo caso, il firmatario può completare la sottoscrizione senza dover inserire un codice numerico inviato via SMS o tramite applicazione.

Negli ultimi anni si sta diffondendo anche la FES con OTP, che richiede l’inserimento del codice monouso per concludere la firma. Questo passaggio aggiuntivo garantisce un livello di sicurezza superiore, poiché introduce una doppia identificazione del firmatario.

Secondo il Regolamento eIDAS, la firma elettronica semplice non può essere privata degli effetti giuridici né della sua ammissibilità come prova in giudizio, solo perché in forma elettronica o perché non soddisfa i requisiti di una firma elettronica qualificata.

La Firma Elettronica Avanzata (FEA) è una tipologia di firma che soddisfa i requisiti stabiliti dall’articolo 26 del Regolamento (UE) n. 910/2014 (eIDAS):

• è connessa unicamente al firmatario,
• è idonea a identificarlo in modo certo,
• è creata mediante dati di firma elettronica che il firmatario può utilizzare sotto il proprio esclusivo controllo, con un elevato livello di sicurezza,
• è collegata ai dati sottoscritti, così da consentire la rilevazione di qualsiasi successiva modifica.

Nella pratica, la FEA prevede una verifica dell’identità del firmatario tramite software dedicati e l’inserimento di un codice OTP (One Time Password). Questo meccanismo aggiunge una protezione rafforzata rispetto alla Firma Elettronica Semplice (FES).

La FEA viene utilizzata soprattutto nei settori assicurativo e bancario, dove è fondamentale garantire una forte identificazione del firmatario e ridurre i rischi in caso di controversie legali. Senza il caricamento e la verifica del documento di identità, infatti, non è possibile completare una firma elettronica avanzata certificata.

La Firma Elettronica Qualificata (FEQ) è definita dal Regolamento eIDAS (art. 3, n. 910/2014) come una firma elettronica avanzata creata tramite un dispositivo qualificato e basata su un certificato qualificato per firme elettroniche.

Si tratta del livello più alto di sicurezza giuridica e tecnica per le firme elettroniche. La FEQ è considerata equivalente alla firma autografa: un documento firmato con FEQ ha infatti pieno valore legale, garantendo integrità, autenticità e non ripudio del contenuto.

In Italia, la Firma Elettronica Qualificata è comunemente conosciuta come firma digitale. Questa si basa sull’utilizzo di un certificato qualificato rilasciato da un prestatore accreditato e sull’impiego di una coppia di chiavi crittografiche (una pubblica e una privata) che assicurano la validazione e verifica dell’autenticità della firma.

La Firma Digitale, definita dal Codice dell’Amministrazione Digitale (CAD, art. 24, D.lgs. 82/2005), è una particolare tipologia di firma elettronica qualificata (FEQ). Ha lo stesso valore della firma autografa, poiché garantisce un forte riconoscimento dell’identità del firmatario e attribuisce validità legale certa al documento firmato.

Il funzionamento della firma digitale si basa su tre principi fondamentali:

• Autenticità del firmatario → l’identità è verificata tramite un sistema di chiavi crittografiche (pubblica e privata) che garantiscono la corretta associazione tra firma e firmatario.
• Integrità del documento → un documento firmato digitalmente non può essere modificato dopo la sottoscrizione, preservandone il contenuto originale.
• Non ripudio → chi firma digitalmente un documento non può disconoscerne la paternità, rendendolo opponibile a terzi in caso di controversia.

In Italia, la firma digitale è lo strumento più diffuso di firma elettronica qualificata, utilizzato in ambito amministrativo, legale e commerciale per garantire sicurezza, autenticità e piena validità giuridica ai documenti elettronici.

La Firma Grafometrica è una tipologia di firma elettronica che riproduce il gesto manuale della firma autografa su carta, ma in formato digitale. Viene apposta su un tablet o dispositivo elettronico che rileva e registra i dati biometrici del firmatario.

Questi dati (come pressione, velocità, inclinazione e movimento della penna digitale) vengono legati in maniera indissolubile al documento elettronico firmato, di solito in formato PDF, e ne garantiscono:

• l’identificazione univoca del firmatario,
• il collegamento diretto e sicuro tra firma e documento,
• la protezione contro modifiche successive, assicurando che il contenuto resti integro dopo la sottoscrizione.

La firma grafometrica è quindi una soluzione molto diffusa in contesti come banche, assicurazioni e pubblica amministrazione, poiché unisce la familiarità della firma tradizionale con la sicurezza delle tecnologie digitali.

L’acronimo inglese OTP significa One Time Password, ovvero una password valida solo una volta. Si tratta di un codice numerico temporaneo, generato al momento della richiesta di firma, che viene inviato all’utente tramite SMS, messaggio vocale o e-mail.

Il codice OTP, solitamente composto da 4 o più cifre, è valido soltanto per una singola sessione di autenticazione. Questo meccanismo è ampiamente utilizzato nei servizi di firma elettronica, poiché garantisce una protezione aggiuntiva grazie al sistema di autenticazione a due fattori (Two-Factor Authentication, 2FA).

Attraverso l’uso dell’OTP, viene rafforzata l’identificazione del firmatario, rendendo più sicura la procedura di firma e riducendo il rischio di accessi non autorizzati. Per questo motivo, l’OTP è diventato uno degli standard più diffusi tra i provider di firma elettronica e nei processi di validazione digitale.

Lo SPID (Sistema Pubblico di Identità Digitale) è stato introdotto in Italia nel 2014 (DPCM 24 ottobre 2014) come sistema di identificazione elettronica che consente l’accesso ai servizi online pubblici e privati.

Le identità SPID vengono rilasciate da Identity Provider (IdP), soggetti privati accreditati dall’Agenzia per l’Italia Digitale (AgID). Questi gestiscono l’autenticazione degli utenti secondo regole specifiche e garantiscono la sicurezza del processo.

Per ottenere le credenziali SPID occorre avere almeno 18 anni e fornire:

• indirizzo e-mail,
• numero di cellulare,
• codice fiscale,
• un documento di identità valido (carta d’identità, passaporto o patente).

Le credenziali possono essere richieste come cittadino privato, per uso professionale o come legale rappresentante di una persona giuridica.

Dal 23 marzo 2020, l’AgID ha emanato le linee guida che consentono l’uso dello SPID anche per la firma elettronica di documenti, inclusi i contratti. In base all’art. 2702 del Codice Civile, la firma tramite SPID ha piena efficacia probatoria quando utilizzata da persone fisiche, sia in ambito privato che professionale. Le persone giuridiche, invece, non possono utilizzare SPID come firma elettronica con valore probatorio pieno.

L’acronimo IVASS indica l’Istituto per la Vigilanza sulle Assicurazioni, ente pubblico con personalità giuridica di diritto pubblico, istituito nel 2012 e disciplinato dalla legge n. 135. La sua missione è garantire la protezione degli assicurati e della professione assicurativa, promuovere la gestione sana e prudente delle imprese di assicurazione e assicurare trasparenza e correttezza nei rapporti con la clientela.

L’IVASS contribuisce inoltre alla stabilità del sistema finanziario e dei mercati assicurativi, anche attraverso analisi, benchmark e attività di monitoraggio.

Le principali funzioni dell’IVASS sono:

• Vigilanza: assicurare il rispetto di leggi e regolamenti da parte delle compagnie e degli intermediari assicurativi.
• Controllo: monitorare la gestione patrimoniale e contabile delle imprese di assicurazione.
• Trasparenza: garantire la chiarezza delle offerte assicurative rivolte ai consumatori.
• Rilevazione dei dati di mercato: supervisionare la formazione delle tariffe e delle condizioni contrattuali delle polizze.
• Gestione dei reclami: offrire ai cittadini la possibilità di presentare segnalazioni o reclami tramite posta, corrispondenza ufficiale o numero verde.

• Una firma elettronica sicura, certificata e legalmente vincolante, conforme al Regolamento eIDAS e alle disposizioni AgID.
• Una webapp intuitiva e facile da usare, che ti permette di inviare e firmare documenti online in pochi clic.
• La garanzia di firme legalmente valide, riconosciute a livello europeo e perfettamente integrate nei processi digitali della tua azienda.

Grazie a Yousign, imprese e professionisti possono digitalizzare i flussi documentali, ridurre i tempi di gestione e migliorare l’esperienza di firma, in totale sicurezza.

Con questo glossario abbiamo chiarito i principali termini e acronimi legati alla firma elettronica e alla digitalizzazione dei documenti. Comprendere queste definizioni è fondamentale per orientarsi tra normativa, strumenti tecnologici e attori istituzionali che regolano l’uso della firma elettronica in Italia ed Europa.

La firma elettronica Yousign è una soluzione moderna, intuitiva e conforme al Regolamento eIDAS, che permette di firmare documenti in modo rapido, sicuro e legalmente valido, aiutando imprese e professionisti a risparmiare tempo e risorse.