Le firme elettroniche da conoscere
Il termine “sottoscrizione informatica” indica molteplici procedimenti, dalla firma elettronica alla firma digitale qualificata. Di cosa si tratta?
La firma digitale corrisponde all'equivalente firma autografa ed è associata al documento cui è posta per garantirne integrità, autenticità e non ripudiabilità da parte del soggetto titolare della sottoscrizione.
Quante firme?
1. Firma Elettronica
“L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.
La firma elettronica è chiamata “debole”, perché è la tipologia meno sicura. Tuttavia, ha effetto giuridico dal momento che il singolo esprime la volontà di attribuirsi la titolarità del documento.
Fonte: Regolamento 910/2014 (eIDAS)
2. Firma Elettronica Avanzata (FEA)
In Italia la firma elettronica avanzata (FEA) assume la valenza legale e l’efficacia probatoria della firma elettronica qualificata per le scritture private previste all'articolo 2702 cc.
Negli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità.
La sua creazione presuppone l’utilizzo di mezzi sui quali il firmatario mantiene il controllo esclusivo. Quest’ultimo elemento assicura la connessione univoca con il firmatario e quindi la paternità giuridica del documento. Tuttavia, la normativa non vincola la firma elettronica avanzata a particolari standard tecnici o determinati software.
Un esempio pratico è la firma grafometrica apposta con una pen drive che memorizza le caratteristiche biometriche del sottoscrittore, quali la velocità e la pressione di scrittura o l’accelerazione del movimento.
Fonte: Decreto del Presidente del Consiglio dei ministri (22 febbraio 2013)
3. Firma Elettronica Qualificata (FEQ)
La firma elettronica qualificata (FEQ) è giuridicamente equivalente a quella autografa. Secondo il Regolamento eIDAS dal 1° luglio 2016, è diventata interoperabile a livello europeo per le specifiche tecniche comuni in tutti gli Stati membri.
La firma qualificata si basa sui seguenti elementi:
- Certificato qualificato emesso da Enti Certificatori accreditati;
- Standard tecnologico ben definito;
- Richiesto l'utilizzo di un dispositivo sicuro di firma (smart card, token usb, HSM);
- Interoperabilità.
Tra le modalità di apposizione spiccano la firma remota e la firma automatica. Queste fattispecie utilizzano i dispositivi Hardware Security Module (HSM).
Fonte: Decreto del Presidente del Consiglio dei ministri (22 febbraio 2013)
Due tipologie di firma elettronica qualificata sono:
- Firma Remota: Questa tipologia fa riferimento all’avvento dei microchip in formato SIM installati nei token USB e alla necessità di disporre di Hardware Security Module (HSM) conformi alle norme di sicurezza eIDAS.
- Firma Automatica: La firma automatica viene utilizzata per la sottoscrizione di documenti che non richiedono di essere presentati al titolare della firma. Il rischio è basso per fatture o atti di routine ed è elevato per referti clinici, contratti specifici o documenti non identificabili in un flusso omogeneo. Si tratta di una FEQ, ma non è una firma remota.
4. Firma Digitale
“Un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici”.
È la combinazione di chiavi crittografiche di tipo asimmetrico e corrisponde all'equivalente firma autografa su carta, poiché è associata al documento sulla quale è apposta e ne attesta integrità, autenticità e non ripudiabilità.
Fonte: CAD
5. Sigillo Elettronico
“Dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”.
Ha lo scopo di garantire l’origine e l’integrità dei dati “sigillati”. Prova l’emissione di un documento elettronico da parte di un soggetto giuridico, e non di una persona fisica, fornendo la certezza dell’origine e dell’integrità del documento stesso.
Il sigillo elettronico può essere avanzato, se identifica il suo creatore ed è collegato ai dati a cui è stato apposto o qualificato, se prodotto con dispositivi dotati di certificato rilasciato da Ente accreditato.
Fonte: Regolamento 910/2014 (eIDAS)
Valore legale nel tempo
Un aspetto giuridico regolamentato dal CAD è la validità della firma digitale nel tempo. Se il certificato di firma è scaduto, revocato o sospeso, non è possibile stabilire l’atto della firma nel documento entro i termini di validità del medesimo. Di conseguenza, l’autenticità e l’integrità del file non sono garantiti.
Inoltre, i certificati di firma possono avere scadenza triennale ed è necessario dimostrare che la sottoscrizione “è stata prodotta in un momento in cui il certificato era ancora valido”. Alcuni metodi sono la marcatura temporale, la posta elettronica certificata, la segnatura di protocollo o la conservazione sostitutiva a norma.
Per maggiori approfondimenti, stay tuned!