Firma elettronica: quale scegliere? Rispondiamo a tutti i dubbi nell’approfondimento Indicom
Firma elettronica: quale scegliere? Un dubbio quasi amletico che accompagna molte aziende che si approcciano a questo strumento per la prima volta. Per rispondere a tale quesito partiamo però dalla base, ossia dalla definizione.
La firma elettronica è definita dal Regolamento eIDAS come: «insieme dei dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare».
Lo scopo della firma elettronica è assicurare validità legale ai documenti informatici, con gradazioni diverse a seconda della tipologia di firma utilizzata.
Si va infatti dalla sottoscrizione basica della firma elettronica semplice, liberamente valutabile in giudizio, sino alla firma digitale che garantisce ad un documento i seguenti attributi:
- Autenticità
- Integrità
- Certezza dell’autore
Non esiste una singola tipologia. Anzi, in realtà, le varianti sono 4, ognuna con le proprie peculiarità e caratteristiche. Il primo step per individuare la firma elettronica adeguata al contesto è conoscere le differenze.
Firma elettronica semplice ed avanzata
La prima tipologia da esaminare è la firma elettronica semplice (FES). Essa è “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. Appartengono a tale categoria il pin del bancomat o la firma sul pacco del corriere.
Può essere usata per sottoscrivere un buon numero di documenti: contratti (ad esclusione di quelli di carattere immobiliare), lettere di incarico, preventivi o l’autorizzazione al trattamento dei dati personali. Tuttavia, non garantisce la completa e inoppugnabile autenticazione del firmatario né tantomeno l’integrità del contenuto. Il suo valore è liberamente valutabile in giudizio.
La firma elettronica avanzata (FEA), invece, identifica il firmatario in maniera univoca. È collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica. Inoltre, è creata mediante strumenti e tecnologie che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo.
Anche l’OTP può diventare una FEA se inserita in un contesto che preveda tra gli altri:
- l’autorizzazione del contraente all’utilizzo della FEA
- Il suo riconoscimento da parte del soggetto che propone la FEA
- la conservazione dei documenti del firmatario per 20 anni
La FEA può essere utilizzata esclusivamente all’interno del rapporto che lega le parti che attivano il processo di firma elettronica avanzata.
Firma elettronica qualificata e firma digitale
La Firma Elettronica Qualificata è «un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma».
Per dispositivo sicuro si intende «un hardware configurato per creare una firma elettronica che soddisfi i requisiti di cui all’allegato II del regolamento EIDAS».
Il certificato qualificato è, invece, un attestato elettronico che collega i dati di convalida di una firma elettronica a una persona fisica. Esso conferma il nome o lo pseudonimo di tale persona. Tale certificato è rilasciato da un prestatore di servizi fiduciari qualificato.
Infine, abbiamo la firma digitale. È un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche (una pubblica e una privata) correlate tra loro. Essa consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo, tramite chiave pubblica, di rendere manifesta e di verificare la provenienza e l’integrità di un documento.
Può essere rilasciata solo da una Certification Authority ed è univocamente legata al soggetto grazie al certificato di firma in essa contenuto. La firma digitale è inoltre generata o da dispositivi fisici (smart card o token USB) oppure da dispositivi remoti quali, ad esempio, gli HSM. Quest’ultimi consentono di generare, gestire o revocare le chiavi digitali per l’autenticazione.
La firma digitale è equivalente ad una sottoscrizione autografa e può essere utilizzata in qualsiasi contesto, compresa la sottoscrizione di atti di compravendita.
Firma elettronica: quale scegliere nello specifico?
Per un’azienda la scelta della soluzione di firma più adatta passa attraverso una serie di valutazioni.
In primo luogo, vi è la tipologia di documento da firmare ed il contesto normativo all’interno del quale esso si colloca. Per disposizioni di Legge, infatti, in presenza di determinati documenti la scelta deve obbligatoriamente ricadere sulla firma digitale. Basti pensare, ad esempio, alla “generazione delle copie informatiche e delle copie per immagine su supporto informatico di documenti e scritture analogici”, come previsto dal DMEF del 17/6/14, o a quanto previsto dal C.C. all’art. 2215bis sulla tenuta informatica dei libri e dei registri contabili. Entrambe le situazioni impongono l’utilizzo della Firma Digitale.
Altro elemento importante è la gestione del documento stesso se sono previste, ad esempio, più firme e la condivisione del documento con soggetti esterni all’organizzazione.
Le caratteristiche intrinseche del documento e i requisiti necessari a garantire il corretto valore probatorio devono necessariamente essere valutati nella scelta della firma. Di sicura importanza, inoltre, la valutazione delle conseguenze di un eventuale disconoscimento di una firma elettronica, il contesto nel quale potrebbe verificarsi tale eventualità ed il valore del documento.
Infine, bisogna tenere conto del destinatario finale del documento. Il ricevente è in grado di visualizzare tutti i formati delle firme elettroniche? Basti pensare, ad esempio, al CAdES, con l’estensione del file in .p7m, contrapposto al PAdES, in cui invece rimane invariata l’estensione .pdf.
In conclusione, come testimoniato anche dalle LLGG di prossima applicazione, il legame tra documento informatico e firma elettronica è molto forte e fare la scelta giusta può diventare un’opportunità o un pericoloso rischio.
