Firma digitale dei documenti: come funziona e quali vantaggi

firma-digitale-dei-documenti

La firma digitale dei documenti è la soluzione tutta italiana a un problema che travalica i confini nazionali: gestire da remoto e in modo efficiente i rapporti fra le parti nei contesti di business e nei rapporti con la PA, attestando “con certezza l’integrità, l’autenticità e la non ripudiabilità del documento informatico su cui è apposta”. La sua efficacia ormai conclamata risponde a una regolamentazione precisa, che non va confusa con la più generica denominazione di “firma elettronica”. Le due fattispecie rappresentano, infatti, solo altrettante varianti di un concetto ampio e articolato, del quale le normative si occupano ormai da un ventennio.

Il concetto di firma elettronica è in particolare normato dal Regolamento eIDAS (Regolamento UE n. 910/2014), il quale ha a sua volta abrogato la previgente Direttiva 1999/93/CE, il cui limite era quello di non fornire un quadro transfrontaliero e transettoriale completo per la realizzazione di transazioni elettroniche sicure, affidabili e di facile impiego. Per prepararsi all’entrata in vigore del Regolamento eIDAS, fra 2016 e 2017 il legislatore italiano ha adeguato la normativa contenuta all’interno del Codice dell’amministrazione digitale (CAD) a quella comunitaria, assegnando alle firme elettroniche valori giuridici differenziati rispetto al precedente quadro normativo.

Vediamo dunque di fare chiarezza, mettendo ordine nel vasto universo delle sottoscrizioni informatiche. Punteremo poi l’attenzione, in particolare, sul modo in cui la firma digitale dei documenti si inserisce in questo contesto e ne chiariremo la natura, le modalità applicative e i vantaggi per chi sceglie di avvalersene.

 

Le varie tipologie di firma elettronica

La firma elettronica semplice

La firma elettronica rappresenta la fattispecie base di sottoscrizione informatica, categoria residuale rispetto alle altre tipologie. Si tratta di un principio giuridico generale, definito come “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.

Di per sé rappresenta uno strumento che, in termini di sicurezza, non offre molte garanzie: non riesce, infatti, ad assicurare i tre fondamentali obiettivi che le altre tipologie di firma elettronica perseguono, ossia “l’autenticità, il non ripudio e l’integrità del documento”.

Fra gli esempi di firma elettronica semplice annoveriamo il codice PIN o le credenziali di accesso ai siti web.

 

La firma elettronica qualificata (FEQ)

La firma elettronica qualificata rappresenta la più forte fattispecie di sottoscrizione informatica: può, infatti, essere utilizzata in ogni contesto in sostituzione della sottoscrizione autografa, della quale è giuridicamente equivalente.

La FEQ ha valore europeo ed è interoperabile all’interno del mercato interno. Si fonda su particolari certificati qualificati, vale a dire attestati elettronici che collegano i dati di convalida di una firma elettronica a una persona fisica, confermandone almeno il nome o lo pseudonimo. Quando tale certificato è rilasciato da un prestatore di servizi fiduciari qualificato e rispetta determinati requisiti obbligatori, esso costituisce un certificato qualificato di firma elettronica.

La firma elettronica qualificata deve, inoltre, essere creata attraverso l’utilizzo di un dispositivo di firma qualificato. Tali dispositivi consistono in supporti elettronici rimovibili (smart card, chiavetta USB, token), che consentono al loro titolare di sottoscrivere un documento informatico, apponendovi la propria firma elettronica qualificata.

 

La firma elettronica avanzata (FEA)

Secondo il Regolamento eIDAS, la FEA è una tipologia di firma elettronica sottoposta al rispetto di una serie di requisiti.

Nel dettaglio:

  1. è una firma elettronica connessa unicamente al firmatario, al punto che deve essere idonea a consentirne l’identificazione;
  2. i mezzi necessari a crearla possono essere utilizzati in sicurezza dal firmatario sotto suo esclusivo controllo;
  3. è di fatto una firma elettronica semplice, ma con caratteristiche di sicurezza aggiuntive.

Mentre per la normativa comunitaria la FEA rappresenta un principio base (che insieme al certificato qualificato e al dispositivo per la creazione di una firma qualificata definisce la firma elettronica qualificata), per il legislatore nazionale la FEA rappresenta una semplificazione della firma elettronica qualificata, della quale è equivalente a fronte del soddisfacimento di una serie di requisiti.

Un suo esempio è la firma grafometrica che viene apposta su tablet con un pennino, molto diffusa nel settore bancario e assicurativo.

 

La firma remota

Si tratta di una “particolare procedura di firma elettronica qualificata o firma digitale”, che consente di “garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”. È la soluzione nata in tempi recenti per ovviare al problema dell’instabilità tecnologica nell’utilizzo tra PC, lettori di smart card e smart card. Si tratta di una FEQ a tutti gli effetti.

 

La firma digitale dei documenti

Quello della firma digitale dei documenti è un principio tutto italiano. Dal punto di vista normativo è, infatti, prevista solo a livello nazionale (nel CAD), come particolare tipo di firma elettronica qualificata “basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

Tecnicamente, la firma digitale dei documenti si basa su una coppia di chiavi crittografiche di tipo asimmetrico (una pubblica e l’altra privata, sotto il controllo esclusivo del sottoscrittore) della firma elettronica qualificata, la quale, data la sua ampia applicabilità, può essere utilizzata in tutti gli scenari di sottoscrizione con il necessario valore probatorio. Può, infatti, essere disconosciuta solo provando di non aver firmato, il che significa che il sottoscrittore ha l’onere della prova.

Il suo funzionamento si basa sul fatto che, se si utilizza una delle due chiavi (pubblica o privata) per cifrare un messaggio, allora quest’ultimo sarà decifrabile esclusivamente dall’altra parte (crittografia asimmetrica). La chiave pubblica, contenuta nel certificato qualificato, viene utilizzata per associare l’identità della persona al dispositivo di firma, attraverso il cosiddetto certificato digitale. La chiave privata, custodita dal mittente, viene resa accessibile esclusivamente da parte dell’utente che intende criptare il documento.

Ma analizziamo lo stato dell’arte della firma digitale dei documenti e del suo funzionamento.

 

La generazione della firma digitale dei documenti

I requisiti

La generazione della firma digitale è subordinata a un requisito fondamentale: preservare l’integrità dei documenti informatici sui quali deve essere apposta la firma qualificata. La legge in questo senso è chiara e prevede che i documenti informatici debbano essere “presentati al titolare di firma elettronica, prima dell’apposizione della firma, chiaramente e senza ambiguità”, e che a quest’ultimo si debba richiedere “conferma della volontà di generare la firma secondo quanto previsto dalle Linee guida”, salvo quando la procedura per la generazione della firma non sia automatica: in tal caso, infatti, è sufficiente il semplice consenso del titolare della firma.

 

I dispositivi

I dispositivi per la generazione di firme qualificate devono rispondere ad alcuni criteri essenziali:

  1. capacità di garantire elevati livelli di sicurezza;
  2. risultare conformi a un apposito processo di certificazione di conformità ai requisiti prescritti a livello comunitario (in Italia tale processo di valutazione e certificazione è svolto dall’OCSI, Organismo di Certificazione della Sicurezza Informatica, ma può essere svolto anche da un organismo di un altro Stato membro. In entrambi i casi, AgID ha il compito di valutare la conformità del sistema e gli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma, nel rispetto di apposite Linee Guida da essa emanate);
  3. appartenere all’elenco dei dispositivi certificati redatto e reso pubblico dalla Commissione europea.

 

La convalida della firma digitale

La convalida è il processo che conferma la validità della firma digitale dei documenti. Il Regolamento eIDAS richiede che il certificato, al momento della firma elettronica qualificata, sia conforme ai requisiti dell’Allegato I del Regolamento, valido e rilasciato da un prestatore di servizi fiduciari qualificato.

Il servizio di convalida qualificato delle firme elettroniche qualificate è definito come un “servizio fiduciario specifico che può essere prestato esclusivamente dai prestatori di servizi fiduciari qualificati”, che “consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato”.

Ciò consente, quindi, di disporre di un documento informatico, sottoscritto o contenente il sigillo elettronico del certificatore qualificato, in merito all’esito del processo di verifica della firma qualificata. Tale documento potrà essere presentato in giudizio o nei confronti delle PA al fine di dimostrare la validità di una firma qualificata.

 

La conservazione della firma digitale

Importante è anche il servizio di conservazione qualificato delle firme elettroniche qualificate, e quindi della firma digitale documenti. Tale servizio può essere svolto esclusivamente da prestatori di servizi fiduciari qualificati: è necessario infatti l’uso di procedure e tecnologie in grado di estendere l’affidabilità della firma qualificata oltre il periodo di validità tecnologica.

 

Gli obblighi delle parti

L’art. 32 del CAD, adeguato alla nuova normativa comunitaria dalle riforme del 2016 e del 2017, concerne gli obblighi del titolare di firma elettronica qualificata e del prestatore di servizi di firma elettronica qualificata.

Al titolare spettano compiti di autotutela:

  • la custodia del dispositivo, in caso di firma locale;
  • la custodia dei propri strumenti di autenticazione, in caso di firma remota.

Al prestatore fanno capo, invece, obblighi più complessi:

  • identificazione, ovvero l’accertamento dell’identità di colui che richiede la certificazione;
  • certificazione, come il rilascio e la pubblicazione del certificato qualificato, oppure l’obbligo di pubblicarne tempestivamente la revoca o la sospensione;
  • correttezza e continuità nello svolgimento del rapporto, che prevedono l’obbligo di utilizzare sistemi affidabili per la gestione del registro dei certificati, garantire l’autenticità delle informazioni e comunicare ad AgID e agli utenti gli eventuali malfunzionamenti che compromettono la continuità del sistema o il servizio stesso.

 

I vantaggi dell’uso della firma digitale dei documenti

Avvalersi o non avvalersi, dunque, della firma digitale dei documenti? La scelta, davanti al progressivo perfezionarsi delle normative e delle possibilità tecnologiche, pare ormai scontata, in linea con la spinta alla digitalizzazione e alla semplificazione dei rapporti tra cittadini e imprese o tra questi e la Pubblica Amministrazione.

Ecco alcuni buoni motivi che giustificano il ricorso a questa tipologia di sottoscrizione, rispetto al suo corrispettivo analogico.

  • Praticità: con la firma digitale dei documenti è molto più semplice, per cittadini e imprese, interfacciarsi tra di loro o con la Pubblica Amministrazione, scambiando online documenti con validità legale;
  • Efficienza in termini di business: la firma digitale è parte integrante del processo di automazione e semplificazione del workflow documentale;
  • Velocità di utilizzo: anche a distanza è possibile stipulare in tempi brevi rapporti contrattuali;
  • Certezza di autenticità e integrità, come previsto dalle normative di settore, grazie al sistema di chiavi crittografiche;
  • Validità legale: la legge riconosce al documento informatico sottoscritto con firma digitale valore probatorio pieno, equiparandolo a quello della scrittura privata;
  • Costi ridotti: non sono più previste spese di stampa e di spedizione. Inoltre, conservando tutto all’interno di archivi elettronici, vengono abbattuti anche i costi di archiviazione.
  • Inutilità dei timbri: la firma digitale di un pubblico ufficiale sostituisce timbri e sigilli richiesti dalla legge.

Firma digitalmente i tuoi documenti