Firma Digitale

La firma digitale è l'equivalente informatico di una firma autografa apposta su carta ed ha il suo stesso valore legale. La sua funzione è quella di garantire autenticità, integrità e validità di un documento: tramite l’apposizione della firma digitale, infatti, è possibile sottoscriverne il contenuto, assicurarne la provenienza e garantire l'inalterabilità delle informazioni in esso contenute. Supportiamo diverse tipologie di firma: Firma CNS su smart card o Token USB; Firma Massiva; Firma Automatica, Firma Remota; Firma One Shot; Firma Grafometrica.

SPID

SPID è l’acronimo di Sistema Pubblico d’Identità Digitale e rappresenta lo strumento per semplificare l’uso dei servizi online per cittadino e imprese. SPID è un sistema di Identificazione Digitale che, con un unico account, consente di accedere in modo sicuro, semplice e veloce a tutti i servizi online di pubbliche amministrazioni e (in futuro) aziende private che sono parte del sistema SPID.

PEC

Il servizio di Posta Elettronica Certificata (PEC) è un sistema di posta elettronica con valenza legale in grado di garantire non solo l'identificazione del mittente, l'integrità e la confidenzialità del messaggio, ma anche di attestare il recapito del messaggio stesso nella casella del destinatario. I messaggi di PEC, assicurando l'avvenuta consegna, equivalgono alla notificazione per mezzo della posta nei casi consentiti dalla legge (art. 14, comma 3 DPR 445/2000).

Marche Temporali

La marca temporale o validazione temporale, è il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi. La marcatura temporale può essere utilizzata per completare il processo di firma digitale. Le regole i protocolli ed i formati sono quelli indicati nello standard RFC 3161 e le estensioni sono: TSD (marca temporale associata al documento); TSR (marca temporale inserita in un file separato); TST (marca temporale inserita in un file separato).

La Firma digitale nel contesto europeo

La Firma Digitale è definita dalla norma (Art 1, comma 1, let s del CAD) come “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici In altri termini, la Firma Digitale è una firma elettronica qualificata con doppia chiave, una privata (per firmare) ed una pubblica, esposta nel certificato, per la verifica della firma stessa. Va pure ricordato che l’art. 25, comma 3 del Regolamento 910/2014 stabilisce che “Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri”: quindi la firma digitale italiana è, nel contesto europeo, a tutti gli effetti una firma elettronica qualificata.

Quale firma scegliere

Si è visto che le diverse tipologie di firma elettronica si differenziano per la loro capacità di resistere al disconoscimento. Ne consegue che, nello scegliere la tipologia di firma elettronica adeguata allo specifico scopo, è bene partire da un’analisi del rischio di disconoscimento. Ove il rischio è rilevante, è preferibile utilizzare la firma elettronica qualificata, nel caso in cui il rischio sia basso la firma elettronica avanzata è certamente una soluzione, specialmente nel caso in cui vi sono molti firmatari in un’unica postazione: casi tipici sono gli sportelli destinati al pubblico.

Tabella Riassuntiva.

La firma elettronica (semplice)

La Firma Elettronica è definita dalla norma (Art 3, comma 10 dell’eIDAS) come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”. La firma elettronica “semplice” quindi, più che a una vera e propria firma, dà vita ad un processo di autenticazione cui sono riferibili minori requisiti di sicurezza rispetto alle altre tipologie di firma (avanzata e qualificata).

La normativa riconosce alla firma elettronica il valore probatorio dettato dall’Art 20, comma 1-bis del CAD (Validità ed efficacia probatoria dei documenti informatici) : “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore.

In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di qualità, sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se appostein conformità alle Linee guida.”

Inoltre, ai sensi del principio di non discriminazione del Regolamento eIDAS, è previsto che: “A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate.” “A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.”

Nonostante la normativa vigente non riconosca al documento cui è apposta una firma elettronica semplice il requisito della forma scritta, ne garantisce però l’ammissibilità in sede giudiziaria. Affinché il giudice ne possa valutare l’idoneità al soddisfacimento della forma scritta ed il suo valore probatorio, è facilmente comprensibile come una firma elettronica generata tramite il processo sopraindicato, riesca a produrre una collezione di elementi probatori in grado di dimostrare oggettivamente alti livelli di qualità, sicurezza, integrità e immodificabilità atti a permetterne l’accettazione quale piena prova dei fatti.

La firma elettronica avanzata (Grafometrica)

La Firma Elettronica Avanzata è definita dalla norma (Art 3, comma 11 dell’eIDAS) come “una firma elettronica che soddisfi i seguenti requisiti:

È connessa unicamente al firmatario

è idonea a identificare il firmatario

è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;

è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati."

Questo tipo di firma risulta essere quindi un particolare tipo di firma elettronica che, allegando oppure connettendo un insieme di dati in forma elettronica ad un documento informatico, garantisce integrità (consentendo di rilevare se i dati sono stati successivamente modificati) e autenticità del documento sottoscritto. La sua creazione presuppone l’utilizzo di dati per la creazione di una firma, sui quali il firmatario mantiene il controllo esclusivo.

Quest’ultimo elemento assicura la connessione univoca con il firmatario e quindi la paternità giuridica del documento. La firma elettronica avanzata presenta dei caratteri peculiari che la differenziano marcatamente rispetto alle altre tipologie di firma. In primo luogo, la normativa non vincola la firma elettronica avanzata a particolari standard tecnici o determinati software.

Conseguentemente non esiste uno standard di firma elettronica avanzata, ma sono ipoteticamente possibili soluzioni di firma anche molto diverse tra loro, purché rispettino i requisiti richiesti dalla legge:

capacità di assicurare integrità ed autenticità del documento sottoscritto;

controllo esclusivo dei dati per la creazione della firma da parte del firmatario.

Gli strumenti più diffusi sono quelli che utilizzano nei processi di sottoscrizione le password temporanee (OTP) o i dati biometrici, tra cui assumono un posto di rilievo le soluzioni di firma grafometrica. La FEA è pertanto una tipologia di firma tecnologicamente neutra: non si fa riferimento alla tecnologia utilizzata, ma deve soddisfare determinati requisiti previsti dal Regolamento eIDAS e disciplinati nelle Regole Tecniche di cui al DPCM 22 febbraio 2013, Titolo V.

La firma elettronica avanzata grafometrica è realizzata secondo un processo che, oltre a ricalcare pienamente le caratteristiche su descritte prevede un meccanismo di document -binding estremamente robusto. Grazie al meccanismo software sopradescritto, mentre il cliente appone la propria firma su un dispositivo, vengono rilevati tutti i dati biometrici della firma (coordinate, tempo, pressione, tratto in aria ecc). Tutte queste informazioni, in combinazione con il tratto grafico della firma, sono inserite all’interno di documenti pdf contemporaneamente alla creazione di impronte HASH SHA-256 per assicurarne l’integrità. I dati comportamentali non sono conservati all’interno di archivi separati per dei successivi confronti, ma vengono criptati ed "inglobati" nel documento stesso; solo nel caso in cui il documento dovesse essere disconosciuto, i dati grafometrici contenuti nel documento verranno decifrati per confrontarli con quelli presenti in altri documenti già verificati o con quelli raccolti al momento stesso dal perito "grafometrico" nominato dal giudice.

L'utilizzo di dati comportamentali legati al documento (mediante opportuni algoritmi di HASH) e l’utilizzo di una firma elettronica avanzata basata su un certificate emesso e gestito da CA Accreditata (c.d. terza parte fidata), permette di soddisfare pienamente i requisiti richiesti dalla normativa per la FEA, ovvero: a) l’identificazione del firmatario del documento; b) la connessione univoca della firma al firmatario; c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima; d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma; e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto; f) l’individuazione del soggetto di cui all’art. 55, comma 2, lettera a); g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati; h) la connessione univoca della firma al documento sottoscritto.

La firma elettronica avanzata (SMS)

La Firma Elettronica Avanzata è definita dalla norma (Art 3, comma 11 dell’eIDAS) come “una firma elettronica che soddisfi i seguenti requisiti:

È connessa unicamente al firmatario

è idonea a identificare il firmatario

è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;

è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati."

Questo tipo di firma risulta essere quindi un particolare tipo di firma elettronica che, allegando oppure connettendo un insieme di dati in forma elettronica ad un documento informatico, garantisce integrità (consentendo di rilevare se i dati sono stati successivamente modificati) e autenticità del documento sottoscritto. La sua creazione presuppone l’utilizzo di dati per la creazione di una firma, sui quali il firmatario mantiene il controllo esclusivo.

Quest’ultimo elemento assicura la connessione univoca con il firmatario e quindi la paternità giuridica del documento. La firma elettronica avanzata presenta dei caratteri peculiari che la differenziano marcatamente rispetto alle altre tipologie di firma. In primo luogo, la normativa non vincola la firma elettronica avanzata a particolari standard tecnici o determinati software.

Conseguentemente non esiste uno standard di firma elettronica avanzata, ma sono ipoteticamente possibili soluzioni di firma anche molto diverse tra loro, purché rispettino i requisiti richiesti dalla legge:

capacità di assicurare integrità ed autenticità del documento sottoscritto;

controllo esclusivo dei dati per la creazione della firma da parte del firmatario.

Gli strumenti più diffusi sono quelli che utilizzano nei processi di sottoscrizione le password temporanee (OTP) o i dati biometrici, tra cui assumono un posto di rilievo le soluzioni di firma grafometrica. La FEA è pertanto una tipologia di firma tecnologicamente neutra: non si fa riferimento alla tecnologia utilizzata, ma deve soddisfare determinati requisiti previsti dal Regolamento eIDAS e disciplinati nelle Regole Tecniche di cui al DPCM 22 febbraio 2013, Titolo V.

La firma elettronica avanzata SMS è realizzata tramite un processo articolato secondo degli steps funzionali su descritti. Rispetto alla soluzione basata su grafometria, in questo processo il requisito di riconducibilità della firma al titolare viene garantita dal possesso del cellulare e dall’invio di un codice OTP su tale numero.

L'utilizzo di un codice OTP inviato tramite SMS al numero personale del titolare e l’utilizzo di una firma elettronica avanzata basata su un certificate emesso e gestito da CA Accreditata (c.d. terza parte fidata), permette di soddisfare pienamente i requisiti richiesti dalla normativa per la FEA, ovvero: i) l’identificazione del firmatario del documento; j) la connessione univoca della firma al firmatario; k) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima; l) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma; m) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto; n) l’individuazione del soggetto di cui all’art. 55, comma 2, lettera a); o) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati; p) la connessione univoca della firma al documento sottoscritto.

La firma elettronica qualificata

La Firma Elettronica Qualificata è definita dalla norma (Art 3, comma 12 dell’eIDAS) come “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche;” È un particolare tipo di firma elettronica avanzata basato su un certificato “qualificato” (che garantisce l’identificazione univoca del titolare, rilasciato da certificatori qualificati) e realizzato mediante un dispositivo per la creazione di una firma elettronica qualificata che soddisfa particolari requisiti di sicurezza; il certificato può contenere limitazioni relative alla tipologia di atti da sottoscrivere o a tetti di spesa. Si abbandona quindi la neutralità tecnologica e si fa riferimento a una tecnologia specifica che prevede l’uso di un certificato qualificato e l’utilizzo di un dispositivo sicuro per la creazione della firma.

Analisi comparativa delle varie tipologie presenti

Firme e Sigilli Elettronici. Analisi comparativa delle varie tipologie presenti nella normativa nazionale e comunitaria. Agid Dicembre 2019