Prima di trattare l’argomento occorre brevemente esporre le differenze tra firma elettronica, firma elettronica qualificata e frima elettronica avanzata e firma digitale.
Per firma elettronica si intende “un insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica“ (AgID – Definizioni): è quindi la forma più debole di firma in ambito informatico, in quanto non prevede di per sé meccanismi di autenticazione del firmatario o di integrità del dato firmato. e non comprende il non ripudio da parte di chi lo ha firmato. Sul piano legale, il valore probatorio di un documento dotato di semplice firma elettronica non è certo a priori e anzi spetta al giudice valutarne le caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. Si può pensare alla firma elettronica semplice (FES) come alla coppia username/password per l’accesso a un servizio sul web. Un tipico esempio di firma elettronica semplice è un messaggio di posta elettronica ordinaria.
La firma elettronica avanzata (FEA) non è altro che una firma elettronica con alcune caratteristiche di sicurezza addizionali. a firma elettronica avanzata “è apposta attraverso una procedura informatica che garantisce la connessione univoca al firmatario; è creata con mezzi sui quali quest’ultimo conserva un controllo esclusivo ed è collegata ai dati ai quali si riferisce, in modo da consentire di rilevare se gli stessi sono stati successivamente modificati“. Per acquisire una propria firma elettronica avanzata è sufficiente rivolgersi ad un certificatore o ai soggetti delegati alla vendita, non solo in Italia ma anche sull’intero territorio europeo. La firma elettronica avanzata permette, con certezza, di attribuire valore legale al documento
Un esempio di firma elettronica avanzata è quella offerta in alcune regioni con l’erogazione della TS-CNS. La nuova versione della Tessera Sanitaria dev’essere attivata tramite un’apposita procedura con l’utilizzo di un PC dotato di lettore di Smart Card. Si possono poi utilizzare software come Aruba Sign
In generale strumenti come TS-CNS, CNS, CIE, Passaporto Elettronico sono valevoli per l’apposizione della FEA sui documenti destinati alla Pubblica Amministrazione.
La FEA apposta con una CNS/TS-CNS ha un elevato livello di sicurezza perché prodotta con uno strumento (smart card) che rispetta gli standard definiti a livello internazionale (ISO/IEC 15408, Common Criteria, EAL4+); inoltre, certificato digitale e chiavi crittografiche sono generate da un certificatore accreditato da AgID.
La firma elettronica avanzata o firma digitale è considerata dalla normativa come una particolare specie di “firma elettronica qualificata”, basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.
Un altro esempio di FEA è la firma grafometrica apposta su un tablet appositamente configurato per concludere la stipula di un contratto in banca, presso l’ufficio postale o presso una società assicurativa.
Più di recente alcune aziende, nei rapporti con i cittadini e altri soggetti giuridici, hanno iniziato a usare quella che è stata battezzata FEA non grafometrica.
Si legge: “l’univocità della connessione della firma al firmatario nel caso di FEA non grafometrica viene garantita dalla sottoscrizione effettuata previo riconoscimento del firmatario nonché dall’utilizzo da parte di quest’ultimo di un numero di cellulare riferito ad una SIM card di cui dichiara di avere, in quel momento e per tutto l’arco temporale del processo di sottoscrizione, piena ed esclusiva disponibilità. Il firmatario effettua una chiamata ad un numero verde ed inserisce una One Time Password (“OTP”) di firma sulla tastiera del proprio telefono. Le informazioni raccolte dal sistema durante la transazione telefonica sono inserite all’interno di ogni firma e collegano in maniera univoca quella firma al firmatario. Il sistema certifica che il numero dichiarato come proprio dall’utente abbia effettuato una
chiamata al numero verde indicato e abbia inserito l’OTP relativo a quella transazione e relativo a quel documento“.
In altre parole, per la stipula di alcuni contratti, si sta utilizzando un meccanismo che non prevede l’apposizione di alcuna firma autografa e neppure di dispositivi accessori come i lettori di smart cart. Il codice (OTP) comunicato dal fornitore del servizio e inviato a una numerazione telefonica “ad hoc” dal cellulare del sottoscrittore, sono considerati una modalità per l’apposizione di FEA accettabile e compatibile con la normativa.
Un caso particolare è l’apposizione della firma elettronica con SPID: Firmare digitalmente i documenti con l’identità SPID: ecco come funziona.
Gli effetti sono gli stessi di una FEA (come stabilito nelle linee guida AgID di marzo 2020) anche se a rigore l’apposizione di una firma usando l’identità digitale SPID non è annoverabile tra le FEA. Questo perché l’utilizzo di SPID non è abbracciato dalla normativa europea (eIDAS) ed è quindi un “unicum” italiano, valevole solo entro i confini del nostro Paese.
Firma elettronica qualificata
La FEQ (firma elettronica qualificata) entra in gioco quando il contratto oggetto di stipula richiede tutele ancora più ampie: si pensi, ad esempio, ai contratti immobiliari e a tutti gli atti relativi alla cessione di proprietà.
La FEQ si basa su un certificato qualificato ed è realizzata mediante un dispositivo sicuro per la creazione della firma.
Nel caso della FEQ viene utilizzato un certificato qualificato emesso da un Ente Certificatore accreditato (“Prestatore di Servizi Fiduciari qualificati”), lo standard tecnologico è ben definito, è richiesto l’utilizzo di un dispositivo sicuro di firma (Smart Card, Token USB, HSM) e massima interoperabilità. L’Ente Certificatore accreditato è responsabile di verificare e garantire la corrispondenza tra le chiavi di firma e l’identità del sottoscrittore.
Firma elettronica digitale
La firma elettronica digitale viene infine definita dalla normativa come “un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici“.
In più rispetto ai casi precedenti, la firma digitale aggiunge – come requisito essenziale – l’utilizzo della crittografia asimmetrica.
Coloro che desiderano dotarsi di un dispositivo di firma digitale devono rivolgersi ai prestatori di servizi fiduciari accreditati, soggetti pubblici o privati che, sotto la vigilanza di AgID, emettono certificati qualificati (per la firma digitale) e certificati di autenticazione (per le carte nazionali dei servizi).
Vi sono due modalità di utilizzare la firma digitale:
- in “locale”: si intende la firma digitale generata in uno strumento nel possesso fisico del titolare, smartcard o token
- da “remoto”: si intende la firma digitale generata usando strumenti di autenticazione (tipicamente user id+ password +OTP o telefono cellulare) che consentono la generazione della propria firma su un dispositivo (HSM) custodito dal certificatore (in terminologia europea, prestatore del servizio fiduciario qualificato).
SPID, CIE e la firma digitale
La firma digitale può essere ottenuta anche utilizzando lo SPID come sistema di riconoscimento. Tra i certificatori che hanno reso disponibile questa possibilità, sono attualmente attivi Infocert, Namirial (fornisce anche la possibilità di effettuare una sola firma (firma usa e getta)) e Intesi Group.
I servizi prevedono l’accesso con credenziali SPID di livello 2, in questo modo il cittadino ha la possibilità di dimostrare con certezza la sua l’identità e ottenere la firma digitale.
Anche la CIE può essere utilizzata tramite l’app CieSign come strumento di firma elettronica avanzata (FEA) consentendo ai cittadini di firmare agevolmente documenti elettronici.