Firme digitali, firme elettroniche, firme remote, firme grafometriche e firme elettroniche post-identificazione: principali funzionalità e quali preferire
Diverse firme elettroniche: facciamo chiarezza
La dematerializzazione dei documenti ha, da tempo, portato alla ribalta diverse modalità di firma elettronica, in sostituzione alla firma autografa. È dunque lecito chiedersi se queste firme abbiano prerogative di utilizzo che le caratterizzano oppure se siano sostanzialmente intercambiabili. Per poter decidere in maniera adeguata quale tipologia di firma utilizzare, è utile, in primo luogo, chiarire le principali differenze tra firme digitali, firme elettroniche, firme remote, firme grafometriche e firme elettroniche post-identificazione.
Firme digitali
Equivalgono alle tradizionali firme autografe su carta e sono considerate le firme elettroniche “più forti” dal punto di vista normativo, perché invertono l’onere della prova in sede di giudizio. Vengono rilasciate dalle Certification Authority a individui chiaramente identificati che, quindi, non possono poi disconoscerne il possesso. Mentre una firma autografa è sempre liberamente disconoscibile (spetta poi a un giudice decretare se la firma sia realmente di quella persona oppure no, attraverso una perizia calligrafica), una firma digitale è indiscutibilmente della persona cui è stata attribuita; pertanto, se un individuo afferma di non aver firmato un documento con una firma digitale, è sua responsabilità dimostrare che non l’ha fatto. Tipicamente, la firma digitale, per essere apposta su un file, richiede un supporto come una chiavetta USB o una smart card.
Firme elettroniche
Si chiamano firme elettroniche tutte le tipologie di firme non apposte con modalità autografa. Sono quindi firme elettroniche anche le firme digitali sopra descritte. Tuttavia, con il termine “firma elettronica”, si tende di solito a identificare le “firme elettroniche semplici”, ovvero quelle modalità di sottoscrizione informatica “meno forti”. Possono essere firme elettroniche semplici l’immagine scansionata di una firma autografa, il nome e cognome inseriti in un web form, il consenso dato con un click su un sito, persino una e-mail inviata da un indirizzo che consente di ricostruire un nominativo. Come si può intuire, la firma elettronica semplice è uno strumento giuridicamente debole, perché non è possibile provare chi l’abbia effettivamente apposta. Se, invece, la firma elettronica viene utilizzata in un processo che prevede un’identificazione forte dell’individuo, allora diventa una “firma elettronica avanzata”, molto più affine alla firma digitale.
Firme remote
Con il termine “firma remota” si intende una tipologia di firma “forte” come quella digitale ma che non richiede l’uso di una smart card o di una chiavetta USB. Funziona così: per validare che il firmatario sia esattamente il proprietario della firma che sta apponendo, al momento della firma gli viene inviato un SMS contenente il codice di verifica oppure, attraverso un’App istallata sul telefono, una OTP (one-time password, cioè una password che può essere usata solo una volta). L’inserimento del codice ricevuto conclude il percorso di identificazione poiché garantisce che l’individuo che ha richiesto di accedere al servizio di firma è effettivamente la persona che ne ha diritto.
Firme grafometriche
Si tratta di firme elettroniche apposte con uno stilo su una tavoletta. Il sistema hardware composto da questi due elementi viene definito “postazione di firma”. Oltre al semplice tratto, la superficie su cui la firma grafometrica viene realizzata può registrare anche alcune caratteristiche intrinseche, come la pressione, i tratti fuggitivi, l’inclinazione dello stilo, ecc. Per acquisire un valore “forte”, la firma grafometrica richiede di essere usata all’interno di un processo che preveda l’identificazione del firmatario (firma elettronica avanzata).
Firme elettroniche post-identificazione
Le firme elettroniche post-identificazione sono firme elettroniche (spesso semplici) apposte a valle di un processo di identificazione. Un processo di identificazione forte può avvenire quando:
- si verifica il documento di identità di chi si ha davanti;
- si richiede un set di informazioni ragionevolmente note solo alla persona che si sta identificando;
- la persona che deve farsi identificare si è resa riconoscibile usando una soluzione di identità digitale come lo SPID (Sistema Pubblico di Identità Digitale) o la CIE (Carta di Identità Elettronica).
L’individuo, la cui identità è stata riconosciuta, può apporre una sottoscrizione virtuale esplicita anche attraverso strumenti di firma elettronica: per esempio, spunta di una casella, glifo-sigla, firma grafica o firma grafometrica realizzate con uno stelo, click su un pulsante di approvazione su uno schermo. Come già accennato, ogni firma elettronica apposta a valle di un’identificazione “forte” costituisce un processo per apporre una firma elettronica avanzata, assimilabile per efficacia e valenza a una firma digitale.
Quale firma preferire?
Una firma raccolta in formato elettronico, di qualunque tipo essa sia, evita sempre i costi di gestione dei moduli cartacei utilizzati per la tradizionale firma analogica. Tuttavia, quale tipologia di firma è meglio preferire? Non esiste un modello dominante; la scelta, infatti, sarà determinata di volta in volta in base alla situazione in cui ci si trova al momento della raccolta della firma. Vediamo qualche esempio.
Se si richiede la sottoscrizione di documenti elettronici per partecipare a un bando o a una gara, meglio esplicitare la preferenza per una firma digitale, lasciando ai potenziali fornitori l’onere di disporre dello strumento.
Per firmare la prenotazione non impegnativa per una giornata di un corso formativo aziendale può essere sufficiente una firma elettronica semplice. Tuttavia, per rilasciare l’attestato di partecipazione allo stesso corso è preferibile una firma grafometrica che attesti la presenza della persona. Inoltre, la presenza di una persona presso la postazione di firma, che conosca e riconosca i vari partecipanti, può costituire un’ulteriore conferma dell’identità e della partecipazione delle persone al corso
Per apporre firme in qualsiasi momento, senza dover portare con sé una chiavetta, può essere preferibile dotarsi di una firma digitale remota.
Per raccogliere firme presso un presidio fisico specifico (uno sportello o un banco in una piazza), una firma grafometrica potrebbe risultare efficace, soprattutto se accompagnata da un’identificazione forte (scansione o foto allegata di un documento di identità) che permette di abilitare un processo di firma elettronica avanzata.
Nei percorsi di trasformazione digitale, quindi, la prima cosa da fare è chiedersi se sia necessario ricorrere a una sottoscrizione oppure no. Qualora lo sia, i molteplici strumenti di firma oggi disponibili ci consentiranno di scegliere quello più adatto alle esigenze di chi raccoglie o appone la firma.