Firme elettroniche semplici, avanzate e qualificate: esempi e loro utilizzo
Il concetto di firma di un documento è ben presente nella cultura delle persone comuni. Uno dei primi elementi educativi giovanili è proprio sul principio di “non firmare nulla” e leggere con attenzione quello che si firma. Quando si approccia il mondo digitale ci si trova di fronte a tante tipologie di firma e questo può creare dubbi e perplessità.
In questa sede illustriamo in modo sintetico quali sono le principali tipologie di sottoscrizione informatica (con questo termine si vogliono indicare tutte le varie fattispecie di sottoscrizione) e i loro, possibili, principali utilizzi.
Cosa è l’eIDAS
Per prima cosa ricordiamo che la normativa sulle firme è europea (Regolamento 910/2014 – comunemente noto come eIDAS – electronic Identification Authentication and Signature) con alcune specializzazioni nazionali che però non possono contraddire o modificare quella comunitaria. Vedremo che questo ha impatti specifici sulla firma elettronica avanzata.
Il concetto di sottoscrizione più generico è quello di firma elettronica. La normativa comunitaria è tecnologicamente neutra; quindi stabilisce i principi, non le regole di realizzazione operativa.
La firma elettronica è quindi definita in eIDAS come “dati in forma elettronica, acclusi oppure connessi tramite associazione ad altri dati elettronici e utilizzati dal firmatario per firmare”. Nella definizione è palese l’indipendenza tecnologica e la massima generalità per lo scenario realizzativo.
FES: Firma Elettronica Semplice
Una firma elettronica di questo tipo è comunemente indicata come Firma Elettronica Semplice (FES) e può essere associata ad alcuni utilizzi come il point and click (la selezione di opzioni su un sito internet) nell’ambito del commercio elettronico, la comune posta elettronica e comunque, in tutti i casi dove il firmatario è identificato e autenticato in modalità base (nome utente e password) o con un PIN.
Per questo motivo il valore giuridico e l’efficacia probatoria della firma elettronica semplice non sono definiti a priori, ma liberamente valutabili in giudizio in base alle caratteristiche di sicurezza, integrità e immodificabilità. Sarà il giudice a stabilire se il documento sottoscritto con quella specifica realizzazione di FES soddisfa il requisito della forma scritta e il valore probatorio dello stesso nel contesto di utilizzo.
FEA: Firma Elettronica Avanzata
Sempre nel Regolamento eIDAS viene definita la Firma Elettronica Avanzata (FEA). In questo modo sale di livello di sicurezza e si introducono alcuni concetti cruciali per il massimo livello di sottoscrizione che è la firma elettronica qualificata o digitale.
La FEA richiede che ci sia connessione univoca con il firmatario e idoneità a identificarlo. Il firmatario, con un elevato livello di sicurezza, utilizza per la creazione della firma dei dati (in pratica delle chiavi crittografiche) sotto il proprio esclusivo controllo. Infine, la firma è collegata ai dati sottoscritti in modo da consentite l’identificazione di ogni successiva modifica di tali dati.
Questa tipologia di firma stabilisce un maggiore e più definito legame tra firmatario e documento. Il firmatario è univocamente identificato e connesso alla firma, il documento firmato è verificabile nella sua integrità e sono rilevabili successive modifiche.
FEQ: Firma Elettronica Qualificata o digitale
Il passo successivo e finale nella gerarchia di sicurezza delle sottoscrizioni informatiche è quello della Firma Elettronica Qualificata (FEQ) o digitale.
In pratica i due termini sono equivalenti. L’espressione firma digitale è ancora utilizzata per mantenere un collegamento giuridico con la normativa storica nazionale precedente al Regolamento eIDAS. La firma digitale non è presente nel Regolamento eIDAS in quanto non tecnologicamente neutra (la norma primaria nazionale, ovvero il Codice dell’Amministrazione Digitale – CAD, la associa alla crittografia asimmetrica), ma, chiarito questo punto, si può affermare che i due termini sono equivalenti.
Nella firma digitale l’identificazione del firmatario è portata al massimo livello possibile, con l’identificazione certa dello stesso e il suo utilizzo tramite un certificato digitale, che, nei fatti, è una sorta di attestato di identità del firmatario. Inoltre, l’utilizzo dei dati per la generazione della firma deve essere effettuato tramite un dispositivo sicuro, che garantisca il controllo esclusivo del firmatario. La sicurezza del dispositivo è stabilita sulla base di standard internazionali, che consentono una ben precisa e specifica garanzia nel livello di sicurezza previsto. Altre pratiche, come la secure call vengono applicati per la massima trasparenza.
I dispositivi che vengono utilizzati per la firma digitale sono tutti certificati in conformità a regole comunitarie (che specializzano allo scenario i già citati standard internazionali) e, in pratica, sono la smart card anche in versione token USB e l’HSM (Hardware Security Module) ampiamente utilizzato per la cosiddetta firma remota.
I certificati digitali per la firma qualificata possono essere rilasciati esclusivamente da un soggetto definito in eIDAS come prestatore di servizi fiduciari, che deve qualificarsi dimostrando specifiche caratteristiche di qualità e sicurezza tecnica e organizzativa. La qualifica è attestata da una autorità nazionale (in Italia è l’Agenzia per l’Italia Digitale – AgID) e il soggetto è iscritto in un elenco pubblico di fiducia che lo rende noto ed efficace a livello europeo.
La firma elettronica qualificata (FEQ) è equivalente ad una sottoscrizione autografa e soddisfa tutti i tipi di forma scritta. Può essere apposta tramite smart card (tessera plastica con microchip) o token USB, che ha il microchip installato nel dispositivo ed elimina la necessità di disporre di un lettore di smart card che integra in sé. In Italia oltre l’80% dei certificati qualificati per la firma sono disponibili su HSM. L’HSM è l’apparato mediante si realizza comunemente la firma remota. Questa consente la sottoscrizione di documenti anche in mobilità, direttamente da tablet o smartphone.
Firma elettronica: casi d’uso e valore giuridico
La firma digitale è obbligatoria in molti scenari come per la firma delle fatture elettroniche, dei bilanci aziendali e di contratti che hanno l’obbligo della forma scritta.
In Italia la FEQ è affiancata alla FEA in molti scenari specifici. Il CAD stabilisce per la FEA ampi valori giuridici ed efficacia probatoria e per questo può essere utilizzata per soddisfare i requisiti legali di conformità alle esigenze di forma scritta.
L’utilizzo più diffuso della FEA è nella cosiddetta firma grafometrica, realizzata tramite una tavoletta grafica e uno stilo digitale. La FEA grafometrica è ottima in scenari dove si vuole mantenere una esperienza del firmatario analoga alla carta senza perdere i vantaggi dell’eliminazione del medesimo supporto.
Numerose altre soluzioni di FEA sono disponibili e devono essere progettate caso per caso visto che una FEA non è definita normativamente su caratteristiche operative ma su requisiti funzionali. Se si interfaccia la Pubblica Amministrazione nella presentazione di istanze e dichiarazioni per via telematica è possibile utilizzare la FEA generata tramite la Carta di Identità Elettronica o la Carta Nazionale dei Servizi e gli altri documenti elettronici indicati dalle norme di settore.
Si presti attenzione al fatto che la FEA ha questi valori giuridici ed efficacia probatoria solo in Italia. Il Regolamento eIDAS la tratta giuridicamente parimenti alla Firma Elettronica Semplice.
Ritornando alla FEQ è opportuno ricordare particolari utilizzi, tra i quali si sta diffondendo ampiamente a livello mondiale l’uso di piattaforme DTM (Digital Transaction Management) dove la firma è utilizzata in un ambiente operativo di tipo cloud nel quale gli utenti raggiungono accordi operativi su una piattaforma comune di firma e cooperazione.
Un altro scenario, molto diffuso in ambito amministrativo, fa uso della firma con procedura automatica (nota anche come firma massiva). In questo scenario, normato a livello nazionale, ma utilizzabile anche a livello comunitario, le sottoscrizioni sono in un flusso continuo, automatizzato, di documenti, che è reso efficiente dalla velocità di elaborazione dei server HSM. Tipicamente si firmano fatture, contratti di filiale bancaria e assicurativa, refertazioni cliniche.
FEQ disposable
Un ultimo scenario molto utilizzato negli ultimi tempi è la FEQ disposable (nota anche come one-shot). Il firmatario è attivo sulla piattaforma solo per una sottoscrizione o una serie congiunta di esse. Il documento sottoscritto è conservato digitalmente e il sottoscrittore non ha necessità di disporre di uno strumento di firma “stabile” perché non firma abitualmente. Le operazioni di onboarding (inserimento dell’utente) sono fortemente semplificate se l’utente dispone di credenziali SPID (il Sistema Pubblico di Identità Digitale) o di Carta d’Identità Elettronica. Con questi strumenti le procedure di identificazione iniziale sono minime e molto rapide.
In Italia questa piattaforma è utilizzata per la firma dei quesiti referendari e in vari scenari assicurativi e finanziari.
Firma elettronica e dematerializzazione
Concludendo possiamo dire che la sottoscrizione informatica è alla base e indispensabile per la dematerializzazione dei procedimenti, cioè quando si vuole eliminare il documento cartaceo. La dematerializzazione non è la mera trasformazione informatica del procedimento cartaceo, ma richiede una indispensabile reingegnerizzazione digitale dello stesso.
La tipologia di sottoscrizione informatica deve essere valutata, progettata e realizzata in base allo scenario operativo (Es.: obblighi normativi, esperienza utente, economicità della soluzione, equilibrio tra gli obblighi normativi e l’analisi del rischio sul possibile disconoscimento della sottoscrizione, ecc.).
La tipologia può essere valutata in base alla fattispecie di firma da utilizzare e per la modalità di apposizione della stessa (ad esempio, una FEQ può essere apposta tramite token USB o tramite firma remota).
Se non c’è l’obbligo di legge o la determinante opportunità di utilizzare la FEQ può essere valutato l’uso della FEA, in particolare in modalità grafometrica, ma anche la firma elettronica semplice. Quest’ultima può essere realizzata anche tramite FEA conforme al Regolamento eIDAS, ma si sottolinea il fatto che ha il valore giuridico di FES se non soddisfa i requisiti delle regole tecniche nazionali.