Identificazione e sottoscrizione nel digitale: facciamo chiarezza
Lo sviluppo dei servizi digitali e la crescente frequenza con cui interagiamo con essi, sia per ragioni personali che professionali, ci mettono sempre più spesso in contatto con termini apparentemente simili ma decisamente diversi per significato e responsabilità. Per esempio, ormai da qualche anno – e sempre più spesso – si parla di identificazione digitale e di firme elettroniche: a che cosa servono questi strumenti e in quale relazione sono tra loro?
Differenze tra identificazione digitale e firma elettronica
La prima importante evidenza che si può portare, per “fare chiarezza”, è che sono due strumenti diversi che hanno finalità diverse: gli strumenti di identificazione digitale servono per “accedere in modo autenticato”, attestando di essere una specifica persona; mentre le firme elettroniche servono per “sottoscrivere” un documento, attestando che chi lo firma è la specifica persona cui quella firma appartiene.
Più nel dettaglio, l’identificazione digitale è il processo attraverso il quale una persona – fisica o giuridica – viene identificata in un ambiente digitale. Questo può avvenire attraverso l’uso di credenziali di accesso, come username e password, oppure mediante l’uso di sistemi di autenticazione più sofisticati, certificati, riconosciuti e standard, come per esempio lo SPID (il Sistema Pubblico di Identità Digitale italiano, uno strumento capace di riconoscere l’utente e associargli le informazioni anagrafiche che lo caratterizzano, precedentemente raccolte in fase di identificazione).
La sottoscrizione elettronica, invece, è un processo di accettazione o autorizzazione di un contenuto (un documento, un accordo, una comunicazione, ecc.) che avviene aggiungendo espressamente una firma elettronica al contenuto stesso (potendo scegliere tra tre forme di firma elettronica).
In altre parole, l’identificazione digitale serve per riconoscere chi sta accedendo a un sistema, a un software o a un servizio; mentre la sottoscrizione elettronica attesta, approva o autorizza il contenuto di un documento in formato elettronico, tramite l’apposizione di una firma.
Tipologie di firma elettronica e rapporto con l’identificazione digitale
Dopo aver chiarito che si tratta di due cose “diverse”, approfondiamo meglio gli elementi che mettono in stretta correlazione l’identificazione digitale e la firma elettronica. Per farlo, partiamo dall’analisi degli strumenti di firma elettronica disponibili: in Italia esistono 3 differenti tipologie tutte dotate di valore giuridico.
La meno robusta e sicura è la Firma Elettronica Semplice, che non prevede alcun sistema di certificazione qualificato e può essere apposta con un semplice click del mouse, inserendo l’immagine di una firma autografa scansionata su un documento o addirittura inviando una e-mail dal proprio indirizzo. Giuridicamente, questa è una firma “debole”, liberamente valutabile in giudizio e abbastanza semplice da disconoscere.
All’estremo opposto c’è la Firma Elettronica Qualificata o Firma Digitale, che viene rilasciata da una Certification Authority e ha il massimo valore legale (in Italia come in Europa). Questo tipo di firma prevede l’inversione dell’onere della pena, cioè, non è possibile disconoscere quella firma (la firma è della persona che rappresenta, incontrovertibilmente). Se la persona che ha apposto la firma sostenesse di non averla apposta là dove è stata trovata, dovrà dimostrare di non essere stata lei a metterla lì. Per questa ragione è consigliabile non dare ad altri la gestione della propria firma. La firma digitale può appoggiarsi a tecnologie diverse – come chiavette, smart card, Mobile app, per citare i modelli più diffusi – e a tutti gli effetti vale quanto una firma autografa.
Tra la firma semplice e quella qualificata/digitale si posiziona la Firma Elettronica Avanzata. Questa firma è considerabile “forte” quanto la firma digitale (che, ricordiamo, ha un valore legale elevatissimo), ma si differenzia dalle altre perché non è uno strumento tecnologico: è un processo. Si tratta cioè di una firma elettronica (anche di tipo “semplice”), apposta a valle di una fase di identificazione “forte”. In altre parole, è un modo tipicamente molto facile per sottoscrivere un documento (richiede solo di apporre un flag, inserire un’immagine scansionata, fare un click su un tasto “accetto” o “visto”, etc.), che può essere praticato solo dopo essere stati riconosciuti esplicitamente e in modo “forte”.
Ed eccolo qui il punto di contatto tra “identificazione” e “sottoscrizione”: per abilitare i processi di Firma Elettronica Avanzata è necessario anteporre un riconoscimento forte, ottenibile naturalmente con sistemi di identificazione digitale forte (il più noto in Italia oggi è SPID). Per esempio, una Firma Elettronica Avanzata, che accetta/approva il contenuto di un documento, può essere un semplice flag di approvazione, selezionabile solo dopo aver effettuato una procedura di autenticazione forte, usando SPID.
In sintesi:
- per sottoscrivere digitalmente – in modo “forte” – un documento si può usare una firma digitale valida (non scaduta) oppure una firma elettronica avanzata, che implica due passaggi, prima farsi riconoscere (con SPID) e poi esplicitare il consenso (per esempio con un flag o un click);
- per accedere a dati personali e servizi dedicati è richiesto l’utilizzo dello SPID (così come di altri sistemi di riconoscimento, in altri paesi Europei) – per esempio, posso usarlo per accedere al cassetto fiscale oppure a un qualsiasi documento da leggere e poi approvare;
- se mi ritrovo ad approvare un documento all’interno di una schermata alla quale sono arrivato solo dopo essermi registrato con SPID, allora potrei trovarmi in un processo di firma elettronica avanzata, potenzialmente equiparabile all’apposizione di una firma digitale (naturalmente, dovrò anche essere esplicitamente informato che sto di fatto approvando formalmente un documento).
Le differenze tra identificazione e sottoscrizione sembrano spesso solo elementi tecnici, che nell’immaginario collettivo rimandano a competenze legali non di interesse per cittadini, dipendenti, manager o imprenditori. Tuttavia, la crescente diffusione della digitalizzazione impone a tutti noi una crescente consapevolezza sugli strumenti esistenti e sulle responsabilità connesse al loro utilizzo. Meglio, quindi, sapere che:
- i processi di identificazione consentono di raccogliere le informazioni che identificano un individuo;
- i processi di autenticazione consentono a quell’individuo di usare le informazioni che lo identificano;
- i processi di sottoscrizione (firma) sanciscono che quell’individuo prende atto e attesta di conoscere/approvare/condividere/etc. il contenuto che ha firmato.