Firme elettroniche: i punti essenziali

firma elettronica

Nel pieno della dematerializzazione dei processi documentali - talvolta nel progressivo abbandono della carta - si ha sempre più bisogno di sistemi e tecnologie che disciplinino e abilitino le firme elettroniche. Il panorama italiano, con riferimento a queste ultime, è vario e senza dubbio da sempre precursore di successive introduzioni normative europee. 

In questo approfondimento, cercheremo di comprendere il contesto normativo della firma elettronica e la sua funzione

Il contesto normativo

In primo luogo, occorre precisare che nel corso degli anni, in materia di firma elettronica, il legislatore italiano si è dovuto addentrare in diversi interventi normativi al fine di armonizzare e adeguare la normativa italiana a quella comunitaria.

Infatti, la norma italiana rappresentata dal CAD (Codice Amministrazione Digitale) e dal DPCM 22/02/2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71), in seguito all’applicazione del Regolamento (UE) 910/2014, meglio noto come eIDAS ha subito degli adeguamenti introdotti dal D.LGS. 26 agosto 2016, n.179.

eIDAS ha avuto lo scopo di fissare una “base” valida a livello comunitario per disciplinare i servizi fiduciari* e i mezzi di identificazione elettronica degli Stati Membri, stabilendo, fra le altre, le definizioni per le diverse tipologie di firma e introducendo i sigilli elettronici. 

* servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi: a) creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure b) creazione, verifica e convalida di certificati di autenticazione di siti web; o c) conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;

Firma elettronica, perché?

Infatti, nel caso di un documento informatico, al pari di uno analogico per il quale si utilizza la firma autografa, si è reso necessario pensare ad un metodo di attribuzione di paternità tramite un sistema giuridicamente valido. È il caso della firma elettronica, definita dal Regolamento eIDAS all’Art. 3 come: “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare.”

Il fatto che si tratti di una definizione tanto generica priva di requisiti tecnici lascia ampio spazio di implementazione a diverse soluzioni, ciascuna delle quali implementa differentemente gli aspetti di affidabilità e sicurezza. 


Firma elettronica, avanzata e qualificata

Nella forma più semplice, una firma elettronica può essere generata con un processo di identificazione del sottoscrittore che è basato su delle semplici credenziali come la ben nota combinazione di User Id e Password. Per tali ragioni si è diffusa, nel gergo colloquiale, la tendenza a definirla “Firma semplice o Firma Debole”. La norma non prescrive l’utilizzo di un processo di sottoscrizione con specifici requisiti di riconoscimento del firmatario o specifiche garanzie di sicurezza. 

Una Firma Elettronica (FE) può essere generata e applicata però anche con strumenti e attraverso processi che offrono livelli di sicurezza maggiori rispetto alla semplice identificazione del sottoscrittore tramite user id e password. Se sono esempio i dispositivi OTP, la Carta Nazionale dei servizi, la Tessera Sanitaria o l’Identità elettronica basata su SPID (che offre tre livelli di sicurezza).

Infatti, è il processo di apposizione della firma elettronica ad assumere principale rilevanza ai fini della valutazione complessiva sulla opponibilità a terzi del documento sottoscritto. 

La firma elettronica avanzata (FEA) è una seconda tipologia di sottoscrizione, in cui gli aspetti specifici del processo di riconoscimento del sottoscrittore e apposizione della firma, assumono particolare significato. 

Disciplinata dall’Art.3 punto 11 di eIDAS, una firma è FEA se soddisfa contemporaneamente i requisiti stabiliti dall’Art. 26 di eIDAS:

  1. è connessa unicamente al firmatario
  2. è idonea a identificare il firmatario
  3. è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo
  4. è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati 

nell’ordinamento giuridico italiano, invece, sono richiesta alla FEA caratteristiche più ampie. 

All’Art. 56 “Caratteristiche delle soluzioni di firma elettronica avanzata” del DPCM 22/02/2013 è stabilito che le soluzioni di firma elettronica avanzata garantiscono: 

  1. l’identificazione del firmatario del documento
  2. la connessione univoca della firma al firmatario
  3. il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima
  4. la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma
  5. la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto
  6. l’individuazione del soggetto di cui all’art. 55, comma 2, lettera a)
  7. l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati
  8. la connessione univoca della firma al documento sottoscritto

Inoltre, la legge ci dice che la FEA non è soggetta ad autorizzazioni preventive per la sua autorizzazione e questa libertà se da un lato rappresenta una facilitazione alla diffusione nel mercato, dall’altro si configura come un limite perché per definizione viene meno l’interoperabilità fra diverse soluzioni di firma. Infine, una FEA per l’ordinamento italiano è utilizzabile limitatamente ai rapporti giuridici che intercorrono tra le parti. 

L’ultima tipologia di firma disciplinata da eIDAS e, conseguentemente ripresa dal CAD, è la Firma elettronica qualificata (FEQ), definita dall’Art.3 punto 12 del regolamento eIDAS come: 

“una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”

Risulta immediatamente chiaro che viene creata con uno specifico dispositivo come gli HSM, le smartcard oppure i token USB purché soddisfino i requisiti previsti da eIDAS all’Art. 30 :

Certificazione dei dispositivi per la creazione di una firma elettronica qualificata

  1. La conformità dei dispositivi per la creazione di una firma elettronica qualificata con i requisiti stabiliti all’allegato II è certificata da appropriati organismi pubblici o privati designati dagli Stati membri.
  2. Gli Stati membri notificano alla Commissione i nomi e gli indirizzi dell’organismo pubblico o privato di cui al paragrafo 1. La Commissione mette tali informazioni a disposizione degli Stati membri.
  3. La certificazione di cui al paragrafo 1 si basa su uno dei seguenti elementi:

a) un processo di valutazione di sicurezza condotto conformemente a una delle norme per la valutazione di sicurezza dei prodotti informatici incluse nell’elenco redatto conformemente al secondo comma; o

b) un processo diverso da quello di cui alla lettera a), a condizione che utilizzi livelli di sicurezza comparabili e che l’organismo pubblico o privato di cui al paragrafo 1 notifichi tale processo alla Commissione. Detto processo può essere utilizzato solo in assenza delle norme di cui alla lettera a) ovvero quando è in corso un processo di valutazione di sicurezza di cui alla lettera a).

La Commissione adotta, mediante atti di esecuzione, un elenco di norme per la valutazione di sicurezza dei prodotti delle tecnologie dell’informazione di cui alla lettera a). Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 48, paragrafo 2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 47 riguardo alla fissazione di criteri specifici che gli organismi designati di cui al paragrafo 1 del presente articolo devono soddisfare.

Vale precisare che la FEQ è una tipologia di firma che si basa su un certificato digitale di firma, rilasciato da una certification autority accreditata. 

Per la FE e la FEA non è richiesto l’utilizzo di certificati digitali di firma, ma soprattutto per la FEA, se il processo lo giustifica, è possibile utilizzare dei sigilli elettronici, rilasciati dunque a persona giuridica, a garanzia della corretta esecuzione del processo di sottoscrizione.

Per l’ordinamento giuridico italiano, l’uso della FEQ è previso solo nei casi disciplinati dall’Art. 1350 del c.c. comma 1 dai punti 1 a 12, mentre gli ulteriori casi previsti allo stesso Articolo al comma 1 riguardano alcuni atti che possono essere sottoscritti a pena di nullità con una firma elettronica avanzata, firma qualificata o digitale. 

Questo ci fa intuire come la firma elettronica e la firma elettronica avanzata possano, a seconda del processo implementato, essere idonei a garantire una piena validità ai documenti informatici così firmati. 

Perché è importante la firma elettronica?

La risposta a questa domanda ci viene data dall’Art. 25 del Regolamento Europeo che chiarisce:
“a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate”.  
 
In aggiunta il CAD all’Art. 20 comma 1 bis stabilisce che: 
“Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.”
 
È proprio grazie al suddetto articolo del CAD che possiamo fare una considerazione fondamentale: è il processo di firma ad essere liberamente presentabile in giudizio rispetto alle caratteristiche di sicurezza, integrità e immodificabilità.
Non è la firma elettronica in sé ma il processo a guidare la valutazione. Per questa ragione è importante che esso sia guidato, gestito end-to-end in modo efficiente e sicuro con una prospettiva più ampia che parta dalla formazione del documento, passando per la sua gestione fino alla sua conservazione.
 
Si tratta di un’operazione che Requiro persegue affinché i processi di firma siano sicuri, rigorosi ma semplici da implementare.

 

Altri articoli che parlano di firma elettronica