Importanza e valore della firma elettronica
Dematerializzazione e digitalizzazione sono tra i processi che più hanno cambiato le aziende negli ultimi tempi, portando ampi benefici, come: azzeramento delle distanze e dei tempi di attesa, minore consumo di carta, minori rischi di errori o di perdite di documenti.
Tali cambiamenti sono stati innescati da una gestione documentale passata dalla modalità cartacea a quella digitale e dall’uso della firma elettronica. In particolare, la firma a distanza dei documenti è risultata fondamentale per agevolare la conclusione dei contratti da remoto e oggi, nelle sue diverse forme, è diventata imprescindibile.
L’importanza che assume la firma, intesa come sottoscrizione autografa, è fortemente legata a due fattori cardine: esprime il consenso del firmatario e ne identifica il tratto, nonché l’appartenenza.
Già dal 1997 l’Italia ha provato a legittimare da un punto di vista normativo la validità del documento informatico al pari di quello cartaceo. Con la Direttiva 1999/93/CE, il Codice dell’Amministrazione Digitale CAD e poi il Regolamento UE 910/2014 eIDAS, anche la sottoscrizione elettronica viene riconosciuta come legittima.
A oggi, il Regolamento Europeo eIDAS riconosce tre diverse tipologie di firma:
・firma elettronica (o firma elettronica semplice, FES),
・firma elettronica avanzata (FEA),
・firma elettronica qualificata (FEQ).
Vediamo quali sono le differenze tra i diversi tipi di firma elettronica e quale occorre scegliere per ottenere la sicurezza e l’efficacia probatoria desiderata.
Firma elettronica o firma digitale, quali differenze
Il Regolamento Europeo 910/2014 eIDAS definisce le norme e le procedure di attivazione per le firme elettroniche e le condizioni, a livello comunitario, della loro interoperabilità.
Le firme elettroniche sono disciplinate seguendo una categorizzazione di tre tipologie.
Firma elettronica semplice (FES)
La firma elettronica semplice è definita dall’art. 3, punto 1, n° 10 del Regolamento eIDAS come insieme di “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare.” L’uso della FES si circoscrive a un’autenticazione informatica di valore comune e non è necessario alcun processo di identificazione ai fini del suo rilascio.
Firma elettronica avanzata (FEA)
Come indicato dall’art. 3, punto 1, n° 11 del Regolamento eIDAS, la FEA è definita dai “Requisiti di una Firma Elettronica Avanzata” espressi nell’art. 26 del medesimo regolamento.
In breve, deve consentire:
- l’identificazione del firmatario del documento;
- la connessione univoca al firmatario;
- il collegamento ai dati sottoscritti, così da permettere l’identificazione di ogni eventuale modifica di tali dati;
- il controllo esclusivo del firmatario sui dati e sul sistema di generazione della firma;
- la connessione univoca tra firma e documento sottoscritto;
- l’individuazione del soggetto erogatore;
- l’evidenza, per il firmatario, della documentazione sottoscritta;
- l’assenza di elementi nell’oggetto della sottoscrizione che possano modificare atti, dati e fatti in esso rappresentati.
La firma elettronica avanzata è indicata in molti casi d’uso, come la sottoscrizione di contratti assicurativi, l’apertura di conti correnti, la certificazione dell’invalidità professionale. Tuttavia, la FEA non può essere usata per tutti gli atti descritti dai punti 1-12 dell’art. 1350 del Codice Civile: contratti su diritti e proprietà di beni immobiliari, contratti di società e associazione e affini.
L’identità del titolare viene certificata tramite un procedimento di riconoscimento, che viene svolto dal soggetto che offre il servizio, attraverso modalità differenti: identificazione biometrica tramite intelligenza artificiale, verifica manuale dei documenti di identità tramite operatore o mediante l’uso di identità digitali pregresse.
Firma grafometrica
Gli esempi più comuni e diffusi di FEA sono la firma grafometrica e la firma OTP con SMS.
La firma grafometrica viene raccolta tramite tablet muniti di stilo, capaci di rilevare e acquisire il movimento svolto dalla mano del firmatario che appone la firma, che nel gesto è del tutto simile a una firma autografa. In particolare, nel momento in cui avviene la firma grafometrica, il dispositivo raccoglie e registra la velocità di scrittura, l’inclinazione dello stilo, la pressione esercitata dal firmatario sul tablet, l’accelerazione e i tratti aerei della sottoscrizione. La firma grafometrica è usata per lo più agli sportelli bancari o postali o nei settori della logistica e delle spedizioni, per registrare la presa in consegna della merce da parte del destinatario.
Tuttavia, per apporre la firma grafometrica è necessaria la presenza fisica del firmatario, e ciò costituisce un limite.
Firma OTP
Un tipo di FEA più versatile è la firma OTP (One Time Password). L’otp è un codice univoco e temporaneo, che viene inviato al firmatario tramite SMS o e-mail, funzionale da remoto e da qualsiasi dispositivo. Tale modalità si adatta perfettamente a qualsiasi uso, come l’attivazione di utenze domestiche, la sottoscrizione di una polizza assicurativa, l’apertura di conti bancari e contratti di locazione immobiliare.
CIE e CNS: le varianti della FEA
Nell’interazione tra privati e Pubblica Amministrazione, l’uso di documenti come CIE, CNS, Tessera Sanitaria o Passaporto Elettronico rappresenta un tipo di FEA peculiare per il solo territorio italiano e riconosciuta dal Dpcm del 22 febbraio 2013, art. 61, comma 2 e dagli articoli 64 e 65 del CAD.
Firma elettronica qualificata (FEQ)
L’art. 3, punto 1, n° 12 definisce la FEQ come “una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”.
In aggiunta ai requisiti già in vigore per la FEA, dunque, la FEQ:
- deve essere basata su un certificato elettronico qualificato;
- deve essere realizzata su un dispositivo qualificato, autorizzato da AgID, per la creazione di una firma elettronica (smart card, token, chiavette USB e affini) o in remoto tramite un server centralizzato;
- ha medesimo valore giuridico di una firma autografa (valore ad substantiam, art. 25 Regolamento eIDAS).
Firma Digitale
In Italia, il CAD associa la Firma Digitale alla FEQ e la definisce come “un particolare tipo di FEQ basata su un sistema di chiavi crittografiche, una pubblica e una privata (crittografia asimmetrica), correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
Al pari della FEA, anche per la FEQ è necessario un processo di identificazione del firmatario per garantire che la firma sia connessa univocamente al firmatario, attraverso uno scrupoloso riconoscimento dell’identità (che può avvenire de visu, da remoto con modalità KyC video o con web app da qualsiasi dispositivo). In questo caso, un QTSP sarà deputato al riconoscimento ai fini del rilascio del certificato di firma. Inoltre, la tecnologia usata per questo tipo di firma deve necessariamente sottostare ai protocolli e agli standard definiti da ETSI (European Telecommunications Standards Institute).
La FEQ rappresenta il grado più alto di sicurezza e validità legale, usata da professionisti e dirigenti. Può essere applicata a qualsiasi genere di documenti, compresi quelli descritti dall’art. 1350 del C.C. In particolare, è spesso usata in caso di sottoscrizione di libri societari o inventari, registri Iva o di protocollo informativo, gare pubbliche e così via.
FEA o FEQ? Una questione di validità legale
FES, FEA e FEQ vengono distinte dal CAD in firme deboli e firme forti in base a come viene riconosciuto il loro valore legale.
La FES è definita firma debole in base ai criteri di autenticazione e di valore probatorio. Non essendo prevista l’identificazione certa del firmatario e non essendo idonea a soddisfare il requisito di forma scritta, la FES è facilmente impugnabile. La validità giuridica di questa firma è valutabile dal giudice in base al caso e alle caratteristiche di sicurezza, immodificabilità e integrità.
FEA e FEQ, invece, sono definite firme forti poiché gli viene riconosciuto lo stesso valore giuridico della firma autografa e pertanto si usano per sottoscrivere contratti e documenti per i quali potrebbe essere necessario il riconoscimento della validità in sede legale. In poche parole, tali firme possono essere sottoposte a una prova, fino a querela di falso, della provenienza delle dichiarazioni del firmatario, come previsto dall’art. 2702 del C.C.
Principali differenze tra firma elettronica avanzata e firma elettronica qualificata
Una prima differenza tra FEA e FEQ riguarda il soggetto su cui cade l’onere della prova, nel caso in cui venga contestata la validità della firma.
Nel caso della FEA, poiché questo tipo di firma ha lo stesso valore legale di una firma autografa, il titolare della firma può contestare e disconoscere l’apposizione della stessa presentando una querela di falso. In questo caso, l’onere della prova grava sul soggetto che accetta la firma come valida, il quale dovrà dimostrare che la firma appartiene al firmatario e che è una firma conforme.
La FEQ, invece, ha un maggior grado di sicurezza dal punto di vista legale. Infatti, se il titolare della firma non ne riconosce l’apposizione su un documento, cadrà su di lui (e non sulla controparte) l’onere della prova della falsa sottoscrizione. Sia in caso di firma locale apposta con smart card o token, sia in caso di firma remota, la FEQ è esclusiva del possessore. Pertanto, per disconoscere una FEQ è necessario dichiarare la sottrazione temporanea o il furto del dispositivo di firma oppure di non aver mai richiesto al certificatore una FEQ.
Esempi
In presenza di una FEA, nel caso di un’apertura di un conto corrente, se il titolare della firma non riconosce di aver firmato la documentazione e quindi contesta la validità della sottoscrizione, sarà compito della banca dimostrare il contrario.In presenza di una FEQ, invece, nel caso di un trasferimento della proprietà di un immobile, sarà compito del firmatario dimostrare che la sottoscrizione della relativa documentazione non è valida.
Una seconda differenza tra FEA e FEQ riguarda il limite nel possibile uso delle due firme.
La FEA è usata soltanto nell’ambito di rapporti giuridici che intercorrono tra il titolare della firma e il soggetto che eroga la firma elettronica, per sottoscrivere contratti e documenti societari, istituzionali e commerciali. La FEQ, invece, non ha limiti di uso. Il titolare della FEQ può usarla per sottoscrivere qualsiasi documento in qualsiasi contesto.
Esempi
Una FEA rilasciata da una società assicurativa può essere usata dal titolare solo nell’ambito della sottoscrizione di una polizza assicurativa con la società stessa, ma non per firmare documenti con terze parti. La FEQ, invece, essendo rilasciata da un certificatore accreditato, appartiene ed è associata senza dubbi al firmatario, che pertanto può usarla per sottoscrivere qualsiasi documento e non soltanto quelli relativi a un rapporto con l’emittente della firma.
Come capire quale tipo di firma serve?
Nel quadro della validità legale emerge che FEA e FEQ offrono alti livelli di sicurezza ed efficacia probatoria. La certificazione riconosciuta della FEQ ne fa uno strumento molto valido, in grado di coprire qualsiasi esigenza.
Tuttavia, sebbene la firma digitale sia assimilabile totalmente a una firma autografa, questa non è necessaria in qualsiasi contesto. L’unico modo per comprendere quale firma sia confacente alle proprie necessità è affidarsi a un partner in grado di comprendere quali sono le possibili applicazioni.
Qualunque sia il livello di tutela legale associato al processo documentale che si vuole digitalizzare è consigliabile l’adozione di soluzioni di digital transaction management (DTM) come Namirial Sign, in grado di abilitare l’azienda all’uso di tutte le tipologie esistenti di firma elettronica.
CHIEDI UNA CONSULENZA NAMIRIAL
Per maggiori informazioni su quale tipo di firma elettronica adottare nella propria azienda, compila il form sottostante per chiedere una consulenza Namirial.
