AgenPress. In Italia si parla di firma digitale e di SPID come se fosse una novità degli ultimi anni, ma in pochi sanno che il primo DPCM relativo alle firme elettroniche risale addirittura al 1999. Da allora ne è passata di acqua sotto i ponti, la tecnologia e le modalità di firma digitale hanno fatto passi da gigante, tanto che in alcuni casi si confondono fra loro. In queste righe proveremo quindi a fare un rapido distinguo fra tutte le tipologie di firma digitale online che esistono qui in Italia.
Cos’è la firma elettronica?
Con il termine “firma digitale online” si intende la forma più semplice di sottoscrizione informatica. Si badi bene, il termine firma elettronica definisce in linea generale una qualsiasi forma di sottoscrizione mediata da uno strumento informatico: questo significa non solo che non si riferisce a uno specifico prodotto, ma che in alcuni casi può essere anche contestata qualora non risponda ai requisiti di sicurezza, immodificabilità e integrità previsti dalla normativa vigente. Un esempio pratico: quando inviamo una mail con il nostro nome in calce, abbiamo lasciato una firma elettronica a tutti gli effetti. Tuttavia, poiché una mail è facilmente modificabile, tale tipo di firma elettronica non può essere considerata legalmente valida.
Qual è la differenza fra firma elettronica e firma digitale ?
Nel parlato comune si parla di firma elettronica o digitale come se ci si riferisse alla stessa cosa: fra persone comuni tale tipo di equivoco è anche comprensibile, ma gli addetti ai lavori sanno che c’è una differenza enorme. Come abbiamo già visto, la firma elettronica è la definizione generale, mentre la firma digitale (che fra l’altro è prevista solo in Italia) è uno strumento di sottoscrizione avanzato, basato su due chiavi crittografiche, una di tipo privata (tipica del mittente) e un’altra di tipo pubblico (riservata al destinatario). La firma digitale ha un ampio spazio di utilizzo, e si basa sul valore probatorio: chi rilascia una firma digitale ha il dovere di dimostrare che la stessa è valida, e il destinatario può contestarla solo quando in effetti mancano i presupposti di validità. Tornando quindi al titolo del paragrafo, possiamo riassumere la differenza fra firma elettronica e firma digitale parafrasando i sillogismi aristotelici: tutte le firme digitali sono firme elettroniche, ma non tutte le firme elettroniche sono firme digitali!
Cos’è la firma elettronica avanzata?
La firma elettronica avanzata, indicata anche con l’acronimo FEA, è regolamentata dall’articolo 3 del Codice dell’Amministrazione Digitale, e rappresenta una semplificazione della firma elettronica qualificata. Come già accennato in precedenza, seppur strutturalmente più semplice, la FEA ha valore legale qualora rispetti i requisiti di sicurezza, integrità e immodificabilità. Un esempio di firma elettronica avanzata è quella grafometrica, dove il soggetto appone la sua firma calligrafica su un device elettronico (tablet per lo più). Questa tipologia di firma elettronica viene usata prevalentemente in banca e per stipulare assicurazioni, mentre una forma molto più “soft” è quella che alcune compagnie spedizioniere fanno apporre agli utenti al momento della consegna di un pacco. In effetti, se andassimo a guardare per davvero le firme grafometriche rilasciare ai corrieri di spedizione, scopriremmo che nella stragrande maggioranza dei casi più che di firme si tratta di segni indecifrabili.
Cos’è la firma elettronica qualificata?
Con il termine firma elettronica qualificata (nota anche con l’acronimo FEQ), si indica la “massima autorità” in tema di sottoscrizione informatica. La FEQ è infatti l’unica forma di firma elettronica che ha la stessa valenza legale di quella autografa. La firma elettronica qualificata è resa giuridicamente valida anche perché, rispetto ad altre tipologie di firme elettroniche, utilizza specifici hardware creati appositamente per l’occasione, che in gergo si definisco Hardware Security Module (o con l’acronimo HSM). La FEQ ha la sua massima espressione nella firma remota, di cui parliamo di seguito.
Cos’è la firma remota?
Stando anche a quanto riporta il DPCM del 22 febbraio 2013 che la regolamenta, la firma remota è una particolare forma di firma digitale generata attraverso HSM in cui le chiavi private sono a controllo esclusivo dei titolari delle stesse. È da tantissimi anni che la firma remota viene utilizzata, ma agli inizi ha avuto un utilizzo limitato perché gli Hardware Security Module che fossero conformi alle norme previste non erano tantissimi. Come se non bastasse, gli stessi HSM son un grosso limite: sicuramente l’utilizzo di apposite SIM in token USB ha semplificato di molto le procedure, ma resta il fatto che il dover utilizzare appositi dispositivi per firmare elettronicamente, e non farlo solo via software con il proprio PC o smartphone, è complicato e anche costoso. La strada tracciata per la firma remota prevede quindi in realtà l’abolizione di qualsiasi HSM e l’utilizzo di un semplice PIN, ma per ottenere tale tipologia di FEQ occorre ricevere esplicita autorizzazione dall’ente governativo AgID (Agenzia per l’Italia Digitale).
La firma elettronica automatica
Un’altra tipologia interessante di firma elettronica è quella automatica. Si tratta di una firma elettronica digitale che viene apposta previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle chiavi di firma. In pratica la firma elettronica automatica viene posta anche in assenza del sottoscrittore. Tale forma in realtà non sempre rispetta tutti i crismi previsti dalla legge, e in alcuni particolari casistiche potrebbe essere perfino impugnata. Ma allora, a cosa serve la firma elettronica automatica e perché è stata realizzata? In realtà nasce dall’esigenza di apporre la propria firma su una moltitudine di documenti, il che diventa proibitivo se va fatto in simultanea. Poniamo l’esempio di un amministratore delegato, o di un datore di lavoro, che deve porre la propria firma elettronica su un documento che va distribuito a tutti i propri dipendenti. In questi casi, più grande è l’azienda, maggiore è il numero dei dipendenti e più alto sarà il numero di documenti da firmare: in questi casi apporre la firma elettronica automatica diventa pratico e necessario al tempo stesso.
Ovviamente, il fatto che in casi del genere la firma automatica sia necessaria non significa che il titolare della stessa sia esente da colpe. Intanto, al momento della stipula della firma automatica il sottoscrittore è tenuto a precisare anche per quali tipologie di documenti questa è ritenuta valida: questo significa che tale firma remota può essere impugnata se utilizzata per un tipo di documento non previamente autorizzato. In materia legale, i rischi per il sottoscrittore variano a seconda della tipologia di documento firmato in maniera non conforme con la procedura automatica: nei casi di semplici fatture e di atti di routine il massimo che può arrivare è una sanzione pecuniaria, mentre la faccenda si fa molto più preoccupante per documenti ben più importanti come referti clinici o specifici contratti. La firma elettronica automatica è quindi una FEQ a tutti gli effetti, seppur poggi palesemente sul concetto per cui “si firma ciò che non si vede”: del resto non è un caso se è conosciuta anche con il nome di “firma massiva”.
La firma di una cartella
Altra tipologia di firma elettronica che può essere confusa con le altre è la firma di una cartella. In sostanza con questa firma elettronica il soggetto è in grado di firmare un numero non elevato di documenti informatici. Il pensiero in questo caso va alla firma automatica, da cui però la firma di una cartella ha una distinzione netta: in questa tipologia di sottoscrizione digitale il soggetto è tenuto a visionare ogni singolo documento su cui appone la firma, ed è per questo che può essere usata su un numero non eccessivo di documenti. Volendo farla più semplice, la firma di una cartella è a metà strada fra la firma digitale “classica” e quella massiva. La firma di una cartella può essere al tempo stesso una firma remota, ed ha come caratteristica tecnica specifica il fatto che il soggetto appone il suo sigillo tramite la semplice digitazione di un PIN univoco. Anche in questo caso, qualora ovviamente ci siano sempre i presupposti giuridici e organizzativi previsti dalle norme vigenti, la firma di una cartella è una FEQ a tutti gli effetti e quindi ha valore legale.
Cos’è la firma verificata o certificata?
Nell’universo delle firme elettronica c’è anche la cosiddetta firma verificata (o certificata), anche se ormai è sempre meno utilizzata. La caratteristica della firma verificata è che il dispositivo HSM deputato alla firma è pienamente sotto il controllo del prestatore dei servizi fiduciaria. Dal punto di vista applicativo non ha grossa applicazione perché dato che soggetto firmatario e prestatore di servizi sono fisicamente presenti al momento della stipula (no firma remota, quindi), a quel punto non vi è un grossa differenza fra l’usare la firma certificata e quella tradizionale autografa, con la maggior parte dei soggetti che opta per quest’ultima.
Cos’è il sigillo elettronico?
Se la firma verificata è poco conosciuta, il sigillo elettronico è praticamente sconosciuto. Si tratta di uno strumento che, come suggerisce il nome, serve a “sigillare” i documenti firmati e fare in modo che questi non siano compromessi da alcun soggetto esterno non autorizzato. Dal punto di vista tecnico, il sigillo elettronico può essere applicato sia “in presenza” che da remoto. Si tratta di un ottimo servizio, che però in Italia è praticamente sconosciuto per il semplice fatto che non è regolamentato da alcuna normativa nazionale, e quindi ci si deve rifare alle norme europee.
Conclusioni
Qualunque sia l’opinione che ognuno di noi ha sulle firme elettroniche, la realtà dei fatti è che si sta andando progressivamente verso la quasi inutilità della firma autografa. La progressiva digitalizzazione degli enti pubblici e privati, acuita loro malgrado durante la pandemia da Covid-19 in cui gli spostamenti erano limitati, ha dato uno sprint decisivo verso l’adozione delle firme elettroniche che ormai sembra inarrestabile. A oggi gli unici restii a usare questa forma di sottoscrizione sono per lo più i soggetti più in là con gli anni, che hanno una repulsione per ogni nuova forma tecnologica, ma nel giro di pochi decenni le firme elettroniche diventeranno la regola anziché l’eccezione.
